Je maakt hier een claim zonder link naar een bron waar dit beschreven is. Kun je die misschien eens posten?

volgens werkt dit zo voor vele routers en is pfsense hier verre van uniek in.

Wellicht een zou config file checker een oplossing zijn, die de config xml files checkt of vreemde commando's

Tja, bij het ontwerp van een restore-functionaliteit moet je keuzes maken hoe je bijzondere setup door de beheerder laat doen. De minimale restore (alleen de settings van je eigen UI opslaan) is veilig (mits parametercontrole) maar minder gebruikersvriendelijk dan een functionaliteit waarbij je ook scripts genereert voor setup van externe code (kernel parameters, etc.) zodat een volledige restore als een enkele actie uitgevoerd kan worden. Maar dat heeft de risico's die de originele poster beschrijft.

Mitigatie van dat risico: kopieer de settings dump naar een ander systeem (altijd een goed idee) en gebruik deze backup bij een restore van de firewall.

Dit is al lang opgelost in nieuwere versies. Het is cruciaal om pfSense te updaten naar de laatste stabiele versie (CE 2.7.1+ of Plus 23.09+) om deze kwetsbaarheden te dichten. Daarnaast wordt aangeraden om de SSH-toegang te beperken en de integriteit van back-upbestanden te controleren.

Maar dit is het punt met alle soorten OS'en: bijblijven met software-updates.

Man man. Wat verwacht je nou ?

"backup van systeem met backdoor maken" , "backup terugzetten" , "backdoor is ook terug" .

En dan denk je dat iets ontdekt hebt of zo ?

Toch jammer.... Dat je geen enkel bron of link plaatst bij je punt.

Toch jammer.....


Maar bedoel je niet bij een restore? Je praat over back, maar met een firmware herinstallatie en poef..... Zou icm een restore van je data moeten zijn?

Toch jammer dat je alleen een claim doet, zonder enige onderbouwing.

Maar als je een backup kan aanpassen, want ik denk dat je bedoelt? En je hebt toegang tot de backups, kan je natuurlijk ook gewoon direct de backup file aanpassen, een XML file, die een bepaalde taak uitvoert met shell codes, toch?

Toch jammer, dat je "groot nieuws" wil posten, maar eigenlijk niets verteld met enige onderbouwing.

Toch jammer.

Als dit je reactie is en je weet ervan dan is het zaak om je eigen plan te trekken hoe e.e.a. veiliger te maken er zijn ten slotte genoeg opties in en rond pfsense.

De bron is: https://cyberpress.org/critical-pfsense-firewall-flaws/#google_vignette
Maar zoals al hierboven aangegeven is dit euvel verholpen in versie (CE 2.7.1+ of Plus 23.09+)

Gedoe om niks dit.

Waarom zou je trouwens op een thuisfirewall SSH openzetten aan de buitenkant. Kun je nu echt niet even buiten je firewall als je een uurtje in de kroeg zit?

Zoals bijv. TOTP op je admin account?

pfsense maakt uberhaubt geen sense als je BSD gebruiker bent en liever PF gebruikt.
Als ik de config file(s) heb, heb ik wel voldoende backup.
In menig geval wordt dat sowieso elders gegenereerd.
Waarom zou je uberhaubt backups van enig OS maken?

Maargoed, de claim dat pfsense geen sense maakt -omdat mensen het op een bepaalde manier zouden kunnen gebruiken- is nogal erg enorm overdreven doordraverij, vind je zelf ook niet een beetje?

Je doet hier een hoop aannames, geeft geen bronnen. En geeft aan dat pFsense ergens op heeft geantwoord? Ook zonder bron.

Deze problemen die je beschrijft waren in oudere versies, je hebt in je pFsense doosje een update knop. Gebruik die en lees de changes eens door. Dan zul je zien dat dit probleem al lang verholpen is.

Maargoed, in ander nieuws; ik denk, maar ik weet het niet zeker. Maar ik denk, dat de chinesen nu meeluisteren.
Heb gewoon zon gevoel..

Als ik de link lees, heb ik nu ook wel zo iets, van wat voor een sense maakt dit TS topic precies?

Er zat een bug in, maar nu ook weer niet van wereldproblemen. Is voornamelijk als je toegang hebt tot de public key, kan je de backups ook verkloten die opgeslagen zijn in de cloud.

Tja... Als je root toegang hebt tot een server, kan je inderdaad een hoop ellende veroorzaken.

Dit topic is een beetje, toch jammer.

En volgens mij zijn er ondertussen een hoop PFSense gebruikers allang overgestapt op OPNSense.

Ik weet niet wie die link gepost heeft maar dat was niet tp. Het probleem zit nog steeds in 2.8.x, heeft niets met google te maken.

Punt was dat pfsense vindt dat wanneer hackers binnen zijn hun verantwoordelijkheid stopt maar na besmetting wil je herinstalleren en backups terugzetten. Maar backups bij pfsense voeren vis php gewoon commando’s uit als root.
En wat is dat voor generatie z onzin dat er links moeten zijn voordat iets waar is? Een link is gewoon een andermans bericht, net zo waar of net zo’n onzin.

Nu, ik vraag mij af waarom jij vind dat het een verantwoordelijkheid van PFsense is.

Kennelijk maak je alleen een backup van je config files + OS, anders kunnen er geen ongeachte exploit meekomen in je backup. Het is in het kader van een disaster recovery altijd beter om je OS te halen van de bron, in dit geval pfsense en alleen je configuratiebestanden te restoren.

PFsens is namelijk niet verplicht om van al zn gebruikers ook het OS binnen de backup te patchen na een gevonden kwetsbaarheid. Het eerste wat je doet nadat je het OS (vanuit PFsense) weer hebt geïnstalleerd is je root wachtwoord aanpassen. Voor wat betreft algehele security hygiene is inderdaad bekend dat een wachtwoord alleen niet meer voldoende is, maar dat minimaal 2FA word gevraagd. PFsense voldoet hier al aan sinds 2020.

Zoals ik er tegen aankijk heb je gewoon niet heel veel verstand van disaster recovery. Dat kan, maar geef dan niet PFsense de schuld.

En die generatie z gaat er niet zomaar vanuit dat een gebruiker hier ineens de Holy rail heeft ontdekt en wil meer context, in de vorm van de bron + link. Terecht blijkt nu maar weer.

Het is ook zo jammer, dat er totaal geen informatie is.

Maar zo jammer, ben jij TS?

Je claimt een hoop, maar bewijst weinig?

Maar heb je het nu over backup of restores?

En ik snap nu nog steeds niet wat het probleem is......