IPFire è una distribuzione GNU/Linux open source progettata per funzionare come firewall e router, garantendo una protezione efficace contro le minacce informatiche che evolvono costantemente. Inizialmente sviluppata come un derivato del progetto IPCop, IPFire ha preso spunto da alcune delle sue funzionalità, ma è stata successivamente riscritta da zero utilizzando Linux From Scratch a partire dalla versione 2, migliorando la flessibilità e la capacità di adattamento del sistema.
La distribuzione si avvale del framework Netfilter per l’ispezione dei pacchetti di rete, offrendo 2 modalità principali: stateless e stateful. La modalità stateless analizza ciascun pacchetto individualmente, senza tener conto della connessione o della sequenza di trasmissione, verificando parametri essenziali come indirizzi IP, porte e protocolli. Questo approccio rapido è ideale per applicazioni semplici, ma offre un controllo limitato sulle interazioni complesse. La modalità stateful, invece, tiene traccia dello stato delle connessioni, analizzando i pacchetti all’interno del contesto della comunicazione. Grazie a questa capacità, è possibile rilevare anomalie, come pacchetti estranei o tentativi di intrusione, garantendo una sicurezza più avanzata.
Per semplificare le configurazioni, IPFire offre una console di gestione basata sul web, che consente agli amministratori di personalizzare facilmente il sistema e di monitorarne il funzionamento con precisione.
La versione precedente, IPFire 2.29 Core Update 192, è stata pubblicata l’11 marzo 2025 con diversi miglioramenti. Con il rilascio della versione IPFire 2.29 Core Update 193 il 9 aprile 2025, sono state introdotte novità importanti, tra cui il supporto alla crittografia post-quantistica per i tunnel IPsec.
Novità in IPFire 2.29 Core Update 193
IPFire 2.29 Core Update 193 rappresenta un importante passo avanti per la piattaforma, integrando una serie di innovazioni e perfezionamenti che potenziano la sicurezza, l’efficienza e la compatibilità del sistema. Tra le novità più rilevanti troviamo il supporto alla crittografia post-quantistica, un aggiornamento pensato per proteggere le comunicazioni sensibili dalle future minacce dei computer quantistici. Sono stati introdotti nuovi cifrari predefiniti. Il toolchain, un insieme di strumenti software essenziali utilizzati per compilare, assemblare e collegare il codice sorgente, trasformandolo in un programma eseguibile, è stato aggiornato. Inoltre, questa versione porta con sé il supporto a DNS-over-TLS e miglioramenti estetici che arricchiscono l’interfaccia utente. Infine, sono state implementate correzioni di bug e vari aggiornamenti.
Supporto alla crittografia post-quantistica
Una delle novità più importanti introdotte nella nuova versione IPFire 2.29 Core Update 193 è l’implementazione della crittografia post-quantistica nei tunnel IPsec (abbreviazione di IP Security), una tecnologia progettata per proteggere le comunicazioni sensibili contro le minacce che potrebbero emergere con lo sviluppo dei futuri computer quantistici.
Un tunnel IPsec funziona incapsulando i pacchetti IP originali all’interno di un nuovo pacchetto crittografato, che viene trasmesso tra 2 punti di connessione, come gateway o dispositivi finali. Questo processo garantisce che i dati siano protetti da intercettazioni e modifiche durante il loro percorso. IPsec utilizza algoritmi di crittografia avanzati per nascondere il contenuto dei pacchetti e protocolli di autenticazione per verificare l’identità dei dispositivi coinvolti nella comunicazione.
I tunnel IPsec sono spesso impiegati per creare reti private virtuali (VPN), permettendo agli utenti di accedere in modo sicuro a risorse aziendali o personali su Internet. Grazie alla loro capacità di proteggere sia la riservatezza che l’integrità dei dati, i tunnel IPsec sono una soluzione fondamentale per garantire la sicurezza delle comunicazioni in ambienti moderni e complessi.
Questo aggiornamento si basa sul meccanismo di incapsulamento delle chiavi basato su lattice (ML-KEM), che utilizza tecniche matematiche avanzate per garantire una sicurezza superiore nella gestione delle chiavi crittografiche.
Questa funzionalità è abilitata di default per tutti i nuovi tunnel IPsec e supporta una gamma di algoritmi crittografici, tra cui Curve448, Curve25519, RSA-4096 e RSA-3072, insieme a diversi algoritmi approvati dal NIST (National Institute of Standards and Technology) un’agenzia governativa degli Stati Uniti che si occupa di sviluppare e promuovere standard, misurazioni e tecnologie per migliorare la sicurezza, l’innovazione e la competitività industriale, che utilizzano curve ellittiche.
Aggiornamenti ai cifrari predefiniti
La lista dei cifrari predefiniti per i nuovi tunnel nella versione IPFire 2.29 Core Update 193 è stata aggiornata per garantire maggiore sicurezza e prestazioni ottimizzate. Tra i cifrari inclusi troviamo AES-256 (Advanced Encryption Standard), un algoritmo di crittografia simmetrica ampiamente utilizzato per proteggere i dati sensibili. AES-256 può essere configurato nelle modalità GCM (Galois/Counter Mode), che combina crittografia e autenticazione per garantire la sicurezza e l’integrità dei dati, o CBC (Cipher Block Chaining), che opera in blocchi, rendendo efficace la protezione di grandi quantità di informazioni.
Un’altra novità è l’introduzione del cifrario ChaCha20-Poly1305 come opzione predefinita. Questo algoritmo combina il cifrario ChaCha20, noto per la sua velocità e robustezza, con il codice di autenticazione Poly1305, che verifica l’integrità dei dati. La combinazione è particolarmente adatta a scenari in cui la velocità e l’efficienza sono prioritarie, come nei dispositivi con risorse limitate o in reti con alta latenza.
Il cifrario AES-128, precedentemente incluso, è stato rimosso dalla lista poiché considerato meno sicuro rispetto ad AES-256. Sebbene AES-128 richieda meno risorse, AES-256 offre un livello di protezione superiore, sfruttando l’accelerazione hardware disponibile sulla maggior parte dei dispositivi moderni.
Miglioramenti al toolchain
IPFire 2.29 Core Update 193 introduce un aggiornamento significativo al toolchain, che comprende l’integrazione della GNU C Library (glibc) nella sua versione 2.41 e di GNU Binutils nella versione 2.44. Il toolchain, ovvero l’insieme di strumenti essenziali per la compilazione e l’elaborazione del codice sorgente, è una componente fondamentale per lo sviluppo e l’ottimizzazione dei sistemi.
L’aggiornamento di glibc, la libreria standard del linguaggio di programmazione C, garantisce una maggiore compatibilità con le tecnologie moderne e introduce miglioramenti nella gestione delle risorse di sistema. L’integrazione di GNU Binutils, un insieme di strumenti per la creazione, il controllo e la gestione di file binari, offre un codice più efficiente e ottimizzato, sfruttando al meglio le funzionalità offerte dagli hardware di nuova generazione.
Questi aggiornamenti rappresentano un passo avanti per migliorare le prestazioni generali del sistema, assicurando una maggiore stabilità e una migliore efficienza operativa.
Supporto DNS-over-TLS e miglioramenti estetici
IPFire 2.29 Core Update 193 introduce il DNS-over-TLS come servizio predefinito, una funzionalità progettata per garantire una maggiore sicurezza e privacy nelle comunicazioni DNS. DNS-over-TLS cripta le richieste e le risposte DNS, impedendo che possano essere intercettate o alterate da terze parti. Il DNS (Domain Name System) è il sistema che traduce i nomi di dominio leggibili dall’uomo, come www.example.com, in indirizzi IP numerici, che sono comprensibili per i computer, consentendo la connessione ai server corretti. Tradizionalmente, le richieste DNS vengono trasmesse in chiaro, esponendole al rischio di essere intercettate o manipolate da terze parti, come hacker o enti non autorizzati. Questo può compromettere sia la sicurezza che la privacy degli utenti. Il DNS-over-TLS, introdotto come servizio predefinito nella nuova versione di IPFire, risolve questa criticità crittografando le richieste e le risposte DNS. La crittografia garantisce che i dati trasmessi siano protetti, impedendo che possano essere letti o modificati durante il loro percorso.
Oltre a questa novità, sono stati implementati miglioramenti estetici nella pagina dedicata ai gruppi firewall, ottimizzando l’interfaccia per renderla più chiara e intuitiva. Questi interventi sono stati pensati per facilitare il lavoro degli amministratori di sistema, migliorando l’accessibilità delle configurazioni e semplificando la gestione dei gruppi di regole.
Correzioni di bug e aggiornamenti
IPFire 2.29 Core Update 193 risolve diversi problemi:
- Correzione di un errore nel numero seriale che impediva il rinnovo del certificato host IPsec.
- Rimozione della blocklist Botnet C2 obsoleta fornita da abuse.ch.
- Risoluzione di vulnerabilità legate ai prodotti Intel (INTEL-SA-01166, INTEL-SA-01139, INTEL-SA-01228 e INTEL-SA-01194).
Inoltre, sono stati aggiornati numerosi componenti e add-on per migliorare la stabilità e la sicurezza complessiva della piattaforma.
Per maggiori dettagli sulle modifiche incluse nell’aggiornamento IPFire 2.29 Core Update 193, leggere la pagina dell’annuncio della versione.
Installazione e aggiornamento
IPFire 2.29 Core Update 193 è disponibile per il download come immagine ISO o USB dal sito ufficiale di IPFire, in testa alla pagina dell’annuncio ufficiale.
Gli utenti che utilizzano una versione precedente di IPFire possono aggiornare il sistema senza la necessità di effettuare una reinstallazione completa. Per procedere, è richiesto l’accesso alla console di gestione web tramite un browser, con i permessi di amministratore adeguati. Nella sezione Pakfire, il gestore dei pacchetti integrato nella distribuzione, viene visualizzato l’elenco degli aggiornamenti disponibili. Tra questi, è possibile selezionare la versione IPFire 2.29 Core Update 193 e avviare il processo di aggiornamento.
Fonte: https://www.ipfire.org/blog/ipfire-2-29-core-update-193-released
Source: Read More
