Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: pfSense 2.4.5

pfSense logo (75 pix)Versie 2.4.5 van pfSense is uitgekomen. Dit pakket is gebaseerd op het besturingssysteem FreeBSD en richt zich op router- en firewalltaken. Het is in 2004 begonnen als een afsplitsing van m0n0wall vanwege verschillende visies bij de ontwikkelaars en in de loop van de jaren uitgegroeid tot een router- en firewallpakket dat in zowel kleine als zeer grote omgevingen kan worden ingezet. Voor meer informatie verwijzen we naar deze pagina. De hoogtepunten voor deze uitgave zien er als volgt uit:

New Features

2.4.5 adds several new features, including:

  • OS Upgrade: Base Operating System upgraded to FreeBSD 11-STABLE after FreeBSD 11.3
  • Added sorting and search/filtering to several pages including the Certificate Manager, DHCP Leases, and ARP/NDP Tables.
  • Added DNS Resolver (Unbound) Python Integration
  • Added IPsec DH and PFS groups 25, 26, 27, and 31
  • Changed UFS filesystem defaults to noatime on new installations to reduce unnecessary disk writes
  • Set autocomplete=new-password for forms containing authentication fields to help prevent browser auto-fill from completing irrelevant fields
  • Added new Dynamic DNS providers Linode and Gandi

For a complete list of new features, see the Release Notes.

Security / Errata

pfSense software release version 2.4.5 addresses several security issues:

  • Potential cross-site scripting (XSS) vectors in several GUI pages
  • A privilege escalation issue where an authenticated user granted access to the picture widget could run arbitrary PHP code or gain access to pages for which they otherwise would not have privileges
  • Added a fsck run with -z for UFS filesystems on upgrade to address FreeBSD-SA-19:10.ufs
  • Fixed the format of XMLRPC authentication failure messages so they can be acted upon by sshguard
  • Added a custom CSRF Error page with warnings and confirmation prompts before resubmitting potentially harmful data
  • Addressed FreeBSD Security Advisories & Errata Notices

For complete details about these issues, see the Release Notes.

Notable Bug Fixes

In addition to security fixes, pfSense software version 2.4.5 also includes important bug fixes.

  • The default GUI certificate lifetime has been reduced to 825 days, to comply with current standards. These standards are being enforced strictly on platforms such as iOS 13 and macOS 10.15. After upgrading to pfSense software version 2.4.5, a new compatible GUI certificate may be generated from the console or SSH with the command pfSsh.php playback generateguicert
  • Several IPsec VTI fixes, including improved handling of IPsec restarts breaking VTI routing
  • Fixed several issues with custom view management in Status > Monitoring
  • Fixed serial console terminal size handling issues
  • Fixed privilege matching issues which may have prevented some users from accessing pages to which they should have had access, such as the User Manager
  • Fixed an issue when resolving FQDN entries in aliases where some entries could be missing

For a complete list of corrected bugs, see the Release Notes.

Versienummer 2.4.5
Releasestatus Final
Besturingssystemen BSD
Website pfSense
Download https://www.pfsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

28-03-2020 • 10:17

8 Linkedin

Submitter: jpgview

Bron: pfSense

Reacties (8)

Wijzig sortering
Het werd tijd, de laatste echte update was alweer 1,5 jaar geleden. Versie 2.5.0 zal met de implementatie van FreeBSD 12 de achterstand weer een beetje wegwerken...overigens lijkt deze update volgens de roadmap ook een heel eind op weg te zijn, https://redmine.pfsense.org/projects/pfsense/roadmap#2.5.0. Deze update is echter zeker niet te onderschatten zoals uit de upgradenotes blijkt.
Ik begin eerlijk gezegd mijn twijfels te hebben over pfsense. Zoals je zegt, duurt het een eeuwigheid voor er updates beschikbaar komen, ik kan niet geloven dat een firewall zo een lange periode imuum blijft voor software bugs. Op het netgate forum vond ik daarover een post, die simpelweg aangaf dat je de RSS feed aan het dashboard moest toevoegen, om op de hoogte te blijven van eventuele security issues, waarvoor je dan uiteraard zelf actie moet nemen. In realiteit is er één maal, in de door jou genoemde 1,5 jaar, zo'n warning geweest, waarbij je op de console een paar commando's moest uitvoeren om het lek te dichten. Zij die het niet gezien hebben (de RSS notification) hebben pech gehad.
Waar ik me ook aan erger, er is nog steeds geen IPv6 NAT (redirection mogelijkheid). Velen onder ons beginnen langzaam maar zeker IPv6 op hun network te gebruiken, redirection is echter niet mogelijk (b.v. DNS - port 53 requests van devices met hardcoded DNS redirecten naar interne DNS server - kan wel voor IPv4).
Ook de aanbevelingen om te upgraden zij angstaanjagend. Na een tijdje een en ander te lezen heb ik:
- config backup
- pfsense reboot (detective mogelijke hardware problemen)
- packages die aangeven dat er een update nodig is verwijderd (de upgrade notes geven aan dat je eerst pfsense moet upgraden, daarna de packages)
- update (via console - in het verleden te veel elende gehad via webinterface)
- reinstall packages + controle van settings van die packages.
Al bij al twee uur bezig geweest, geen nieuwe features gevonden die mijn security eventueel zouden verhogen (in de upgrade notes staan ook geen spectaculaire nieuwe features vermeld, die ik zou kunnen gebruiken). Ik ga er vanuit dat de upgrade een en ander toch een beetje veiliger heeft gemaakt, zodat we toch voor een paar weken gerust kunnen zijn.
Wat betreft v2.5, oorspronkelijk (bijna 2 jaar geleden) was aangegeven dat pfsense alleen maar zou werken met CPU's die AES-NI ondersteunden. Na een massa artikels hierover, is dat ook herroepen, waarschijnlijk omdat OPNsense AES-NI niet mandatory maakte, en zo nog meer gebruikers de overstap zouden overwegen.
Het enige wat mij tegenhoud OPNsense te gebruiken, is het ontbreken van een migratie strategie van pfsense naar OPNsense. Ik heb helaas de wijzigingen die ik in de loop der jaren heb aangebracht, meestal om errors en warnings in de logs op te lossen, nooit gedocumenteerd, met de idee dat een en ander in de backup (XML) file vermeld zijn. Omdat deze XML niet in OPNsense kan gebruikt worden, ben ik een beetje terughoudend om de overstap te maken.

Iemand een migratie strategie naar OPNsense gevonden?
Ik begin eerlijk gezegd mijn twijfels te hebben over pfsense. Zoals je zegt, duurt het een eeuwigheid voor er updates beschikbaar komen, ik kan niet geloven dat een firewall zo een lange periode imuum blijft voor software bugs.
Heb je dit al eens vergeleken met de vele commerciële producten? Ik werkte destijds bij een bedrijf dat ook firewalls verkocht. Reden die veel klanten hadden om naar onze firewalls over te stappen was dat hun commerciële firewall er zo lang over deed met updates.

Het is een beetje een dilemma. Hoe leuk die snelle updates zijn, het kan ook betekenen dat er gewoon slecht getest wordt met als gevolg dat ze ook veelvuldig moeten patchen. Voor firewalls op remote plekken is dat gewoon ontzettend lastig en gevaarlijk. Dan heb je liever een partij die beter test maar dat heeft dan wel als gevolg dat er minder updates zijn. Het is dan ook kiezen tussen snelheid en kwaliteit.
Op het netgate forum vond ik daarover een post, die simpelweg aangaf dat je de RSS feed aan het dashboard moest toevoegen, om op de hoogte te blijven van eventuele security issues, waarvoor je dan uiteraard zelf actie moet nemen. In realiteit is er één maal, in de door jou genoemde 1,5 jaar, zo'n warning geweest, waarbij je op de console een paar commando's moest uitvoeren om het lek te dichten. Zij die het niet gezien hebben (de RSS notification) hebben pech gehad.
Wat je hier opnoemt is standaard systeembeheer waarbij de verantwoordelijkheid bij systeembeheer ligt en niet bij de maker van het product (of producten) die worden gebruikt. Dat is al sinds jaar en dag zo.

Als je de security updates wil bijhouden dan zul je daar toch echt zelf actie voor moeten ondernemen. Dat betekent abonneren op een RSS feed of mailinglist en de posts die hiervan binnenkomen in de gaten houden en daar ook op acteren. Met name het in de gaten houden is lastig want je krijgt al zo veel informatie vanuit allerlei hoeken binnen. Als je iets mist of er niet op acteert dan kun je inderdaad in de situatie komen dat je pech hebt gehad.
Ook de aanbevelingen om te upgraden zij angstaanjagend. Na een tijdje een en ander te lezen heb ik:
- config backup
- pfsense reboot (detective mogelijke hardware problemen)
- packages die aangeven dat er een update nodig is verwijderd (de upgrade notes geven aan dat je eerst pfsense moet upgraden, daarna de packages)
- update (via console - in het verleden te veel elende gehad via webinterface)
- reinstall packages + controle van settings van die packages.
Dat is standaard advies bij embedded devices zoals firewalls en switches. Ubiquiti en co adviseren hetzelfde. Dat heeft met 2 dingen te maken: 1. juridisch indekken, je hebt immers duidelijk gewaarschuwd en 2. het is een stukje praktijkervaring: niet alle upgrades gaan lekker, zorgen dat je backups hebt en dingen goed controleert tijdens de upgrade is van belang. Houdt er hier rekening mee dat dit soort apparatuur overal en nergens staat, dus ook op plekken waar je moeilijk komt of niet zou willen komen.
Ik heb helaas de wijzigingen die ik in de loop der jaren heb aangebracht, meestal om errors en warnings in de logs op te lossen, nooit gedocumenteerd, met de idee dat een en ander in de backup (XML) file vermeld zijn.
Schrale troost maar dat doet vrijwel niemand. Je kunt niet altijd op voorhand weten dat documenteren een slim idee is omdat je het later nog een keer gaat tegenkomen. Zeker als het een nogal wazig probleem is waar je online niets over terug kunt vinden.
Iemand een migratie strategie naar OPNsense gevonden?
De standaard migratie strategie die bij iedere firewall werkt: settings handmatig overnemen. Reden om dit zo te doen is dat je hiermee ook een extra check doet op je firewall rules. Zijn ze nog van toepassing, kunnen ze niet beter, etc.? Settings op dit vlak importeren (middels een xml file o.i.d.) gaat vaker niet dan wel goed. Verder is het handig als je makkelijk de ene firewall voor de andere kunt verwisselen. Mocht het misgaan dan kun je weer terug (zonder gedoe).

Succes in ieder geval!

[Reactie gewijzigd door ppl op 28 maart 2020 21:46]

Onlangs de overstap gemaakt naar opnsense en gemigreerd op de oldskool manier door ze langs elkaar te zetten.

Sowieso niet verkeerd om dit tegen het licht te houden.

Echter heeft mijn ervaring ook geleerd om de firewall de firewall te laten en de plugins op een andere manier in te regelen.
Hier zojuist een firewall in een paar minuten van 2.4.5 voorzien:
- snapshots gemaakt van primary en backup firewall
- backups getrokken van config
- backup firewall naar 2.4.5 geholpen, zonder packages te verwijderen
- wachten op reboot
- kijken of alles draait
- primary in maintenance mode zetten
- testen

Upgrade ging feilloos, services werkten naar behoren. Paar dagen test draaien en dan de primary ook upgraden.
Packages niet verwijderd aangezien het alleen haproxy-devel en zabbix-agent4 betrof. Primary heeft dan ook nog acme client geinstalleerd voor Letsencrypt. Overigens ging bij deze update HAProxy van 1.8 naar 2.0.
Ik gebruik ook OPNSense omdat ik pfSense maar niet stabiel kreeg op mijn Hyper-V omgeving i.v.m. IO-SRV. Het is enkel in gebruik als firewall + wat port forwarding en OpenVPN voor remote toegang.

Erg tevreden mee, enorm stabiel en het kan tegen een stootje.
Hou het toch liever met debian iptables etc
Netgate is niet meer zo druk bezig met pfsense, sinds ze hun eigen commerciele linux based firewall product tnsr aan het pushen zijn (waar overigens geen gratis community versie van is).

Als je naar een *bsd based firewall wilt kijken waar wel actief aan gewerkt wordt, kijk dan eens naar opnsense. Waar pfsense een fork van m0n0wall is, is opnsense weer een fork van pfsense / m0n0wall.

Manuel Kasper, de founder van m0n0wall, heeft, aangegeven opnsense een goede opvolger van zijn m0n0wall te vinden. https://opnsense.org/m0n0wall/

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True