IPFire

IPFire es un sistema operativo de código abierto que se ha diseñado desde cero para actuar como un sistema de firewall dedicado, seguro y flexible basado en algunas de las mejores tecnologías de Linux, como iptables, OpenSSL y OpenSSH.

Este pequeño sistema operativo se puede descargar a través de Softoware o desde su sitio web oficial (ver enlace arriba) como una única imagen ISO de CD instalable de aproximadamente 150 MB de tamaño, etiquetada solo para la arquitectura del conjunto de instrucciones de 32 bits (i586). Si bien la distribución se iniciará e instalará en plataformas de hardware de 64 bits, solo aceptará aplicaciones de 32 bits.

El menú de inicio bien diseñado y bien organizado le permitirá instalar directa y permanentemente la distribución en un disco local. Además, podrá instalar el sistema operativo en modo texto, realizar una instalación desatendida, ejecutar una prueba de diagnóstico de memoria con la herramienta Memtest86 +, así como ver información detallada del hardware con la herramienta de detección de hardware (HDT).

Programa de instalación en modo de texto muy fácil de usar

Todo el proceso de instalación está basado en texto y requerirá que el usuario seleccione solo un idioma (los idiomas compatibles incluyen inglés, turco, polaco, ruso, holandés, español, francés y alemán), acepte la licencia y particione el disco (los sistemas de archivos compatibles incluyen EXT2, EXT3, EXT4 y ReiserFS).

Después de la instalación, es imprescindible seleccionar un diseño de teclado y una zona horaria, ingresar el nombre de host y el nombre de dominio de la máquina, ingresar una contraseña para la raíz (administrador del sistema) y cuentas de administrador, así como configurar la red ( incluye las configuraciones de DNS, Puerta de enlace, Dirección IP, Controladores y Tarjeta de red).

Resumiendo, IPFire es una de las mejores distribuciones de firewall de código abierto de Linux, diseñada para ofrecer firewall de última generación, puerta de enlace VPN y componentes de servidor proxy. Su diseño es modular y flexible, lo que significa que su funcionalidad se puede ampliar a través de complementos.

Qué hay de nuevo en esta versión:

• Proxy solo de RAM:
• En algunas instalaciones, puede ser deseable dejar solo el caché proxy en la memoria y no en el disco. Especialmente cuando la conectividad a Internet es rápida y el almacenamiento lento, es más útil.
• La interfaz de usuario web ahora permite establecer el tamaño de la memoria caché de disco en cero, lo que desactivará completamente la memoria caché de disco. Gracias a Daniel por trabajar en esto.
• OpenVPN 2.4:
• IPFire ha migrado a OpenVPN 2.4, que presenta nuevas cifras de la clase AES-GCM, lo que aumentará el rendimiento en los sistemas que tienen aceleración de hardware. La actualización también trae otras mejoras más pequeñas.
• Erik ha estado trabajando en la integración, lo que ha requerido un poco de trabajo bajo el capó, pero es compatible con cualquier configuración previa para las conexiones roadwarrior y net-to-net.
• Criptografía mejorada:
• La criptografía es una de las bases de un sistema seguro. Hemos actualizado la distribución para usar la última versión de la biblioteca de criptografía OpenSSL (versión 1.1.0). Esto viene con una serie de cifras nuevas y se ha llevado a cabo una importante refacturación de la base de códigos.
• Con este cambio, hemos decidido descartar por completo SSLv3 y la interfaz de usuario web requerirá TLSv1.2, que también es el valor predeterminado para muchos otros servicios. Hemos configurado una lista reforzada de cifrados que solo utiliza algoritmos recientes y elimina por completo algoritmos rotos o débiles como RC4, MD5, etc.
• Compruebe antes de esta actualización si confía en cualquiera de ellos y actualice sus sistemas dependientes.
• Varios paquetes en IPFire tuvieron que ser parcheados para poder usar la nueva biblioteca. Este importante trabajo fue necesario para proporcionar a IPFire la última criptografía, migrar lejos de los algoritmos obsoletos y aprovechar la nueva tecnología. Por ejemplo, el sistema de cifrado ChaCha20-Poly1305 está disponible y funciona más rápido en dispositivos móviles.
• La versión anterior de la biblioteca OpenSSL (1.0.2) aún queda en el sistema por razones de compatibilidad y seguirá siendo mantenida por nosotros durante un tiempo breve. Eventualmente, esto se eliminará por completo, así que migre los complementos personalizados para que no usen OpenSSL 1.0.2.
• Varios:
• Pakfire ahora ha aprendido qué servidores espejo son compatibles con HTTPS y los contactará automáticamente a través de HTTPS. Esto mejora la privacidad.
• También hemos comenzado la fase uno de nuestra renovación de la tecla Pakfire planificada.
• Path MTU Discovery se ha deshabilitado en el sistema. Esto ha creado continuamente problemas con la estabilidad de los túneles IPsec que han elegido rutas a través de redes que se configuraron incorrectamente.
• La plantilla de QoS podría calcular erróneamente el ancho de banda que ahora se ha corregido y que la suma del ancho de banda garantizado en todas las clases no supera el 100%
• Paquetes actualizados:
• bind 9.11.3, curl 7.59.0, dmidecode 3.1, gnupg 1.4.22, hdparm 9.55, logrotate 3.14.0, Net-SSLeay 1.82, ntp 4.2.8p11, openssh 7.6p1, python-m2crypto 0.27.0, sin consolidar 1.7.0, vnstat 1.18
• Complementos:
• Estos complementos se han actualizado: clamav 0.99.4, htop 2.1.0, krb5 1.15.2, ncat 7.60, nano 2.9.4, rsync 3.1.3, tor 0.3.2.10, wio 1.3.2

Qué hay de nuevo en la versión:

• OpenSSL 1.0.2n:
• Se corrigió una vulnerabilidad de seguridad baja y moderada en OpenSSL 1.0.2n. El aviso de seguridad oficial se puede encontrar aquí.
• IPsec:
• Ahora es posible definir el tiempo de espera de inactividad cuando se cierra un túnel VPN IPsec inactivo
• Se ha eliminado el soporte para grupos MODP con subgrupos
• La compresión ahora está deshabilitada de forma predeterminada porque no es muy efectiva en absoluto
• strongswan se ha actualizado a 5.6.1
• OpenVPN:
• Ahora es más fácil enrutar clientes OpenVPN Roadwarrior a redes IPsec VPN al elegir rutas en la configuración de cada cliente. Esto hace que los diseños de hub-and-spoke sean más fáciles de configurar.
• Herramienta de compilación:
• Algunos scripts de compilación han sido refactorizados para limpiar el proceso de compilación y la cadena de herramientas se ha movido de / tools a / tools_ & lt; arch & gt;.
• nasm, Net Assembler, se ha actualizado a 2.13.2
• Varios:
• La compresión SSL y los tickets de sesión SSL se han deshabilitado en Apache. Esto mejorará la seguridad de la interfaz de usuario web.
• En varios lugares, la información de GeoIP está disponible donde se muestran las direcciones IP y esa información es útil para saber
• Se ha corregido la adición de rutas estáticas a través de la interfaz de usuario web
• Se han solucionado algunos problemas estéticos en las páginas de configuración del portal cautivo y el portal cautivo ahora está trabajando junto con el proxy en modo transparente
• Syslogging a un servidor de eliminación ahora se puede configurar para usar TCP o UDP
• Complementos:
• Samba se ha actualizado para solucionar varios problemas de seguridad
• mc se ha actualizado a 4.8.20
• nano se ha actualizado a 2.9.1
• sslscan, vsftpd y Pound se han eliminado porque ya no se mantienen en sentido ascendente ni son compatibles con OpenSSL 1.1.0

Qué hay de nuevo en la versión 2.19 Core 116 / 3.0 Alpha 1:

• openssl 1.0.2m:
• El proyecto OpenSSL lanzó la versión 1.0.2my emitió dos avisos de seguridad en la última semana. Las dos vulnerabilidades que se descubrieron eran de moderada y baja seguridad, pero hemos decidido enviarle esta actualización lo antes posible. Por lo tanto, se recomienda actualizar lo antes posible también.
• La vulnerabilidad más grave a la que se hace referencia como CVE-2017-3736 soluciona un problema con los modernos procesadores Intel Broadwell y AMD Ryzen donde OpenSSL utiliza algunas extensiones DMI1, DMI2 y ADX modernas y calcula la raíz cuadrada de forma incorrecta. Esto podría ser explotado por un atacante que sea capaz de poner recursos significativos para recuperar una clave privada más fácil. Por desgracia, este ataque todavía se considera prácticamente inviable por el equipo de seguridad de OpenSSL.
• La vulnerabilidad menos grave se debe a la sobredeterminación de los datos del certificado cuando un certificado tiene una extensión IPAddressFamily malformada. Esto podría conducir a una visualización errónea del certificado en formato de texto. Esta vulnerabilidad se rastrea bajo CVE-2017-3735.
• Varios:
• wget también sufría de dos vulnerabilidades de seguridad que permitían a un atacante ejecutar código arbitrario. Se mencionan en CVE-2017-13089 y CVE-2017-13090.
• apache se actualizó a la versión 2.4.29 que corrige varios errores.
• snort se ha actualizado a la versión 2.9.11.
• xz también se ha actualizado a la versión 5.2.3, que trae varias mejoras.

¿Qué hay de nuevo? en la versión 2.19 Core 113 / 3.0 Alpha 1:

• ¿Quién está en línea?:
• ¿Quién está en línea? (o WIO en resumen) finalmente ha llegado a IPFire. Ha sido portado por el autor original Stephan Feddersen y Alex Marx y está disponible como un paquete complementario habitual llamado wio.
• Es un servicio de monitoreo integrado para la red local que muestra qué dispositivos están conectados, cuáles están en línea y también pueden enviar alarmas en varios eventos. Pruébalo!
• Misc .::
• Las claves raíz de DNS se han actualizado para que DNS funcione más allá de octubre de 2017 después de que se haya realizado la renovación de la clave DNSSEC
• Las consolas en serie ahora detectan automáticamente la velocidad en baudios después de que el kernel haya sido arrancado
• Actualizaciones del paquete por Matthias Fischer: enlace 9.11.2, gnutls 3.5.14, libgcrypt 1.8.0, logrotate 3.12.3, nano 2.8.6, pcre 8.41, squid 3.5.26, sin consolidar 1.6.4
• Complementos:
• iftop se ha actualizado a 1.0pre4 por Erik Kapfer
• Actualizó Matthias Fischer: hostapd 2.6, tor 0.3.0.10

Qué hay de nuevo en la versión 2.19 Core 112 / 3.0 Alpha 1:

• Esta actualización principal viene principalmente con actualizaciones bajo el capó. Las bibliotecas del sistema principal se han actualizado a nuevas versiones principales y la cadena de herramientas de compilación obtuvo actualizaciones importantes.
• Estos son:
• glibc 2.25
• Compilación GNU 6.3.0
• binutils 2.29
• Python 2.7.13
• ccache 3.3.4, bc 1.07.1, cmake 3.8.1, flex 2.6.4, fusible 2.9.7, impulso 1.64.0, gawk 4.1.4, gnutls 3.5.11, grep 2.27, libarchive 3.3.1 , libgcrypt 1.7.7, libgpg-error 1.27, libxml2 2.9.4, mdadm 4.0, openssl 1.0.2l, pkg-config 2.29.2, reiserfsprogs 3.6.25, SDL 1.2.15, squid 3.5.26, strongswan 5.5.3 , sin consolidar 1.6.3, util-linux 2.28.2
• Varios:
• openvpn (2.3.17) ha recibido algunas actualizaciones de seguridad que se han descubierto recientemente.
• Una vulnerabilidad de ejecución remota de comandos en ids.cgi se ha cerrado y podría ser utilizada por usuarios autenticados para ejecutar comandos de shell sin derechos de superusuario.
• Ahora es posible crear redes en el firewall que son una subred de cualquiera de las zonas internas.
• Los scripts toolchain y build también se han limpiado y mejorado.
• El netboot de IPFire se ha actualizado para que siempre se use la mejor arquitectura para un sistema (es decir, la versión de 64 bits se instala cuando el sistema la admite).
• Complementos:
• Actualizado:
• 7zip 16.02
• pájaro 1.6.3
• cyrus-imapd 2.5.11
• iperf 2.0.9
• directfb 1.7.7
• freeradius 3.0.14
• monit 5.23.0
• miniupnpd ahora está escuchando en VERDE de forma predeterminada
• tmux 2.5
• tor 3.0.8
• Soltado:
• imspector y tcpick ya no se mantienen en sentido ascendente

Qué hay de nuevo en la versión 2.19 Core 111 / 3.0 Alpha 1:

• Autenticación de WPA Enterprise en modo cliente:
• El firewall ahora puede autenticarse con una red inalámbrica que usa el Protocolo de Autenticación Extensible (EAP). Estos se usan comúnmente en las empresas y requieren un nombre de usuario y contraseña para conectarse a la red.
• IPFire admite PEAP y TTLS, que son los dos más comunes. Se pueden encontrar en la página configurada en "Cliente WiFi" que solo aparece cuando la interfaz ROJA es un dispositivo inalámbrico. Esta página también muestra el estado y los protocolos utilizados para establecer la conexión.
• La página de índice también muestra información diversa sobre el estado, el ancho de banda y la calidad de la conexión a una red inalámbrica. Eso también funciona para redes inalámbricas que usan WPA / WPA2-PSK o WEP.
• QoS Multi-Queuing:
• La calidad del servicio ahora usa todos los núcleos de la CPU para equilibrar el tráfico. Antes, solo se utilizaba un núcleo de procesador que causaba una conexión más lenta en sistemas con procesadores más débiles como la serie Intel Atom, etc., pero adaptadores Ethernet rápidos. Esto ahora ha cambiado, por lo que un procesador ya no es más un cuello de botella.
• Nuevos valores predeterminados de cifrado:
• En muchas partes de IPFire los algoritmos criptográficos juegan un papel muy importante. Sin embargo, envejecen. Por lo tanto, cambiamos los valores predeterminados en los sistemas nuevos y las nuevas conexiones VPN a algo que es más nuevo y se considera más robusto.
• IPsec:
• La última versión de strongSwan admite Curve 25519 para las propuestas IKE y ESP, que también está disponible en IPFire ahora y está habilitado de forma predeterminada.
• La propuesta predeterminada para nuevas conexiones ahora solo permite los algoritmos seleccionados explícitamente que maximiza la seguridad pero puede tener un impacto de compatibilidad en pares más antiguos: SHA1 se descarta, se debe usar SHA2 256 o superior; el tipo de grupo debe usar una clave con una longitud de 2048 bit o mayor
• Como algunas personas usan IPFire en asociación con equipos antiguos, ahora se les permite seleccionar MODP-768 en las propuestas IKE y ESP. Esto se considera roto y marcado así.
• OpenVPN:
• OpenVPN usó SHA1 para integridad por defecto, que ahora se ha cambiado a SHA512 para instalaciones nuevas. Lamentablemente, OpenVPN no puede negociar esto a través de la conexión. Por lo tanto, si desea usar SHA512 en un sistema existente, también deberá volver a descargar todas las conexiones de clientes.
• Se han agregado varios marcadores para resaltar que ciertos algoritmos (por ejemplo, MD5 y SHA1) se consideran rotos o criptográficamente débiles.
• Misc .::
• Las VPN de IPsec se mostrarán como "Conectándose" cuando no estén establecidas, pero el sistema intenta
• Se corrigió un error de cierre que retrasó el cierre del sistema cuando la interfaz RED se configuró como estática
• El estado de DNSSEC ahora se muestra correctamente en todos los sistemas
• Se han actualizado los siguientes paquetes: acpid 2.0.28, bind 9.11.1, coreutils 8.27, cpio 2.12, dbus 1.11.12, archivo 5.30, gcc 4.9.4, gdbm 1.13, gmp 6.1.2, gzip 1.8, logrotate 3.12.1, logwatch 7.4.3, m4 1.4.18, mpfr 3.1.5, openssl 1.0.2l (solo correcciones de errores), openvpn 2.3.16 que corrige CVE-2017-7479 y CVE-2017-7478, pcre 8.40 , pkg-config 0.29.1, rrdtool 1.6.0, strongswan 5.5.2, sin consolidar 1.6.2, descomprimir 60, vnstat 1.17
• Matthias Fischer contribuyó con algunos cambios cosméticos para la sección de registro del firewall
• Gabriel Rolland mejoró la traducción al italiano
• Se han limpiado varias partes del sistema de compilación
• Complementos:
• Nuevos complementos:
• ltrace: una herramienta para rastrear llamadas a bibliotecas de un archivo binario
• Complementos actualizados:
• El complemento samba ha sido parchado para una vulnerabilidad de seguridad (CVE-2017-7494) que permitía la ejecución de un código remoto en recursos compartidos de escritura.
• ipset 6.32
• libvirt 3.1.0 + python3-libvirt 3.6.1
• git 2.12.1
• nano 2.8.1
• netsnmpd que ahora admite la lectura de sensores de temperatura con la ayuda de lm_sensors
• nmap 7.40
• tor 0.3.0.7

Qué hay de nuevo en la versión 2.19 Core 109 / 3.0 Alpha 1:

• Soluciones DNS:
• El proxy DNS que funciona dentro de IPFire se ha actualizado a 1.6.0 unbound, que trae varias correcciones de errores. Por lo tanto, la minimización y el endurecimiento de QNAME debajo de los dominios de NX se han reactivado.
• En el momento del inicio, IPFire ahora también verifica si un enrutador frente a IPFire elimina las respuestas DNS que son más largas que un cierto umbral (algunos dispositivos Cisco hacen esto para "endurecer" el DNS). Si esto se detecta, el tamaño del búfer EDNS si se reduce, lo que hace que el enlace no vinculado vuelva al TCP para respuestas más grandes. Esto puede ralentizar un poco el DNS, pero lo mantiene funcionando después de todo en esos entornos mal configurados.
• Varios:
• openssl se ha actualizado a 1.0.2k, lo que corrige varias vulnerabilidades de seguridad con gravedad "moderada"
• El núcleo ahora admite algunos módulos eMMC más nuevos
• El script de respaldo ahora funciona de manera más confiable en todas las arquitecturas
• Los scripts de red que crearon puentes MACVTAP para la virtualización, entre otras cosas, también admiten puentes estándar 802.3, también
• La GUI del firewall denegó la creación de subredes que eran una subred de cualquiera de las redes estándar que se ha corregido
• Matthias Fischer presentó las actualizaciones del paquete para: bind 9.11.0-P2 con algunas correcciones de seguridad, libpcap 1.8.1, logrotate 3.9.1, perl-GeoIP module 1.25, snort 2.9.9.0, squid 3.5.24 que corrige varios errores, sysklogd 1.5.1, zlib 1.2.11
• Además, libpng se ha actualizado a 1.2.57, lo que corrige algunas vulnerabilidades de seguridad
• Complementos:
• Jonatan Schlag empaquetó Python 3 para IPFire
• También actualizó libvirt a la versión 2.5 y qemu a la versión 2.8
• Matthias Fischer envió una serie de actualizaciones para los siguientes paquetes: nano 2.7.2, tcpdump 4.8.1, tmux 2.3
• tor se ha actualizado a 0.2.9.9, lo que corrige varias vulnerabilidades de denegación de servicio
• sarg se ha actualizado a 2.3.10

Qué hay de nuevo en la versión 2.19 Core 108 / 3.0 Alpha 1:

• Registro asincrónico:
• El registro asincrónico ahora está habilitado por defecto y ya no es configurable. Esto hizo que algunos programas que escriben una gran cantidad de mensajes de registro se ralenticen y posiblemente no respondan por la red, lo que causa varios problemas. Esto se vio en sistemas con medios flash muy lentos y entornos virtuales.
• Varios:
• El control que prueba que los servidores DNS no se configuraron correctamente asumió que algunos servidores de nombres estaban validando aunque no lo estaban y muy probablemente no funcionaran en absoluto. Esto se ha solucionado ahora y los sistemas que utilizan estos servidores de nombres rotos deben volver al modo de recursor.
• Se corrigió un problema en la GUI del firewall que prohibía agregar una conexión VPN IPsec y una conexión OpenVPN con el mismo nombre a un grupo de firewall.
• Paquetes principales actualizados:
• strongswan se actualizó a la versión 5.5.1 que corrige varios errores
• ntp se actualizó a la versión 4.2.8p9 que soluciona varios problemas de seguridad
• ddns se actualizó a la versión 008
• Complementos actualizados:
• nano, el editor de texto, se actualizó a la versión 2.7.1
• tor, la red de anonimato, se actualizó a la versión 0.2.8.10

Qué hay de nuevo en la versión 2.19 Core 107 / 3.0 Alpha 1:

• Esta actualización parchea el núcleo de IPFire Linux contra una vulnerabilidad divulgada recientemente llamada Dirty COW. Este es un error de escalamiento de privilegios local que podría ser utilizado por un atacante local para obtener privilegios de administrador.
• Un parche adicional arregla los procesadores de Intel con AES-NI, que es compatible con el cifrado con una longitud de clave de 256 y 192 bits, pero no se implementó correctamente en el kernel de Linux
• Una solución para mostrar el nuevo proxy DNS no vinculado en la sección de registro de la interfaz de usuario web
• hdparm 9.5.0 y libjpeg 1.5.1 se han actualizado

Qué hay de nuevo en la versión 2.19 Core 105 / 3.0 Alpha 1:

• IPFire 2.19 Core Update 105 soluciona una serie de problemas de seguridad en dos bibliotecas de criptografía: openssl y libgcrypt. Recomendamos instalar esta actualización lo antes posible y reiniciar el sistema IPFire para completar la actualización.

Qué hay de nuevo en la versión 2.19 Core 103 / 3.0 Alpha 1:

• Mejoras de proxy web:
• El proxy web squid se ha actualizado a la serie 3.5 y se realizaron varias mejoras para la estabilidad y el rendimiento.
• En máquinas con discos duros lentos o en instalaciones con cachés muy grandes, era probable que el índice de caché se corrompiera cuando se cerró el proxy. Esto dio como resultado un proxy web inestable después del siguiente inicio.
• La rutina de apagado se mejoró para que ahora la corrupción del índice de caché sea muy poco probable. Además, tenemos medios instalados que nos permiten detectar si el índice de la memoria caché está dañado y, de ser así, han sido reconstruidos automáticamente el próximo inicio. Esta actualización eliminará el índice presuntamente dañado en todas las instalaciones e iniciará una reconstrucción del índice, lo que podría provocar un funcionamiento lento del proxy durante un breve período de tiempo después de instalar la actualización.
• Varios:
• Repara el comando de instalación para mostrar correctamente más de 6 controladores de red
• La base de datos de la zona horaria se ha actualizado
• Generalmente, permite guiones bajos en los nombres de dominio
• Paquetes actualizados: coreutils 8.25, curl 7.48.0, dnsmasq 2.76, findutils 4.6.0, grep 2.24, menos 481, ncurses 6.0, procps 3.2.8, sdparm 1.10, wpa_supplicant 2.5
• Complementos actualizados:
• 7zip 15.14.1
• clamav 0.99.2
• hostapd 2.5
• Midnight Commander 4.8.17
• nfs (reemplazará portmap con rpcbind)
• tor 0.2.7.6

Qué hay de nuevo en la versión 2.19 Core 102 / 3.0 Alpha 1:

Qué hay de nuevo en la versión 2.19 Core 100 / 3.0 Alpha 1:

• Esta actualización le traerá IPFire 2.19 que lanzamos para 64 bits en Intel (x86_64) por primera vez. Este lanzamiento fue retrasado por las diversas vulnerabilidades de seguridad en openssl y glibc, pero está lleno de muchas mejoras bajo el capó y varias correcciones de errores.
• 64 bit:
• No habrá una ruta de actualización automática desde una instalación de 32 bits a una instalación de 64 bits. Se requiere reinstalar manualmente el sistema para aquellos que desean cambiar, pero una copia de seguridad generada previamente puede restaurarse para que todo el procedimiento tarde generalmente menos de media hora.
• No hay demasiadas ventajas con respecto a una versión de 64 bits, excepto algunos aumentos menores en el rendimiento para algunos casos de uso y, por supuesto, la capacidad de direccionar más memoria. IPFire puede gestionar hasta 64 GB de RAM en 32 bits, por lo que no hay mucha necesidad de migrar. Recomendamos utilizar imágenes de 64 bits para instalaciones nuevas y mantener las instalaciones existentes tal como están.
• Actualización del Kernel:
• Como con todas las versiones principales, esta viene con un kernel de Linux actualizado para corregir errores y mejorar la compatibilidad del hardware. Linux 3.14.65 con muchos controladores backported de Linux 4.2 también se endurece más fuerte contra ataques comunes como desbordamientos de buffer de pila.
• Muchos blobs de firmware para tarjetas inalámbricas y otros componentes se han actualizado como la base de datos de hardware.
• Problemas de rendimiento de Hyper-V:
• Un respaldo de una versión reciente del módulo de controlador de red Microsoft Hyper-V permitirá volver a transferir datos a velocidades más altas. Las versiones anteriores solo tenían un rendimiento muy bajo en algunas versiones de Hyper-V.
• Actualizaciones del firewall:
• Ahora es posible habilitar o deshabilitar ciertos módulos de seguimiento de conexión. Estos módulos de Application Layer Gateway (ALG) ayudan a que ciertos protocolos como SIP o FTP funcionen con NAT. Algunos teléfonos VoIP o PBX tienen problemas con ellos, por lo que ahora se pueden desactivar. Algunos los necesitan.
• El firewall también se ha optimizado para permitir un mayor rendimiento con el uso de menos recursos del sistema.
• Varios:
• Se actualizaron muchos programas y herramientas de la cadena de herramientas que se usa. Una nueva versión de las colecciones de compiladores de GNU ofrece un código más eficiente, un fortalecimiento más fuerte y compatibilidad para C ++ 11
• GCC 4.9.3, binutils 2.24, bison 3.0.4, grep 2.22, m4 1.4.17, sed 4.2.2, xz 5.2.2
• dnsmasq, el proxy DNS interno de IPFire se ha actualizado y se han solucionado muchos problemas de inestabilidad
• openvpn se ha actualizado a la versión 2.3.7 y los archivos de configuración generados se han actualizado para que sean compatibles con las próximas versiones de OpenVPN
• IPFire ahora esperará con el arranque cuando el tiempo necesite sincronizarse y se use DHCP hasta que se establezca la conexión y luego continúe con el arranque
• bind se actualizó a la versión 9.10.3-P2
• ntp se actualizó a la versión 4.2.8p5
• tzdata, la base de datos para definiciones de zona horaria, se actualizó a la versión 2016b
• Se realizaron varias correcciones estéticas en la interfaz de usuario web
• Se ha corregido un error que causaba que los dispositivos de VLAN no se crearan cuando se presenta el NIC principal
• Cliente DHCP: se ha corregido el restablecimiento de la MTU en las NIC rotas que pierden el enlace
• Un ramdisk para almacenar las bases de datos de los gráficos que se muestran en la interfaz de usuario web ahora se usa de manera predeterminada nuevamente en las instalaciones que usan la imagen flash cuando hay más de 400MB de memoria disponible
• Se ha corregido un error por el que no se podía detener la calidad del servicio
• Se renovó algún código antiguo y se eliminó algún código no utilizado en algunos componentes internos de IPFire
• Complementos:
• owncloud se ha actualizado a la versión 7.0.11
• nano se ha actualizado a la versión 2.5.1
• rsync se ha actualizado a la versión 3.1.2

Qué hay de nuevo en la versión 2.17 Core 98 / 3.0 Alpha 1:

• Debido a una vulnerabilidad de seguridad descubierta recientemente en glibc, estamos lanzando esta actualización principal que contiene una solución para CVE-2015-7547.
• La interfaz getaddrinfo () es glibc, la biblioteca C principal del sistema, se usa para resolver nombres en direcciones IP usando DNS. Un atacante puede explotar el proceso en el sistema que realiza esta solicitud enviando una respuesta falsificada que es demasiado larga y causa un desbordamiento del búfer de la pila. El código puede ser inyectado y ejecutado.
• Sin embargo, IPFire no es explotable directamente por esta vulnerabilidad, ya que utiliza un proxy DNS que rechaza las respuestas DNS que son demasiado largas. Por lo tanto, IPFire y todos los sistemas de la red que usan IPFire como proxy DNS están protegidos por el proxy DNS. Sin embargo, decidimos lanzar un parche para esta vulnerabilidad tan rápido como podamos.

Qué hay de nuevo en la versión 2.17 Core 94 / 3.0 Alpha 1:

• OpenSSH:
• OpenSSH se actualizó a la versión 7.1p1. Con eso, agregamos soporte para curvas elípticas (ECDSA y ED25519) y eliminamos soporte para DSA que se considera roto. Las claves RSA demasiado pequeñas también se eliminan y se regeneran. Es posible que estos cambios requieran la importación de las claves del sistema IPFire en su computadora administrativa nuevamente.
• Agente de correo interno
• Se agregó un agente de correo interno que los servicios internos utilizan para enviar informes o alertas. Hasta ahora, solo unos pocos servicios usan esto (como el complemento de contabilidad de squid), pero esperamos agregar más cosas en el futuro.
• Este es un agente de correo muy simple y liviano que se puede configurar en la interfaz de usuario web y generalmente requerirá un servidor de correo ascendente.
• IPsec MOBIKE:
• Se ha agregado una nueva casilla de verificación en la página de configuración avanzada de las conexiones IPsec. Permite forzar el uso de MOBIKE, una tecnología para IPsec para atravesar NAT mejor. A veces, cuando se encuentran detrás de enrutadores defectuosos, se pueden establecer conexiones IPsec, pero no se pueden transferir datos y la conexión se rompe muy rápidamente (algunos enrutadores tienen dificultades para reenviar paquetes DPD). MOBIKE evita eso al usar el puerto UDP 4500 para mensajes IKE.
• Varios:
• Los campos obligatorios ahora están marcados con una estrella. Anteriormente, esto era al revés, de modo que los campos opcionales estaban marcados con una estrella, que ya no se ve en la web.
• Se elimina una actualización de ddns forzada mensual, ya que ddns se encarga de mantener todos los registros actualizados y de actualizarlos después de 30 días si es necesario.
• fireinfo: algunos bloqueos se corrigieron con ID que solo contienen 0xff
• Paquetes actualizados:
• enlazar 9.10.2-P4, coreutils 8.24, dnsmasq obtuvo los últimos cambios importados, archivo 5.24, glibc (correcciones de seguridad), hdparm 9.48, iproute2 4.2.0, libgcrypt 1.6.4, libgpg-error 1.20, pcre (arreglos para más desbordamientos de búfer), rrdtool 1.5.4, calamar 3.4.14

Qué hay de nuevo en la versión 2.17 Core 93 / 3.0 Alpha 1:

• Actualización del cliente DDNS:
• ddns, nuestro cliente de actualización de DNS dinámico, se ha actualizado a la versión 008. Esta versión es más robusta contra errores de red en la ruta y errores del servidor en el proveedor. Las actualizaciones se volverán a intentar con frecuencia.
• Ahora se admiten los proveedores joker.com y DNSmadeEasy
• Se ha solucionado un bloqueo al actualizar los registros de namecheap
• Varios:
• Pakfire se corrigió y ahora extrae dependencias adicionales de paquetes complementarios al actualizar desde una versión anterior.
• TRIM está desactivado en algunos SSD con errores de firmware conocidos que causan pérdida de datos.
• squid-accounting: corregir varios errores tipográficos en las traducciones
• /etc/ipsec.user-post.conf se agrega a la copia de seguridad, si existe
• Paquetes actualizados:
• enlazar 9.10.2-P3, daq 2.0.6, dnsmasq 2.75, libevent 2.0.22-estable (trasladado al sistema central desde add-on), libpcap 1.7.4, ortiga 3.1.1, pcre (arregla CVE -2015-5073), calamar 3.4.14
• Complementos:
• cups 2.0.4, make 4.1, nano 2.4.2