BPFilter: Linux-Kernel könnten moderne Firewall wieder verlieren

Der BPFilter ist keine zwei Jahre im Linux-Kernel, könnte aber bald schon wieder verschwinden. Die Technik wird schlicht nicht benutzt.

Artikel veröffentlicht am ,
Wie es mit dem BPFilter weitergeht, ist derzeit unklar.
Wie es mit dem BPFilter weitergeht, ist derzeit unklar. (Bild: Paul Korecky/Flickr.com/CC-BY-SA 2.0)

Dem BPFilter-Subsystem im Linux-Kernel steht eine ungewisse Zeit bevor, da die Kernel-Community derzeit diskutiert, die Technik entweder völlig oder zumindest vorerst wieder aus Linux zu entfernen. Das berichtet das Magazin LWN.net. Offenbar wird das Subsystem und damit im Zusammenhang stehende weitere Techniken von keinem anderen Bestandteil im Kernel verwendet. Ebenso scheint die Technik derzeit nicht so gepflegt zu werden, wie dies eigentlich für Kernel-Technik von der Community erwartet wird.

Stellenmarkt
  1. Product Owner (m/w/d)
    QUNDIS GmbH, Erfurt
  2. Senior Security Consultant (m/w/d)
    NTT Germany AG & Co. KG, Bad Homburg
Detailsuche

Erste Arbeiten an BPFilter wurden Anfang des Jahres 2018 vorgestellt. Dieses dient als Ersatz oder auch Alternative für die andere im Kernel bereits vorhandene Firewall-Technik Nftables und Iptables. Das etwas jüngere Nftables nutzt zur Umsetzung seiner Filterregeln eine virtuelle Maschine (VM), die direkt im Kernel implementiert ist. Der vergleichsweise neue BPFilter nutzt einen ähnlichen Ansatz und greift auf BPF zurück. Dabei handelt es sich um eine inzwischen sehr weit ausgereifte Technik, die unter anderem auch für einen Dtrace-Ersatz für Linux zum Einsatz kommt.

Der BPFilter erschien im Sommer 2018 schließlich mit Linux 4.18. Der wohl wichtigste Bestandteil der Technik ist dabei die Interaktion mit dem User-Space-Blobs oder auch -Helper. Auch diese Idee, also ein spezielles User-Space-Programm, das mit dem Kernel kommuniziert, ist im Grunde nichts Neues. Für BPFilter hatte die Linux-Community jedoch einen neuen Ansatz dafür gewählt. Der Kernel-Entwickler Greg Kroah-Hartman erhoffte sich damals davon, dass dieser so generisch ist, dass schnell auch andere Kernel-Subsysteme die Techniken verwenden könnten.

Dazu kam es in den vergangenen zwei Jahren aber nicht. Stattdessen wurde der Code der Technik kaum verändert oder weiterentwickelt, was nun die Diskussion um eine mögliche Entfernung aus dem Kernel ausgelöst hat. Der stark in die Arbeiten an BPF involvierte Entwickler Alexei Starovoitov widerspricht dem Plan jedoch und zählt auch einige Beispiele auf, in denen BPFilter bereits genutzt wird. Darüber hinaus bekräftigt Kroah-Hartman weiter seinen Plan, die Filter samt User-Mode-Blobs auch für weitere Komponenten im Kernel zu verwenden, unter anderem für den von ihm betreuten USB-Stack. Ob und wann es dazu kommt, ist derzeit jedoch nicht abzusehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


HeroFeat 16. Jun 2020

Zum Beispiel Debian 10 verwendet intern nftables. Du kannst zwar weiterhin iptables...

abufrejoval 16. Jun 2020

eBPF erlaubt deutlich mehr als einfache Filter: Pakete können vollständig umgeschrieben...

rubberduck09 16. Jun 2020

2 Jahre sind nix und wer erwartet dass sich alle sofort mit Eifer auf neue Technologien...

Ofenrohr! 15. Jun 2020

Man kann sich in der sources.lst auch auf einen Mirror mit statischer IP festlegen...



Aktuell auf der Startseite von Golem.de
Silence S04
Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
Artikel
  1. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

  2. Arduino und Python: Bastler nimmt Audiokassette als Speichermedium für Retro-PC
    Arduino und Python
    Bastler nimmt Audiokassette als Speichermedium für Retro-PC

    Die Kassette kann nicht nur Lieder speichern, sondern auch Bitmuster. Ein Bastler baut dafür eine Schnittstelle mit 1,5 KBit/s Datenrate.

  3. Alexa, Siri, Google: Bericht listet von Sprachassistenten gesammelte Daten auf
    Alexa, Siri, Google
    Bericht listet von Sprachassistenten gesammelte Daten auf

    Fünf Sprachassistenten reagieren auf menschliche Kommandos, sammeln aber auch viele Daten über Personen und Geräte - etwa Browserverläufe.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AOC CQ32G2SE/BK 285,70€ • Dell Alienware AW2521H 360 Hz 499€ • Corsair Vengeance RGB PRO SL 64-GB-Kit 3600 253,64€ • DeepCool Castle 360EX 109,90€ • Phanteks Glacier One 240MP 105,89€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. Thermaltake Core P3 TG Snow Ed. 121,89€) [Werbung]
    •  /