|
|
Rychlé zpracování aplikačních protokolů
Bárta, Stanislav ; Martínek, Tomáš (oponent) ; Polčák, Libor (vedoucí práce)
Tato diplomová práce se zabývá návrhem a implementací systému pro zpracování aplikačních protokolů ve vysokorychlostních sítích s~využitím konceptu softwarem řízeného monitorování. Navrhované řešení využívá hardwarově akcelerované síťové karty provádějící předzpracování síťového provozu na základě zpětně vazby od uživatelských monitorovacích aplikací. Navržený systém provádí předzpracování a filtraci síťového provozu pro aplikační moduly, které provádějí zpracování sledovaných aplikačních protokolů a vytvářejí metadata popisující danou komunikaci. Předzpracování je tvořeno parsováním hlaviček síťových protokolů až po transportní vrstvu, skládáním TCP toků a přeposílání paketů pouze do modulů, které mají o~daný typ síťového provozu zájem. Navržené řešení systému úzce propojuje funkcionalitu řešení dynamické identity uživatele a zachytávání obsahu komunikace za účelem minimalizace provádění duplicitních operací a zvýšení efektivity výsledného systému.
|
|
|
Aplikačně specifický procesor pro stavové zpracování síťových dat
Kučera, Jan ; Matoušek, Jiří (oponent) ; Kekely, Lukáš (vedoucí práce)
Bakalářská práce se zabývá návrhem a implementací aplikačně specifického procesoru pro vysokorychlostní stavové měření síťových toků. Hlavním cílem je vytvoření komplexního systému pro akceleraci různých aplikací z oblasti monitorování a bezpečnosti počítačových sítí. Aplikačně specifický procesor tvoří hardwarovou část systému implementovanou v FPGA na akcelerační síťové kartě. Návrh procesoru je proveden s ohledem na nasazení na sítích o rychlostech 100 Gb/s a je založen na unikátní kombinaci rychlosti hardwarového zpracování a flexibility softwarového řízení vycházející z konceptu softwarově definovaného monitorování (SDM). Vytvořený systém prošel funkční verifikací a v rámci hardwarového testování byla ověřena jeho reálná propustnost a další výkonové parametry.
|
|
|
Akcelerace detekce bezpečnostních hrozeb v síti
Piecek, Adam ; Kekely, Lukáš (oponent) ; Kučera, Jan (vedoucí práce)
Bakalářská práce se zabývá akcelerací systémů IDS (Intrusion Detection System) pro detekci bezpečnostních hrozeb v síti. Hlavním cílem práce je návrh na využití konceptu softwarově definovaného monitorování (Software Defined Monitoring, SDM) k urychlení činnosti IDS aplikací a to s ohledem na možnost jejich následného nasazení pro analýzu vysokorychlostních sítí. Navržený systém je implementován a následně vyhodnocen pro dvě vybrané open-source aplikace - Snort a Suricata. Nad rámec zadání je pro systém Suricata implementována i nativní podpora rozhraní SZE2 pro příjem paketů s cílem dosažení ještě vyššího urychlení při použití akcelerační síťové karty. V práci jsou dále analyzovány a porovnány dvě varianty konceptu. První varianta využívá hardwarově akcelerovanou verzi SDM. Druhá varianta je potom založena na plně softwarové implementaci principu SDM. Obě varianty jsou následně vyhodnoceny z hlediska dosažených výsledků a výkonových parametrů celého systému před a po akceleraci.
|
|
|
Software-Controlled Network Traffic Monitoring
Kekely, Lukáš ; Antichi, Gianni (oponent) ; Lhotka,, Ladislav (oponent) ; Kořenek, Jan (vedoucí práce)
This dissertation thesis deals with the design of a novel hardware acceleration, software controlled (defined) concept for high-speed computer networks. The main goal is to propose general, flexible and easy to use acceleration platform for various network security and monitoring applications suitable for deployment in real 100\,Gbps and faster networks. The thesis starts with the survey of the current state of the art in network monitoring, security and accelerated high-speed traffic processing. Based on the survey, a brand-new concept called Software Defined Monitoring (SDM) is formulated and proposed. A key feature of the concept lies in hardware accelerated, application specific (controlled), flow based, informed reduction and distribution of captured network traffic. This brings high-speed hardware processing coupled with flexible software control, which together leads to an easy creation of various complex high-performance network applications. Further optimizations and enhancements of the main SDM concept and its selected components are also explored resulting in creation of unique and novel designs of generally usable FPGA architecture of modular packet header parser and cuckoo hash based high-throughput packet classification engine. Finally, high-speed SDM prototype using FPGA acceleration network interface card is created and thoroughly evaluated under real network conditions. Achievable performance improvements in several chosen monitoring and security use case scenarios are measured and shown. The SDM prototype is also deployed in production monitoring of real backbone network by Cesnet association and has been commercialized by Netcope Technologies.
|
|
|
Filtrace paketů ve 100 Gb sítích
Kučera, Jan ; Matoušek, Jiří (oponent) ; Kořenek, Jan (vedoucí práce)
Diplomová práce se zabývá návrhem a implementací algoritmu pro filtraci paketů pro vysokorychlostní počítačové sítě. Hlavním cílem bylo vytvoření hardwarové architektury pro filtraci, která dosáhne vysoké kapacity ve smyslu počtu filtračních pravidel a umožní nasazení v sítích o rychlostech až 100 Gb/s. Návrh systému byl proveden s ohledem na možnost paralelního zpracování při implementaci v technologii FPGA a s cílem nalezení vhodného kompromisu mezi časovou a paměťovou složitostí algoritmu. Dosažené vlastnosti navržené architektury a vytvořené implementace byly následně ověřeny na dostupných množinách filtračních pravidel. Díky vysoce optimalizované architektuře a řetězenému zpracování bylo možné při implementaci dosáhnout vysoké pracovní frekvence (přes 220 MHz) a současně významně zredukovat paměťové nároky (v průměru o 72% oproti porovnávaným algoritmům). Efektivní využití interní paměti dostupné přímo na čipu umožňuje s použitím FPGA uložení až pěti tisíc filtračních pravidel při zabrání pouze 8% dostupné kapacity paměti. To vše při současném dosažení plné propustnosti linky 100 Gb/s.
|
|
|
Hardwarově akcelerované zařízení pro ochranu před DoS útoky
Kuka, Mário ; Kekely, Lukáš (oponent) ; Kučera, Jan (vedoucí práce)
Táto práca sa zaoberá vývojom firmvéru pre hardvérovo akcelerované zariadenie pre ochranu pred amplifikačnými (D)DoS útokmi. V dnešnej dobe sú útoky typu (D)DoS veľmi rozšírené a zapríčiňujú nemalé finančné škody. Cieľom práce je preto vytvoriť cenovo dostupné a ľahko nasaditeľné centralizované zariadenie zamerané na problematiku amplifikačných (D)DoS útokov. K dosiahnutiu tohto cieľu využíva zariadenie hardvérový akcelerátor, ktorý umožňuje spracovávať vysoké dátové prenosy prostredníctvom jedného, bežne dostupného serveru. Návrh a implementácia firmvéru je uskutočnená s ohľadom na použitie zariadenia v sieťach s rýchlosťami 100 Gbps. Celý systém prešiel funkčnou verifikáciou a v rámci laboratórneho testovania bola overená jeho reálna priepustnosť. Vytvorené zariadenie bolo už v dobe písania bakalárskej práce experimentálne nasadené v sieťovej infraštruktúre CESNET a testované sieťovými administrátormi. Na základe spätnej väzby bude na vytvorenom zariadený pokračovať ďalší vývoj v spolupráci združenia CESNET, ktorý bude zameraný na rozširovanie detekcie o ďalšie typy útokov.
|
|
|
Vysokorychlostní sítě v domácnosti
Rosenberg, Michal ; Mačák, Jaromír (oponent) ; Škorpil, Vladislav (vedoucí práce)
Diplomová práce pojednává o vztahu vysokorychlostních sítí k prvkům systémové inteligentní instalace a možnostech jejich vzájemné interakce. Dále jsou teoreticky rozebrány principy tunelování KNX sběrnice IP sítěmi (KNXnet/IP). Praktická část implementuje použití KNXnet/IP s reálnými prvky na testovacím panelu. Řízení je realizováno pomocí KNX@Home v prostředí Ubuntu. Simulaci stavu reálného tunelování KNX sběrnice představuje model v Opnet Modeler, jenž ukazuje, jak se může měnit zpoždění sběrnice vlivem zatížení sítě.
|
|
|
Využití jazyka P4 k popisu akcelerovaného zařízení na ochranu před DoS útoky
Kuka, Mário ; Kekely, Lukáš (oponent) ; Kučera, Jan (vedoucí práce)
Diplomová práca sa zaoberá vývojom sieťového zariadenia na ochranu pred (D)DoS útokmi prostredníctvom vysoko úrovňového jazyka P4. Hlavnou úlohou je vytvorenie flexibilného zriadenia s využitím jazyka P4. To nám umožní rýchlo reagovať na stále nové a zložitejšie útoky (D)DoS. Návrh zariadenia sa zaoberal prevodom jednotlivých častí firmwaru zariadenia do jazyka P4. Následne bol uskutočnený návrh celého firmwaru zariadenia. Návrh bol uskutočnený s ohľadom na limity aktuálne dostupných prekladových nástrojov jazyka P4. Navrhnuté zariadenie bolo implementované pre hardvérové akcelerátory s technológiu FPGA. Zariadenie bolo testované v laboratórnych podmienkach, kde bola overená jeho funkčnosť a výkonnosť. Zariadenie bude nasadené v sieťovej infraštruktúre CESNET.
|
|
|
Automatická konfigurace obslužných nástrojů pro FPGA firmware
Perešíni, Martin ; Matoušek, Jiří (oponent) ; Kučera, Jan (vedoucí práce)
Táto bakalárska práca sa zaoberá návrhom automatickej konfigurácie obslužných nástrojov pre FPGA firmvér. Zadanie práce je riešené v rámci výskumnej aktivity združenia CESNET, ktoré sa venuje vývoju hardvérovo akcelerovaných sieťových kariet postavených na technológií FPGA. Cieľom práce je náhrada súčasného neflexibilného systému pre popis štruktúry firmvéru, ktorý je použitý združením v projektoch NIC, HANIC a SDM. Pôvodný systém je založený na popise firmvéru samostatným XML súborom, ktorý je vytváraný ručne pre každú konfiguráciu. Na základe dôkladnej analýzy problémov systému bol vytvorený návrh. Následne bol tento systém nahradený Device Tree popisom, ktorý dovoľuje automatické generovanie popisu konfigurácie zmenou v prekladovom systéme platformy NetCOPE. Vygenerovaný popis je priamo distribuovaný spolu s hardvérovou konfiguráciou. Softvérové nástroje pracujúce s firmvérom využijú popis pre prácu s firmvérom. V práci bol návrh systému implementovaný a následne bola úspešne overená jeho funkčnosť na nástroji ethctl. Na záver práce sú spomenuté ďalšie možné rozšírenia systému.
|
|
|
Systém pro ochranu před DoS útoky
Šiška, Pavel ; Wrona, Jan (oponent) ; Kučera, Jan (vedoucí práce)
Bakalářská práce se zabývá návrhem a implementací softwarové části systému pro ochranu před DoS útoky. Útoky typu Denial of Service jsou v dnešní době velmi rozšířené a jejich úspěšné provedení může způsobit nemalé finanční škody provozovatelům služeb i poskytovatelům připojení. Hlavním cílem této práce bylo vytvoření softwaru, zaměřeného na vysokou datovou propustnost, který poskytne účinnou ochranu proti těmto útokům, a který umožní nasazení v sítích o rychlosti až 100 Gbps. Klíčovou částí celého systému, vyvíjeného ve spolupráci se sdružení CESNET, je hardwarově akcelerovaná síťová karta, která zpracovává přijímaná síťová data na plné rychlosti linky a realizuje operace určené softwarovou částí. Úkolem softwaru je přitom periodické vyhodnocování získaných informací o síťovém provozu a řízení činnosti hardwarového akcelerátoru. V rámci práce byl proveden detailní návrh softwarové části systému a jeho implementace. Dosažené vlastnosti vytvořené implementace byly následně ověřeny v rámci laboratorního testování. Takto vytvořený systém byl přitom již v době psaní bakalářské práce pilotně nasazen v síťové infrastruktuře akademické sítě CESNET.
|
host ::
RSS.