Wykorzystanie układów FPGA w implementacji systemów bezpieczeństwa sieciowego typu Firewall

Podobne dokumenty

Badanie właściwości wysokorozdzielczych przetworników analogowo-cyfrowych w systemie programowalnym FPGA. Autor: Daniel Słowik

Literatura. adów w cyfrowych. Projektowanie układ. Technika cyfrowa. Technika cyfrowa. Bramki logiczne i przerzutniki.

WOJEWÓDZTWO PODKARPACKIE

XXXII Olimpiada Wiedzy Elektrycznej i Elektronicznej. XXXII Olimpiada Wiedzy Elektrycznej i Elektronicznej

Wykład 4. Interfejsy USB, FireWire

Urządzenia wejścia-wyjścia

Specyfika projektowania Mariusz Rawski

ARP Address Resolution Protocol (RFC 826)

Mosty przełączniki. zasady pracy pętle mostowe STP. Domeny kolizyjne, a rozgłoszeniowe

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak

Wydajność systemów a organizacja pamięci, czyli dlaczego jednak nie jest aż tak źle. Krzysztof Banaś, Obliczenia wysokiej wydajności.

Sieci Komputerowe Modele warstwowe sieci

Przesyłania danych przez protokół TCP/IP

Architektura komputerów

Wprowadzenie do zagadnień związanych z firewallingiem

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Sprzętowo wspomagane metody klasyfikacji danych

Wykład 6. Ethernet c.d. Interfejsy bezprzewodowe

Podstawy Informatyki DMA - Układ bezpośredniego dostępu do pamięci

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

Architektury akceleratorów kryptograficznych opartych o układy programowalne. Marcin Rogawski

OFERTA. Załącznik nr 1 do zapytania ofertowego: Wzór oferty. Dane oferenta. Pełna nazwa oferenta: Adres:. REGON:.. Tel./fax.: .

Programowanie Układów Logicznych kod kursu: ETD6203. Szczegóły realizacji projektu indywidualnego W dr inż.

Systemy wbudowane. Uproszczone metody kosyntezy. Wykład 11: Metody kosyntezy systemów wbudowanych

Sprzęt komputerowy 2. Autor prezentacji: 1 prof. dr hab. Maria Hilczer

Sieci komputerowe w sterowaniu informacje ogólne, model TCP/IP, protokoły warstwy internetowej i sieciowej

Struktury specjalizowane wykorzystywane w mikrokontrolerach

Architektura komputerów

Architektura Systemów Komputerowych. Rozwój architektury komputerów klasy PC

Wydajność systemów a organizacja pamięci. Krzysztof Banaś, Obliczenia wysokiej wydajności. 1

ZASTOSOWANIA UKŁADÓW FPGA W ALGORYTMACH WYLICZENIOWYCH APPLICATIONS OF FPGAS IN ENUMERATION ALGORITHMS

System mikroprocesorowy i peryferia. Dariusz Chaberski

Praca dyplomowa. Program do monitorowania i diagnostyki działania sieci CAN. Temat pracy: Temat Gdańsk Autor: Łukasz Olejarz

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Architektura komputerów

Wykład 4. Interfejsy USB, FireWire

Ogłoszenie o zamówieniu w trybie przetargu 1

Architektura komputerów

o Instalacja środowiska programistycznego (18) o Blink (18) o Zasilanie (21) o Złącza zasilania (22) o Wejścia analogowe (22) o Złącza cyfrowe (22)

Protokoły sieciowe - TCP/IP

Opracował: Jan Front

ZiMSK. VLAN, trunk, intervlan-routing 1

Wydajność systemów a organizacja pamięci. Krzysztof Banaś, Obliczenia wysokiej wydajności. 1

TEST GPON/1GE. Spis treści:

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Rozdział ten zawiera informacje na temat zarządzania Modułem Modbus TCP oraz jego konfiguracji.

Cyfrowy rejestrator parametrów lotu dla bezzałogowych statków powietrznych. Autor: Tomasz Gluziński

Niniejszy załącznik zawiera opis techniczny oferowanego przedmiotu zamówienia.

Arduino dla początkujących. Kolejny krok Autor: Simon Monk. Spis treści

Zarządzanie infrastrukturą sieciową Modele funkcjonowania sieci

Sieci komputerowe. Wykład 5: Warstwa transportowa: TCP i UDP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Systemy wbudowane. Paweł Pełczyński

RDZEŃ x86 x86 rodzina architektur (modeli programowych) procesorów firmy Intel, należących do kategorii CISC, stosowana w komputerach PC,

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Urządzenia sieciowe. Część 1: Repeater, Hub, Switch. mgr inż. Krzysztof Szałajko

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Wykład 4. Przegląd mikrokontrolerów 16-bit: - PIC24 - dspic - MSP430

Sprzęt komputerowy 2. Autor prezentacji: 1 prof. dr hab. Maria Hilczer

Projektowanie systemów za pomocą języków wysokiego poziomu ESL

Wydajność systemów a organizacja pamięci. Krzysztof Banaś, Obliczenia wysokiej wydajności. 1

Budowa komputera. Magistrala. Procesor Pamięć Układy I/O

LABORATORIUM TECHNIKA CYFROWA. Pamięci. Rev.1.35

PRZYKŁADOWE PYTANIA NA PRÓBNY EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE ZAWODOWE

Systemy macierzowe. www. qsantechnology. com

PROJEKT I OPTYMALIZACJA STRUKTURY LOGICZNEJ DYDAKTYCZNEGO SYSTEMU MIKROPROCESOROWEGO DLA LABORATORIUM PROJEKTOWANIA ZINTEGROWANEGO

URZĄD GMINY W SANTOKU. Program Testów. dot. postępowania przetargowego RRG AC

Plan realizacji kursu

USB interface in 8-bit microcontrollers PIC18F family manufactured by Microchip.

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

PROTOTYPOWANIE UKŁADÓW ELEKTRONICZNYCH Programowalne układy logiczne FPGA Maciej Rosół, Katedra Automatyki AGH,

SPIS TREŚCI Błąd! Nie zdefiniowano zakładki.

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Specyfikacja Techniczna Opis przedmiotu zamówienia

Projekt i implementacja filtra dzeń Pocket PC

OPIS PRZEDMIOTU ZAMÓWIENIA

Instalacja i konfiguracja pakietu iptables

Architektura komputerów. Układy wejścia-wyjścia komputera

Architektura komputerów

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

OPBOX ver USB 2.0 Miniaturowy Ultradźwiękowy system akwizycji danych ze

Ethernet. Ethernet odnosi się nie do jednej, lecz do wielu technologii sieci lokalnych LAN, z których wyróżnić należy cztery podstawowe kategorie:

ELEMENTY SYSTEMU KONTROLI DOSTĘPU

ZAŁĄCZNIK NR 2.14 do zapytania ofertowego SCENARIUSZE TESTOWE

Systemy uruchomieniowe

Architektura Systemów Komputerowych. Bezpośredni dostęp do pamięci Realizacja zależności czasowych

Wydajność programów sekwencyjnych. Krzysztof Banaś Obliczenia Wysokiej Wydajności 1

NAT (Network Address Translation)

poziom: Core wersja: 2.6 moduł: C : Eksploatacja SYLLABUS

Programowanie Układów Logicznych kod kursu: ETD6203 W dr inż. Daniel Kopiec. Pamięć w układach programowalnych

PAMIĘCI SYNCHRONICZNE

Struktury Danych i Złożoność Obliczeniowa

ZP-92/022/D/07 załącznik nr 1. Wymagania techniczne dla routera 10-GIGABIT ETHERNET

AUREA BPM Oracle. TECNA Sp. z o.o. Strona 1 z 7

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

router wielu sieci pakietów

Opis przedmiotu zamówienia - Załącznik nr 1 do SIWZ

POLITECHNIKA WARSZAWSKA Wydział Elektroniki i Technik Informacyjnych. Instytut Telekomunikacji Zakład Podstaw Telekomunikacji

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

Transkrypt:

Grzegorz Sułkowski, Maciej Twardy, Kazimierz Wiatr Wykorzystanie układów FPGA w implementacji systemów bezpieczeństwa sieciowego typu Firewall

Plan prezentacji 1. Architektura Firewall a załoŝenia 2. Punktu optymalizacji wydajności 3. Komunikacja sieciowa, wielościeŝkowość, tory transmisyjne 4. Klasyfikator pakietów 5. Wyniki implementacji 6. Dalsze kierunki prac

Klasyfikacja systemów Firewall

Architektura Firewall a ZałoŜenia projektowe dla sprzętowego Firewall a: 1. DuŜy poziom bezpieczeństwa przetwarzania danych. Sprzętowa realizacja Firewall a niweluje zagroŝenia wynikające z błędów w oprogramowaniu. 2. Maksymalizacja wydajności. Programowy Firewall klasyfikuje pakiety przetwarzając sekwencyjnie tablicę reguł bezpieczeństwa. Jak w tej sytuacji zwiększyć wydajność jego sprzętowej implementacji?

Punkty optymalizacji wydajności 1. Sprzętowa obsługa komunikacji sieciowej 2. WielościeŜkowe przetwarzanie strumieni danych 3. Potokowość 4. Efektywne klasyfikowanie pakietów

Komunikacja sieciowa Dedykowane karty interfejsów sieciowych Sprzętowa obsługa komunikacji w standardzie Ethernet 802.3

WielościeŜkowość NIC karty interfejsów sieciowych MAC moduł sprzętowego kontrolera sieci Ethernet FW moduł klasyfikatora pakietów Router moduł zarządzający trasami ruchu pakietów RAM pamięć reguł bezpieczeństwa

Pojedynczy tor transmisyjny Transmisja pomiędzy urządzeniem źródłowym a docelowym odbywa się w dedykowanym kanale komunikacyjnym. W kaŝdym kierunku transmisji pakiety są analizowane przez oddzielne moduły klasyfikujące (bloki FW).

Potokowość W celu zapewnienia potokowego przetwarzania danych zaimplementowano specjalne mechanizmy buforujące przetwarzane ramki sieciowe

Buforowanie ramek Dane Sygnały sterujące

Buforowanie ramek - implementacja Wyniki implementacji modułu buforującego ramki Zajętość zasobów układowych Virtex II Pro XC2VP30-7 Liczba wykorzystanych elementów Utylizacja procentowa Number of Slices 222 z dostępnych 13696 1% Number of Slice Flip Flops 260 z dostępnych 27392 1% Number of 4 input LUTs 409 z dostępnych 27392 1% Number of BRAMs 70 z dostępnych 136 51% Orientacyjna maksymalna częstotliwość pracy: 350 MHz

Klasyfikacja pakietów Nr. Adres źródłowy Adres docelowy Protokół Port źródłowy Port docelowy 1 * 192.168.0.1 tcp * 21 2 192.168.2.0/24 192.168.0.0/24 * * 5000:5010 3 192.168.0.0/24 192.168.0.5 udp * 53 4 192.168.0.7 192.168.0.6 tcp * 22 5 * * tcp 20 6000:6330

Klasyfikacja pakietów Zwiększenie szybkości klasyfikowania pakietów wymaga zastosowania specjalnych rozwiązań, pozwalających na wykorzystanie potencjału logiki reprogramowalnej. 1. Analiza adresów sieciowych oparta o pamięci TCAM (Ternary CAM). 2. Analiza zakresów portów oparta o drzewa binarne. 3. Proces klasyfikacji wspomagany pamięciami podręcznymi (cache).

Schemat blokowy klasyfikatora

Struktura elementu filtrującego Łańcuch komparatorów zakresów cząstkowych

Filtr adresów sieciowych

Struktura pamięci TCAM Implementacja sprzętowa

Porównanie pamięci TCAM Pamięć TCAM o pojemności 88 bitów x 32 wiersze Układ Virtex II Pro XC2VP30-7 Pamięć TCAM oparta o RAM16X1S Xilinx COREGenerator TCAM Liczba bloków Slice 810 (5%) 1795 (13%) Maksymalna częstotliwość pracy pamięci TCAM Minimalny czas ustalenia sygnału wejściowego przed zmianą zegara Maksymalny czas ustalenia sygnału wyjściowego po zmianie zegara Współczynnik liczby bloków Slice na pojedynczy wiersz TCAM Maksymalna częstotliwość pracy modułu filtrującego 257,7 MHz 130,4 MHz 6,121 ns 7,977 ns 3,293 ns 3,461 ns 25,3 56,1 163 MHz 125 MHz

Klasyfikator - implementacja Wyniki implementacji klasyfikatora pakietów dla 32 reguł Zajętość zasobów układowych Virtex II Pro XC2VP30-7 Liczba wykorzystanych elementów Utylizacja procentowa Number of Slices 2771 z dostępnych 13696 20% Number of Slice Flip Flops 206 z dostępnych 27392 0,7% Number of 4 input LUTs 3360 z dostępnych 27392 12% Number of RAM16X1D 896 - Number of RAM16X1S 704 - Orientacyjna maksymalna częstotliwość pracy: 160 MHz Liczba bloków Slice przypadająca na pojedynczą regułę: 86

Klasyfikator - wydajność Czas trwania weryfikacji pakietu Przełączenie wskaźnika na tor 0 Zakończenie klasyfikacji Zakończenie zapisu do pamięci ramkowej Zgłoszenie deskryptora toru 0 5 taktów zegara sys_clk 3 takty zegara sys_clk CAŁKOWITY CZAS KLASYFIKACJ: 8 taktów zegara sys_clk Całkowity czas weryfikacji pakietu w klasyfikatorze wykorzystującym kolejkowanie Round-Robin wynosi 8 taktów zegara sys_clk. Przy maksymalnej częstotliwości pracy wynoszącej 160 MHz klasyfikator osiąga wydajność 20 mln pakietów na sekundę.

Dalsze kierunki prac Optymalizacja modułu klasyfikatora pakietów 1. Realizacja weryfikacji adresacji sieciowej w oparciu o pamięci TCAM 2. Wykorzystanie drzew binarnych do identyfikacji zakresów portów źródłowych i docelowych 3. Poszukiwanie efektywnego algorytmu pracy pamięci cache wspomagającej proces klasyfikacji 4. Minimalizacja zajętości pamięci: kolejek FIFO buforów ramkowych

Dziękuję za uwagę!