Выпущена новая версия NethSecurity, открытого межсетевого экрана на базе Linux. В ней улучшена стабильность, обновлён интерфейс управления администраторами, добавлено отслеживание соединений.

( читать дальше... )

>>> Подробности

Представлена новая версия дистрибутива для создания межсетевых экранов IPFire 2.23.

В новой версии:

( читать дальше... )

>>> Подробности

Представлен проект OpenSnitch, в рамках которого подготовлен свободный аналог проприетарного сетевого экрана Little Snitch.

( читать дальше... )

>>> Подробности

IPFire — это специализированный дистрибутив, основной фичей которого является фаервол. Вещь необычная, но кому-то может и нужная.

Что нового:

• Теперь прокси может работать только в оперативной памяти, не забивая память жесткого диска;
• IPFire перенесен на OpenVPN 2.4, где есть шифры класса AES-GCM, что увеличит пропускную способность в системах, для которых есть аппаратное ускорение;
• Теперь используется последняя версия библиотеки OpenSSL — 1.1.0, при этом старая библиотека версии 1.0.2 пока осталась, но со временем от нее откажутся полностью;
• Больше не используется SSlv3, ему на замену пришел TLSv1.2

>>> Подробности

В ветку linux-next, на базе которой будет сформировано ядро версии 3.13, добавлена новая реализация подсистемы пакетной фильтрации nftables. Разработка системы ведётся с 2009 года, её целью является замена подсистем iptables, ip6table, arptables и ebtables. Результата разработчики желают добиться путём сокращения количества (и дублей) кода уровня ядра, упрощения взаимодействия ядра и userspace-приложений, а также использования байт-кода для компилирования правил фильтрации и исполнения их в ядре.

Представленный для включения в ядро код подразумевает сосуществование старых и новой подсистем, поскольку nftables ещё требует доработки и тестирования.

( читать дальше... )

>>> Подробности

Совсем недавно вышла новая версия Gufw — графической утилиты для управления iptables.

Список изменений таков:

• Поддержка профилей, созданных пользователем.
• 230 заранее настроенных правил: используя это, вы можете добавить правило для файерволла, просто выбрав из списка известных приложений (в новом релизе 230 приложений).
• Редактируемые правила.
• Импорт/экспорт правил.
• Удобочитаемые имена для правил.
• Новое поведение журнала.
• В главном окне теперь отображается руководство по началу работы.

>>> Подробности

Выпущена новая версия биллинговой системы и корпоративного интернет-шлюза — TraffPro 1.4.5.

В новой версии обновлён и добавлен функционал, например, долгожданная авторизация только по MAC-адресу, учёт на подсеть, введена совместимось с более новыми версиями OS Linux, SMS-оповещение и прочие важные изменения

( Читать дальше )

>>> Подробности

Manuel Kasper объявил о выходе новой версии основанного на FreeBSD межсетевого экрана m0n0wall, ориентированного в основном на встраиваемые устройства.

m0n0wall 1.34 не вносит никаких новшеств. Выход свежей версии обусловлен портированием из нестабильной разрабатываемой ветки исправлений безопасности, в частности, связанных с CSRF.

Несмотря на отсутствие критических исправлений, автор все же настоятельно рекомендует пользователям версии 1.33 обновиться.

>>> Подробности

ferm - это инструмент для управления файерволлом в Linux , который облегчает работу с ним путём создания правил на специальном языке, с последующей трансляцией в обычный для netfilter формат. Специальный язык, используемый в нём, имеет интуитивно понятный синтаксис, легко читаем и достаточно прост, с его помощью можно формировать как уровни, так и списки в правилах.

>>> Подробности

На днях в рассылке разработчиков netfilter/iptables появилось сообщение, рассказывающее об угрозах, создаваемых корректной обработкой активного режима FTP на примере Linux-фаервола netfilter (nf_conntrack_ftp и nf_nat_ftp).

Активный режим FTP работает следующим образом: сначала FTP-клиент инициирует TCP-соединение на FTP-сервер (обычно на порт 21) и регистрируется на нем (выполняет команды USER и PASS). При возникновении необходимости передать какие-либо данные, не являющиеся командами, клиент открывает один из своих портов на прослушивание и передает номер этого порта серверу в команде PORT, после чего сервер открывает на этот порт второе соединение (соединение данных, в отличие от первого — управляющего) и передает необходимые данные (например, файл или листинг каталога).

Так как номер клиентского порта для прослушивания обычно выбирается случайно, корректная обработка таких сеансов межсетевыми экранами и NAT представляет определенные трудности, которые разработчики фаерволов пытаются решить.

Например, в фаерволе netfilter, встроенном в ядро Linux, данная проблема решается путем использования специальных модулей ядра (так называемых conntrack helpers и NAT helpers), которые сканируют трафик, по специальным шаблонам выделяют передаваемые номера портов и обеспечивают их своевременное открытие, а также корректный проброс соединений через NAT.

В системе OpenBSD эта задача решается во многом аналогичным образом, однако вместо модулей ядра используется userspace-демон ftp-proxy, который добавляет соответствующие правила к нужным якорям (anchors) фаервола pf.

Важно отметить, что в любом случае корректная обработка активного режима FTP-связана с открытием на доступ извне порта на клиентском хосте.

Угроза, создаваемая подобными техническими средствами, обусловлена невозможностью отличить, инициируется ли соединение обычным FTP-клиентом на обычный FTP-сервер, или такое поведение имитируется злонамеренным ПО (malware). Например, используя технологии XMLHTTPRequest, Adobe Flash или Java-апплеты, злоумышленник может подготовить специальную web-страницу, при открытии которой на клиентском хосте может быть использована данная узвимость. Злонамеренный код, исполняемый на клиентском хосте, имитирует работу обычного FTP-клиента в активном режиме, отправляя на сервер злоумышленника команду PORT. В том случае, если межсетевой экран настроен на корректную обработку активного режима FTP, это приведет к открытию заданного клиенского порта для доступа с сервера злоумышленника.

Автор сообщения приводит также ссылку на git-репозитарий с комплектом ПО, разработанного специально для демонстрации этой уязвимости (проще говоря, эксплойтом).

Заметим, что к данной угрозе чувствительны не только персональные (работающие на клиентском хосте) фаерволы, но и традиционные межсетевые экраны, работающие на шлюзах и NAT. В последнем случае фаервол не только разрешит доступ к порту клиента в локальной сети, но и обеспечит проброс на этот порт соединения извне.

Ну и наконец, стоит заметить, что причины возникновения обсуждаемой проблемы лежат не в каких-либо ошибках при разработке фаерволов, а в изначальной некорректности (defective by design) принципов работы некоторых протоколов прикладного уровня, в частности, активного режима FTP.

>>> Подробности

Вчера вышел релиз 2.3 специализированного дистрибутива Endian Firewall, предназначенного для развертывания межсетевых экранов (фаерволов).

В числе новшеств:

• На главную страницу web-интерфейса теперь выведены динамически обновляющиеся графики и показатели по входящему и исходящему трафику, а также состоянию служб системы.
• Автоматическая отправка уведомлений о заданных событиях по электронной почте.
• Интерфейс для настройки HTTP-прокси теперь позволяет задавать ACL с привязкой к исходному адресу. Также поддерживается объединение пользователей в группы с различными настройками фильтрации контента.
• В качестве системы IDS/IPS используется Snort.
• Интерфейс теперь поддерживает создание правил маршрутизации с проверкой MAC-адреса, сетевого интерфейса, протокола и порта.
• Значительно улучшены возможности интерфейса по управлению пробросом портов.
• Поддержка автоматических бэкапов на USB-устройства, а также отправки предварительно зашифрованных бэкапов по почте.
• Полноценное управление QoS (фильтрами, классами, очередями).
• Добавлена поддержка SNMP.
• Полностью переработан интерфейс для управления SMTP-прокси.
• Теперь пользовательский интерфейс поддерживает создание и управление VLAN'ами.

В дистрибутив Endian Firewall интегрированы полностью открытые наработки компании Endian — UTM (унифицированное управление рисками). Входящее в комплект программное обеспечение подобрано, организовано и модифицировано в расчете на быстрое и удобное развертывание межсетевых экранов. В числе прочих компонент:

• Гибкий и мощный stateful-фаервол (netfilter).
• Ряд прокси-серверов для различных протоколов (HTTP, FTP, POP3, SMTP), обеспечивающих антивирусную (а для почтовых протоколов — и антиспамовую) фильтрацию.
• Контентные фильтры для web-трафика.
• VPN-решение, базирующееся на OpenVPN.

Endian Firewall на DistroWatch

>>> Подробности

Компания Comodo, специализирующаяся на решениях в области компьютерной безопасности, выпустила open source файрволл класса enterprise — Trustix Enterprise Firewall версии 4.8.1.

Новое в данной версии:

• усовершенствованная система обнаружения вторжений (IDS) с возможностью дистанционого конфигурирования параметров и определением источника вторжений;
• VPN-соединение с дополнительными расширенными параметрами настройки и возможностью перестраивания конфигурации;
• улучшенный клиентский графический интерфейс пользователя.

>>> Подробности

Новая версия pfSense open source firewall под номером 1.2 для FreeBSD.

Данный проект произошел от проекта m0n0wall, но отличается от него радикально тем, что использует портированный из OpenBSD пакетный фильтр (Packet Filter), основан на ОС FreeBSD 6.1 ALTQ (HFSC).

Данный релиз выпущен после 16 месяцев работы, после выпуска pfSense 1.0 release.

Список изменений.

>>> Подробности