サイバーニュース.jp

世界のサイバーなニュースを配信

OPNsense 25.7.11 がホストディスカバリ機能でネットワーク可視性を強化

カテゴリ:

OPNsense 25.7.11 リリース:ネットワーク可視性の向上と新機能

OPNsenseチームは、2026年1月20日にバージョン25.7.11をリリースし、ネットワーク監視とポリシー制御を大幅に強化するネイティブのホストディスカバリサービスを導入しました。このアップデートは、接続されたデバイスの可視性を深め、ファイアウォール全体でのポリシー制御をより厳密にします。

ホストディスカバリサービスの導入

25.7.11の目玉機能は、hostwatchコンポーネントを基盤とする新しいホストディスカバリサービスです。これにより、接続されたネットワーク上のIPv4およびIPv6ホストのMACアドレスが自動的に解決され、記憶されるようになります。この情報は、ファイアウォールにおけるMACアドレスベースのエイリアスやキャプティブポータルクライアントなど、主要なサブシステムに活用されます。結果として、管理者はネットワーク上に存在するデバイスについて、より正確でタイムリーな情報をレイヤー2で把握できるようになります。MACアドレス駆動のファイアウォールルールは、常に更新されるネイバー情報に依存できるようになり、キャプティブポータルのワークフローも時間の経過とともにクライアントデバイスをより確実に追跡できるようになります。このサービスはデフォルトで有効ですが、より厳密なプライバシー管理や手動制御を希望するユーザーは、設定で自動ディスカバリをオフにすることでオプトアウトできます。

IPv6関連の改善

OPNsenseの伝統通り、このホリデー期間中には多数のIPv6関連の改善が施されました。本リリースには、IPv6アドレスの寿命管理、ルーターアドバタイズメント処理、IPv6トラフィックに対するDivertおよびpfの挙動に関する複数のカーネルレベルの修正が含まれています。

注目すべき新機能と強化点

  • ネットワーク発見:ホストディスカバリサービスによるネイティブMACアドレス解決。hostwatchコンポーネントを介してIPv4/IPv6のMACアドレスを自動的に解決および記憶します。
  • MACエイリアス:ファイアウォールMACエイリアスが、静的なエントリではなくライブのホストディスカバリデータを使用するようになりました。
  • カーネルIPv6:アドレス寿命管理に関する修正(pltime/vltimeの期限切れチェックとプレフィックス寿命の更新)。
  • ルーターアドバタイズメント:rtsoldがスクリプトをトリガーする前にRA寿命をチェックするようになりました。
  • DHCPv6クライアント:26.1での主要なdhcp6cアップデートに向けた基盤が整備されました。
  • ISC-DHCPの廃止:ISC-DHCPがコアから削除され、プラグインベースのアーキテクチャに移行。開発バージョンではプラグインが利用可能です。
  • システムセキュリティ:システム、バックエンド、認証スクリプト全体でexec()呼び出しが削減され、安全な実行が強化されました。
  • 証明書管理:既存の証明書からDNS Subject Alternative Namesが適切に記入されるようになりました。
  • ファイアウォール自動化:ICMPタイプがプロトコルがICMPの場合にのみ表示され、ICMPv6の複数選択オプションが追加されました。
  • キャプティブポータル:ARPテーブル監視にホストディスカバリサービスをデフォルトで使用するようになりました。
  • OpenVPN:クライアントエクスポートの強化(検索機能の追加、アーカイブエクスポートの修正、exec()使用の削減)。
  • Unbound:ポリシーごとのクイックアクションの追加、エイリアスの参照カウンター、UIレイアウトの修正など、レポートと管理機能が改善されました。
  • Suricata IDS:最新の脆弱性修正を含むSuricata 8.0.3に更新されました。
  • FRRプラグイン:os-frr 1.50によりルーティングプロトコルの改善と修正がもたらされました。
  • NDPプロキシ:os-ndp-proxy-go 1.3によりIPv6ネイバーディスカバリが改善されました。
  • Telegraf:os-telegraf 1.12.14にプラグインの更新とバグ修正が含まれました。
  • カーネルネットワーク:netlinkサブシステムでのバッファ管理の修正、pfファイアウォールでのIPv6 divertパケット処理の修正、netmapでのメモリ割り当てパラメータ設定が可能になりました。

将来の展望:26.1リリースに向けて

今回の変更は、今後の26.1リリースに向けた基盤を築くものであり、26.1ではより大規模なdhcp6cのアップデートも予定されています。また、25.7.11はOPNsenseコアからのISC-DHCPの段階的な削除を引き続き進めています。代替プラグインは開発ブランチを通じてすでに利用可能であり、自動インストールされるはずです。管理者は、新しいスタックに再起動する前に、プラグインが存在することを確認することが推奨されます。OPNsenseによると、26.1-RC1は来週初めに、RC2はその後すぐにリリースされ、最終的な26.1リリースは1月28日を目標としています。

その他の改良とセキュリティ更新

ホストディスカバリとIPv6の改善に加え、25.7.11は広範な洗練と強化ももたらしています。ファイアウォールは、自動化におけるICMP/ICMPv6処理の改善、ポートエイリアスチェックの簡素化、MACエイリアスへのディスカバリデータの直接統合を実現しました。キャプティブポータルの処理は、インターフェースからの不正なJSON出力に対してより堅牢になりました。コアサービスでは、強化された証明書処理、システムおよびIPsecコンポーネントでのより安全な実行パス、OpenVPNクライアントエクスポートの修正と検索、Unboundのレポートおよびオーバーライド管理におけるいくつかの利便性向上が見られます。MVCフレームワークとUIも、パフォーマンスと一貫性の調整を受けました。セキュリティ監視面では、ポートツリーがSuricataを8.0.3に更新しました。これは、複数の脆弱性に対処し、IDS/IPS展開の安定性と精度を向上させるセキュリティ重視のリリースです。

元記事: https://gbhackers.com/opnsense-25-7-11-enhances-network-visibility-with-host-discovery-feature/

投稿をさらに読み込む