|
|
Akcelerovaný firewall s DPDK
Holubář, Jiří ; Fukač, Tomáš (oponent) ; Vrána, Roman (vedoucí práce)
V dnešní době, kdy téměř každý využívá Internet, je třeba zajistit také zabezpečení provozu na sítích. K tomuto napomáhá firewall. Na některých linkách je ovšem vyžadována vyšší propustnost než na jiných. Tato práce zkoumá možnosti využití knihovny DPDK při implementaci firewallu za účelem dosažení co největší propustnosti.
|
|
|
Implementace jednotky pro obsluhu bootování Intel FPGA
Hak, Tomáš ; Fukač, Tomáš (oponent) ; Matoušek, Jiří (vedoucí práce)
Tato práce se dotýká využití technologie FPGA v oblasti počítačových sítí, konkrétně pro hardwarovou akceleraci zpracování síťového provozu na síťové kartě vyvíjené sdružením CESNET, z. s. p. o. Technologie FPGA je oblíbená zejména díky možnosti snadno rekonfigurovat čip a opravit tak případné chyby či aktualizovat firmware. Práce nejprve pojednává o návrhu a implementaci nové jednotky pro Intel FPGA, která bude schopná komunikovat s externí konfigurační flash pamětí čipu osazeného na výše zmiňované kartě. Dále pak řeší návrh a implementaci softwarového nástroje, který bude umožňovat skrze nově implementovanou firmwarovou jednotku nahrát do flash paměti nová konfigurační data a vynutit si rekonfigurování FPGA čipu pomocí těchto nově nahraných dat. Ke konci práce je funkcionalita nově implementovaného systému otestována v praxi.
|
|
|
Ochrana před DoS útoky s využitím jazyka P4
Vojanec, Kamil ; Fukač, Tomáš (oponent) ; Kučera, Jan (vedoucí práce)
Bakalářská práce se zabývá přepracováním architektury existujícího zařízení pro ochranu před útoky typu DoS (Denial of Service, odepření služby) do prostředí vysokoúrovňového programovacího jazyka P4. Důvodem využití jazyka P4 je usnadnění adaptace funkční části zařízení na měnící se typy útoků. Nově vytvářené zařízení je navrženo jako modulární a umožňuje snadnou modifikaci změnou zapojených komponent. Cílovou platformou pro tuto práci jsou akcelerační karty s FPGA čipy. Výsledkem práce je návrh řady firmwarových modulů pro ochranu před DoS útoky a implementace cílové aplikace sestavené z těchto modulů. Dílčí výsledky práce byly prezentovány na mezinárodní konferenci IEEE ANCS (Symposium on Architectures for Networking and Communication Systems) v září 2019 na University of Cambridge.
|
|
|
System for the Protection against DoS Attacks Using IDS
Mjasojedov, Igor ; Fukač, Tomáš (oponent) ; Kučera, Jan (vedoucí práce)
This bachelor's thesis deals with the use of the Intrusion Detection System in the protection of computer networks against Denial of Service attacks. Suricata is the IDS system chosen for this purpose. The main goal of the thesis is to integrate the Suricata system with the DDoS Protector device. DDoS Protector - DCPro is a security network device, which uses, from a software perspective, DPDK technology for high-speed network traffic processing. Due to this fact, this technology was also integrated into the Suricata system. After this integration, the communication between DDoS Protector and Suricata system was allowed more easily. As a result, two DPDK compatible regimes were created in the Suricata system. The individual regime allows Suricata to process network data directly from the network interface card. The second, integrated regime allows DCPro to send network data to the Suricata system for highly precise analysis, which significantly extends DDoS Protector's attack detection abilities.
|
|
|
Evaluation of rte_flow Network Interface Cards Support
Šuráň, Jakub ; Fukač, Tomáš (oponent) ; Šišmiš, Lukáš (vedoucí práce)
The support of the classifier interface rte_flow significantly differs across various network cards. This bachelor's thesis deals with the process of evaluation of this support. The main goal is to provide tools that can perform evaluation systematically and automatically. Two approaches are used for this purpose. The first one is based on the progressive loading of rte_flow rules into the network card and the collection of supported capabilities from the successful attempts. The results are used for the final summary generation. The second approach verifies that particular rules indeed have expected effects on the packets processed by card. Each of these approaches was then transformed into an executable tool. Both were applied and validated on several network cards by the Intel and NVIDIA manufacturers. Simultaneously, their produced outputs were utilized for the mutual comparison of rte_flow interface support between these network cards.
|
|
|
Sonda pro monitorování aplikačních protokolů
Fukač, Tomáš ; Košař, Vlastimil (oponent) ; Viktorin, Jan (vedoucí práce)
Tato práce se zabývá rozšířením funkcionality Mikrosondy o detekci a filtrování aplikačních protokolů. Mikrosonda je vestavěný systém, který je určen pro monitorování síťových linek o rychlosti 1 Gb /s. Detekce aplikačních protokolů vyžaduje použití technik pro vyhledávání řetězců a vzorů definovaných regulárním výrazem, což jsou operace náročné na výpočetní výkon zařízení. Na základě studia vybraných protokolů (SMTP, POP3, FTP, SIP) a stávající aplikace Mikrosonda byl vytvořen návrh rozšíření, které rozděluje funkcionalitu mezi FPGA a procesor. V FPGA probíhá předzpracování síťového provozu, které spočívá v hledání požadovaných identifikátorů uživatelů a vzorů specifických pro daný protokol. Na procesoru je následně ověřeno, zda se jedná o požadovanou komunikaci. Procesor tedy nemusí zpracovávat celý síťový provoz, ale jen část předvybranou v FPGA. Softwarová část je rozšířena o modul pro analýzu SMTP komunikace, který umožňuje zpracovávat více než 5000 síťových toků za sekundu. Podporu dalších protokolů lze přidat pouhým rozšířením softwarové části.
|
|
|
Flexibilní vyvažovač zátěže s využitím jazyka P4
Šesták, Jindřich ; Fukač, Tomáš (oponent) ; Martínek, Tomáš (vedoucí práce)
V současnosti jsou servery internetových služeb většinou shlukovány do skupin, aby měly dostatečný výkon obsloužit dotazy klientů. Každý tento shluk potřebuje Vyvažovač zátěže, který pro každý dotaz vybere jeden ze serverů, který dotaz obslouží. Pro popis takového zařízení zpracovávající pakety lze využít jazyk P4. V rámci této práce byly prostudovány principy vyvažování, proveden návrh, implementace a testování jednoduchého Vyvažovače zátěže popsaného v jazyce P4. Program je testován pomoci Behaviorálního modelu jazyka P4 na běžném procesoru a také na kartě NFB-200G2QL díky prostředí Netcope od sdružení CESNET.
|
|
|
Optimization of the Suricata IDS/IPS
Šišmiš, Lukáš ; Fukač, Tomáš (oponent) ; Korček, Pavol (vedoucí práce)
The recent rapid increase of network traffic bandwidth has sprung new challenges in securing the network. It is vital to keep monitoring the traffic to securely identify threats in the network. Systems like IDS (intrusion detection systems) alert us about events in the analyzed traffic. Suricata , as one of the available IDS, was chosen for this thesis. The ultimate goal of the thesis is to tune settings of AF_PACKET capture interface to reach the best performance possible and then suggest and implement an optimization for Suricata . Results of the AF_PACKET should be used as a baseline for comparison with future improvements. Optimization is based on implementing a new capture interface to Suricata that is based on Data Plane Development Kit ( DPDK ). DPDK helps to accelerate packet capture and this implies that it might improve the performance of Suricata . Results that compare AF_PACKET and DPDK performance are evaluated at the end of this master thesis.
|
|
|
Řízení provozu ve vysokorychlostních sítích v prostředí DPDK
Doležal, Pavel ; Fukač, Tomáš (oponent) ; Vrána, Roman (vedoucí práce)
Předmětem této bakalářské práce je plánování síťového provozu ve vysokorychlostních sítích. V práci je popsán framework DPDK, který lze využít pro rychlé zpracovávání paketů. Jsou popsány obecné mechanismy plánování síťového provozu a plánování provozu v Linuxu pomocí nástroje tc. Dále je představen návrh a implementace plánovače síťového provozu v prostředí DPDK pro sítě o šířce pásma 10 Gbps. Pro plánovač je použit komplexní mechanismus hierarchického modelu zásobníku žetonů. Systém byl otestován pomocí generátoru síťového provozu Spirent.
|
|
|
Hledání regulárních výrazů s využitím technologie FPGA
Kubiš, Juraj ; Fukač, Tomáš (oponent) ; Matoušek, Denis (vedoucí práce)
Bakalárska práca sa zaoberá možnosťami hardvérovej akcelerácie vyhľadávania regulárnych výrazov. Obsahom práce je analýza už existujúcich hardvérových architektúr a zhodnotenie ich pozitívnych a negatívnych vlastností. Na základe týchto poznatkov je navrhnutá architektúra. Tá je založená na deterministických konečných automatoch s implicitnými prechodmi (D2FA), je implementovaná v jazyku VHDL a je vykonaná jej syntéza. Výsledky syntézy sú analyzované za účelom zistenia celkovej priepustnosti architektúry. Je navrhnuté programové vybavenie na prevod regulárnych výrazov do podoby D2FA a na optimalizovanie tohoto automatu s cieľom minimalizovania pamäťových nárokov. Implementácia je overená a je zhodnotený prínos jednotlivých optimalizačných techník na redukciu pamäťových nárokov.
|
host ::
RSS.