FreeBSD a fost introdus recent WireGuard suport în nucleul său, așa cum am explicat recent în acest articol. Cu toate acestea, s-a constatat că implementarea WireGuard efectuată nu este atât de sigură pe cât ar trebui, iar dezvoltatorii FreeBSD au decis să nu o încorporeze temporar în ultima versiune. Acest lucru afectează în mod direct firewall și sistemul de operare orientat pe router pfSense, care se bazează pe FreeBSD și a încorporat deja WireGuard în versiunea sa pfSense 2.5.0.
pfSense elimină suportul pentru WireGuard
Echipa de dezvoltare pfSense a introdus în versiunea 2.5.0 o versiune a WireGuard în nucleul sistemului de operare, atât în versiunea pfSense CE 2.5.0, cât și în versiunea pfSense Plus 21.02. Ca urmare a unei serii de probleme pe care le vom explica în scurt timp, au apărut întrebări și multe preocupări cu privire la securitatea implementării WireGuard în pfSense, așa că au decis să retragă asistența în următoarea versiune de întreținere a pfSense 2.5.1. Din moment ce WireGuard în modul kernel a fost eliminat temporar din FreeBSD până când toate erorile root sunt remediate, echipa de dezvoltare pfSense a făcut exact același lucru, eliminând WireGuard în următoarea versiune, cu scopul de a aștepta un patch complet. a codului sursă și, de asemenea, un audit amănunțit pentru a determina dacă există defecte de securitate.
Echipa din spatele pfSense a declarat că de îndată ce FreeBSD introduce modul kernel al WireGuard în sistemul de operare, vor reevalua posibilitatea de a încorpora acest popular VPN din nou. Adică, chiar acum în versiunea 2.5.0 avem WireGuard disponibil pentru utilizare, dar în curând în versiunea 2.5.1 îl vor retrage, la fel cum a făcut FreeBSD.
Ce s-a întâmplat cu codul sursă WireGuard pentru FreeBSD?
Compania Netgate din spatele proiectului pfSense a comandat un dezvoltator să implementeze WireGuard pentru FreeBSD în modul kernel, pentru a oferi cele mai bune performanțe posibile, deoarece avem în prezent WireGuard în modul kernel cu Linux. Se pare că implementarea acestui dezvoltator nu este la fel de bună pe cât ar trebui, iar alți dezvoltatori s-au uitat la codul sursă pentru a remedia toate problemele înainte de lansarea FreeBSD 13.0, dar au decis să aștepte și să revizuiască totul mai încet. , în loc să-l elibereze întregii lumi cu posibile defecte de implementare și / sau securitate.
Echipa de dezvoltare FreeBSD 13.0 a decis să nu încorporeze WireGuard și să aștepte până când tot codul este auditat corect. După cum au comentat, îl vor încorpora în următoarea versiune FreeBSD 13.1 și vom avea compatibilitate pentru versiunea 13.0 și FreeBSD 12.X. Din acest motiv, în pfSense vor retrage asistența WireGuard din firewall-ul lor, din motive de securitate, pentru a revizui cu atenție tot codul și aștepta până când acesta este inclus și în FreeBSD 13.1.
Dacă utilizați WireGuard în pfSense, aceștia au comentat să nu utilizați Jumbo Frames, adică nu modificați WireGuard MTU din 1420 din motive de securitate, în prezent nu a fost găsită nicio vulnerabilitate în implementare, cum ar fi o vulnerabilitate la distanță sau capabilă să ridice privilegii pentru utilizatorii pfSense. Este adevărat că au descoperit probleme de criticitate scăzute și că este puțin probabil să poată fi exploatate, cu excepția cazului în care un atacator a compromis deja sistemul.
Dacă utilizați în prezent WireGuard în pfSense, de îndată ce actualizați versiunea la 2.5.1 veți înceta să o utilizați, recomandarea noastră este să încetați să utilizați WireGuard de acum înainte, până când este lansată o versiune auditată, fără bug-uri de orice drăguț. Dacă ați decis să nu îl încorporați în FreeBSD 13.0 și să retrageți asistența în viitoarea versiune a pfSense, acest lucru se datorează faptului că nu ar trebui să fie folosit încă.
Când va fi disponibil din nou, vă recomandăm să vizitați completul nostru Configurarea serverului WireGuard VPN tutorial în pfSense. Puteți vizita blog oficial Netgate unde veți găsi toate explicațiile despre acest caz.
