Weil ihnen an Nmap einiges nicht gefiel, haben zwei Berliner Entwickler ihren eigenen Portscanner namens Portbunny geschrieben. Dabei gingen sie andere Wege als die Macher des etablierten Tools. Lesen Sie unser ausführliches Interview mit Felix "FX" Lindner und Fabian "Fabs" Yamaguchi.

Für Sicherheitsexperten ist das Portscanning heute eine Standarddisziplin. Sie schätzen hohe Geschwindigkeit, wenn es herauszufinden gilt, welche TCP- oder UDP-Ports ein System oder ein ganzes Netz anbietet. Steigert ein Werkzeug die Geschwindigkeit jedoch zu sehr, kann es zu Paketverlusten im Netzsegment oder bei den getesteten Zielgeräten kommen. Aus diesem Grund ist die Verlässlichkeit eines Scanners ebenso wichtig.

Als Standardlösung für Portscans gilt Nmap, das seit über zehn Jahren von einer großen Entwicklergemeinde um den amerikanischen Sicherheitsexperten Fyodor betreut wird. Gleichzeitig steht Nmap jedoch bei Einigen im Ruf, groß und umständlich zu sein - bei rund 100 Kommandozeilenoptionen kein Wunder.

Aus diesem Grunde haben die zwei Entwickler Felix "FX" Lindner und Fabian "Fabs" Yamaguchi vom Berliner Sicherheitsdienstleister Recurity Labs GmbH das neue Werkzeug Portbunny vorgestellt, das Portscans einfacher und schneller machen soll.

Die Ausgabe 05/2008 des Linux-Magazins (ab 3. April am Kiosk) stellt das Tool in einem Testbericht vor. Bereits jetzt können Sie aber lesen, was die Entwickler der Redaktion über Designziele, Einsatzszenarien und zukünftige Erweiterungen verraten haben.

Gesucht: ein effizienter, vorhersagbarer Scanner

Linux-Magazin: Was hat Euch dazu bewogen, einen neuen Scanner zu entwerfen?

FX: Wir brauchten einen Scanner für den professionellen Einsatz. Recurity Labs ist ein Security-Consulting-Unternehmen und unsere Kunden schätzen effiziente Zeitnutzung. Wichtig ist daher die Vorhersagbarkeit von Scanzeiten, die Möglichkeit von permanenter Interaktion mit dem Scanner-Core sowie ein Scanner, dem man nicht für die Tuning-Parameter vorher sagen muss, wie das Zielnetz aussieht.

Außerdem vertreten wir die Meinung, dass ein Scanner-Core genau eine Sache, nämlich das Scannen richtig machen sollte, sodass man sich auch in der weiteren Entwicklung ausschließlich auf dieses eine Thema konzentrieren kann.

Hinter dem Scanner Portbunny stehen die Entwickler Fabs Yamaguchi (links) und Felix FX Lindner (rechts) von der Recurity Labs GmbH.

Fabs: Besonders die Fähigkeit zur dynamischen Anpassung an das Zielnetzwerk ohne die Notwendigkeit der Scanner-Konfiguration mittels einer Vielzahl von Flags stand bei der Entwicklung im Vordergrund. Timing sollte Sache des Port-Scanners, und nicht Sache des Pen-Testers sein. Die bestehende Nmap-Code-Base an unsere Bedürfnisse anzupassen, erschien uns dabei deutlich aufwändiger als eine Neuentwicklung.

Ab in den Kernelspace

Linux-Magazin: Ihr betont, durch den Einsatz im Kernel lässt sich das Timing feiner festlegen. Welche Methoden nutzt Ihr dazu?

Fabs: Allgemein möchte ich zuerst einmal anmerken, dass die Probleme beim Port-Scanning anders als man vielleicht erwartet in erster Linie algorithmischer und weniger technischer Natur sind. Sicherlich ist es extrem wünschenswert Pakete möglichst effizient verschicken zu können, schließlich wird man eine Menge Pakete verschicken.

Sicherlich ist es auch für die Implementation des Regelungscodes zur Regulierung der Geschwindigkeit sehr vorteilhaft, über den Empfang eines neuen Pakets so früh wie möglich informiert zu werden. Es ist allerdings wichtig zu verstehen, dass technisches "Tweaking" dieser Art nicht den Löwenanteil des Zeitgewinns ausmacht.

Das sehr viel kniffligere und in Hinsicht auf Geschwindigkeit und Zuverlässigkeit entscheidendere Problem ist es, dynamisch die sich ändernde optimale Geschwindigkeit anhand der Reaktionen des Netzwerkes zu bestimmen.

Knifflig ist es deswegen, weil wir anders als die Designer klassischer Mechamismen der Fluss- und Congestion-Kontrolle nur das Verhalten des Senders und nicht das des Empfängers spezifizieren können. Der Empfänger reagiert dann ganz unterschiedlich, und wir müssen dieses Verhalten korrekt interpretieren und entsprechend darauf reagieren.

Die eigentliche sehr verständliche Frage ist doch, wie wir auf die Idee kommen einen Port-Scanner in den Kernel zu bauen. Wo liegen da die Vorteile und was soll das? Die Nachteile liegen schliesslich auf der Hand: Bei einem Absturz blinkt die CAPS-Lock-LED, und der Scanner läuft nur auf einem Linux-System.

Die Entscheidung Portbunny im Kernel-Space zu implementieren ergibt sich direkt aus den Anforderungen an das Tool. Wir möchten ...

• auf möglichst unkomplizierte und effiziente Art und Weise Zugriff auf alle eingehenden und ausgehenden Ethernet-Frames haben,
• so schnell wie nur möglich auf eingehende Frames reagieren können,
• mit präzisen Timern und hoch-aufgelösten Zeitstempeln arbeiten,
• und potenziell bis hin zu den technischen Grenzen optimieren können.

Während diese Anforderungen für Netzwerk-Applikationen des Userspace eher exotisch anmuten, stellen sie für die Implentierungen von Netzwerk-Protokollen von der Sicherungs- bis zur Transportschicht den Regelfall da. Alle diese Umsetzungen finden sich im Kernelspace, der eine genau auf ihre Bedürfnisse zugeschnittene Arbeitsumgebung bereitstellt.

Weil ihnen an Nmap einiges nicht gefiel, haben zwei Berliner Entwickler ihren eigenen Portscanner namens Portbunny geschrieben. Dabei gingen sie andere Wege als die Macher des etablierten Tools. Lesen Sie unser ausführliches Interview mit Felix "FX" Lindner und Fabian "Fabs" Yamaguchi.