OPNsenseチームは新年の幕開けとしてバージョン25.7.11をリリースし、注目すべきネットワーク強化を提供しました。接続デバイスの可視性を深め、ファイアウォール全体でのポリシー制御を強化する、ネイティブのホスト検出サービスです。
ネイティブのホスト検出によりネットワークの可視性が向上します。25.7.11の目玉機能は、hostwatchコンポーネント上に構築された新しいホスト検出サービスです。
接続されたネットワーク全体で、IPv4およびIPv6ホストのMACアドレスを自動的に解決し、記憶します。
この情報は、ファイアウォールのMACベースのエイリアスやキャプティブポータルのクライアントなど、主要なサブシステムに公開されます。
実運用では、管理者はネットワーク上にどのデバイスが存在し、それらがレイヤー2でどのように識別されているかについて、より正確でタイムリーな把握が可能になります。
MAC駆動のファイアウォールルールは、継続的に更新される近隣ホストのビューに基づいて運用できるようになります。同時に、キャプティブポータルのワークフローでは、クライアントデバイスを時間の経過とともにより確実に追跡できます。
このサービスはデフォルトで有効ですが、より厳格なプライバシー重視や手動制御の運用を望むユーザーは、設定で自動検出をオフにして無効化できます。
これにより、ホームラボから厳格なエンタープライズ環境まで、多様な運用モデルに合わせた機能となっています。
OPNsenseの伝統どおり、休暇期間は一連のIPv6改善の提供に充てられました。
本リリースには、IPv6アドレスのライフタイム処理、ルーター広告の処理、IPv6トラフィックに対するdivertおよびpfの挙動に関する、複数のカーネルレベルの修正が含まれています。
新機能
| 機能カテゴリ | コンポーネント | 新機能 | 説明 |
| ネットワーク検出 | ホスト検出サービス | ネイティブのMACアドレス解決 | hostwatchコンポーネントにより、IPv4/IPv6のMACアドレスを自動的に解決して記憶 |
| ネットワーク検出 | MACエイリアス | 動的MACデータ統合 | ファイアウォールのMACエイリアスが静的エントリではなく、ライブのホスト検出データを使用 |
| IPv6スタック | カーネルIPv6 | アドレスライフタイム管理 | pltime/vltimeの期限切れチェックとプレフィックスのライフタイム更新を修正 |
| IPv6スタック | ルーター広告 | RAライフタイム検証 | rtsoldがスクリプトをトリガーする前にRAライフタイムをチェックするように |
| IPv6スタック | DHCPv6クライアント | 基盤整備 | 26.1での大規模なdhcp6c更新に向けた下準備 |
| コア移行 | ISC-DHCPの削除 | プラグインベースのアーキテクチャ | ISC-DHCPをコアから削除中。開発版ではプラグインが利用可能 |
| システムセキュリティ | 安全な実行 | exec()呼び出しの排除 | システム、バックエンド、認証スクリプト全体で多数のexec()呼び出しを削除 |
| 証明書管理 | トラストストア | DNS SANの保持 | 既存の証明書からDNS Subject Alternative Namesを適切に反映 |
| ファイアウォール自動化 | ICMP処理 | プロトコル認識オプション | プロトコルがICMPの場合のみICMPタイプを表示。ICMP6の複数選択オプションを追加 |
| キャプティブポータル | クライアント追跡 | ホスト検出の統合 | ARPテーブル監視にデフォルトでホスト検出サービスを使用 |
| VPNサービス | OpenVPN | クライアントエクスポート強化 | 検索機能を追加、アーカイブエクスポートを修正、exec()使用を削減 |
| DNSサービス | Unbound | レポートと管理 | ポリシーごとのクイックアクション、エイリアスの参照カウンタ、UIレイアウト修正を追加 |
| 監視 | Suricata IDS | セキュリティ更新の統合 | 最新の脆弱性修正を含むSuricata 8.0.3へ更新 |
| ルーティング | FRRプラグイン | プロトコル強化 | os-frr 1.50でルーティングプロトコルの改善と修正を提供 |
| IPv6プロキシ | NDPプロキシ | 基盤更新 | os-ndp-proxy-go 1.3がIPv6近隣探索の改善を提供 |
| 監視 | Telegraf | メトリクス収集の更新 | os-telegraf 1.12.14にプラグイン更新とバグ修正を含む |
| カーネルネットワーク | netlinkサブシステム | バッファ管理の修正 | リニアバッファ内の既存データの上書きを防止し、ifnetへの直接アクセスを回避 |
| カーネルネットワーク | pfファイアウォール | IPv6 divertパケット処理 | IPv6 divertパケットの処理とip_divert_ptrテストを修正 |
| カーネルネットワーク | netmap | メモリアロケータ制御 | メモリアロケータのパラメータをloader.confで設定可能に |
インターフェース処理は、複数のアドレスライフタイムが存在する場合により長いライフタイムを優先するよう強化され、「sharednet」のチューニングを適切なsysctlへ移行し、PPPチェックを洗練しました。
これらの変更は、今後の26.1リリースに向けた基盤を整えるもので、同リリースではより大規模なdhcp6c更新も提供される予定です。
同時に、25.7.11はOPNsenseコアからのISC-DHCPの段階的な削除も継続しています。
代替プラグインはすでに開発ブランチで利用可能で、同ブランチでは自動インストールされるはずです。管理者は、新しいスタックで再起動する前に、それが存在することを確認するよう推奨されます。
OPNSenseによると、26.1-RC1は来週初めに予定されており、RC2がその後まもなく続き、最終版の26.1リリースは引き続き1月28日を目標としています。
ファイアウォール、サービス、そしてセキュリティスタック全体にわたる改善。ホスト検出とIPv6に加え、25.7.11は幅広い磨き込みと堅牢化の変更をもたらします。
ファイアウォールは、自動化におけるICMP/ICMPv6処理の改善、ポートエイリアスチェックの簡素化、そしてMACエイリアス向けの検出データとの直接統合を獲得しました。
キャプティブポータルの処理は、インターフェースからの不正なJSON出力に対してより堅牢になりました。
コアサービスでは、証明書処理の強化、システムおよびIPsecコンポーネントにおけるより安全な実行経路、OpenVPNのクライアントエクスポート修正と検索機能、Unboundのレポートおよびオーバーライド管理における複数の利便性向上など、使いやすさと安全性の改善が行われています。
MVCフレームワークとUIにも、パフォーマンスと一貫性に関する調整が加えられています。
セキュリティ監視の面では、portsツリーがSuricataを8.0.3へ更新します。これは複数の脆弱性に対処し、IDS/IPS導入における安定性と精度を向上させる、セキュリティ重視のリリースです。
翻訳元: https://gbhackers.com/opnsense-25-7-11-enhances-network-visibility-with-host-discovery-feature/
