Provya

Expertise pfSense

Sommaire des articles  -  Liens & Actualités  -  Firewall pour pfSense

pfSense 2.7.2 est disponible

icon 11/12/2023 - Aucun commentaire

Jeudi 07 décembre 2023 est sortie la dernière version de pfSense. La version 2.7.2.

Cette nouvelle version intervient moins d'un mois après la sortie de pfSense 2.7.1.

pfSense 2.7.2 corrige principalement des problèmes potentiels de corruption du système de fichiers ZFS, ainsi que d'autres bugs et problèmes de sécurité.

Dans cet article, nous faisons le tour rapide des éléments marquants de cette mise à jour.



Changements principaux


Cette toute nouvelle version de pfSense vise principalement à corriger des problèmes avec le système de fichiers ZFS.

En effet, peu de temps après la sortie de pfSense 2.7.1, plusieurs anomalies sérieuses ont été annoncées, puis rapidement corrigées, sur FreeBSD 14 (le système d'exploitation sur lequel repose pfSense).

Dans le détail, pfSense 2.7.2 comporte des modifications relatives à trois problèmes liés au système de fichiers ZFS, dont deux pourraient entraîner une corruption des données.

Le premier est lié au clonage de blocs, une fonctionnalité de ZFS qui n'est actuellement pas activée dans le logiciel pfSense.

Le second est lié au signalement de trous dans les fichiers sparse. C'est un cas normalement très difficile à rencontrer dans le cadre d'une utilisation typique sur un système équipé du logiciel pfSense. Cependant, étant donné que d'autres problèmes de corruption de données ont été rapportés dans la même zone par le passé, l'éditeur a préféré intégrer rapidement les corrections proposées par FreeBSD. Cette correction peut entraîner une légère augmentation de l'espace de stockage utilisé.

Enfin, pfSense 2.7.2 corrige également un troisième problème ZFS qui peut entraîner une utilisation élevée du processeur.

En plus de ces problèmes spécifiques à ZFS, cette nouvelle version apporte également les correctifs suivants :
  • Correction d'un avis de sécurité concernant une attaque potentielle par déni de service sur la pile TCP à partir de paquets RST usurpés ;
  • Mise à jour d'OpenVPN vers la version 2.6.8_1 ;
  • Mise à jour de strongSwan (IPsec) pour résoudre un problème potentiel de dépassement de mémoire tampon (CVE-2023-41913) ;
  • Correction de bugs dans l'implémentation du fallback de AES-GCM ;
  • Correction de plusieurs erreurs PHP sur les pages de création d'une interface PPP et de modification du service DHCPv6
  • Plusieurs autres bugs, failles de sécurité et autres problèmes mineurs ont également été corrigés



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Si votre pfSense est installé sur un système de fichiers ZFS, pensez à créer un point de restauration.

Dans tous les cas, pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.7.2 New Features and Changes [EN]



Pour aller plus loin



[pfSense] La puissance de ZFS pour des mises à jour et des retours arrière en toute sérénité
[pfSense] Mettre à jour son serveur pfSense
Évolutions et actualités du logiciel pfSense
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense


Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Large pour pfSense et OPNsense     Firewall pro-Xtend pour pfSense et OPNsense     Firewall pro-Xtra-SFP+ pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :

pfsense 2.7.1 est disponible

icon 21/11/2023 - Aucun commentaire

Jeudi 16 novembre 2023 est sortie la dernière version de pfSense. La version 2.7.1.

Dans cet article, nous faisons le tour rapide des éléments marquants de cette mise à jour.



OpenSSL mis à jour vers la version 3.0.12


pfSense embarquait jusqu'à présent OpenSSL en version 1.1.1. Il s'agit d'une vieille version d'OpenSSL dont la date de fin de vie (EOL) était dépassée.

La mise à niveau vers OpenSSL 3.0.12 signifie qu'un certain nombre d'algorithmes de chiffrement et de hachage, aujourd'hui considérés comme trop faibles, ont été supprimés.

Il est donc très important de s'assurer ces algorithmes ne sont pas utilisés avant de mettre à jour son firewall pfSense !

Les algorithmes de chiffrement supprimés sont :
  • ARIA
  • Blowfish (notamment BF-CBC, qui était auparavant un algorithme par défaut d'OpenVPN)
  • CAST5
  • DES
  • DESX
  • IDEA
  • RC2
  • RC5
  • SEED
  • SM4

Les algorithmes de hachage retirés sont :
  • MD4
  • MDC2
  • SM3
  • Whirlpool



Le serveur Kea DHCP est proposé en option


Le serveur DHCP de Kea est proposé en option "opt-in".

Qu'est-ce que Kea DHCP ?

L'Internet Systems Consortium (ISC) distribue deux serveurs DHCP complets à code source ouvert : Kea DHCP et ISC DHCP.

L'ISC a annoncé la fin de vie (EOL) du serveur DHCP ISC qui est jusqu'à présent embarqué dans pfSense pour servir de serveur DHCP.

Kea est plus récent, comprend toutes les fonctionnalités les plus demandées et est conçu pour un environnement réseau plus moderne. Bref, il était plus que temps de mettre à jour.

Pour le moment Kea est proposé à titre expérimental. Certaines fonctionnalités ne sont pas supportées.
Notamment si vous utilisez l'attribution de nom d'hôte via des baux statiques ou si vous vous appuyez sur l'enregistrement dynamique des baux DHCP dans votre configuration DNS, cela ne fonctionnera pas correctement avec Kea. Il faudra rester sur ISC pour le moment.

De la même manière, Kea ne supporte pas pour le moment les installations de pfSense en haute-disponibilité.

Si vous souhaitez activer et tester Kea, la procédure est la suivante :
  • Se rendre dans le menu System > Advanced
  • Onglet Networking
  • Modifier la valeur de Server Backend à Kea DHCP
  • Cliquer sur le bouton Save en bas de page.

Activer serveur DHCP Kea sur pfSense




Amélioration de la prise en charge du protocole SCTP


Le support de SCTP a été amélioré dans PF pour les règles de pare-feu, NAT et la journalisation.

Les règles peuvent maintenant agir sur les paquets SCTP par numéro de port. Auparavant, il n'était possible de filtrer que sur l'adresse source ou l'adresse de destination.

Pour rappel, SCTP (Stream Control Transmission Protocol) est un protocole de la couche transport qui garantit un transport fiable des données en séquence.



La section de configuration IPv6 Router a été déplacée


Dans le cadre de l'intégration du serveur DHCP Kea, la section permettant la configuration des IPv6 Router Advertisement a été déplacée dans le menu Services > Router Advertisement.



Autres changements


Les changements suivants sont aussi à noter :
  • PHP mis à jour vers la version 8.2.11
  • FreeBSD 14 a été mis à jour vers sa version la plus récente disponible
  • Plusieurs bugs, failles de sécurité et autres problèmes mineurs ont également été corrigés



Avant de mettre à jour


Avant de lancer une mise à jour, il faut impérativement s'assurer que l'on n'utilise aucun algorithme de chiffrement ou de hachage qui a été retiré :

Les algorithmes de chiffrement supprimés sont :
  • ARIA
  • Blowfish (notamment BF-CBC, qui était auparavant un algorithme par défaut d'OpenVPN)
  • CAST5
  • DES
  • DESX
  • IDEA
  • RC2
  • RC5
  • SEED
  • SM4

Les algorithmes de hachage retirés sont :
  • MD4
  • MDC2
  • SM3
  • Whirlpool



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Si votre pfSense est installé sur un système de fichiers ZFS, pensez à créer un point de restauration.

Dans tous les cas, pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.7.1 New Features and Changes [EN]



Pour aller plus loin



[pfSense] La puissance de ZFS pour des mises à jour et des retours arrière en toute sérénité
[pfSense] Mettre à jour son serveur pfSense
[pfSense] Configurer un cluster de 2 pfSense redondants (failover)
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense


Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Large pour pfSense et OPNsense     Firewall pro-Xtend pour pfSense et OPNsense     Firewall pro-Xtra-SFP+ pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :

[pfSense] Maintenir son firewall à jour avec les patches

icon 26/10/2023 - Aucun commentaire

Il est possible de mettre à jour son pfSense avec un système de correctifs (patches). Ces patches permettent de corriger des failles de sécurité ou bogues entre deux mises à jour de pfSense.

Dans cet article, nous présentons le mode de fonctionnement des correctifs.


Mettre à jour son firewall pfSense


Disposer d'un firewall à jour est une nécessité. Le firewall assurant généralement la sécurité périmétrique du réseau d'une entreprise, il paraît indispensable que cet outil soit correctement et régulièrement mis à jour.

Certains firewall proposent des mises à jour très régulièrement. C'est le cas notamment d'OPNsense : il y a 2 mises à jour majeures par an (en janvier et en juillet) et une succession de mises à jour intermédiaires (généralement toutes les deux à trois semaines en moyenne) permettant de corriger les bugs ou failles de sécurité découverts.

pfSense Plus, la version non open-source et payante de pfSense, propose quant à elle des mises à jour trois fois par an (janvier, mai et septembre). L'éditeur a cependant régulièrement un peu de retard dans son cycle de publication (par exemple, la version bêta de pfSense Plus 23.09 a été publiée mi-octobre 2023 alors que le calendrier de sortie prévoyait une publication de la version finale en septembre...).

Enfin, pfSense (dans sa version communautaire) propose des mises à jour "quand c'est prêt". Le temps peut parfois être long entre deux mises à jour du système (un an à un an et demi, en moyenne).

Cependant, il existe une fonctionnalité plutôt méconnue sur pfSense (ainsi que sur pfSense Plus) permettant d'installer des correctifs entre deux mises à jour. Un certain nombre de ces correctifs est recommandé par l'éditeur. Il est donc conseillé d'appliquer ces correctifs recommandés lorsqu'ils sont disponibles.



Patcher son firewall pfSense


Pour installer des correctifs, il faudra tout d'abord installer le package "System Patches". Pour cela, se rendre dans le menu System > Package Manager :

Menu System > Package Manager - pfSense


Cliquer sur l'onglet "Available Packages" et faire une recherche sur le mot-clef "patch". Installer ensuite le package en cliquant sur le bouton "Install" :

Installer un package - pfSense



Une fois le package System_Patches installé, nous pouvons le retrouver depuis le menu System > Patches :

Menu System > Patches - pfSense


Cette page permet d'appliquer des correctifs, que ce soit des correctifs officiels ou non.

Dans le cas présent, c'est la liste des correctifs recommandés qui nous intéresse :

Installer un correctif - pfSense


Sur la capture d'écran ci-dessus, nous pouvons voir qu'il y a sept correctifs recommandés pour pfSense 2.7.0, dont un (le dernier) qui a déjà été installé.

Pour installer les correctifs recommandés, nous cliquons simplement sur le bouton "Apply All Recommended". L'application est immédiate. Aucun redémarrage n'est nécessaire.



Retirer un correctif installé


Enfin, il est tout à fait possible de retirer un correctif installé. Nous pouvons soit cliquer sur le bouton "Revert" associé au correctif que l'on souhaite retirer, soit cliquer sur le bouton "Revert All Recommended". L'action est immédiate. Aucun redémarrage n'est nécessaire.


Cette page d'application des correctifs offre d'autres possibilités avancées que nous ne détaillons pas ici. L'objectif était de présenter une bonne pratique méconnue d'installation de correctifs entre deux mise à jour de pfSense.

Maintenant, il ne vous reste plus qu'à patcher !



Pour aller plus loin



[pfSense] La puissance de ZFS pour des mises à jour et des retours arrière en toute sérénité
[pfSense] Mettre à jour son serveur pfSense
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense


Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Large pour pfSense et OPNsense     Firewall pro-Xtend pour pfSense et OPNsense     Firewall pro-Xtra-SFP+ pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :

pfsense 2.7.0 est disponible

icon 03/07/2023 - Aucun commentaire

Jeudi 29 juin 2023 est sortie la dernière version de pfSense. La version 2.7.0.

Dans cet article, nous faisons le tour rapide des éléments marquants de cette mise à jour.



Changements principaux


Les principaux changements ou mises à jour sont les suivants :
  • passage de FreeBSD 12 à FreeBSD 14 : bascule de la branche stable/12 vers la branche current/14. Nous expliquions plus en détails ce changement dans notre article Évolutions et actualités du logiciel pfSense
  • passage de PHP 7.4.x à PHP 8.2.x
  • plusieurs anciens algorithmes de chiffrement ou de hachage ont été dépréciés
  • il ne sera bientôt plus possible de créer des tunnels OpenVPN à clefs partagées
  • l'outil de capture de paquets a été grandement amélioré

Dans la suite de cet article, nous présentons les autres principales évolutions.



Gestion des règles de filtrage


L'utilisation et la modification des règles de firewall ont été améliorées.

Il est possible de tuer les états liés à une règle de filtrage en particulier :

Tuer sessions d'une règle pfSense - Provya


La duplication d'une règle d'une interface à une autre a également été facilitée avec un nouveau bouton permettant une copie assistée :

Copier règle de filtrage pfSense - Provya




OpenVPN


Mise à jour d'OpenVPN vers la version 2.6.4.
La création de tunnels OpenVPN site-à-site à clef partagée est fortement déconseillée. Il faut privilégier l'utilisation de certificats.
On peut continuer à créer de nouveaux tunnels à clef partagée, mais cela générera des alertes dans les logs.

À l'avenir, il faudra migrer ses tunnels à clef partagée vers des tunnels avec certificats.

Serveur OpenVPN pfSense - Provya

Une alerte est affichée si l'on choisi "Peer to peer (Shared Key)"




IPsec


Le passage de FreeBSD 12 à FreeBSD 14 a entraîné le déclassement d'un certain nombre d'algorithmes de chiffrement ou de hachage.
Les algorithmes suivants ne sont plus supportés :
  • 3DES
  • Blowfish
  • CAST 128
  • MD5

Si vous utilisez ces algorithmes pour vos accès IPsec, il faudra modifier vos configurations avant de pouvoir mettre à jour vers pfSense 2.7.0.

De toute façon, si vous êtes utilisateurs de ces algorithmes, il est plus que temps de modifier vos configurations car celles-ci sont considérées comme non-sûres depuis déjà plusieurs années.

Enfin, il a été ajouté le supporte de l'algorithme ChaCha20-Poly1305 pour les connexions IPsec.



Troubleshooting / capture de paquets


L'outil de capture de paquets s'est enrichi. C'est tant mieux car il faisait franchement obsolète lorsqu'on le comparait à celui intégré à OPNsense (note : il faut bien reconnaître que pfSense en général paraît bien obsolète lorsqu'on le compare à OPNsense...).

Il est possible d'appliquer davantage de filtres sur ce que l'on souhaite capturer.

La nouvelle interface ressemble à ceci :

Nouvel outil de capture de paquets - pfSense 2.7.0




Alias


Il s'agit ici principalement de la correction de bugs, dont notamment :
  • un bug faisant que certains alias ne se chargeaient pas complètement lorsqu'ils contenaient un mélange d'adresses IP et de FQDN
  • lorsqu'un alias contenait un FQDN non-résolu, cela pouvait casser le contenu de l'alias (les autres entrées n'étaient pas correctement chargées)
  • lors de l'import / export d'alias, les descriptions pouvaient être perdues
  • lorsque l'on renommait un alias, cela ne mettait pas forcément à jour les routes statiques associées ou les instances OpenVPN



Unbound


La version d'Unbound embarquée sur pfSense 2.6 était franchement obsolète et comportait des bugs. La mise à jour corrige ces bugs.

Il y avait notamment un vieux bug qui traînait depuis quelques années qui, dans certaines configurations avec pfBlockerNG, pouvait faire planter Unbound lors d'un redémarrage. C'est corrigé.



Sécurité


Comme pour toute mise à jour, pfSense 2.7.0 apporte son lot de corrections de sécurité.

La plupart des problèmes de sécurité pouvait déjà être corrigée grâce au system patch (qui permet l'application de correctifs entre deux mises à jour de pfSense).

La plupart des failles de sécurité détectées concernait la gestion des alias et notamment des alias de type URL et URL Table.
Pour un rappel complet sur le fonctionnement des alias, voir notre article dédié : [pfSense] Tout comprendre aux alias.

Les problèmes étaient des failles de type XSS. Il est à noter qu'il y avait également d'autres vulnérabilités XSS potentielles sur certaines pages de l'interface web de pfSense.

Autre point lié à la sécurité : il était possible de contourner la protection contre les attaques par force brute (sshguard) avec des entêtes particulières. En simplifiant, il suffisait d'inclure dans ses entêtes la référence à un proxy pour empêcher que son adresse IP ne puisse être bloquée.



Bugs


Les principaux bugs corrigés sont :
  • Il était possible d'utiliser des mots clefs réservés par PF (packet filter) dans le champ description des interfaces (comme par exemple USER = "{ vtnet2 }" ). Dans son mode de fonctionnement, pfSense crée des alias implicites pour chaque interface. Utiliser un mot clef réservé faisait que le chargement des règles de filtrage plantait.
  • Lors du démarrage du firewall, les VIP CARP peuvent devenir maîtres trop tôt ce qui pouvait entraîner le fait d'avoir plusieurs master sur le réseau pendant quelques dizaines de secondes.
  • Lorsque qu'on sortait CARP du mode "persistent maintenance mode", cela pouvait générer une tempête de broadcast d'événement CARP.
  • Si on changeait l'adresse IP et la passerelle d'une interface depuis la console, il pouvait arriver que la nouvelle passerelle ne soit pas correctement enregistrée.
  • Certains utilisateurs rencontraient des problèmes avec UPnP (notamment pour les jeux en ligne).
  • Pas mal de petits bugs du côté du portail captif ont été corrigés également.



Améliorations


Pas mal d'améliorations. Les principales sont :
  • Ajout d'une option sur l'interface graphique pour sélectionner l'algorithme de hachage du mot de passe utilisateur (on a dorénavant le choix entre bcrypt [par défaut] et SHA-512).
  • Ajout d'une option pour activer/désactiver la sonnerie de la console lorsque l'on se connecte sur le firewall (avant, il fallait passer les system tunables et jouer avec la valeur du paramètre kern.vt.enable_bell).
  • Lors d'une restauration, il est maintenant possible de restaurer uniquement l'emplacement des widget sur le tableau de bord.
  • Lorsque l'on renouvelle un certificat, il est maintenant proposé une option pour conserver le numéro de série existant.
  • Meilleure lisibilité des baux DHCP : il y a maintenant une distinction entre les entrées en ligne et les entrées inactives/hors ligne dans la liste des baux DHCP.
  • Le portail captif reposait jusqu'à présent sur IPFW (ipfirewall), il repose désormais sur PF (Packet Filter).
  • Ajout de nouvelles options de destruction de l'état de la passerelle pour un basculement plus fluide.



Avant de mettre à jour


Avant de lancer une mise à jour, il faut impérativement s'assurer sur ses liens IPsec n'utilisent pas un algorithme de chiffrement déprécié (3DES, Blowfish, CAST 128, MD5).

Concernant les tunnels OpenVPN à clefs partagées, il est recommandé de les migrer vers une configuration avec certificats avant de lancer la mise à jour (ce n'est pas obligatoire, mais fortement recommandé).



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Si votre pfSense est installé sur un système de fichiers ZFS, pensez à créer un point de restauration.

Dans tous les cas, pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.7.0 New Features and Changes [EN]



Pour aller plus loin



[pfSense] La puissance de ZFS pour des mises à jour et des retours arrière en toute sérénité
[pfSense] Mettre à jour son serveur pfSense
[pfSense] Tout comprendre aux alias
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense


Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Large pour pfSense et OPNsense     Firewall pro-Xtend pour pfSense et OPNsense     Firewall pro-Xtra-SFP+ pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :

pfSense 2.6.0 est disponible

icon 15/02/2022 - 9 commentaires

Lundi 14 février 2022 est sortie la dernière version de pfSense. La version 2.6.0.

Dans cet article, nous faisons le tour rapide des éléments marquants de cette mise à jour.



Filtrage / NAT


Plusieurs modifications / corrections apportées, dont notamment :
  • Ajout du support d'IPv6 pour les règles easyrule.
  • Possibilité d'utiliser un alias pour le champ destination des règles de NAT 1:1
  • La copie d'une règle de redirection de port (Port Forward) tient maintenant compte de la configuration existante pour l'association d'une règle de filtrage (Filter Rule Association).
  • Ajout d'une icône permettant de visualiser le sens du filtrage pour les règles de l'onglet "Floating".
  • Lorsque le nom d'un groupe d'interfaces commençait par un chiffre, cela générait un XML invalide. C'est corrigé.



IPsec


Cette version apporte plusieurs modifications importantes à IPsec. Ce sont des modifications portant sur la stabilité et les performances.

Le nom des interfaces IPsec VTI (IPsec routé) a changé. Les configurations existantes seront mises à jour automatiquement dans la mesure du possible pour utiliser les nouveaux noms.

Une fois la mise à jour vers pfSense 2.6.0 réalisée, il est conseillé de vérifier que les noms des instances VTI configurées ont correctement été repris pour l'assignation des interfaces. Cette vérification s'opère depuis le menu Interfaces > Assignments.

Il y a énormément de corrections de petits bugs spécifiques apportés à cette version de pfSense. Il est compliqué de tous les lister, mais en résumé, si vous avez des problèmes avec IPsec, mettez à jour !



ZFS


Plusieurs modifications mineures ont été apportées. Notamment le nom du pool ZFS et les ensembles de données ont été mis à jour.

Ces modifications ne sont pas appliquées lors de la mise à jour pour les pfSense déjà installés avec ZFS.
Ces changements ne sont pris en compte que pour les nouvelles installations.

Autre changement concernant ZFS : la compression pour les rotations des fichiers de journalisation est maintenant désactivée, car ZFS effectue sa propre compression.
Encore une fois, ce paramètre s'applique uniquement pour les nouvelles installations, mais pas pour les mises à jour. Aussi, si vous êtes sur un système de fichiers ZFS et que vous mettez à jour, il est conseillé de désactiver la compression pour les rotations des fichiers de journalisation. Cette opération s'effectue depuis le menu Status > System Logs, onglet "Settings".

Pour rappel, ZFS permet, entre autre, de créer des points de restauration permettant de réaliser des retours en arrière très simplement et très rapidement en cas de besoin.



Sécurité


  • Le format de hachage des mots de passe pour les utilisateurs locaux a été modifié de bcrypt à SHA-512.
  • Plusieurs corrections ont été apportées à l'interface graphique qui présentait des vulnérabilités potentielles à des attaques de type cross-site scripting (XSS).
  • Désactivation de l'accès ssh pour les comptes admin et root lorsque le compte admin est désactivé sur l'interface web.



Bugs / Améliorations


  • Il est enfin possible de configurer l'adresse IP WAN avec un /32 depuis le menu de la console (très utile pour des serveurs pfSense hébergés, par exemple).
  • Diverses améliorations sur la page et sur le processus de déconnexion du portail captif.
  • Correction de plusieurs bugs sur la validation du formulaire de configuration d'un serveur OpenVPN. Certains paramètres (notamment les paramètres NCP permettant une négociation des paramètres cryptographiques entre le client et le serveur) n'étaient pas correctement appliqués.
  • Correction d'une erreur qui apparaissait lorsqu'un alias de type "URL Table" était rechargé mais qu'il était vide.
  • Correction de plusieurs bugs qui existaient sur l'imbrication d'alias (c'est-à-dire un alias faisant référence à un autre alias).
  • Correction de bugs d'affichage.
  • Le service AutoConfigBackup a été amélioré sur plusieurs points, dont : amélioration des informations liées à la restauration, précisions sur l'emplacement des sauvegardes, amélioration de la performance générale du service.
  • Plusieurs corrections liées à CARP. Ces corrections portent principalement sur le fait de pouvoir modifier le VHID d'une adresse VIP déjà créée (la mise à jour n'était pas correctement appliquée ou diffusée).
  • Corrections de problématiques d'encodage de caractères UTF-8 pour les certificats créés localement sur pfSense.
  • Amélioration de la stabilité d'Unbound qui avait tendance à crasher facilement sur les installations personnalisées comportant des erreurs.
  • Il n'était plus possible d'utiliser le protocole de priorisation de trafic CBQ sur les interfaces VLAN (cela plantait). C'est corrigé.



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Si votre pfSense est installé sur un système de fichiers ZFS, pensez à créer un point de restauration.

Dans tous les cas, pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.6.0 New Features and Changes [EN]



Pour aller plus loin


[pfSense] La puissance de ZFS pour des mises à jour et des retours arrière en toute sérénité
[pfSense] Mettre à jour son serveur pfSense
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense


Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Large pour pfSense et OPNsense     Firewall pro-Xtend pour pfSense et OPNsense     Firewall pro-Xtra-SFP+ pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :

[pfSense] La puissance de ZFS pour des mises à jour et des retours arrière en toute sérénité

icon 08/02/2022 - 5 commentaires

Dans cet article nous présentons l'intérêt de l'utilisation du système de fichiers ZFS et de ses instantanés lors des mises à jour de pfSense.
Il s'agit d'une solution très efficace pour gérer ses mises à jour et ses possibilités de retour arrière vers des points de restauration très facilement.



ZFS, c'est quoi ? Quel intérêt ?


ZFS est un système de fichiers et un gestionnaire de volume open source.

ZFS offre de très nombreuses fonctionnalités. Nous ne les détaillerons pas dans cet article, nous proposons la consultation de la page Wikipédia qui lui est dédiée : ZFS.

Pour des firewall tournant sous pfSense, ZFS présente deux gros intérêts : la facilité d'installation de deux disques en haute-disponibilité (Raid) et la possibilité de réaliser des instantanés (snapshot).

Dans cet article, nous nous intéressons particulièrement à l'intérêt des snapshot ZFS lors des mises à jour de pfSense.

En effet, il peut arriver qu'une nouvelle version de pfSense comporte des bugs et que ceux-ci ne soient pas corriger immédiatement (ex : les versions 2.5.0 et 2.5.1 qui étaient catastrophiques) ; ou qu'il y ait une incompatibilité matérielle suite à une mise à jour (aucun risque si vous prenez votre matériel chez Provya ;-) ).

Dans ce cas, il peut être pratique de disposer d'un point de restauration pour pouvoir faire un retour-arrière rapide vers la version précédente de pfSense (ex : 2.4.5-p1).

Dans cet article, nous présentons comment créer un point de restauration grâce aux instantanés. Comment procéder à une restauration si besoin. Et comment supprimer le point de restauration si la mise à jour s'est bien passée.

Cette stratégie est applicable aussi bien à pfSense qu'à OPNsense.



Instantané, snapshot, qu'est-ce que c'est ?


Un instantané est une copie en lecture seule d'un système de fichiers ou d'un volume.

La création d'un instantané est quasiment immédiate.

Initialement, un instantané ne consomme pas d'espace disque supplémentaire. Toutefois, à mesure que les données contenues dans le jeu de données actif changent, l'instantané consomme de l'espace disque en continuant à faire référence aux anciennes données et empêche donc de libérer de l'espace disque.

Snapshot est le terme anglais pour instantané. Les termes "instantané" et "snapshot" désignent donc la même chose.



Pré-requis


1/2. Disposer d'un accès au firewall


Il faut disposer d'un accès en mode console au firewall. Il existe trois possibilités : utiliser la console présente dans l'interface web de pfSense, activer le serveur SSH de pfSense ou activer le port console (si le firewall est équipé d'un port console).


Utiliser la console de l'interface web

Il s'agit de la solution la plus simple. pfSense dispose d'un accès console depuis l'interface web. Pour y accéder, se rendre dans le menu Diagnostics > Command Prompt :

Invite de commande depuis le webui de pfSense - Provya


Il sera possible de saisir les commandes indiquées et de cliquer sur le bouton "Execute" pour les exécuter. Le résultat de la commande sera affiché à l'écran.

OPNsense n'offre pas d'accès console depuis son interface web. Ceci pour des raisons de sécurité.


Activer le serveur SSH de pfSense

La deuxième possibilité est de se connecter au firewall via son serveur SSH.
Par défaut, le serveur SSH est désactivé.

Pour l'activer, se rendre dans le menu System > Advanced :

Menu System > Advanced - pfSense - Provya


Descendre au niveau de la section "Secure Shell" et cocher la case "Enable Secure Shell".
Il est également possible de paramétrer la méthode d'authentification (mot de passe ou certificat) et le port d'écoute (22 par défaut).

Activer le serveur SSH de pfSense - Provya


Il faudra aussi potentiellement créer une règle de filtrage côté LAN pour autoriser la connexion sur le port 22 (ou sur le port choisi à l'étape précédente, s'il a été personnalisé).

Exemple de règle :

Règle de firewall pour l'accès SSH - pfSense - Provya


Pour OPNsense, le principe est le même : il faut activer le serveur SSH du firewall. La configuration s'opère depuis le menu Système > Paramètres > Administration.

Au niveau de la section "Shell Sécurisé", cocher la case "Activer le Shell sécurisé", autoriser potentiellement le compte root à se connecter si l'on ne possède pas un autre compte administrateur, autoriser (ou non) l'authentification par mot de passe et choisir le port d'écoute.
Il est également possible de personnaliser un certain nombre de paramètres de sécurité.

Activer serveur SSH - OPNsense - Provya



Activer le port console de pfSense

La troisième et dernière possibilité est de se connecter au firewall par son port console (ou port série).
Le port console est désactivé par défaut.
Il faudra bien sûr que le firewall soit équipé d'un port console.

Se rendre dans le menu System > Advanced et descendre jusqu'à la section "Serial Communications".
Cocher la case "Enable serial port" et cocher la case "Password protect the console menu" afin de protéger la console par un mot de passe.

Par défaut, lorsque le port console est activé, n'importe qui peut se brancher directement sur le firewall et disposer d'un accès root. Ce qui représente un risque en terme de sécurité.

Activer port console - pfSense - Provya



Pour OPNsense, la configuration s'opère depuis le menu Système > Paramètres > Administration :

Activer port console - OPNsense - Provya




2/2. Disposer d'un système de fichiers ZFS



Dernier pré-requis, il faut bien sûr que notre firewall soit installé avec le système de fichiers ZFS.

Pour savoir si notre système de fichiers est ZFS, saisir la commande suivante :

zfs list

S'il s'agit d'un système de fichiers ZFS, nous devrions obtenir un résultat du type :

NAME                 USED  AVAIL  REFER  MOUNTPOINT
zroot                900M  12.2G    88K  /zroot
zroot/ROOT           886M  12.2G    88K  none
zroot/ROOT/default   886M  12.2G   886M  /
zroot/tmp            192K  12.2G   192K  /tmp
zroot/var           11.4M  12.2G  11.4M  /var

Autrement, nous obtenons un résultat du type :

no datasets available



Procédure


Dans cet article, nous prenons comme exemple la mise à jour de pfSense de la version 2.5.2 vers la version 2.6.0 (non, la version 2.6.0 n'est pas encore sortie, mais ce n'est plus qu'une question de jours / semaines ;-) )

Les étapes à suivre sont les suivantes.

1. Voir les environnements de démarrage actuels avec la commande bectl list.

Si nous n'avons jamais trifouillé ces options, nous devrions obtenir quelque chose comme ceci :

[2.5.2-RELEASE][root@pfSense.home.arpa]/root: bectl list
BE      Active Mountpoint Space Created
default NR     /          886M  2021-12-17 16:21

  • N signifie actif actuellement (Now)
  • R signifie actif au prochain redémarrage (Reboot)


2. Ajouter un nouvel environnement de démarrage que l'on appelle "pfsense-2.5.2" (ce sera notre point de restauration en cas de besoin) :

bectl create pfsense-2.5.2

3. Pour plus de lisibilité, renommer l'environnement de démarrage actuel (default) en "pfsense-2.6.0" :

bectl rename default pfsense-2.6.0

Une fois ces commande saisies, nous obtenons les environnements de démarrage suivants :

BE            Active Mountpoint Space Created
pfsense-2.5.2 -      -          8K    2022-02-07 17:56
pfsense-2.6.0 NR     /          886M  2021-12-17 16:21

On peut voir que notre nouvel environnement de démarrage ne prend que très peu d'espace disque à ce stade (8 Ko).

4. Réaliser un instantané des partitions /var et /tmp :

zfs snapshot zroot/var@pfsense-2.5.2
zfs snapshot zroot/tmp@pfsense-2.5.2

Les partitions /var et /tmp ne sont pas sur le même pool. Il faut donc les sauvegarder via un instantané. C'est ce que nous venons de faire.

Il est possible d'afficher la liste des instantanés ZFS avec la commande suivante :

zfs list -t snapshot

Le résultat ressemblera à ceci :

NAME                                             USED  AVAIL  REFER  MOUNTPOINT
zroot/ROOT/pfsense-2.6.0@2022-02-07-17:56:35-0      0      -   886M  -
zroot/tmp@pfsense-2.5.2                           64K      -   192K  -
zroot/var@pfsense-2.5.2                           88K      -  11.4M  -

Encore une fois, on voit que les instantanés ne consomment pratiquement pas d'espace disque supplémentaire au moment de leur création.

C'est tout !

Nous avons créé un deuxième environnement de démarrage (qui est une copie du premier à ce stade) et un instantané des partitions /var et /tmp.

À ce stade, nous pouvons lancer la mise à jour de pfSense (ou d'OPNsense) de manière tout à fait classique.

On peut aussi tester la branche de développement, installer des packages, tester des configurations, etc. En cas de pépin, nous pourrons très rapidement revenir à notre point de restauration.

Dans notre cas, et pour l'exemple, nous décidons de tester la version 2.6.0 de pfSense :

Tester pfSense 2.6.0 Release Candidate - Provya


Pour mettre à jour notre serveur, n'hésitons pas à nous appuyer sur notre article dédié : [pfSense] Mettre à jour son serveur pfSense



La mise à jour s'est bien passée, comment supprimer l'instantané ?



Si notre mise à jour s'est bien passée. Nous conseillons de ne toucher à rien durant les premiers jours / semaines, le temps de s'assurer qu'il n'y ait pas d'effets de bord et que tous les services fonctionnent tel qu'attendu.

Si c'est le cas, alors nous pouvons supprimer notre point de restauration et nos instantanés, ce qui permettra de libérer de l'espace sur le disque-dur.

En effet, là où notre point de restauration de notre environnement de démarrage ne prenait que 8 Ko à sa création, il en consomme maintenant bien plus :

[2.6.0-RELEASE][root@pfSense.home.arpa]/root: bectl list
BE            Active Mountpoint Space Created
pfsense-2.5.2 -      -          777M  2022-02-07 17:56
pfsense-2.6.0 NR     /          1.74G 2021-12-17 16:21

Notre point de restauration de notre environnement de démarrage consomme maintenant 777 Mo d'espace sur le disque-dur.

Idem pour les instantanés de /var et /tmp :

[2.6.0-RELEASE][root@pfSense.home.arpa]/root: zfs list -t snapshot
NAME                                             USED  AVAIL  REFER  MOUNTPOINT
zroot/ROOT/pfsense-2.6.0@2022-02-07-17:56:35-0   777M      -   886M  -
zroot/tmp@pfsense-2.5.2                          160K      -   192K  -
zroot/var@pfsense-2.5.2                         5.05M      -  11.4M  -


Pour supprimer le point de restauration et les instantanés, les trois commandes à saisir sont les suivantes :

bectl destroy pfsense-2.5.2
zfs destroy zroot/var@pfsense-2.5.2
zfs destroy zroot/tmp@pfsense-2.5.2

C'est tout.



Je souhaite faire un retour-arrière, comment faire ?



Si la mise à jour s'est mal passée ou si nous souhaitons revenir à l'état antérieur, il suffit de restaurer les instantanés ZFS et de modifier l'environnement de démarrage pour choisir notre point de restauration.

Pour activer notre point de restauration au prochain démarrage, la commande à saisir est la suivante :

bectl activate pfsense-2.5.2

Nous obtenons un message de confirmation. Il est également possible de vérifier la bonne prise en compte de la configuration via la commande bectl list :

BE            Active Mountpoint Space Created
pfsense-2.5.2 R      -          886M  2022-02-07 17:56
pfsense-2.6.0 N      /          893M  2021-12-17 16:21

Le marqueur R a bien basculé sur notre environnement de démarrage pfsense-2.5.2.

Et pour rétablir les instantanés, les commandes à saisir sont les suivantes :

zfs rollback -R zroot/var@pfsense-2.5.2
zfs rollback -R zroot/tmp@pfsense-2.5.2

Il reste à redémarrer le firewall pour que les changements soient totalement pris en compte.

Le redémarrage peut être lancé depuis l'interface web ou depuis la ligne de commande. La ligne de commande à saisir sera :

shutdown -r now


Une fois redémarré, on pourra supprimer les instantanés et l'environnement de démarrage qui ne sont plus utilisés, soit dans notre exemple :

bectl destroy pfsense-2.6.0
zfs destroy zroot/var@pfsense-2.5.2
zfs destroy zroot/tmp@pfsense-2.5.2

On peut vérifier que les commandes ont bien été prises en compte en listant les instantanés ZFS :

[2.5.2-RELEASE][root@pfSense.home.arpa]/root: zfs list -t snapshot
no datasets available

Les instantanés ont bien été supprimés.


Puis, en vérifiant les environnements de démarrage disponibles :

[2.5.2-RELEASE][root@pfSense.home.arpa]/root: bectl list
BE            Active Mountpoint Space Created
pfsense-2.5.2 NR     /          886M  2022-02-07 17:56


Enfin, pour se remettre totalement dans la situation d'origine, on pourrait renommer l'environnement de démarrage en "default" avec la commande suivante :

bectl rename pfsense-2.5.2 default

Voilà, nous avons fait le tour des éléments à connaître pour créer des points de restauration super facilement sur pfSense et OPNsense.
C'est une approche que nous recommandons fortement de suivre avant de lancer la mise à jour de nos firewall.



Pour aller plus loin


[pfSense] Mettre à jour son serveur pfSense
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense


Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Large pour pfSense et OPNsense     Firewall pro-Xtend pour pfSense et OPNsense     Firewall pro-Xtra-SFP+ pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :

pfSense 2.5.2 est disponible

icon 08/07/2021 - Aucun commentaire

English version: pfSense 2.5.2 now available

Mercredi 07 juillet 2021 est sortie la dernière version de pfSense. La version 2.5.2.

Il s'agit d'une mise à jour qui apporte principalement des corrections de bugs, ainsi qu'un timide retour de Wireguard.

Dans cet article, nous faisons le tour rapide des éléments marquants de cette mise à jour.



Bugs / Améliorations


Concernant le routage, il existait deux bugs importants qui ont été corrigés :
  • Correction de l'énorme bug qui empêchait de mettre en œuvre des redirections de ports sur les WAN secondaires. Ce problème était apparu avec la version 2.5.1.
  • Correction d'un bug qui empêchait de faire du 1:1 NAT sur les VPN IPsec.

De nombreuses anomalies liées à l'interface web ou à PHP ont également été corrigées :
  • Dashboard / sonde de température : les valeurs retournées étaient vides ou fausses pour certains matériels.
  • Widget IPsec : uniquement la première phase 2 était affichée dans certain cas sur le tableau de bord.
  • La modification de Widget pouvait provoquer des avertissements PHP (Warning).
  • Le Widget NTP affichait des valeurs incorrectes ou incohérentes.
  • Affichage / code PHP : correction d'un certain nombre d'erreurs d'affichage ou d'erreurs PHP.
  • Corrections des erreurs PHP qui étaient affichées lorsque le fichier PHP_error.log était trop volumineux.

Les autres corrections notables sont les suivantes :
  • Portail captif : correction d'une faille de sécurité de type XSS qui permettait l'exécution de code javascript s'il était passé dans la variable redirurl ;
  • Résolveur DNS (Unbound) : retour vers Unbound 1.12.x car il y avait trop d'instabilité avec Unbound 1.13.x. C'est temporaire, les futures version de pfSense re-basculeront sur Unbound 1.13.x dès que cela aura été stabilisé ;
  • AES-NI (accélération cryptographique) : correction d'un bug sur le support de SHA1 et SHA-256 lorsqu'AES-NI est utilisé ;
  • IPsec : correction de nombreux bugs résiduels qui étaient apparus avec pfSense 2.5.0 et qui n'avaient pas été corrigés avec la version 2.5.1 ;
  • OpenVPN : correction de plusieurs petits bugs et mise à jour d'OpenVPN vers la version 2.5.2 ;
  • Interfaces réseaux : correction d'un bug qui empêchait de modifier la MTU si IPv4 et IPv6 étaient tous les deux actifs sur l'interface.


Enfin, plusieurs améliorations au niveau du système d'exploitation (FreeBSD) ont été ajoutées :
  • Ajout du pilote RTL8153 (qui est un adaptateur USB vers Ethernet) au noyau FreeBSD ;
  • Ajout du support pour la console Xen ;
  • Ajout de nouveaux algorithmes de contrôle de la congestion réseau.



Nouveautés


Il n'y a pas de grosses nouveautés pour cette version de pfSense.

On peut cependant noter l'ajout du support des fournisseurs de DNS dynamique suivant : Mythic-Beasts, one.com, Yandex PDD, NIC.RU et Gandi LiveDNS IPv6.

Dernier élément notable, le package WireGuard est réintroduit en tant que package expérimental.
À utiliser avec précaution, donc.



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.5.2 New Features and Changes [EN]



Pour aller plus loin


[pfSense] Mettre à jour son serveur pfSense
WireGuard est retiré de pfSense pour des raisons de sécurité
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense


Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Large pour pfSense et OPNsense     Firewall pro-Xtend pour pfSense et OPNsense     Firewall pro-Xtra-SFP+ pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :

pfSense 2.5.1 est disponible

icon 15/04/2021 - 3 commentaires

English version: pfSense 2.5.1 now available

Mardi 13 avril 2021 est sortie la dernière version de pfSense. La version 2.5.1.

Il s'agit d'une mise à jour qui corrige principalement les très nombreux bugs apportés avec pfSense 2.5.0. Autre nouveauté importante : le logiciel WireGuard est retiré de pfSense.

Dans cet article, nous faisons un tour rapide des éléments marquants de cette mise à jour.



Nouveautés


Il s'agit de la seule nouveauté de pfSense 2.5.1, comme nous l'avions annoncé dans un précédent article, WireGuard est retiré de pfSense 2.5.1 pour des raisons de sécurité.

/!\ Attention : pour bénéficier de cette mise à jour, vous devez supprimer toutes configurations existantes de WireGuard : si vous avez configuré un VPN WireGuard sur votre pfSense, la mise à jour 2.5.1 ne pourra pas se faire.



Bugs / Améliorations


Les principaux bugs corrigés ou les principales améliorations apportées sont les suivantes :
  • Alias : il n'était plus possible de renommer un alias déjà en cours d'utilisation. C'est corrigé.
  • Authentification : correction d'un problème d'authentification LDAP pour les accès SSH à pfSense.
  • Certificats : plusieurs bugs ont été corrigés. Notamment des bugs portant sur le renouvellement de certificat.
  • Tableau de bord : correction de plusieurs indicateurs qui remontaient des valeurs incorrectes, notamment sur le processeur ou sur la table d'états.
  • Gateway : plusieurs bugs corrigés notamment sur la gestion de passerelles se trouvant sur un sous-réseau différent de l'interface WAN.
  • IPsec : énormément de bugs ont été corrigés (bugs qui avaient été introduits par la version 2.5.0).
  • OpenVPN : plusieurs bugs, plutôt mineurs, ou anomalies d'affichage ont été corrigés.
  • IPv6 : correction d'une anomalie sur la gestion des RA (Routeur Advertisements).
  • Notifications : certaines notifications (notamment via Telegram) ne respectaient pas la configuration du proxy. C'est corrigé.
  • Haute-disponibilité : correction d'erreurs de synchronisations avec XMLRPC.



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Vous ne pourrez pas mettre à jour si vous utilisez un VPN WireGuard : la mise à jour vous sera proposée, mais elle échouera. Vous devez d'abord supprimer les configuration WireGuard existantes avant de pouvoir mettre à jour.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 21.02.2/2.5.1 New Features and Changes [EN]



Pour aller plus loin


[pfSense] Mettre à jour son serveur pfSense
WireGuard est retiré de pfSense pour des raisons de sécurité
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense


Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Large pour pfSense et OPNsense     Firewall pro-Xtend pour pfSense et OPNsense     Firewall pro-Xtra-SFP+ pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :

pfSense 2.5.0 et pfSense Plus 21.02 sont disponibles !

icon 18/02/2021 - Aucun commentaire

English version: pfSense 2.5.0 and pfSense Plus 21.02 now available

Mercredi 17 février 2021 est sortie la dernière version de pfSense. La version 2.5.0. Ainsi que la première version de pfSense Plus : la version 21.02.

Il s'agit d'une mise à jour importante en terme de fonctionnalités, de correctifs de sécurité et de stabilité.

Dans cet article, nous faisons le tour des éléments marquants de cette mise à jour.



Nouveautés


Les nouveautés principales sont les suivantes :

  • mise à jour de l'OS vers FreeBSD 12.2 (qui est la dernière version stable de FreeBSD) ;
  • implémentation de Wireguard, qui est une solution VPN open-source qui se veut être très simple à mettre en œuvre et très performante ;
  • suppression de la fonctionnalité "Load Balancer" intégrée à pfSense : il est recommandé de se tourner vers le package HAProxy ;
  • Ajout de l'authentification Radius pour les utilisateurs SSH ;
  • Amélioration de la gestion des sauvegardes (davantage d'options sont disponibles, notamment pour sauvegarder les baux DHCP, ou les adresses MAC utilisées sur le portail captif, ...)
  • mise à jour d'OpenSSL vers la version 1.1.1 ;
  • mise à jour d'OpenVPN vers la version 2.5.0 ;
  • mise à jour de PHP (7.4) et de Python (3.7)



Bugs / Améliorations


Plusieurs bugs ont été corrigés et des améliorations apportées :

  • Alias : correction de plusieurs bugs (notamment pour les alias mélangeant des adresses IPv4 et IPv6).
  • LDAP / Radius : correction de plusieurs bugs pour l'authentification LDAP / Radius.
  • Portail captif : correction de plusieurs bugs mineurs sur la gestion de l'authentification.
  • Certificats : amélioration sur la gestion, la création et le renouvellement des certificats.
  • Service DHCP : ajout de fonctionnalités diverses (suppression de tous les baux en un clic, ajout d'options DHCP pour les entrées statiques, ...).
  • Passerelle : amélioration de la gestion des passerelles par défaut : il est maintenant possible d'obtenir une passerelle par DHCP qui soit en dehors du sous-réseau de l'interface ; et corrections de quelques bugs mineurs liés à IPv6.
  • IPsec : pas mal d'améliorations cosmétiques ou techniques : plusieurs petits bugs ont été corrigés et la gestion des VPN IPsec gagne en lisibilité.
  • Notifications : évolution de la gestion des notifications : les notifications via Growl ont été supprimées ; ajout de la possibilité d'envoi de notifications via Telegram.
  • OpenVPN : il n'est plus possible de désactiver la négociation des paramètres de sécurité (NCP - Negotiable Cryptographic Parameters) ; et dorénavant par défaut, lorsqu'un client envoie des paquets compressés, pfSense les décompresse, mais les réponses ne seront pas compressées (la compression sous OpenVPN est dépréciée depuis très longtemps pour des raisons de sécurité et de performance).



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (en saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 21.02/2.5.0 New Features and Changes [EN]



Pour aller plus loin


[pfSense] Mettre à jour son serveur pfSense
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense


Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Large pour pfSense et OPNsense     Firewall pro-Xtend pour pfSense et OPNsense     Firewall pro-Xtra-SFP+ pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :

pfSense 2.4.5-p1 est disponible !

icon 10/06/2020 - Aucun commentaire

English version: pfSense 2.4.5-p1 now available

Mardi 09 juin 2020 est sortie la dernière version de pfSense. La version 2.4.5-p1.

Cette mise à jour comporte des correctifs de sécurité et de stabilité.

Dans cet article, nous faisons le tour des éléments marquants de cette mise à jour.



Sécurité


Les mises à jour de sécurité majeures sont les suivantes :

  • Correction du bug provoquant un emballement du CPU sur les pfSense virtualisés. Le bug apparaissait lors du rechargement d'une grande table pf (comme la liste des bogons, par exemple). Nous avions détaillé le bug dans notre article pfSense 2.4.5 est disponible !.
  • Correction d'un bug sur le package SSHGuard qui l'empêchait de protéger correctement les attaques par force brute.
  • Mise à jour de Unbound afin de corriger les vulnérabilités CVE-2020-12662 [EN] et CVE-2020-12663 [EN] ; il s'agit de vulnérabilités d'importance "haute" ; Unbound est un résolveur DNS.
  • Mise à jour de json-c afin de corriger la vulnérabilité CVE-2020-12762 [EN] ; il s'agit d'une vulnérabilité d'importance "haute" ; json-c est une bibliothèque d'implémentation du format JSON en C.
  • Correction d'une mauvaise gestion des droits attribués aux groupes d'utilisateurs.
  • Corrections de plusieurs avis de sécurité de FreeBSD.



Bugs / Amélioration


Plusieurs bugs ont été corrigés et des améliorations apportées :

  • Correction d'un problème lié au choix de la langue. C'est principalement le Mandarin de Taïwan qui était impacté par ce problème.
  • Ajout du pilote iwm pour les cartes wifi Intel (le pilote ne permet aux cartes wifi Intel de ne fonctionner qu'en mode client uniquement).
  • Ajour du pilote glxgb pour le support des cartes Ethernet QLogic 10Gbit/s.
  • Mise à jour du support de la norme EDNS ; EDNS (Extension mechanisms for DNS) est une extension au protocole DNS permettant l'ajout de fonctionnalités et l'augmentation de la taille de certains paramètres.
  • Squid : correction d'un dysfonctionnement sur les filtres LDAP contenant des accents.



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour, et en téléchargement pour les nouvelles installations.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (en saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.4.5-p1 New Features and Changes [EN]



Pour aller plus loin


[pfSense] Mettre à jour son serveur pfSense
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense


Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Large pour pfSense et OPNsense     Firewall pro-Xtend pour pfSense et OPNsense     Firewall pro-Xtra-SFP+ pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :