HardFIRE: Forschung für hochperformante Firewalls

HardFIRE: Forschung für hochperformante Firewalls

Die Anforderungen an die Geschwindigkeit von Computernetzen steigen beständig. Um als Hersteller für Sicherheitslösungen im Markt bestehen zu können, sind kreative Lösungen gefragt. genua startete deshalb zusammen mit der Humboldt-Universität zu Berlin das Forschungsprojekt „HardFIRE“. In den letzten drei Jahren wurden neue Firewall-Technologien auf Basis spezieller Hardware-Bausteine erprobt.

Das Projekt HardFIRE befasst sich mit der Frage, wo und in welchem Maß sich diese neue Technologie in Security Appliances sinnvoll nutzen lässt. Es stehen zum einen softwarebasierte Lösungen zur Verfügung, die hohe Flexibilität, schnelle Entwicklungszyklen und einfache Bugfixes ermöglichen. Für sehr viele Anwendungsfälle – auch im Bereich von Netzwerk- und IT-Sicherheit – werden heute hauptsächlich Softwarelösungen eingesetzt.

Die maximale Leistungsfähigkeit dieser Ansätze ist jedoch in vielerlei Hinsicht begrenzt. Für Spezialanwendungen und höhere Anforderungen werden daher dedizierte Hardwarebausteine verwendet, die exakt auf ihre Aufgabe zugeschnitten und dadurch oft um Größenordnungen schneller sind. Demgegenüber steht allerdings der Nachteil des hohen Einmalaufwands bei Entwicklung und Fertigung – dedizierte Hardware, sogenannte ASICs, lohnen sich wirtschaftlich nur bei hohen Stückzahlen. Zudem lassen sich Bugs in einmal gefertigten Systemen kaum bis gar nicht beseitigen.

Nicht zu unterschätzen ist zudem der Nachteil, dass in Hardwarekomponenten praktisch nicht aufspürbare Backdoors versteckt werden können. Die Snowden-Veröffentlichungen zeigen, dass dies in der Realität tatsächlich vorkommt. Bedingt durch die Abhängigkeiten von Zulieferern kann beinahe jeder Systemhersteller von Backdoors betroffen sein.

Field Programmable Gate Arrays (FPGAs) ermöglichen es, einen Mittelweg zu beschreiten: Diese Bausteine bieten für viele Einsatzszenarien eine mit ASICs vergleichbare Performance, können allerdings im fertigen System beliebig oft neu konfiguriert werden und sind als Standardkomponenten ohne lange Entwicklungszeiten verfügbar.

Die im Forschungsprojekt zentrale Frage lautete dementsprechend: Wie lassen sich FPGAs für High-Performance Firewalls in Computernetzen verwenden und welche Techniken und Algorithmen sind hierfür geeignet?

Forschung mit Partnern

Der Verbund mit Partnern, insbesondere aus dem akademischen Bereich, ist bei Forschungsprojekten ein integraler Bestandteil. Bereits die Projektidee und -skizze entstand in enger Kooperation mit dem Verbundpartner, dem Lehrstuhl für technische Informatik der Berliner Humboldt-Universität. Vernetzte Forschung ermöglicht es, gemeinsam die technischen Lösungen auf hohem Niveau zu entwickeln. Außerdem bietet sie die Chance, die Ergebnisse der kritischen, akademischen Gemeinde zu präsentieren und gleichzeitig die praxisnahe Sichtweise eines IT-Anbieters einzubringen.

Erkenntnisse und Ergebnisse

Auf zwei verschiedenen Evaluationsplattformen – einem VC709 von Xilinx und einem NetFPGA SUME – wurden zunächst die grundlegende Infrastruktur für Netzwerkverarbeitung mit entsprechenden Geschwindigkeiten erarbeitet. Akkumuliert konnte hierbei eine Datenrate von 100 Gbit/s erreicht werden.

Für weitere Informationen zum Forschungsprojekt besuchen Sie die HardFIRE-Webseite

Darauf aufbauend wurden in diese Verarbeitungspipeline die verschiedenen, für eine Firewall notwendige Filtermodule integriert. Durch eine spezielle Architektur, die Filterschaltkreise bereits vorab logisch optimiert, kann das System nicht nur hohe Datenraten, sondern auch eine extrem niedrige Latenz von wenigen Taktzyklen erreichen. Eine rein zustandslose Paketklassifikation kann so in wenigen Nanosekunden durchgeführt werden. Ergänzt wird dieses System durch eine dynamisch anpassbare Filterkomponente, um schnell auf Änderungen des Regelsatzes reagieren zu können.

Als weiteres Teilprojekt wurde ergänzend eine hybride Hardware-/Software-Architektur entwickelt. Ziel war es dabei, die jeweiligen Limitierungen möglichst effizient zu umgehen. Während der Erforschung stellte sich dabei heraus, dass die für jedes Netzwerkpaket notwendige Entscheidung, welcher Pfad durch die hybride Architektur genommen werden muss, der Knackpunkt für eine performante Gesamtarchitektur ist. Ein neu entwickelter Algorithmus ist in der Lage, diese Entscheidung bestmöglich zu treffen und somit die Arbeitslast optimal aufzuteilen.

Theorie und Praxis

Die gewonnenen Erkenntnisse ermöglichen genua, zukünftig IT-Sicherheitssysteme mit bislang nicht erreichbaren Performance und Latenz zu entwickeln. Durch die Vermeidung potentiell kompromittierter, komplexer Hardwarebausteine zugunsten einer vollständigen Eigenentwicklung kann zudem die Nachvollziehbarkeit und folglich die Zertifizierbarkeit signifikant verbessert werden.

Weitere Informationen zu HardFIRE auf der Website des Forschungsprojekts.

 

Bildquelle: © ktsdesign - Fotolia.com, Forschungsprojekt HardFIRE


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.