开发团队 IPFire 推出 Core 193 更新至版本 2.29这是加强这一流行的基于 Linux 的防火墙发行版的安全性的重要一步。作为持续关注适应新兴威胁的一部分,新版本加入了对 后量子密码学 在连接中 IPsec VPN,此外还进行了一系列旨在保持系统性能和可靠性的技术改进。
此更新遵循核心更新 192 并且代表了防范未来网络攻击(尤其是那些可能利用量子计算能力的攻击)的重大进步。因此,集成能够抵抗此类技术的算法已成为致力于保持网络安全前沿的 IPFire 开发人员的首要任务。
后量子密码学:IPsec 隧道的全新保护层
IPFire 2.29 核心更新 193 的主要新功能是 在其 IPsec 隧道中原生包含后量子加密。具体来说,基于模块网络的密钥封装机制,即ML-KEM(基于模块格的密钥封装机制),已经实现。该算法的开发考虑到了未来攻击者可能拥有能够破解传统密码学的量子计算机的情况。
此新功能会在所有新配置的隧道上自动激活。,还可以使用美国国家标准与技术研究院 (NIST) 批准的现代算法,例如 Curve448、Curve25519、RSA-4096 和 RSA-3072。此外,拥有现有隧道的用户可以从高级设置页面更新其设置以采用此技术。
IPFire 128 Core 2.29 中的深度加密算法回顾和 AES-193 移除
以安全为首要, 默认加密算法列表已修改。 IPFire 现在在 GCM 和 CBC 模式下对 AES-256 以及 ChaCha20-Poly1305 进行标准化。在这种情况下,AES-128 已从默认配置中完全删除,因为与 256 位相比,它更容易受到攻击。
开发人员认为,大多数现代硬件都包含 AES 操作加速功能,因此 AES-256 可以实现与 AES-128 类似的性能,但具有更高级别的保护。这一变化代表了该项目政策向基于预防和主动的安全模式的演变。
基础系统更新:库、工具和性能
系统核心在编译工具和性能方面也得到了显著的改进。。新功能包括在其 2.41 版本和 GNU Binutils 2.44 中包含 GNU C 库(glibc),这使得可以为最新硬件生成更高效、更优化的代码。这不仅提高了整体性能,而且增强了系统的运行安全性。
另外, 已纳入固件和微码更新 以减轻已知漏洞(例如 INTEL-SA-01213)以及影响现代系统完整性的其他问题。这些措施虽然对最终用户不可见,但却直接影响 IPFire 保护的网络环境的可靠性。
其他重要变化:DNS-over-TLS、视觉改进和错误修复
默认服务列表 已扩展至包含对 DNS-over-TLS 的原生支持,从而加强了 DNS 查询的隐私性,防止外部窃听或操纵。由于序列号不正确而导致主机 IPsec 证书更新失败的错误也已修复,该错误可能会对企业环境造成重大挑战。
关于用户界面, 防火墙组部分已进行了视觉改进,部分感谢 Stephen Cuka 等社区贡献者的贡献。这些类型的变化虽然很小,但有助于改善日常用户体验并使网络管理员更容易管理规则。
最后, Abuse.ch 之前包含的 C2 命令和服务器阻止列表已被删除,因为该服务已停止。这一决定减少了对未维护的外部数据源的依赖,增强了 IPFire 生态系统的一致性。
IPFire 2.29 Core 193 中更新的应用程序和附加软件包
为了保持与最新技术的兼容性,已经更新了几个关键软件包。其中包括 阿帕奇2.4.63, StrongSwan 6.0.0 y 鱿鱼 6.13,基于代理或VPN服务器的复杂网络场景的必备组件。此外,我们还改进了多个附加组件,重点突出了新版本的 高可用性代理 3.1.2, Git 2.48.1 y Samba 4.21.4.
这些更新不仅提供了新功能,还修复了现有的错误,并确保生产环境可以继续运行而不会出现旧版本出现的问题。
IPFire 团队借此机会感谢全球社区的持续合作,无论是通过代码贡献、错误报告还是同行支持。正如开源项目的典型情况一样,积极的用户参与对于发布如此全面的版本至关重要。
IPFire 2.29 Core Update 193 现已可从该项目的官方网站下载。。这些文件有 ISO 和 USB 映像格式,我们建议尽快安装它们以利用改进功能并维护可应对最新威胁的安全环境。
面对日益复杂的网络安全形势,此次新版本强化了 IPFire 不断发展的承诺。凭借其对 后量子密码学、内部技术改进以及对细节的关注,用户社区可以使用更强大的工具来应对当前和未来的挑战。