pfSenseItaly

15 febbraio 2024

Rilasciata la versione 2.7.2 di pfSense

E' stata rilasciata la versione 2.7 di pfSense a cui sono seguite, nel giro di poche settimane, le minor release 2.7.1 e 2.7.2.

Vediamo quali sono le principali migliorie e i fix più importanti introdotti.

Versione 2.7.0

La versione 2.7.0 (qui i dettagli) ha introdotto diverse novità interessanti, in particolare i major upgrade delle versioni di PHP e del sistema operativo FreeBSD.

In particolare:

PHP è stato aggiornato dalla versione 7.4.x a 8.2.6.
Il sistema operativo di base è stato aggiornato a FreeBSD 14-CURRENT

Sono poi state apportate diverse modifiche agli algoritmi accettati dalle VPN Ipsec:

Sono stati rimossi diversi algoritmi IPsec deprecati, tra cui:

3DES Encryption
Blowfish Encryption
CAST 128 Encryption
MD5 HMAC Authentication

Stanti queste modifiche, prima di aggiornare, è importante controllare e riconfigurare le tue connessioni IPsec utilizzando algoritmi di crittografia più sicuri, e testarle.

E’ stato aggiunto il supporto per la crittografia ChaCha20-Poly1305 con IPsec.

Altre modifiche:

Captive Portal è stato migrato da IPFW a PF
E’ stata introdotta una nuova GUI per il Packet Capture
OpenVPN è stata upgradata alla 2.6.4

Sono state inoltre fixate diverse vulnerabilità e migliorata la GUI

NB. Il processo di aggiornamento da versioni più vecchie (2.5.x) prevede la necessità di fare un aggiornamento intermedio alla 2.6.

Come sempre, prima di effettuare un aggiornamento è consigliato effettuare il backup della configurazione.

Versioni 2.7.1 e 2.7.2

Le versioni 2.71. e 2.7.2 apportano poche modifiche sostanziali, ma implementano il fix di diverse vulnerabilità:

2.7.1 (elenco completo qui)

Migliora il supporto a SCTP
PHP è stato aggiornato alla versione 8.2.11.
Il sistema operativo di base è stato aggiornato a un punto più recente su FreeBSD 14-CURRENT.
OpenSSL nel sistema base è stato aggiornato dalla versione 1.1.1g a 1.1.1n.
Risolve la vulnerabilità di tipo remote code execution CVE-2023-42326

2.7.2 (elenco completo qui)

Sono state apportate correzioni per diverse Notices e Security Advisories di FreeBSD, tra cui:

Vulnerabilità di spoofing TCP in pf (4) (FreeBSD-SA-23:17.pf)
Possibile corruzione dei dati ZFS (FreeBSD-EN-23:16.openzfs)
Utilizzo elevato della CPU da parte dei thread del kernel ZFS (FreeBSD-EN-23:18.openzfs)
Implementazione AES-GCM errata in ossl (4) (FreeBSD-EN-23:17.ossl)
Problemi di prestazioni in OpenSSL, corretti con accelerazione come AES-NI

Viene installata la versione 2.6.8 di OpenVPN che risolve le vulnerabilità CVE-2023-46849 e CVE-2023-46850

Come sempre, prima di effettuare un aggiornamento è consigliato effettuare il backup della configurazione. Al termine dell’update, installare tramite l'apposito addon le eventuali patch presenti.

Per quanto riguarda gli update, nei test effettuati anche su configurazioni complesse, non ho riscontrato problemi.

Se aggiornate in presenza di pacchetti deprecati perderete le funzionalità offerte da tali pacchetti, non sono state previste migrazioni automatiche a versioni alternative dei servizi.

Se durante gli aggiornamenti doveste riscontrare anomalie, scrivetelo nei commenti

Marco Castagna Releases 0 Read More →

7 marzo 2021

Rilasciata la versione 2.5 di pfSense

Dopo un attesa durata 3 anni è stata rilasciata la versione 2.5 di pfSense. La precedente release (2.4) risale ad ottobre 2017.

L'aggiornamento più sbandierato è però il grande assente, dopo vari comunicati che annunciavano la presenza a partire dalla versione 2.5 è arrivata la comunicazione sotto forma di piccola nota che ne dichiara l'assenza.

Fabio Viganò Releases 3 Read More →

30 marzo 2020

Rilasciata la versione 2.4.5 di pfSense

A distanza di pocomeno di un anno, è stata rilasciata l'ultima minor release di pfSense. La nuova release non introduce novità significative ma porta in dote una lunga serie di correzioni anche per bug molto fastidiosi che da un anno affliggevano pfSense.

Fabio Viganò Releases 0 Read More →

15 luglio 2019

pfSense e la 2FA

Inutile dire che l'autenticazione basata solo su username e password è sempre più insicura, da una parte gli utenti si ostinano ad utilizzare password insicure dall'altra i metodi per carpire credenziali sono sempre più avanzati. A tutto questo si unisce il fatto che tutte le credenziali rubate finiscono prima o poi in vendita sul dark web in veri e propri ecommerce.

Fabio Viganò 2FA, Autenticazione, Radius 5 Read More →

20 luglio 2018

Creare una vpn layer2 con pfSense ed OpenVPN

Con la progressiva diffusione del cloud ibrido, è cresciuta anche la necessità di collegare tramite vpn layer2, due o più siti aziendali mantenendo un unica subnet. Detto in maniera più sintetica creare una stretched LAN tra i siti.

La caratteristica principale di questo tipo di connessione è quella di sostituire il routing (Layer 3) con il bridging (Layer 2). Entrambe le soluzioni hanno pro e contro, ma lo scopo di quest'articolo non è analizzare quale e quando sia meglio una o l'altra.

Fabio Viganò VPN 5 Read More →

2 aprile 2018

Rilasciata la versione 2.4.3 di pfSense

Il 29 marzo è stata rilasciata l'ultima release di pfSense: la 2.4.3.

Pur essendo una minor release include un numero significativo di fix e di nuove feauture.

Sono circa una trentina le nuove funzionalità introdotte e si spazia dal supporto per il nuovo hardware fino al controllo delle dimensioni dei dischi prima dell'installazione.