Die neue Version der schlanken Firewall-Distribution bringt einen neuen Kernel, sichert den Remote-Zugriff weiter ab und bietet darüber hinaus zahlreiche weitere kleinere Änderungen.
Den Zugriff auf die Administrationsoberfläche sowie den SSH-Zugang verschlüsseln ab sofort Elliptic-Curve-Algorithmen. Die bislang genutzten RSA-Schlüssel mustert IPFire langsam aus.
Erhöhte Sicherheit
Installiert man die Firewall-Distribution neu, erstellt sie bereits keine RSA-Schlüssel mehr. Eine Aktualisierung eines bestehenden Systems auf IPFire entfernt die RSA-Schlüssel zwar aus der Weboberfläche, nicht aber beim SSH-Zugang. Dies soll sicherstellen, dass bereits im Einsatz befindliche Monitoring- und andere Werkzeuge weiterhin via SSH auf IPFire zugreifen können. Elliptic-Curve-Algorithmen gelten als deutlich sicherer als das RSA-Verfahren, weshalb Administratoren auch den SSH-Zugang umstellen sollten.
Beim SSH-Schlüsselaustausch kommen ab sofort Post-Quantum-Verfahren zum Einsatz, im Einzelnen Streamlined NTRU Prime Sntrup761 und X25519 mit SHA-512 („sntrup761x25519-sha512“). Darüber hinaus haben die IPFire-Entwickler den Module-Lattice-basierten Key-Encapsulation-Mechanismus aktiviert.
Zusammenspiel mit ISPs
IPFire arbeitet besser mit einigen Internet Service Providern (ISP) zusammen. Einige von ihnen betreiben DHCP-Server, die kein Rapid Commit (RFC4039) verstehen. Aus diesem Grund lässt sich diese Option auf der in IPFire als „Red“ gekennzeichneten Netzwerkschnittstelle deaktivieren. Ergänzend kann man das Scannen von IPSec-Paketen an- und ausknipsen. Generell kann IPSec jetzt auch mit pre-shared Keys umgehen, die ein Komma beinhalten.
Startvorgang und Paket-Updates
Die übrigen Änderungen sind eher marginal: So pflastert IPFire während des Bootvorgangs den Bildschirm weniger mit unkritischen Meldungen zu. Auf UEFI-Systemen bietet der Installationsassistent die Installation über die (serielle) Konsole an.
Im Hintergrund arbeitet der Linux Kernel 6.6.63, viele zentrale Pakete haben ebenfalls ein Update erfahren. Unter anderem gibt es BIND 9.20.3, Squid 6.12, Suricata 7.0.8 und OpenSSH 9.9p1. Nicht mehr an Bord sind die beiden Pakete „mpfire“ und „lcdproc“. Beide hatten nur wenige Nutzer und werden derzeit nicht aktiv weiterentwickelt. Abschließend hat das IPFire-Team einige kleinere Fehler ausgemerzt.
Ausblick
Die IPFire-Entwickler bereiten derzeit die Unterstützung von WiFi 7 vor. In der aktuellen IPFire-Version führt das zu kleineren Anpassungen. Unter anderem sucht IPFire automatisch nach dem besten Kanal. Einige Teile der Administrationsoberfläche haben die Entwickler zudem überarbeitet.
Anfang nächsten Jahres entfernen sie zudem CUPS aus der Distribution. In Zeiten von Netzwerkdruckern sei das Drucksystem überflüssig geworden, zudem hätten es die ursprünglichen CUPS-Entwickler verwaisen lassen.
Um die Entwicklung ihrer Distribution weiterhin finanzieren zu können, führen die IPFire-Entwickler über Weihnachten eine Spendenkampagne durch. Spenden lässt sich dabei jeder beliebige Betrag.
