FreeBSD récemment introduit WireGuard support dans son noyau, comme nous l'avons expliqué récemment dans cet article. Cependant, il a été constaté que l'implémentation de WireGuard effectuée n'est pas aussi sécurisée qu'elle devrait l'être, et les développeurs FreeBSD ont décidé de ne pas l'intégrer temporairement dans la dernière version. Cela affecte directement le pare-feu et le système d'exploitation orienté routeur pfSense, qui est basé sur FreeBSD et a déjà incorporé WireGuard dans sa version pfSense 2.5.0.
pfSense supprime la prise en charge de WireGuard
L'équipe de développement de pfSense a introduit en version 2.5.0 une version de WireGuard dans le noyau du système d'exploitation, à la fois en version pfSense CE 2.5.0 et également en version pfSense Plus 21.02. À la suite d'une série de problèmes que nous expliquerons sous peu, des questions et de nombreuses inquiétudes ont surgi concernant la sécurité de l'implémentation WireGuard dans pfSense, ils ont donc décidé de retirer le support dans la prochaine version de maintenance de pfSense 2.5.1. Puisque WireGuard en mode noyau a été temporairement supprimé de FreeBSD jusqu'à ce que tous les bogues racine soient corrigés, l'équipe de développement de pfSense a fait exactement la même chose, en supprimant WireGuard dans la prochaine version, dans le but d'attendre un correctif complet. du code source et également un audit approfondi pour déterminer s'il existe des failles de sécurité.
L'équipe derrière pfSense a déclaré que dès que FreeBSD introduira le mode noyau de WireGuard dans le système d'exploitation, ils réévalueront la possibilité d'incorporer ce populaire VPN de nouveau. Autrement dit, en ce moment, dans la version 2.5.0, WireGuard est disponible, mais bientôt dans la version 2.5.1, ils le retireront, tout comme FreeBSD l'a fait.
Qu'est-il arrivé au code source de WireGuard pour FreeBSD?
La société Netgate à l'origine du projet pfSense a chargé un développeur d'implémenter WireGuard pour FreeBSD en mode noyau, afin de fournir les meilleures performances possibles, car nous avons actuellement WireGuard en mode noyau avec Linux/Unix. Il semble que l'implémentation de ce développeur n'est pas aussi bonne qu'elle devrait l'être, et d'autres développeurs ont examiné le code source pour résoudre tous les problèmes avant la sortie de FreeBSD 13.0, mais ont décidé d'attendre et de tout revoir plus lentement. , au lieu de le diffuser dans le monde entier avec des failles d'implémentation et / ou de sécurité possibles.
L'équipe de développement de FreeBSD 13.0 a décidé de ne pas incorporer WireGuard et d'attendre que tout le code soit correctement audité. Comme ils l'ont commenté, ils l'intégreront dans la prochaine version FreeBSD 13.1 et nous aurons la compatibilité pour la version 13.0 et FreeBSD 12.X. Pour cette raison, dans pfSense, ils vont retirer le support WireGuard de leur pare-feu, pour des raisons de sécurité, pour examiner en profondeur tout le code, et attendre qu'il soit également inclus dans FreeBSD 13.1.
Si vous utilisez WireGuard dans pfSense, ils ont commenté de ne pas utiliser Jumbo Frames, c'est-à-dire de ne pas modifier le WireGuard MTU de 1420 pour des raisons de sécurité, actuellement aucune vulnérabilité n'a été trouvée dans l'implémentation, telle qu'une vulnérabilité distante ou capable d'élever privilèges pour les utilisateurs de pfSense. Il est vrai qu'ils ont découvert des problèmes de faible criticité, et qu'il est peu probable qu'ils puissent être exploités, sauf si un attaquant a déjà compromis le système.
Si vous utilisez actuellement WireGuard dans pfSense, dès que vous mettez à jour la version 2.5.1, vous cesserez de l'utiliser, nous vous recommandons d'arrêter d'utiliser WireGuard à partir de maintenant, jusqu'à ce qu'une version auditée soit publiée, sans bogues de tout gentil. Si vous avez décidé de ne pas l'intégrer dans FreeBSD 13.0, et de retirer le support dans la future version de pfSense, c'est qu'il ne devrait pas encore être utilisé.
Lorsqu'il sera de nouveau disponible, nous vous recommandons de visiter notre site complet Configuration du serveur VPN WireGuard tutoriel dans pfSense. Vous pouvez visiter le blog officiel Netgate où vous trouverez toutes les explications sur cette affaire.
