Lançado o pfSense 2.8.0

Depois de uma longa espera finalmente temos a versão CE do pfSense 2.8.0. Veja todas as novidades e possíveis problemas!

 Se você apoia nosso site, desative seu Bloqueador de Anúncios inclusive em Mobile!

Observação:

Recentemente fiz uma publicação no canal no YouTube a respeito do pfSense e a possível migração para o OPNSense:

O vídeo não está errado, continua válido. O problema?
Eu ainda não migrei nem utilizo o OPNSense em produção simplesmente porque não consegui substituí-lo como eu imaginava ou gostaria.
Algumas funcionalidades ainda não estão à contento e por enquanto estou firme com o pfSense 2.8.0.

Não que eu o aprove ou tenha mudado de ideia, a opinião continua:
Quero migrar de firewall e sair do paywall que o pfSense está lentamente se tornando!
Mas infelizmente, por enquanto, continuo com ele em produção e aqui estão as novidades do pfSense 2.8.0.

1. Correções de Segurança

Entre as correções de segurança temos:

• pfSense-SA-25_01.webgui Vários problemas no tratamento de chaves do widget do painel que podem levar a XSS, negação de serviço ou corrupção de configuração.
• pfSense-SA-25_02.webgui Injeção de comando da interface de gerenciamento do OpenVPN a partir do status do OpenVPN e do widget do painel.
• pfSense-SA-25_03.webgui Possível XSS na lista de backup do AutoConfigBackup.
• pfSense-SA-25_04.webgui Possível divulgação da chave do dispositivo AutoConfigBackup se o serviço SSH estiver habilitado e exposto a redes não confiáveis.
• pfSense-SA-25_05.webgui XSS armazenado em agendamentos de firewall.
• pfSense-SA-25_06.webgui XSS armazenado na lista da Fase 1 do túnel IPsec.
• pfSense-SA-25_07.webgui XSS armazenado em páginas Wake on LAN e widget do Dashboard.

2. Novidades

De fundamental o pfSense 2.8.0 foi atualizado para o FreeBSD 15-CURRENT enquanto que o PHP foi atualizado de 8.2.x para 8.3.x.
Dentre as novidades de funcionalidades do firewall destaco as seguintes adições:

• Permitir que regras definidas pelo usuário utilizem aliases de sistema integrados.
• Aliases de sistema para várias redes reservadas.
• Função de download para entradas do AutoConfigBackup.
• Método para alterar a chave do dispositivo AutoConfigBackup.
• Suporte para unidades de CD/DVD no Localizador de Configuração Externa (ECL).
• Suporte ao uso de máscara para bloquear endereços MAC no Captive Portal.
• Autoridades de Certificação criadas na GUI não têm a extensão Restrições Básicas marcada como crítica.
• Guia Configurações para opções globais do servidor Kea DHCP.
• Melhor tratamento de endereços IP duplicados em atribuições de DHCP estáticas.
• Habilitar/desabilitar explicitamente atualizações de DNS dinâmico DHCP em cada escopo .
• Suporte de configuração personalizada Kea DHCP (IPv4 e IPv6).
• Suporte de alta disponibilidade Kea (IPv4 e IPv6).
• Integração do Kea DNS Resolver (Integral) (IPv4 e IPv6).
• Suporte Kea Static ARP (somente IPv4).
• Suporte a disco RAM de banco de dados de concessão de DHCP Kea (IPv4 e IPv6).
• Suporte para delegação de prefixo Kea DHCPv6 (somente IPv6).
• Opção para permitir que o DNS Forwarder ignore os servidores DNS do sistema.
• Melhoria na legibilidade do widget do painel de sensores térmicos.
• Mostrar método de inicialização atual no widget do Painel de Informações do Sistema.
• Adicionar informações de Kea ao status.php.
• Adicionar informações de inicialização EFI para o status.php.
• Adicionar loader.conf.lua ao status.php.
• Habilitar @ suporte para Azure no DNS dinâmico.
• Melhoria no suporte IPv6 do cliente DNS dinâmico.
• Opções por instância para controlar o comportamento do serviço de verificação de IP do cliente DNS dinâmico.
• Habilitar @suporte para name.com no DNS dinâmico.
• Suporte ao provedor LuaDNS.
• Reconhecer dispositivos QAT 4xxx no widget de informações do sistema.
• Mostrar detalhes da sub-rede da interface em uma dica de ferramenta na lista IPsec Fase 2.
• Suporte PREF64 em anúncios de roteador.
• Use classificação natural ao classificar interfaces.
• Exibição aprimorada de informações de ação de log de firewall.
• Capacidade de matar seletivamente estados na recuperação do gateway.
• Suporte à autenticação NTP.
• Mais opções de GUI para substituições específicas do cliente OpenVPN.
• opções do servidor OpenVPN NBDD.
• Suporte if_pppoebackend para interfaces PPPoE WAN.
• Permitir substituição de rolagem de texto durante instalação/desinstalação de pacote.
• Permitir filtragem de capturas de pacotes por protocolos definidos pelo sistema.
• Adicionado suporte a NAT64.
• Eliminar estados usando o endereço pré-NAT.
• Mostrar detalhes de aliases de sistema na dica de ferramenta sobre listas de regras de firewall e NAT.
• Opções de GUI para alterar os tempos limite de estado SCTP padrão.
• Entradas de log de firewall IDS/IPS e link-local separadas do registro de bloco padrão.
• Rolagem de estouro para menus suspensos de navegação superior no modo fixo.
• Texto de mensagem personalizado para a tela de login.
• Tratamento de erros 50x e 404 na configuração do servidor web da GUI.

Esta versão do pfSense 2.8.0 inclui um novo backend PPPoE baseado em kernel, if_pppoe. Ele substituirá a implementação atual baseada em MPD. Este novo backend é mais eficiente e permite velocidades muito mais rápidas em interfaces PPPoE.

Este novo backend PPPoE não está ativo por padrão nesta versão, mas pode ser habilitado com a opção global em Sistema > Avançado na aba Rede.

A Política de Estado padrão foi alterada de Flutuante para Ligado à Interface para aumentar a segurança no pfSense 2.8.0. No entanto, os estados Ligados à Interfaceroute-to podem apresentar problemas em certos casos com IPsec VTI, roteamento de política Multi-WAN ( ) reply-to, bem como com sincronização de estado de Alta Disponibilidade (pfsync) em hardware não idêntico. Existem soluções alternativas para retornar aos estados Flutuantes em certos casos, como IPsec/VTI.

A política padrão pode ser alternada de volta para Flutuante usando a opção Política de Estado em Sistema > Avançado na aba Firewall e NAT.

A lista completa de modificações se encontra aqui.

3. Problemas Comuns

De acordo com os reports dos usuários, não há grandes problemas em migrar do pfSense 2.7.2 para o pfSense 2.8.0. Mas algumas observações são pertinentes conforme a própria Netgate aponta:

• Devido a grandes mudanças no PHP e nas versões base do sistema operacional, há uma chance maior do que o normal de que os pacotes interfiram no processo de atualização. Para dar a melhor chance possível de uma atualização ocorrer sem problemas, desinstale todos os pacotes antes de iniciar a atualização.
• O pfSense 2.8.0 requer no mínimo 2 Gb para executar e atualizar com sucesso. Sistemas com 1 Gb ou menos poderão ter problemas.
• A Política de Estado padrão foi alterada de Flutuante para Ligado à Interface para aumentar a segurança. No entanto, os estados Ligados à Interfaceroute-to podem apresentar problemas em certos casos com IPsec VTI, roteamento de política Multi-WAN ( ) reply-to, bem como com sincronização de estado de Alta Disponibilidade (pfsync) em hardware não idêntico. Existem soluções alternativas para retornar aos estados Flutuantes em certos casos, como IPsec/VTI.
  A política padrão pode ser alternada de volta para Flutuante usando a opção Política de Estado em Sistema > Avançado na aba Firewall e NAT .
• Após a atualização, dispositivos mais antigos com portas de console seriais baseadas em ISA podem não detectar completamente o console devido a mudanças na forma como o FreeBSD analisa as portas seriais. Os dispositivos podem exigir intervenção manual. Especialmente hardwares não UEFI!
• Os usuários do serviço de DNS dinâmico Gandi devem alterar seu token de API atual para um Token de Acesso Pessoal (PAT), pois o Gandi agora exige esse método de autenticação para atualizações de DNS dinâmico. Para um serviço de DNS dinâmico ininterrupto, crie um novo PAT e salve o valor desse PAT nas entradas de DNS dinâmico Gandi antes de atualizar para esta versão.

4. Atualização

Dadas as diversas melhorias e correções eu prezo que a atualização para o pfSense 2.8.0 seja feita por todos aqueles que fazem uso do sistema. A atualização está disponível para todos e o método de upgrade se mantém o mesmo.

A maior mudança se mantém: Caso for instalar uma .ISO nova do sistema, você precisa se cadastrar, colocar o pfSense CE “no carrinho” (sim, com R$ 0.00), fazer checkout e baixar. Lentamente o paywall vai surgindo no horizonte do sistema.

O download do pfSense 2.8.0 pode ser feito no site oficial clicando aqui.

Fonte: NetGate

José Humberto

Autodidata, me aprofundei em sistemas operacionais baseados em UNIX®, principalmente Linux. Também procuro trazer assuntos correlacionados direta ou indiretamente, como automação, robótica e embarcados.