U2-Route. Herramienta para el desarrollo de mecanismos de seguridad a nivel de hardware Jhon Jairo Padilla A., PhD. Luis Santamaría Carlos Acevedo Oscar Maestre Line Becerra, MsC.
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
U2-Route. Herramienta para el desarrollo de mecanismos de seguridad a nivel de hardware
Jhon Jairo Padilla A., PhD. Luis Santamaría Carlos Acevedo Oscar Maestre
Line Becerra, MsC.
Problema a resolver (I)
• Para hacer investigación en el campo de la seguridad en redes es necesario probar nuevos algoritmos.
• Tradicionalmente, en países en vías de desarrollo se realizan investigaciones que demuestran las ventajas de los algoritmos propuestos mediante simulaciones o mediante modelos matemáticos.
• Para realizar prototipos se utilizan programas de computador, lo que implica que los paquetes que deben tratarse deben pasar primero por los diferentes módulos que conforman la arquitectura de protocolos de un computador, para luego realizarles el tratamiento del caso en la capa correspondiente.
Problema a Resolver (II)
• Modificar el hardware de los dispositivos de red es una tarea compleja y sólo es posible realizar configuraciones sobre ellos en software.
• Los fabricantes venden sus equipos con chips no modificables llamados ASIC (Application-Specific Integrated Circuit) en los cuales no es posible entrar y realizar cambios de los módulos del Hardware [2];
• Tampoco es posible conocer como viene su circuitería ya que eso hace parte del know-how, lo cual pone en dificultad a la Academia y grupos de investigación interesados en realizar sus propios experimentos.
Solución Planteada: U2-Route
• Es un sistema que permite: – La construcción de prototipos para probar nuevos
algoritmos de procesamiento de paquetes en los routers.
• Aplicaciones: – Calidad de Servicio
– Seguridad en redes
– Gestión de redes
– Generación de tráfico
– Etc
U2-Route: Características
• Compuesto por:
– Una Interfaz Remota accequible vía Web
– Un Núcleo de pruebas
RENATA
RENATA
ROUTER Y GENERADOR DE
TRÁFICO CON FPGA
APLICACIÓN WEB: Sistema de
gestión de usuarios,
experimentos e informes
UCP - Pereira UPB - Bucaramanga
Generador
de Tráfico
Web Bases de datos
FTPComunicaciones
Núcleo de Pruebas
• Basado en una NetFPGA con las siguientes características: – Conector PCI: bus estándar
de 32 bits, 33Mhz. Esto permite conectar la tarjeta a un PC.
– 4 Interfaces GbitEthernet (1Gbps)
– Un chip FPGA Virtex-2
– 4 bancos de memoria SRAM y DRAM
Características de un Router NetFPGA
• 4 puertos Gigabit Ethernet
• Completamente “Programable” (Hardware con FPGAs)
• Bajo costo
• Hardware FPGA open source:
– Diseño basado en Verilog
• Software Open-source:
– Drivers en C y C++
Ventajas del uso de NetFPGA • Descarga un procesador principal de ciertas tareas.
• El procesador principal (ubicado en el PC) puede utilizar DMA (Direct Memory Access) para leer/escribir registros y memorias de la tarjeta NetFPGA
• NetFPGA provee un camino de datos acelerado por Hardware – Conectividad mediante los 4 puertos a 1Gbps.
– Acceso a bancos de memoria ubicados en la tarjeta
Pruebas predefinidas: Router Básico
• 5 fases:
– Entrada
– Arbitraje de entrada
– Decisión de enrutamiento y modificación de paquetes
– Encolamiento de salida
– Salida
Proceso de realización de una prueba
RENATA
RENATA
RENATA
RENATA
INICIO
REGISTRO
VALIDACIÓN
REGISTRO
SI
REGISTRO
EXITOSO
FIN
INICIO
AUTENTICACIÓN
NO
NO
CONFIGURACIÓN DE LA
PRUEBA
REGISTRO EN LA BASE DE
DATOS
ENVÍO DE CONFIGURACIÓN DEL
EXPERIMENTO AL ROUTER
EJECUCIÓN DEL
EXPERIMENTO EN EL ROUTER
ENVÍO DE RESULTADOS DE
LA EJECUCIÓN
REGISTRO DE RESULTADOS EN
LA BASE DE DATOS
INFORME DE RESULTADOS
FIN
SI
RECEPCIÓN DE LOS PARÁMETROS DE
CONFIGURACIÓN DEL EXPERIMENTO
Interfaz Web: Pantalla de Bienvenida
U2: RouteConfiguración de una prueba con QoS
U2-Route: Consulta de Resultados
U2-Route:Consulta de Resultados
Desarrollo de nuevos módulos (I): Diseño
Desarrollo de nuevos módulos (II): Procesamiento interno de los
paquetes
Desarrollo de nuevos módulos (III): Diseño de la FSM
La FSM del módulo Crypto_Nic tiene 4 estados: -Estado 1: Deja pasar las cabeceras de los módulos que son utilizadas internamente por la herramienta para el procesamiento. -Estado 2: Se dejan pasar los primeros 34 bytes de los paquetes que corresponden a la cabecera Ethernet e IP. -Estado 3: Cifra la primera palabra del paquete (los siguientes 6 bytes) -Estado 4: Cifra el resto del paquete hasta que termine de pasar todo el payload.
Desarrollo de Nuevos Módulos (IV): Codificación e inserción
• Debe desarrollarse previamente el código en Verilog del nuevo módulo
Pruebas con nuevos módulos (IV): Codificación e inserción
• Tener precaución de Interconectarlo correctamente al resto de módulos
Pruebas con Nuevos Módulos (IV): Codificación e inserción
• Se deben enviar los archivos de los proyectos manteniendo una estructura de directorios:
Pruebas con Nuevos Módulos
• U2-Route recibe la información mediante la interfaz Web (puede agregarse un tráfico de entrada particular si se desea o usar uno predeterminado)
• U2-Route compila y realiza las pruebas
• U2-Route Envía los resultados al servidor de Interfaz Web
• El usuario puede consultar sus pruebas y descargar los resultados en archivos de texto plano
Pruebas: Simulaciones
Prueba final: Inyección de paquetes
Agradecimientos
• Colciencias
• RENATA
• Ingenieros de desarrollo en UPB: Oscar Maestre, Luis Santamaría, Carlos Acevedo
• Ingeniero de desarrollo en UCP: Ricardo Hurtado
• Estudiantes de UCP en proyecto de grado
Nuestra página Web
• http://u2route.ucp.edu.co/Proyecto2/u2route/
• Advertencia: Aún estamos en versión Beta y no estamos atendiendo al público….Ya les avisaremos!!!!!
• INFORMACIÓN ADICIONAL: [email protected]
Related Documents
