Software::Kernel
Linux: Portknocking direkt im Kernel?
Geht es nach dem Willen dreier Entwickler, so soll der als Portknocking bekannte Mechanismus der Server- und Systemabsicherung nun direkt in den Kernel eingebunden werden. Entsprechende Patches sind bereits erstellt, doch von den Kernel-Entwicklern noch nicht akzeptiert worden.
Larry Ewing
Portknocking (»Port-Anklopfen«) stellt ein Verfahren dar, um einzelne Serverdienste oder einen kompletten Server abzusichern. Wie bereits der Name suggeriert, muss der Anwender zuvor an den Server »anklopfen«, damit er Zugang zu einem vorher festgelegten Serverdienst oder Port erhält. Die Kommunikation auf dem gewünschten Port wird dabei zunächst von einer Firewall vollständig abgeblockt. Sendet der Anwender ein Klopfzeichen – beispielsweise in Form von mehreren SYN-Paketen mit einem zuvor vereinbartem Inhalt – »öffnet« ein Mechanismus den entsprechenden Port für den Anwender. Der Vorteil des Verfahrens ist, dass ein Angreifer ohne die Kenntnis der zuvor vereinbarten Abfolge der Zeichen von außen auch mit einem Port-Scanner nicht erkennen kann, ob ein bestimmter Serverdienst eingeschaltet wurde.
Wie nun Maurice Leclair, Julian Kirsch und Christian Grothoff vorgeschlagen haben, soll der Linux-Kernel ohne Hilfe von Fremdsystemen in der Lage sein, Portknocking direkt zu unterstützen. In einem Patch implementieren die Entwickler das Verfahren und stellten es auf der Mailingliste des Kernel-Projektes vor.
Wie auch in anderen Projekten sieht die Idee vor, dass Server nicht auf TCP SYN-Requests antworten, bevor sie eine Anklopfsequenz erreicht hat. Im Gegensatz zu anderen Lösungen will die Kernel-Implementierung allerdings eine komplett »geräuschlose« Kommunikation erreichen. Demnach soll sie Sequenz nicht erst durch beispielsweise ein UDP-Paket, sondern durch eine bestimmte Sequenz im SQN-Feld des initialen TCP SYN-Packets initiiert werden. Wird ein Paket empfangen, dessen Sequenz nicht stimmt, wird es bereits im Kernel verworfen. Der Nachteil der Lösung ist allerdings die begrenzte Größe des Feldes. So sei es durchaus machbar, das 32 Bit-Feld mittels einer Brute-Force-Attacke zu erraten.
Ob die Änderung tatsächlich in den Kernel aufgenommen wird, steht noch nicht fest. Es ist durchaus vorstellbar, dass die Entwickler auf bereits existierende Lösungen im Userland verweisen und die Implementierung verwerfen. Bisher hat sich allerdings noch kein Kernel-Hacker zu der Neuerung geäußert.
){kind=small}
