Abo
  • IT-Karriere:

Betriebssysteme: Linux 4.18 bringt die Grundlage für eine neue Firewall

Mit Linux 4.18 kommt der Berkely Packet Filter als Ersatz für Netfilter erheblich voran. Lustre fliegt raus, ein umstrittener Verschlüsselungsalgorithmus der NSA kommt vermutlich nur vorübergehend rein und die Sicherheitslücke Spectre macht den Kernel-Hackern weiterhin Arbeit.

Artikel von veröffentlicht am
Linux 4.18 schafft die Grundlage für eine neue Firewall.
Linux 4.18 schafft die Grundlage für eine neue Firewall. (Bild: Jason Auch/CC-BY 2.0)

Die Erweiterung Bpfilter des Berkley Paket Filters (BPF) soll langfristig die veraltete Firewall Netfilter ersetzen, die inzwischen für die steigenden Übertragungsraten in Netzwerken zu langsam geworden ist. In Linux 4.18, dessen finale Version von Linux-Chef Linus Torvalds freigegeben wurde, ist dafür eine wesentliche Funktion eingebaut worden. Das eigentlich ausgereifte verteilte Dateisystem Lustre wurde kurzerhand aus dem Kernel entfernt, weil die Entwickler ihre Änderungen nicht in den offiziellen Kernel-Code einpflegen. Benutzer ohne Root-Rechte dürfen künftig sämtliche Dateisysteme über FUSE einbinden, was vor allem für Container wichtig ist. Und ein umstrittener Verschlüsselungsalgorithmus der NSA darf mit wesentlichen Dateisystemen genutzt werden. Allerdings dürfte der Speck genannte Algorithmus bald wieder entfernt werden.

Inhalt:
  1. Betriebssysteme: Linux 4.18 bringt die Grundlage für eine neue Firewall
  2. Lustre ist raus, Namespace mit FUSE kommt rein
  3. Kaum Änderungen bei Grafiktreibern, umstrittene NSA-Verschlüsselung

Ganz lassen die Sicherheitslücken Spectre und Meltdown die Entwickler noch nicht los. Für die beiden Spectre-Versionen V1 und V2 gibt es jetzt auch Patches für 32-Bit-ARM-Prozessoren. Zudem wurde weiterer Code gegen Spectre V1 abgesichert. Mit Speculative Store Bypass Disable (SSDB), das bereits in Linux 4.17 Einzug hielt, dort aber nur mit Intel-CPUs funktioniert, gibt es Gegenmaßnahmen gegen Spectre V4. Diese Lücke ermöglicht unter bestimmten Umständen das Auslesen eines Zeigers, auch wenn die Vorhersage durch die CPU noch nicht verifiziert wurde. In Linux 4.18 gibt es den Patch jetzt auch für AMD- und ARM64-Prozessoren. Diese Patches funktionieren jedoch nur mit aktualisierten Versionen der jeweiligen Firmware.

Wesentlicher Schritt für den Netfilter-Ersatz

Viel Arbeit haben die Linux-Hacker in die Erweiterung Bpfilter für den Berkley Packet Filter gesteckt. Wie ein Artikel bei LWM.net erläutert, steckt in der Entwicklung des Bpfilter-Mechanismus die Motivation, beispielsweise das Filtern von Netzwerkpaketen zu beschleunigen und langfristig das bislang verwendete Netfilter zu ersetzen, das inzwischen bei stetig steigenden Übertragungsraten zu langsam geworden ist. Bpfilter hält Einzug in den aktuellen Kernel und schafft zunächst die Grundlage für ein beschleunigtes Filtersystem, unter anderem auch deshalb, weil BPF Pakete direkt an dem Empfang durch die Hardware über den Express Data Path (XDP) verarbeiten kann, um sie dann erst an den Netzwerkstack des Kernels weiterzuleiten.

Eine der Hürden, die überwunden werden mussten, war die Interaktion mit dem User-Space und die damit einhergehenden Sicherheitsbedenken, wenn mit einfachen Benutzerrechten erstellte Filterregeln im Kontext des Kernels laufen sollen. Denn der Plan, Bpfilter einfache Iptables-Regeln zu übergeben und in für den Just-In-Time-Compiler des BPF - den es mit Linux 4.18 auch für 32-Bit-x86-Systeme gibt - umzuwandeln, erfordert eben die Interaktion zwischen Benutzer und Kernel.

Stellenmarkt
  1. Hays AG, Frankfurt am Main
  2. Wirecard Technologies GmbH, Aschheim bei München

Dafür haben die Entwickler die sogenannten User-Mode-Blobs entworfen. Sie können einfach als Objekte erstellt werden und mit dem Modul Bpfilter.ko verlinkt werden. Damit kann der einen neuen Prozess und entsprechende Pipes erstellen, über die die Kommunikation mit dem Prozess stattfindet. Code, etwa ein Paketfilter, wird in das temporäre Dateisystem Tmpfs kopiert und dort auch ausgeführt.

Mehr als nur ein Paketfilter

Bpfilter steht noch am Anfang. Es gibt zwar bereits einen entsprechenden Paketfilter, der wurde in Linux 4.18 jedoch noch nicht umgesetzt, vor allem weil der Code der User-Mode-Blobs zunächst noch getestet werden muss. Langfristig dürfte aber genau diese Funktion weitreichender genutzt werden als nur in einem Paketfilter. Der Maintainer David Miller läutete den Patch mit den Worten ein: "Lasst den Wahnsinn beginnen."

Auch an anderer Stelle wurden Neuerungen am Berkley Paket Filter umgesetzt. Mit dem AF_XDP-Subsystem gelingt es künftig, BPF-Anwendungen im Benutzerkontext den Zero-Copy-Mechanismus im Netzwerk-Stack zu verwenden, der ebenfalls in Linux 4.18 hinzugekommen ist. Durch das einfache Setzen eines Zeigers zum entsprechenden Code im Puffer wird so aufwendiges Kopieren umgangen. Eine weitere Neuerung bringt die Möglichkeit für BPF-Programme an einem Socket den Aufruf sendmsg() zu verwenden. Damit können die Programme beispielsweise IP-Adressen in ausgehenden Netzwerkpaketen umschreiben, wie es etwa beim Network Address Translation (NAT) verwendet wird.

Besonders bei WLAN-Verbindungen kann es bei Versenden von sogenannten SACK-Pakten (TCP Selective Acknowledgement) zu Staus kommen. Solche Pakete werden dann verschickt, wenn TC-Pakete nicht sequenziell beim Empfänger ankommen und nochmals bestätigt werden müssen. Ab Linux 4.18 werden sie zunächst verzögert und anschließend komprimiert versendet, wenn nötig.

Lustre ist raus, Namespace mit FUSE kommt rein 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

brutos 14. Aug 2018

Hat Bohlen ein Lied vom Sommerloch? Lieber so: https://www.google.de/search?q=sommerloch...

brutos 14. Aug 2018

"Äußerst umstritten sind die Verschlüsselungsalgorithmen Speck und Simon vor allem...


Folgen Sie uns
       


Remnant from the Ashes - Test

In Remnant: From the Ashes sterben wir sehr oft. Trotzdem ist das nicht frustrierend, denn wir tun dies gemeinsam mit Freunden. So macht der Kampf in der Postapokalypse gleich mehr Spaß.

Remnant from the Ashes - Test Video aufrufen
IMHO: Porsche prescht beim Preis übers Ziel hinaus
IMHO
Porsche prescht beim Preis übers Ziel hinaus

Die technischen Werte der beiden elektrischen Porsche Taycan-Versionen sind beeindruckend. Viele werden sie als "Tesla-Killer" bezeichnen. Doch preislich peilt Porsche damit eine extrem kleine Zielgruppe an: Ein gut ausgestatteter Turbo S kostet 214.000 Euro.
Ein IMHO von Dirk Kunde

  1. Gaming Konsolenkrieg statt Spielestreaming
  2. IMHO Valve, so geht es nicht weiter!
  3. Onlinehandel Tesla schlägt Kaufinteressenten die Ladentür vor der Nase zu

Galaxy Fold im Hands on: Samsung hat sein faltbares Smartphone gerettet
Galaxy Fold im Hands on
Samsung hat sein faltbares Smartphone gerettet

Ifa 2019 Samsungs Überarbeitungen beim Galaxy Fold haben sich gelohnt: Das Gelenk wirkt stabil und dicht, die Schutzfolie ist gut in den Rahmen eingearbeitet. Im ersten Test von Golem.de haben wir trotz aller guten Eindrücke Bedenken hinsichtlich der Kratzempfindlichkeit des Displays.
Ein Hands on von Tobias Költzsch

  1. Orbi AX6000 Netgears Wi-Fi-6-Mesh-System ist teuer
  2. Motorola Tech 3 Bluetooth-Hörstöpsel sind auch mit Kabel nutzbar
  3. Wegen US-Sanktionen Huawei bringt Mate 30 ohne Play Store und Google Maps

How to von Randall Munroe: Alltagshilfen für die Nerd-Seele
How to von Randall Munroe
Alltagshilfen für die Nerd-Seele

"Ein Buch voll schlechter Ideen" verspricht XKCD-Autor Randall Munroe mit seinem neuen Werk How to. Es bietet einfache Anleitungen für alltägliche Aufgaben wie Freunde zu finden. Was kann bei dem absurden Humor des Autors schon schief gehen? Genau: Nichts!
Eine Rezension von Sebastian Grüner


      •  /