Vége a Hackathonnak

OpenBSD

Vége a mondhatni immáron hagyományos, évente megrendezésre kerülő OpenBSD Hackathonnak.A c2k2 OpenBSD Hackathonnak nevezett esemény május 9-től 21-ig tartott és ezúttal is Calgaryban rendezték meg. A happeningen az OpenBSD fejlesztők jelennek meg, hogy személyes kontaktus révén fejlesszék kedvenc operációs rendszerüket.

Idén több problémát is le kellett küzdeniük, hiszen mint arról mi is beszámoltunk, a DARPA UPENN-en keresztüli támogatását megvonták, így a helyszín kifizetése egy ideig megoldhatatlannak tűnt. Úgy tűnik sikerült :)

Az esemény OpenBSD pf-et érintő részéről Daniel Hartmeier számolt be. Kivonat Daniel leveléből:

"The hackathon[1] is over, here's a brief summary of the pf related work
that was done in Calgary this year:

  • Packet tagging. Filter rules can attach arbitrary tags to packets
    during rule set evaluation ("tag packets coming in on $int_if as
    SAFE") and filter based on packet tag ("pass on $ext_if if
    tagged SAFE"). This has many useful applications, we'll need to
    come up with same good examples for the man page and FAQ.
  • TCP scrubbing and normalization extentions.
  • SYN proxy. Protect (servers) against spoofed SYN floods by doing
    a handshake with the client before replaying the server handshake.
    No packet gets forwarded to the server before the client completed
    the handshake (which it can't, if the source address was spoofed).
  • Adaptive timeouts. Timeout values can be scaled by the number of
    state table entries. Prevents filling up the the state table by
    reducing the timeout values as the table grows.
  • Small fixes for things that didn't work properly before
    (return-icmp, 'other' protocols).

    Ryan McBride is still working on code that keeps per-IP counters in the
    kernel, which will be useful to limit connections per source address or
    do queueing or accounting per host."

    Az egyik talán legérdekesebb a SYN proxy, amely funkcionalitás megtalálható a Cisco PIX tűzfalaiban is. Ez lehetővé teszi, hogy a TCP három utas kézfogását a tűzfal játszhassa le a védett géphez kapcsolódó klienssel és előbbi csak akkor kapjon csomagot, ha a kapcsolat ténylegesen fel is épült. Ez meggátolja, hogy a hamis címről érkező SYN elárasztás jellegű támadások elérjék a szervereket, az megakad a tűzfalnál.

    Az elborult arcú fejlesztőkről készült képeket Daniel weblapján lehet megtekinteni...

    Kapcsolódó oldalak:

    c2k3 - OpenBSD Hackathon

    OpenBSD pf

    OpenBSD: A DARPA megvonta a támogatást