Выпуск дистрибутива для создания межсетевых экранов OPNsense 19.1
После 6 месяцев разработки представлен выпуск дистрибутива для создания межсетевых экранов OPNsense 19.1, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развертывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (265 Мб).
Среди возможностей OPNsense можно выделить полностью открытый сборочный инструментарий, возможность установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчетов и графиков. Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.
В новой версии:
- Осуществлен переход на использование в качестве основы HardenedBSD 11.2, форка FreeBSD 11.2, в который интегрированы дополнительные механизмы защиты и техники противодействия методам эксплуатации уязвимостей;
- Возможность использования двухфакторной аутентификации на базе комбинации аутентификации через внешний LDAP-сервер и локальную систему одноразовых паролей TOTP (Time-based One-time Password);
- API для управления псевдонимами в правилах межсетевого экрана (позволяет использовать переменные вместо хостов, номеров портов и подсетей);
- API для экспорта базы клиентов OpenVPN;
- Поддержка режима ограничения полосы пропускания на базе алгоритма PIE (RFC-8033);
- Возможность ведения лога срабатывания правил NAT;
- В web-прокси добавлена поддержка WPAD / PAC и подключения через родительский прокси;
- Возможность экспорта сертификатов P12 установленными пользователями паролями;
- Использование Dpinger для мониторинга доступности шлюза;
- Плагин для правил телеметрии ET Pro;
- Расширена поддержка IPv6 DUID;
- Поддержка Dnsmasq DNSSEC;
- Обновление версий программ: LibreSSL 2.7, Unbound 1.8, Suricata 4.1, Phalcon 3.4, Perl 5.28;
- Обновлены файлы с переводом интерфейса на русский язык;
- В применяемой по умолчанию теме оформления интерфейса предложено сворачиваемое боковое меню;
- Плагины для экспорта резервных копий, Bind, Nginx, Ntopng, VnStat и Dnscrypt-proxy.