Il sistema operativo PfSense ritira WireGuard per motivi di sicurezza

FreeBSD recentemente introdotto Gabbia di protezione supporto nel suo kernel, come abbiamo spiegato di recente in questo articolo. Tuttavia, è stato riscontrato che l'implementazione di WireGuard eseguita non è sicura come dovrebbe essere, e gli sviluppatori di FreeBSD hanno deciso di non incorporarla temporaneamente nell'ultima versione. Ciò influisce direttamente sul firewall e il sistema operativo orientato al router pfSense, che è basato su FreeBSD e ha già incorporato WireGuard nella sua versione pfSense 2.5.0.

pfSense rimuove il supporto per WireGuard

Il team di sviluppo di pfSense ha introdotto nella versione 2.5.0 una versione di WireGuard nel kernel del sistema operativo, sia nella versione pfSense CE 2.5.0 che nella versione pfSense Plus 21.02. Come risultato di una serie di problemi che spiegheremo a breve, sono sorte domande e molte preoccupazioni sulla sicurezza dell'implementazione di WireGuard in pfSense, quindi hanno deciso di ritirare il supporto nella prossima versione di manutenzione di pfSense 2.5.1. Poiché WireGuard in modalità kernel è stato temporaneamente rimosso da FreeBSD fino a quando tutti i bug di root non sono stati corretti, il team di sviluppo di pfSense ha fatto la stessa identica cosa, rimuovendo WireGuard nella prossima versione, con l'obiettivo di aspettare una patch completa. del codice sorgente e anche un controllo approfondito per determinare se ci sono falle di sicurezza.

Il sistema operativo PfSense dismette WireGuard

Il team dietro pfSense ha dichiarato che non appena FreeBSD introduce la modalità kernel di WireGuard nel sistema operativo, rivaluterà la possibilità di incorporare questo popolare VPN ancora. Cioè, proprio ora nella versione 2.5.0 abbiamo WireGuard disponibile per l'uso, ma presto nella versione 2.5.1 lo ritireranno, proprio come ha fatto FreeBSD.

Cosa è successo al codice sorgente WireGuard per FreeBSD?

La società Netgate dietro il progetto pfSense ha incaricato uno sviluppatore di implementare WireGuard per FreeBSD in modalità kernel, al fine di fornire le migliori prestazioni possibili, poiché attualmente abbiamo WireGuard in modalità kernel con Linux. Sembra che l'implementazione di questo sviluppatore non sia buona come dovrebbe essere, e altri sviluppatori hanno esaminato il codice sorgente per risolvere tutti i problemi prima del rilascio di FreeBSD 13.0, ma hanno deciso di aspettare e rivedere tutto più lentamente. , invece di rilasciarlo a tutto il mondo con possibili difetti di implementazione e / o sicurezza.

La VPN WireGuard è su Linux

Il team di sviluppo di FreeBSD 13.0 ha deciso di non incorporare WireGuard e di attendere che tutto il codice sia stato correttamente verificato. Come hanno commentato, lo incorporeranno nella prossima versione FreeBSD 13.1 e avremo compatibilità per la versione 13.0 e FreeBSD 12.X. Per questo motivo, in pfSense ritireranno il supporto WireGuard dal loro firewall, per motivi di sicurezza, per rivedere a fondo tutto il codice e attendere fino a quando non sarà incluso anche in FreeBSD 13.1.

Se si utilizza WireGuard in pfSense, hanno commentato di non utilizzare Jumbo Frames, ovvero non modificare l'MTU WireGuard di 1420 per motivi di sicurezza, attualmente non è stata trovata alcuna vulnerabilità nell'implementazione, come una vulnerabilità remota o in grado di elevare privilegi per gli utenti di pfSense. È vero che hanno scoperto problemi di bassa criticità ed è improbabile che possano essere sfruttati, a meno che un utente malintenzionato abbia già compromesso il sistema.

Se stai attualmente utilizzando WireGuard in pfSense, non appena aggiorni la versione alla 2.5.1 smetterai di usarla, il nostro consiglio è di smettere di usare WireGuard d'ora in poi, fino a quando non verrà rilasciata una versione verificata, priva di bug di qualsiasi genere. Se hai deciso di non incorporarlo in FreeBSD 13.0, e di ritirare il supporto nella futura versione di pfSense, è perché non dovrebbe ancora essere usato.

Quando sarà nuovamente disponibile, ti consigliamo di visitare il nostro completo Configurazione del server VPN WireGuard tutorial in pfSense. Puoi visitare il blog ufficiale di Netgate dove troverai tutte le spiegazioni su questo caso.