pfSense retira el soporte para WireGuard temporalmente por seguridad

FreeBSD introdujo recientemente soporte para WireGuard en su kernel, tal y como os explicamos en RedesZone recientemente. Sin embargo, se han encontrado que la implementación de WireGuard realizada no es todo lo segura que debería ser, y los desarrolladores de FreeBSD han decidido no incorporarlo en la última versión de forma temporal. Esto afecta directamente al sistema operativo orientado a firewall y router pfSense, el cual está basado en FreeBSD y que ya ha incorporado WireGuard en su versión pfSense 2.5.0.

pfSense retira el soporte para WireGuard

El equipo de desarrollo de pfSense introdujo en la versión 2.5.0 una versión de WireGuard en el propio kernel del sistema operativo, tanto en la versión pfSense CE 2.5.0 como también su la versión pfSense Plus 21.02. A raíz de una serie de problemas que próximamente os explicaremos, han surgido preguntas y muchas inquietudes sobre la seguridad de la implementación de WireGuard en pfSense, por lo que han decidido retirar el soporte en la próxima versión de mantenimiento pfSense 2.5.1. Debido a que WireGuard en modo kernel se ha eliminado de FreeBSD de forma temporal hasta solucionar todos los fallos de raíz, el equipo de desarrollo de pfSense ha hecho exactamente lo mismo, eliminando WireGuard en la próxima versión, con el objetivo de esperar una revisión completa del código fuente y también una auditoría exhaustiva para determinar si hay fallos de seguridad. Os recomendamos visitar nuestro tutorial sobre cómo configurar pfSense con VLANs.

El equipo detrás de pfSense ha declarado que en cuanto FreeBSD incorpore el modo kernel de WireGuard en el sistema operativo, volverán a reevaluar la posibilidad de incorporar nuevamente esta popular VPN. Es decir, ahora mismo en la versión 2.5.0 tenemos WireGuard disponible para su uso, pero próximamente en la versión 2.5.1 lo retirarán, igual que ha hecho FreeBSD.

La VPN WireGuard ya está en Linux

¿Qué ha ocurrido con el código fuente de WireGuard para FreeBSD?

La empresa Netgate que está detrás del proyecto de pfSense, encargó a un desarrollador que implementase WireGuard para FreeBSD en modo kernel, con el objetivo de proporcionar el mejor rendimiento posible, tal y como tenemos actualmente WireGuard en modo kernel con Linux. Parece ser que la implementación de este desarrollador no es todo lo buena que debería ser, y otros desarrolladores han estado mirando el código fuente para solucionar todos los problemas antes de la salida de FreeBSD 13.0, pero han decidido esperar y revisarlo todo en profundidad más despacio, en lugar de lanzarlo a todo el mundo con posibles fallos de implementación y/o seguridad.

El equipo de desarrollo de FreeBSD 13.0 decidió no incorporar WireGuard, y esperar hasta que todo el código esté correctamente auditado. Según han comentado, lo incorporarán en la siguiente versión FreeBSD 13.1 y tendremos compatibilidad para la versión 13.0 y FreeBSD 12.X. Por este motivo, en pfSense van a retirar el soporte a WireGuard de su firewall, por cuestiones de seguridad para revisar en profundidad todo el código, y esperar a que también se incluya en FreeBSD 13.1.

Si utilizas WireGuard en pfSense, han comentado que no utilices Jumbo Frames, es decir, no modifiques el MTU de 1420 de WireGuard por cuestiones de seguridad, actualmente no se ha encontrado ninguna vulnerabilidad en la implementación, como una vulnerabilidad remota o capaz de elevar privilegios para los usuarios de pfSense. Sí es cierto que han descubierto problemas de criticidad baja, y que es poco probable que se puedan explotar, excepto si un atacante ya ha comprometido el sistema.

Si estás utilizando actualmente WireGuard en pfSense, en cuanto actualices la versión a la 2.5.1 dejarás de usarlo, nuestra recomendación es que dejes de usar WireGuard desde ya mismo, hasta que salga una versión auditada y libre de fallos de cualquier tipo. Si han decidido no incorporarlo en FreeBSD 13.0, y retirar el soporte en la futura versión de pfSense es porque no se debe utilizar todavía.

Cuando vuelva a estar disponible, os recomendamos visitar nuestro completo tutorial de configuración del servidor VPN WireGuard en pfSense. Podéis visitar el blog oficial de Netgate donde encontraréis todas las explicaciones sobre este caso.