La llegada de IPFire 2.29 – Core Update 200 marca un antes y un después en la evolución de esta distribución de firewall y router de código abierto. Se trata de una actualización de gran calado que introduce un kernel moderno, refuerza la seguridad, optimiza el rendimiento de red y renueva una amplia colección de paquetes y complementos. Además, suma tecnologías de última generación como WiFi 7 y soporte avanzado para descubrimiento de red. Este artículo sintetiza las principales novedades, su impacto operativo y las consideraciones para administradores que se apoyan en IPFire para proteger redes domésticas y empresariales.

Nuevo kernel y cambios de plataforma

Uno de los pilares de este lanzamiento es la actualización del kernel: la rama principal de IPFire pasa a Linux 6.18.x LTS. Este movimiento trae mejoras de seguridad, rendimiento y compatibilidad de hardware, con correcciones de estabilidad y parches que reducen la latencia y optimizan el filtrado de paquetes en entornos de alto tráfico o con reglas complejas de firewall y NAT. Además, se introducen mitigaciones ante vulnerabilidades de hardware recientes, reforzando la protección de infraestructuras críticas.

En paralelo, se ha tomado la decisión de retirar el soporte al sistema de archivos ReiserFS. Dado que el kernel ha marcado ReiserFS como obsoleto, IPFire apuesta por sistemas de archivos admitidos como ext4 o XFS. Si una instalación existente usa ReiserFS, se recomienda planificar una reinstalación limpia para aplicar Core Update 200 correctamente. La noticia se ha comunicado con antelación en la interfaz de administración, de modo que los usuarios estén preparados para este cambio.

IPFire DBL: la nueva lista de bloqueo de dominios

Tras la desaparición de la fuente Shalla, IPFire ha desarrollado su propia lista de bloqueo de dominios: IPFire DBL. Aunque se encuentra aún en fase beta temprana, ya está disponible para ser usada en dos puntos clave del sistema: el filtro de URL del proxy y la integración con Suricata (IPS). En el proxy, IPFire DBL sirve como fuente de dominios a bloquear para impedir el acceso a categorías no deseadas, mientras que en Suricata permite generar reglas basadas en la base de datos para bloquear conexiones hacia dominios prohibidos, incluso cuando el tráfico no transita por el proxy.

La base de datos está en crecimiento y se anima a la comunidad a probarla, reportar problemas y aportar mejoras. El objetivo es ofrecer una lista de bloqueo robusta y actualizada que se integre de forma eficiente en el ecosistema de IPFire.

Mejoras en el sistema de prevención de intrusiones (IPS)

El IPS basado en Suricata recibe cambios orientados a rendimiento, fiabilidad y calidad de los informes. Entre las mejoras, se ofrece la capacidad de eliminar automáticamente firmas no utilizadas para evitar que el caché crezca de forma descontrolada, manteniendo un arranque rápido sin comprometer el almacenamiento a largo plazo. El módulo de informes (suricata-reporter) se ha enriquecido: para alertas relacionadas con DNS, HTTP, TLS o QUIC, ahora se incluye información adicional como el nombre de host, lo que facilita la investigación de incidentes desde correos electrónicos, PDFs e interfaces de gestión.

Además, se ha implementado un proceso vigilante que supervisa el IPS y lo reinicia ante caídas inesperadas. Se ha optimizado la gestión de tráfico marcado como whitelist para que no pase por el IPS, aumentando el rendimiento. También se ha añadido la capacidad de inspeccionar tráfico IPsec siempre que transcurra por interfaces configuradas. En la interfaz web del IPS se introduce un nuevo gráfico de rendimiento que muestra el caudal procesado por tres categorías: tráfico escaneado, tráfico en listas blancas y tráfico bypass, proporcionando una visión clara para afinar políticas de seguridad.

OpenVPN: cambios en configuración y autenticación

El módulo OpenVPN de IPFire ahora permite que los ficheros de configuración de cliente dejen de incluir un valor MTU fijo; el servidor empujará la MTU adecuada al cliente, simplificando la administración y dejando de lado posibles desajustes con clientes antiguos. En cuanto a la autenticación de dos pasos con OTP, el token de un solo uso se envía desde el servidor cuando el cliente tiene OTP habilitado, centralizando la gestión de credenciales temporales.

Las configuraciones de cliente ya no incrustan la CA fuera del contenedor PKCS#12, para evitar duplicidades al importar conexiones desde herramientas como NetworkManager. En la vertiente roadwarrior, se advierte cuando se emplean cifrados legacy y se permiten empujar múltiples servidores DNS y WINS a los clientes. El servidor OpenVPN pasa a funcionar siempre en modo multi-home, garantizando respuestas coherentes ante múltiples interfaces. También se corrigen fallos en la ruta personalizada inicial y se mejora la autenticación OTP cuando se quedan atascadas las operaciones.

Por último, se elimina la directiva auth-nocache de las configuraciones de cliente, ya que su efecto real era mínimo y generaba una falsa sensación de seguridad. Estos cambios sitúan a OpenVPN en IPFire en línea con prácticas modernas y simplifican la experiencia de administración.

WiFi 7 y WiFi 6: un salto generacional en redes inalámbricas

Entre las novedades más destacadas se encuentra la plena explotación de WiFi 7 (802.11be) y WiFi 6 (802.11ax) para el rol de punto de acceso. El soporte cubre 802.11be y 802.11ax, además de las opciones ya existentes 802.11ac/agn, con capacidades para canales de hasta 320 MHz y rendimientos que, en condiciones ideales, superan varias decenas de gigabits por segundo. IPFire detecta automáticamente las capacidades avanzadas del hardware y habilita las funciones correspondientes (MU-MIMO, canales anchos, etc.), simplificando la gestión para redes densas.

En entornos con clientes que aún usan WPA2 o WPA1, IPFire ofrece la posibilidad de emplear SHA-256 en el proceso de autenticación para fortalecer el handshake. Por defecto se activa la protección de SSID con 802.11w, dificultando ataques que manipulan la señalización de la red. Además, los paquetes multicast se convierten en unicast cuando la red está compuesta mayoritariamente por clientes modernos, mejorando la eficiencia del uso del aire. Si el hardware lo permite, la detección de radar para DFS se realiza en segundo plano para no interrumpir el servicio WiFi.

La experiencia de administración se mantiene centrada en la simplicidad, aunque la mayor parte de la magia se hace “detrás de escena”. En dispositivos Lightning Wire Labs que integran IPFire, estas capacidades se activan de forma automática, permitiendo ver mejoras ya desde la primera puesta en marcha.

Soporte para LLDP y Cisco Discovery Protocol

Core Update 200 incorpora de forma nativa LLDP y CDPv2, facilitando la identificación y descubrimiento de dispositivos a nivel de capa 2 en switches y routers conectados. Esta funcionalidad resulta especialmente útil en infraestructuras complejas y facilita la monitorización y la cartografía de topologías con herramientas como Observium u otras soluciones de gestión de red. La activación y configuración se realiza desde la interfaz web, en Red → LLDP, donde se decide en qué interfaces se habilita el protocolo y qué información se comparte.

DNS, PPP y otros servicios base en IPFire 2.29 Core Update 200

El proxy DNS de IPFire, basado en Unbound, recibe un cambio significativo: ahora Unbound lanza un hilo por núcleo de CPU. Este diseño multinúcleo mejora los tiempos de respuesta DNS bajo carga y es especialmente beneficioso en redes con muchos clientes o picos de resolución de nombres.

En conexiones PPP, IPFire ajusta el envío de keep-alives LCP para que se emitan solo cuando no hay tráfico real en la línea, reduciendo la sobrecarga en enlaces móviles y conexiones con datos limitados. En la interfaz de administración se ha unificado la leyenda en la página de DNS para evitar confusiones sobre el estado de los servidores y los modos de resolución configurados.

Proxy web y seguridad reciente

La parte de proxy HTTP/HTTPS ha recibido mejoras de seguridad, incluida una mitigación específica frente a CVE-2025-62168, reforzando la protección sin necesidad de editar manualmente archivos de configuración. Además, se ha corregido una condición de carrera en el proceso de filtrado de URL, que could provocar fallos durante la compilación de las listas. Estas mejoras incrementan la robustez del proxy y reducen las interrupciones durante actualizaciones.

Interfaz web y experiencia de administración

La interfaz de IPFire ha recibido ajustes para mejorar la usabilidad y la corrección de errores. Se solucionó un problema en la sección de firewall que impedía crear nuevos grupos de localización, útil para aplicar reglas por geolocalización. También se han aclarado los mensajes en la sección de vulnerabilidades de hardware cuando SMT no es soportado, y se corrigió un fallo en el módulo de correo que podía afectar credenciales con caracteres especiales al guardarse.

Actualizaciones de seguridad: OpenSSL, glibc y más

En el plano criptográfico, OpenSSL se actualiza a la versión 3.6.1, con un amplio listado de CVEs corregidos (incluyendo CVE-2025-11187 y otros). La biblioteca glibc también recibe parches para CVEs relevantes (como CVE-2026-0861, CVE-2026-0915 y CVE-2025-15281). Estas actualizaciones son cruciales para reducir la superficie de ataque y mantener la compatibilidad de las aplicaciones con las últimas corrientes de seguridad.

Gran actualización de paquetes y componentes básicos

Core Update 200 trae un importante bloque de actualizaciones de paquetes y componentes. Entre los más destacados se encuentran Apache 2.4.66, bash 5.3p9, BIND 9.20.18, coreutils 9.9, curl 8.18.0, dhcpcd 10.3.0, elinks 0.19.0, glib 2.87.0, GnuPG 2.4.9, GnuTLS 3.8.11 y una extensa lista de bibliotecas y herramientas como harfbuzz, hwdata, iana-etc, intel-microcode y libarchive. Paralelamente, se actualizan libcap-ng, libgpg-error, libidn2, libjpeg, libpcap, libpng, libtasn1, liburcu, libxcrypt y otros componentes críticos del sistema y del entorno de ejecución.

En lo que se refiere a complementos, se actualizan y estabilizan herramientas como alsa, ClamAV, dnsdist, fetchmail, hostapd, mpd y Samba, entre otros. Este abanico de actualizaciones aporta mejoras de seguridad, soporte para nuevos protocolos y una mayor compatibilidad con hardware moderno, manteniendo la plataforma segura y estable.

Add-ons destacados: arpwatch, ffmpeg y otros

Entre los add-ons incluidos, ARPWatch se incorpora como nueva herramienta para monitorizar cambios en direcciones MAC y avisar sobre posibles incidencias de red. También se actualiza FFmpeg a la versión 8.0, con recompilería para OpenSSL y la biblioteca LAME, habilitando funciones de streaming seguro y codificación de audio. Otros add-ons que reciben actualizaciones incluyen dnsdist, fetchmail, hostapd, mpd, nano, OpenVMTools, Samba, Tor y tshark, entre otros. En conjunto, estos paquetes aportan mayor funcionalidad, rendimiento y seguridad a la plataforma.

Conclusión

IPFire 2.29 Core Update 200 representa una consolidación de madurez, rendimiento y seguridad para una plataforma de firewall de código abierto. Desde el kernel 6.18.x LTS hasta la integración de IPFire DBL y el avance en WiFi 7/6, pasando por revisiones de IPS, VPN y bibliotecas críticas, esta actualización ofrece un marco sólido para proteger redes modernas y escalables. Quienes ya dependen de IPFire encontrarán en Core Update 200 un salto significativo en visibilidad, control y seguridad, reforzado por un ciclo de mejoras impulsadas por una comunidad activa y un ecosistema de componentes en constante evolución.

from Linux Adictos https://ift.tt/bBtNPfa
via IFTTT