U2-ROUTE. HERRAMIENTA PARA EL DESARROLLO DE MECANISMOS DE SEGURIDAD A NIVEL DE HARDWARE - JHON JAIRO PADILLA A., PHD. LUIS SANTAMARÍA CARLOS ...
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
U2-Route. Herramienta para el
desarrollo de mecanismos de
seguridad a nivel de hardware
Jhon Jairo Padilla A., PhD.
Luis Santamaría
Carlos Acevedo
Oscar Maestre
Line Becerra, MsC.
Problema a resolver (I) • Para hacer investigación en el campo de la seguridad en redes es necesario probar nuevos algoritmos. • Tradicionalmente, en países en vías de desarrollo se realizan investigaciones que demuestran las ventajas de los algoritmos propuestos mediante simulaciones o mediante modelos matemáticos. • Para realizar prototipos se utilizan programas de computador, lo que implica que los paquetes que deben tratarse deben pasar primero por los diferentes módulos que conforman la arquitectura de protocolos de un computador, para luego realizarles el tratamiento del caso en la capa correspondiente.
Problema a Resolver (II) • Modificar el hardware de los dispositivos de red es una tarea compleja y sólo es posible realizar configuraciones sobre ellos en software. • Los fabricantes venden sus equipos con chips no modificables llamados ASIC (Application-Specific Integrated Circuit) en los cuales no es posible entrar y realizar cambios de los módulos del Hardware [2]; • Tampoco es posible conocer como viene su circuitería ya que eso hace parte del know-how, lo cual pone en dificultad a la Academia y grupos de investigación interesados en realizar sus propios experimentos.
Solución Planteada: U2-Route
• Es un sistema que permite:
– La construcción de prototipos para probar nuevos
algoritmos de procesamiento de paquetes en los
routers.
• Aplicaciones:
– Calidad de Servicio
– Seguridad en redes
– Gestión de redes
– Generación de tráfico
– Etc
U2-Route: Características
• Compuesto por:
– Una Interfaz Remota accequible vía Web
– Un Núcleo de pruebas
UCP - Pereira UPB - Bucaramanga
Generador
de Tráfico
Web Bases de datos
RENATA
RENATA
Comunicaciones
FTP
APLICACIÓN WEB: Sistema de
gestión de usuarios,
experimentos e informes ROUTER Y GENERADOR DE
TRÁFICO CON FPGA
Núcleo de Pruebas
• Basado en una NetFPGA
con las siguientes
características:
– Conector PCI: bus estándar
de 32 bits, 33Mhz. Esto
permite conectar la tarjeta
a un PC.
– 4 Interfaces GbitEthernet
(1Gbps)
– Un chip FPGA Virtex-2
– 4 bancos de memoria
SRAM y DRAM
Características de un Router NetFPGA • 4 puertos Gigabit Ethernet • Completamente “Programable” (Hardware con FPGAs) • Bajo costo • Hardware FPGA open source: – Diseño basado en Verilog • Software Open-source: – Drivers en C y C++
Ventajas del uso de NetFPGA • Descarga un procesador principal de ciertas tareas. • El procesador principal (ubicado en el PC) puede utilizar DMA (Direct Memory Access) para leer/escribir registros y memorias de la tarjeta NetFPGA • NetFPGA provee un camino de datos acelerado por Hardware – Conectividad mediante los 4 puertos a 1Gbps. – Acceso a bancos de memoria ubicados en la tarjeta
Pruebas predefinidas: Router Básico
• 5 fases:
– Entrada
– Arbitraje de entrada
– Decisión de
enrutamiento y
modificación de
paquetes
– Encolamiento de salida
– SalidaProceso de realización de una prueba
INICIO
INICIO RECEPCIÓN DE LOS PARÁMETROS DE
CONFIGURACIÓN DEL EXPERIMENTO
RENATA
RENATA EJECUCIÓN DEL
EXPERIMENTO EN EL ROUTER
NO
REGISTRO AUTENTICACIÓN ENVÍO DE RESULTADOS DE
LA EJECUCIÓN
SI
NO CONFIGURACIÓN DE LA RENATA
VALIDACIÓN
REGISTRO PRUEBA
REGISTRO EN LA BASE DE REGISTRO DE RESULTADOS EN
SI DATOS LA BASE DE DATOS
REGISTRO
EXITOSO
ENVÍO DE CONFIGURACIÓN DEL
EXPERIMENTO AL ROUTER
INFORME DE RESULTADOS
FIN
RENATA FINInterfaz Web: Pantalla de Bienvenida
U2: RouteConfiguración de una prueba
con QoSU2-Route: Consulta de Resultados
U2-Route:Consulta de Resultados
Desarrollo de nuevos módulos (I):
DiseñoDesarrollo de nuevos módulos (II):
Procesamiento interno de los
paquetesDesarrollo de nuevos módulos (III):
Diseño de la FSM
La FSM del módulo Crypto_Nic tiene 4 estados:
-Estado 1: Deja pasar las cabeceras de los módulos que son utilizadas internamente
por la herramienta para el procesamiento.
-Estado 2: Se dejan pasar los primeros 34 bytes de los paquetes que corresponden a la
cabecera Ethernet e IP.
-Estado 3: Cifra la primera palabra del paquete (los siguientes 6 bytes)
-Estado 4: Cifra el resto del paquete hasta que termine de pasar todo el payload.Desarrollo de Nuevos Módulos (IV):
Codificación e inserción
• Debe desarrollarse
previamente el código
en Verilog del nuevo
móduloPruebas con nuevos módulos (IV):
Codificación e inserción
• Tener precaución de
Interconectarlo
correctamente al resto de
módulosPruebas con Nuevos Módulos (IV):
Codificación e inserción
• Se deben enviar los archivos de los proyectos
manteniendo una estructura de directorios:Pruebas con Nuevos Módulos • U2-Route recibe la información mediante la interfaz Web (puede agregarse un tráfico de entrada particular si se desea o usar uno predeterminado) • U2-Route compila y realiza las pruebas • U2-Route Envía los resultados al servidor de Interfaz Web • El usuario puede consultar sus pruebas y descargar los resultados en archivos de texto plano
Pruebas: Simulaciones
Prueba final: Inyección de paquetes
Agradecimientos • Colciencias • RENATA • Ingenieros de desarrollo en UPB: Oscar Maestre, Luis Santamaría, Carlos Acevedo • Ingeniero de desarrollo en UCP: Ricardo Hurtado • Estudiantes de UCP en proyecto de grado
Nuestra página Web • http://u2route.ucp.edu.co/Proyecto2/u2route/ • Advertencia: Aún estamos en versión Beta y no estamos atendiendo al público….Ya les avisaremos!!!!! • INFORMACIÓN ADICIONAL: jhon.padilla@upb.edu.co
También puede leer
