OpenCON 2005

5-6.November ble OpenCON 2005 avviklet i fantastisk omgivelser på San Servolo, en liten øy 10 minutters båttur fra San Marco i Venezia, Italia. I anledning utgivelse av OpenBSD 3.8 og ikke minst 10 års-jubilet for prosjektet, tok også Theo de Raadt seg turen fra Canada for å delta på konferansen.

Konferansen var i stor grad preget av italienere. Men også noen grekere, tyskere, en svensk utvikler samt undertegnede og en tidligere kollega, tok turen. Totalt var det på det meste ca 70 besøkende pluss 12 utviklere på årets OpenCON.

Henning Brauer - core developer
Henning Brauer, en av core-utviklerne på prosjektet hadde et meget interessant innlegg på lørdag: "OpenBSD networking update". Brauer gikk først gjennom nye ting implementert i versjon 3.8 før han tok frem "wanted features"-lista si og fortalte om fremtidige planer for OpenBSD. Jeg kommer ikke til å gå i detaljer på funksjonalitet i 3.8 her, men heller fokusere på fremtidige planer.

Av høydepunkter kan nevnes 'fastpath' og introduksjon av 'states' på andre nivåer i systemet enn bare i den medfølgende brannmuren Packetfilter (PF). 'States' brukes i PF for å holde orden på sesjoner gjennom brannmuren, og gjør at man i stor grad slipper å kjøre en full regelsett evaluering for alle datapakker.

Fastpath introduserer ideen om å kunne kjøre "wirespeed" hastighet på sesjoner gjennom brannmur ved bruk av states. Med andre ord vil hastigheten på etablerte sesjoner gjennom brannmuren begrenses av den fysiske hastigheten på nettverkskortet. Implisitt betyr dette at aktive sesjoner alltid vil prioriteres over nye, og dermed gjøre DOS-angrep nærmest til et ikke-tema.

Dette er forløpig en ide på tegnebrettet som krever store endringer i dagens implementasjon, og Brauer antok at dette ville kreve minst én mann i 3 månder for koding, og minst 6 månders testing og debugging før det var klart for å importeres inn i kodetreet. Personlig håper jeg at dette blir en av de høyest prioriterte oppgavene i nærmeste fremtid, selv om OpenBSD er kjent for ikke å forhaste seg med å inkludere omfattende endringer inn i kodebasen. OpenBSD er i følge Theo de Raadt et system i evolusjon, ikke revolusjon.

En annen endring som er planlagt er tettere integrasjon med ruting-funksjonalitet for PF. I fremtiden vil høyst sannsynlig all eksisterende rutingfunksjonalitet i PF bli kastet ut og heller knyttes opp mot OpenBGPD (og OpenOSPFD).


Stemningsbilde fra OpenCON 2005

Theo de Raadt - project manager
de Raadt gikk i sin forelesning gjennom de viktigste sikkerhetstiltakene i OpenBSD. Han snakket om generelle prinsipper implementert i OpenBSD gjennom de siste versjonene. Tiltak som skal gjøre systemet sikrere og mer stabile - helst uten merkbart tap av ytelse. Fremgangsmåten er å legge til mekanismer
som tvinger utviklere av programvare som kjører på OpenBSD til å skrive "bedre" kode. I stedet for at problemer forbigås i stillhet, skal alle problemer varsles, enten ved kompilering eller run-time. På denne måten håper man å luke ut de fleste og største feil i programmene tilgjengelig for OpenBSD. På kort sikt betyr dette at enkelte programmer ikke vil fungere før feil er rettet opp, men der konsekvensen på sikt er et langt sikrere og mer stabilt system.

Teknologier som W^X, ProPolice, chroot, Stackgap, randomized malloc og mmap-funksjoner - og sist men ikke minst privilege separation og revocation ble forklart. Sånn rent bortsett fra omskrivning av malloc og mmap-funksjoner, er dette teknologi som har vært en del av OpenBSD siden versjon 3.2 eller senere. Jeg har sett tidligere utgaver av denne presentasjonen på web, men noe nytt var lagt til og noe var oppdatert.

Kommentarer (7)

Norges beste mobilabonnement

Mars 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1GB


Jeg bruker middels mye data:

Telio FriBruk 5GB+EU


Jeg bruker mye data:

Komplett MaxiFlex 10GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen