Abo
  • Services:

Betriebssysteme: Linux 4.18 bringt die Grundlage für eine neue Firewall

Mit Linux 4.18 kommt der Berkely Packet Filter als Ersatz für Netfilter erheblich voran. Lustre fliegt raus, ein umstrittener Verschlüsselungsalgorithmus der NSA kommt vermutlich nur vorübergehend rein und die Sicherheitslücke Spectre macht den Kernel-Hackern weiterhin Arbeit.

Artikel von veröffentlicht am
Linux 4.18 schafft die Grundlage für eine neue Firewall.
Linux 4.18 schafft die Grundlage für eine neue Firewall. (Bild: Jason Auch/CC-BY 2.0)

Die Erweiterung Bpfilter des Berkley Paket Filters (BPF) soll langfristig die veraltete Firewall Netfilter ersetzen, die inzwischen für die steigenden Übertragungsraten in Netzwerken zu langsam geworden ist. In Linux 4.18, dessen finale Version von Linux-Chef Linus Torvalds freigegeben wurde, ist dafür eine wesentliche Funktion eingebaut worden. Das eigentlich ausgereifte verteilte Dateisystem Lustre wurde kurzerhand aus dem Kernel entfernt, weil die Entwickler ihre Änderungen nicht in den offiziellen Kernel-Code einpflegen. Benutzer ohne Root-Rechte dürfen künftig sämtliche Dateisysteme über FUSE einbinden, was vor allem für Container wichtig ist. Und ein umstrittener Verschlüsselungsalgorithmus der NSA darf mit wesentlichen Dateisystemen genutzt werden. Allerdings dürfte der Speck genannte Algorithmus bald wieder entfernt werden.

Inhalt:
  1. Betriebssysteme: Linux 4.18 bringt die Grundlage für eine neue Firewall
  2. Lustre ist raus, Namespace mit FUSE kommt rein
  3. Kaum Änderungen bei Grafiktreibern, umstrittene NSA-Verschlüsselung

Ganz lassen die Sicherheitslücken Spectre und Meltdown die Entwickler noch nicht los. Für die beiden Spectre-Versionen V1 und V2 gibt es jetzt auch Patches für 32-Bit-ARM-Prozessoren. Zudem wurde weiterer Code gegen Spectre V1 abgesichert. Mit Speculative Store Bypass Disable (SSDB), das bereits in Linux 4.17 Einzug hielt, dort aber nur mit Intel-CPUs funktioniert, gibt es Gegenmaßnahmen gegen Spectre V4. Diese Lücke ermöglicht unter bestimmten Umständen das Auslesen eines Zeigers, auch wenn die Vorhersage durch die CPU noch nicht verifiziert wurde. In Linux 4.18 gibt es den Patch jetzt auch für AMD- und ARM64-Prozessoren. Diese Patches funktionieren jedoch nur mit aktualisierten Versionen der jeweiligen Firmware.

Wesentlicher Schritt für den Netfilter-Ersatz

Viel Arbeit haben die Linux-Hacker in die Erweiterung Bpfilter für den Berkley Packet Filter gesteckt. Wie ein Artikel bei LWM.net erläutert, steckt in der Entwicklung des Bpfilter-Mechanismus die Motivation, beispielsweise das Filtern von Netzwerkpaketen zu beschleunigen und langfristig das bislang verwendete Netfilter zu ersetzen, das inzwischen bei stetig steigenden Übertragungsraten zu langsam geworden ist. Bpfilter hält Einzug in den aktuellen Kernel und schafft zunächst die Grundlage für ein beschleunigtes Filtersystem, unter anderem auch deshalb, weil BPF Pakete direkt an dem Empfang durch die Hardware über den Express Data Path (XDP) verarbeiten kann, um sie dann erst an den Netzwerkstack des Kernels weiterzuleiten.

Eine der Hürden, die überwunden werden mussten, war die Interaktion mit dem User-Space und die damit einhergehenden Sicherheitsbedenken, wenn mit einfachen Benutzerrechten erstellte Filterregeln im Kontext des Kernels laufen sollen. Denn der Plan, Bpfilter einfache Iptables-Regeln zu übergeben und in für den Just-In-Time-Compiler des BPF - den es mit Linux 4.18 auch für 32-Bit-x86-Systeme gibt - umzuwandeln, erfordert eben die Interaktion zwischen Benutzer und Kernel.

Stellenmarkt
  1. PENTASYS AG, München, Frankfurt am Main, Nürnberg, Stuttgart, Düsseldorf
  2. Endress+Hauser InfoServe GmbH+Co. KG, Weil am Rhein

Dafür haben die Entwickler die sogenannten User-Mode-Blobs entworfen. Sie können einfach als Objekte erstellt werden und mit dem Modul Bpfilter.ko verlinkt werden. Damit kann der einen neuen Prozess und entsprechende Pipes erstellen, über die die Kommunikation mit dem Prozess stattfindet. Code, etwa ein Paketfilter, wird in das temporäre Dateisystem Tmpfs kopiert und dort auch ausgeführt.

Mehr als nur ein Paketfilter

Bpfilter steht noch am Anfang. Es gibt zwar bereits einen entsprechenden Paketfilter, der wurde in Linux 4.18 jedoch noch nicht umgesetzt, vor allem weil der Code der User-Mode-Blobs zunächst noch getestet werden muss. Langfristig dürfte aber genau diese Funktion weitreichender genutzt werden als nur in einem Paketfilter. Der Maintainer David Miller läutete den Patch mit den Worten ein: "Lasst den Wahnsinn beginnen."

Auch an anderer Stelle wurden Neuerungen am Berkley Paket Filter umgesetzt. Mit dem AF_XDP-Subsystem gelingt es künftig, BPF-Anwendungen im Benutzerkontext den Zero-Copy-Mechanismus im Netzwerk-Stack zu verwenden, der ebenfalls in Linux 4.18 hinzugekommen ist. Durch das einfache Setzen eines Zeigers zum entsprechenden Code im Puffer wird so aufwendiges Kopieren umgangen. Eine weitere Neuerung bringt die Möglichkeit für BPF-Programme an einem Socket den Aufruf sendmsg() zu verwenden. Damit können die Programme beispielsweise IP-Adressen in ausgehenden Netzwerkpaketen umschreiben, wie es etwa beim Network Address Translation (NAT) verwendet wird.

Besonders bei WLAN-Verbindungen kann es bei Versenden von sogenannten SACK-Pakten (TCP Selective Acknowledgement) zu Staus kommen. Solche Pakete werden dann verschickt, wenn TC-Pakete nicht sequenziell beim Empfänger ankommen und nochmals bestätigt werden müssen. Ab Linux 4.18 werden sie zunächst verzögert und anschließend komprimiert versendet, wenn nötig.

Lustre ist raus, Namespace mit FUSE kommt rein 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. 32,25€ (5% Extra-Rabatt mit Gutschein GRCCIVGS (Uplay-Aktivierung))
  2. (-72%) 16,99€
  3. (u. a. Life is Strange Complete Season 3,99€, Deus Ex: Mankind Divided 4,49€)
  4. 5,99€

brutos 14. Aug 2018

Hat Bohlen ein Lied vom Sommerloch? Lieber so: https://www.google.de/search?q=sommerloch...

brutos 14. Aug 2018

"Äußerst umstritten sind die Verschlüsselungsalgorithmen Speck und Simon vor allem...


Folgen Sie uns
       


Super Tux Kart im LAN angespielt

Super Tux Kart läuft jetzt auch im LAN und WAN.

Super Tux Kart im LAN angespielt Video aufrufen
Honor View 20 im Test: Schluss mit der Wiederverwertung
Honor View 20 im Test
Schluss mit der Wiederverwertung

Mit dem View 20 weicht Huawei mit seiner Tochterfirma Honor vom bisherigen Konzept ab, altgediente Komponenten einfach neu zu verpacken: Das Smartphone hat nicht nur erstmals eine Frontkamera im Display, sondern auch eine hervorragende neue Hauptkamera, wie unser Test zeigt.
Ein Test von Tobias Költzsch

  1. Huawei Honor View 20 mit 48-Megapixel-Kamera kostet ab 570 Euro
  2. Huawei Honor 10 Lite mit kleiner Notch kostet 250 Euro
  3. Huawei Honor View 20 hat die Frontkamera im Display

Raumfahrt: Aus Marzahn mit der Esa zum Mond
Raumfahrt
Aus Marzahn mit der Esa zum Mond

Die Esa versucht sich an einem neuen Ansatz: der Kooperation mit privaten Unternehmen in der Raumforschung. Die PT Scientists aus Berlin-Marzahn sollen dafür bis 2025 einen Mondlander liefern.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt Die Nasa will schnell eine neue Mondlandefähre
  2. Chang'e 4 Chinesische Sonde landet auf der Rückseite des Mondes
  3. Raumfahrt 2019 - Die Rückkehr des Mondfiebers?

Marsrover Opportunity: Mission erfolgreich abgeschlossen
Marsrover Opportunity
Mission erfolgreich abgeschlossen

15 Jahre nach der Landung auf dem Mars erklärt die Nasa das Ende der Mission des Marsrovers Opportunity. Ein Rückblick auf das Ende der Mission und die Messinstrumente, denen wir viele neue Erkenntnisse über den Mars zu verdanken haben.
Von Frank Wunderlich-Pfeiffer

  1. Mars Insight Nasa hofft auf Langeweile auf dem Mars
  2. Astronomie Flüssiges Wasser auf dem Mars war Messfehler
  3. Mars Die Nasa gibt den Rover nicht auf

    •  /