pfSense®: caracteristicas y notas de las ultimas versiónes


Main Features pfSense



pfSense® 2.0.1

Publicada la versión pfSense® 2.0.1
La versión pfSense® 2.0.1 esta ahora disponible para la descarga. Esta versión representa un mantenimiento de la versión pfSense® 2.0 con actualizaciones de la seguridad y soluciones a errores. Esta es la versión recomendada para todas las instalaciones. Como siempre es posible actualizar el sistema desde cualquier versión anterior hasta la pfSense® 2.0.1, si su versión no ha sido todavia actualizada a la versión pfSense® 2.0 es posible actualizarla directamente a la versión pfSense® 2.0.1. De todas maneras se aconseja consultar la guia antes de hacer la actualización. Esto vale sobretodo para quien actualiza desde la versión pfSense® 1.2.3.
Para quien usa la "certificate manager" para la creacion de certificados, maxima atencion a los problemas de seguridad reportados aqui abajo.

Notas sobre vulnerabilidades en la generacion de los certificados
Los certificados generados con el "Certificate Manager" en la versión pfSense® 2.0, son excesivamente permisivos para los certificados No-CA.
Estos certificados pueden ser usados como una "Certificate Authority". Esto significa que un usuario puede usar sus certificados para crear cadenas de certificados. En pfSense® 2.0.1 hemos puesto de norma No aceptar cadenas de certificados para atenuar el problema. En todo caso, si no se confia en los usuarios y los certificados han sido generados con la pfSense® 2.0, se aconseja la reemisión del certificado y cancelar el anterior. Los certificados generados por medio de easy-rsa y importados en la pfSense® 2.0 No son sujetos por el problema.
Si se usan certificados generados con pfSense® 2.0 para otros propósitos, se deben revocar los certificados y hacer la reemisión con la versión pfSense® 2.0.1. Se deve utilizar una CRL en este caso. Para ser propio seguro puede ser apropiado rehacer una nuova CA despues de haber cancelado la precedente.

Descarga (Download)
Los files para nuovas instalaciones pfSense® 2.0.1 son disponibles aqui. Notas: Desde release 2.0 en adelante hemos compilado tambien las versiones nanoBSD el soporte VGA! Puede encontrar la versión con soporte VGA si en el nombre del file esta escrito VGA embedded version.
Principales cambiamentos desde la versión 2.0 hasta la pfSense® 2.0.1
  • Preciso mejoramiento de la automatización del state killing en varios casos
  • Otras mejoras y actualizaciones
    • Agregado al Status: Services and widget
    • Added ability to kill relayd when restarting
    • Agregado el balanceo de carga en los DNS
    • Moved relayd logs to their own tab
    • Fixed default SMTP monitor syntax and other send/expect syntax
  • Aplicación de los path de FreeBSD 8.1
  • Varios arreglos en la syslog:
    • Fixed syslogd killing/restarting to improve handling on some systems that were seeing GUI hangs resetting logs
    • Agregado opciones sobre server syslog remote
    • Fixed handling of 'everything' checkbox
    • Desplazamiento de las actividades wireless en la seccion dedicada
  • Removed/silenced some irrelevant log entries
  • Fixed various typos
  • Actualización para RRD, actualización, migracion y backup
  • Prevent users from applying NAT to CARP which would break CARP in various ways
  • Actualización de las policy route negation per VPN networks
  • Actualización "Bypass firewall rules for traffic on the same interface"
  • Actualización de las reglas VoIP creadas en automatico dal traffic shaper wizard
  • Fixed uname display in System Info widget
  • Fixed LDAP custom port handling
  • Fixed Status > Gateways to show RTT and loss like the widget
  • Improved certificate handling in OpenVPN to restrict certificate chaining to a specified depth – CVE-2011-4197
  • Improved certificate generation to specify/enforce type of certificate (CA, Server, Client) – CVE-2011-4197
  • Clarified text of serial field when importing a CA
  • Fixed MTU setting on upgrade from 1.2.3, now upgrades properly as MSS adjustment
  • Fixed Captive Portal MAC passthrough rules
  • Added tab under Diagnostics > States to view/clear the source tracking table if sticky is enabled
  • Fixed CARP status widget to properly show "disabled" status
  • Fixed end time of custom timespan RRD graphs
  • Fixed situation where certain NICs would constantly cycle link with MAC spoofing and DHCP
  • Fixed OpenVPN ordering of client/server IPs in Client-Specific Override entries
  • Fixed handling of OpenVPN client bandwidth limit option
  • Fixed handling of LDAP certificates
  • Enforce validity of RRD graph style
  • Fixed crash/panic handling so it will do textdumps and reboot for all, and not drop to a db> prompt
  • Fixed handling of hostnames in DHCP that start with a number
  • Fixed saving of multiple dynamic gateways
  • Fixed handling of routing with unmonitored gateways
  • Fixed Firewall > Shaper, By Queues view
  • Fixed handling of spd.conf with no phase 2′s defined
  • Fixed synchronization of various sections that were leaving the last item on the slave (IPsec phase 1, Aliases, VIPs, etc)
  • Fixed use of quick on internal DHCP rules so DHCP traffic is allowed properly
  • Updated ISC DHCP server to 4.2.3 (#1888) – this fixes a denial of service vulnerability in dhcpd
  • Added patch to mpd to allow multiple PPPoE connections with the same remote gateway
  • Reducción de las dimensiones de la imagen CF per las Compact Flash card
  • Clarified text for media selection

Esta pagina ha sido traducida de la original escrita por Chris Buechler on Tuesday,
December 20th, 2011 at 5:52 pm y la original se encuentra aqui.