En otras ocasiones en RedesZone hemos hablado de pfSense, una distribución basada en FreeBSD centrada específicamente en hacer de router y cortafuegos. pfSense es actualmente una de las mejores distribuciones, por no decir la mejor, centrada específicamente en Firewall y que nada tiene que envidiar en opciones a soluciones empresariales como las que proporciona Cisco, SonicWall o Juniper.
Ahora esta distribución se ha actualizado a la versión pfSense 2.2.2 e incorpora importantes mejoras en lo que respecta a fallos de seguridad encontrados en algunos de sus paquetes. Os recomendamos leer nuestro tutorial de cómo configurar un servidor VPN WireGuard en pfSense, también podéis configurar iperf3 en pfSense para comprobar la velocidad de la VPN creada anteriormente.
Fallos de seguridad solucionados
El primer fallo de seguridad solucionado afecta al módulo de IPv6, en algunos casos cuando un sistema está configurado usando DHCPv6 en la WAN, cualquier equipo de la red podría enviar paquetes especialmente diseñados para provocar una denegación de servicio y perder la conectividad IPv6 a Internet.
El segundo fallo de seguridad solucionado tiene que ver con la librería OpenSSL, se ha actualizado a la última versión disponible que soluciona múltiples vulnerabilidades, algunas de ellas podrían provocar un DoS.
Cambios en pfSense 2.2.2
En lo que respecta a las reglas NAT, se ha agregado una opción oculta de forma predeterminada para deshabilitar el link-local IPv4 en la red, aunque no es recomendable usar esta función porque viola el RFC 3927, se ha incluído para proporcionar mayor versatilidad al administrador. También se ha incorporado la funcionalidad de usar IPv4+IPv6 a la hora de habilitar el reenvío de puertos.
En lo que respecta al servidor IPsec, se ha actualizado strongSwan a la versión 5.3 y además una nueva característica que hace que no se aplique la fase 2 de la configuración PFS a los dispositivos no móviles. Además se excluye de la subred LAN de forma automática en aquellos escenarios donde la LAN remota utilice la misma subred que la local. Por último, se habilita el nombre IKE al logging para identificar las conexiones más rápidamente, próximamente se incorporará en la interfaz gráfica de usuario.
Os recomendamos visitar la página web oficial de pfSense donde encontraréis el resto de cambios introducidos en esta nueva versión.