Paketwarteschlangen im Userspace bearbeiten

Fazit

Zusammengefasst ermöglicht »libnetfilter_queue« die schnelle Entwicklung von Firewall- und Filterfunktionen im Userspace. Dadurch haben Entwickler deutlich mehr Werkzeuge, als es im Kernelspace der Fall ist. Unsauberer Code hat auf dieser Ebene keinen Einfluss auf die Systemstabilität: Fehlerhafte Paketbehandlungsprogramme stürzen wie alle anderen Anwendungen mit Programmfehlern ab, reißen aber nicht Teile des Kernels mit sich. Das alles war zwar schon mit dem älteren Queue-Ziel möglich, das aber nur eine einzige Warteschlange einrichten konnte. NFQueue macht dank Tausender Queues den Weg für wesentlich komplexere Anwendungen frei: Dafür sind nur mehrere Programme wie Listing 1 und dazu passende IPtables-Regeln notwendig.

Gegenwärtig ändert sich der Netfilter-Code stark. In absehbarer Zeit wird die NF-Tables-Implementierung [10] IPtables und damit auch das NFQueue-Ziel ablösen. Wie dann Netzwerkpakete im Userspace zu behandeln sind, steht noch nicht fest. (mg/hge)

Infos
[1] Netfilter: [http://www.netfilter.org] [2] Moblock: [http://moblock.berlios.de] [3] Stegan RTP - RTP Covert Channel: [http://steganrtp.sourceforge.net] [4] Iptables-Tutorial: [http://security.maruhn.com/iptables-tutorial] [5] Open-Suse-Pakete: [ftp://ftp.gwdg.de/pub/linux/misc/suser-jengelh/SUSE-11.1/i586/] [6] Dokumentation zu »libnetfilter_queue«: [http://lists.netfilter.org/pipermail/netfilter-devel/2006-February/023286.html] [7] ICMP Type 8, Echo Request: [http://www.networksorcery.com/enp/protocol/icmp/msg8.htm] [8] Simplified Wrapper and Interface Generator (SWIG): [http://www.swig.org] [9] NFQueue-Bindings: [http://software.inl.fr//trac/wiki/nfqueue-bindings] [10] Ankündigung der ersten Release von »nftables«: [http://lwn.net/Articles/324251]

Infos

[1] Netfilter: [http://www.netfilter.org]

[2] Moblock: [http://moblock.berlios.de]

[3] Stegan RTP - RTP Covert Channel: [http://steganrtp.sourceforge.net]

[4] Iptables-Tutorial: [http://security.maruhn.com/iptables-tutorial]

[5] Open-Suse-Pakete: [ftp://ftp.gwdg.de/pub/linux/misc/suser-jengelh/SUSE-11.1/i586/]

[6] Dokumentation zu »libnetfilter_queue«: [http://lists.netfilter.org/pipermail/netfilter-devel/2006-February/023286.html]

[7] ICMP Type 8, Echo Request: [http://www.networksorcery.com/enp/protocol/icmp/msg8.htm]

[8] Simplified Wrapper and Interface Generator (SWIG): [http://www.swig.org]

[9] NFQueue-Bindings: [http://software.inl.fr//trac/wiki/nfqueue-bindings]

[10] Ankündigung der ersten Release von »nftables«: [http://lwn.net/Articles/324251]

Die Autoren
Marcus Nutzinger (oben) und Rainer Poisel sind wissenschaftliche Projektmitarbeiter am Institut für IT-Sicherheitsforschung an der Fachhochschule St. Pölten in Österreich. Dort forschen sie im Rahmen des Projekts "StegIT-2" nach Möglichkeiten, die Einbettung von geheimen Nachrichten in Voice-over-IP-Telefonaten zu verhindern. Im Studiengang IT Security halten die Autoren Lehrveranstaltungen in den Wahlfächern.

Die Autoren

Marcus Nutzinger (oben) und Rainer Poisel sind wissenschaftliche Projektmitarbeiter am Institut für IT-Sicherheitsforschung an der Fachhochschule St. Pölten in Österreich. Dort forschen sie im Rahmen des Projekts "StegIT-2" nach Möglichkeiten, die Einbettung von geheimen Nachrichten in Voice-over-IP-Telefonaten zu verhindern. Im Studiengang IT Security halten die Autoren Lehrveranstaltungen in den Wahlfächern.