FreeBSDは最近導入されました ワイヤガード 最近この記事で説明したように、カーネルでのサポート。 ただし、実行されたWireGuard実装は本来あるべきほど安全ではないことが判明しており、FreeBSD開発者はそれを一時的に最新バージョンに組み込まないことを決定しました。 これは直接影響します ファイアウォール ルーター指向のオペレーティングシステムpfSenseは、FreeBSDに基づいており、バージョンpfSense2.5.0にすでにWireGuardが組み込まれています。
pfSenseはWireGuardのサポートを削除します
pfSense開発チームは、バージョン2.5.0で、オペレーティングシステムのカーネルにバージョンpfSense CE2.5.0とバージョンpfSensePlus21.02の両方のWireGuardのバージョンを導入しました。 後で説明する一連の問題の結果として、pfSenseでのWireGuard実装のセキュリティに関して質問や多くの懸念が生じたため、次のpfSense2.5.1メンテナンスリリースでサポートを終了することを決定しました。 カーネルモードのWireGuardは、すべてのルートバグが修正されるまで、FreeBSDから一時的に削除されたため、pfSense開発チームはまったく同じことを行い、完全なパッチを待つことを目的として、次のリリースでWireGuardを削除しました。 ソースコードの確認と、セキュリティ上の欠陥があるかどうかを判断するための徹底的な監査。
pfSenseの背後にあるチームは、FreeBSDがWireGuardのカーネルモードをオペレーティングシステムに導入するとすぐに、この人気のあるものを組み込む可能性を再評価すると述べています。 VPN 再び。 つまり、現在バージョン2.5.0ではWireGuardを使用できますが、バージョン2.5.1では、FreeBSDと同様に、間もなく廃止されます。
FreeBSDのWireGuardソースコードはどうなりましたか?
pfSenseプロジェクトの背後にあるNetgateの会社は、現在カーネルモードでWireGuardを使用しているため、可能な限り最高のパフォーマンスを提供するために、カーネルモードでWireGuard forFreeBSDを実装するように開発者に依頼しました。 Linux。 この開発者の実装は本来あるべきほど良くないようで、他の開発者はFreeBSD 13.0のリリース前にすべての問題を修正するためにソースコードを調べていましたが、すべてをゆっくりと待ってレビューすることにしました。 、実装やセキュリティ上の欠陥の可能性がある状態で全世界にリリースする代わりに。
FreeBSD 13.0開発チームは、WireGuardを組み込まず、すべてのコードが適切に監査されるまで待つことにしました。 彼らがコメントしたように、彼らはそれを次のバージョンのFreeBSD 13.1に組み込み、バージョン13.0とFreeBSD12.Xとの互換性があります。 このため、pfSenseでは、セキュリティ上の理由からWireGuardサポートをファイアウォールから撤回し、すべてのコードを徹底的に確認し、FreeBSD13.1にも含まれるまで待ちます。
pfSenseでWireGuardを使用する場合、ジャンボフレームを使用しない、つまりセキュリティ上の理由から1420のWireGuard MTUを変更しないとコメントしています。現在、リモートの脆弱性や昇格可能な脆弱性などの脆弱性は実装に見つかりませんでした。 pfSenseユーザーの特権。 確かに、彼らは重要度の低い問題を発見しており、攻撃者がすでにシステムを侵害している場合を除いて、それらが悪用される可能性はほとんどありません。
現在pfSenseでWireGuardを使用している場合、バージョンを2.5.1に更新するとすぐに使用を停止します。監査済みバージョンがリリースされるまで、バグがない状態でWireGuardの使用を停止することをお勧めします。種類。 FreeBSD 13.0に組み込まず、pfSenseの将来のバージョンでサポートを終了することにした場合、それはまだ使用されるべきではないためです。
再び利用可能になったら、私たちの完全なを訪問することをお勧めします WireGuardVPNサーバーのセットアップ pfSenseのチュートリアル。 あなたは訪問することができます Netgateの公式ブログ ここで、このケースに関するすべての説明が見つかります。
