Coherence in distributed packet filters

Penz, Leandro Lisboa

January 2008

Redes de computadores estão sob constante ameaça, ainda mais quando conectadas à Internet. Para reduzir o risco, dispositivos de segurança como o filtro de pacotes são usados. Uma primeira camada de segurança, o filtro de pacotes é responsável pelo bloqueio do tráfego indesejado em posições chave da rede. Os pacotes que devem ser permitidos ou bloqueados pelo filtro são definidos através de um conjunto de regras programadas pelo administrador da rede. Essas regras tem duas partes: a seleção e a ação. Conforme cresce a rede e o número de serviços, a quantidade de regras tende a aumentar. Passado certo limite, a complexidade de manter uma quantidade grande de regras se torna um fardo para o administrador. Isso aumenta a probabilidade de enganos que podem prejudicar a segurança da rede. Este trabalho desenvolve o conceito de “anomalia”, cada qual representa um problema em potencial, uma contradição ou uma regra supérflua dentro do conjunto de regras; ou seja, cada anomalia alerta o administrador da rede para determinada situação. Há 7 tipos de anomalias, que podem ser divididos em dois grupos: anomalias de filtro único e anomalias em rede. As anomalias de filtro único alertam o administrador sobre regras que se contradizem (“bloqueio”) ou que não possuem efeito no filtro (“invisibilidade” e “redundância”). As anomalias em rede, por sua vez, alertam o administrador sobre filtros que se contradizem (“discordância”), filtros que bloqueiam tráfego desejado (“bloqueio”), regras que não se aplicam a nenhum pacote que passe pelo filtro onde estão (“irrelevância”) e roteadores que permitem a passagem de tráfego indesejado (“vazamento”). Cada um desses tipos de anomalia é definido formalmente e apresentado junto com um algoritmo que a encontra. As anomalias e seus algoritmos foram usados para implementar uma ferramenta, o Packet Filter Checker (PFC), que lê as regras e a descrição da topologia da rede e cria um relatório com todas as anomalias presentes. Este trabalho apresenta um caso de uso fictício que é analisado e corrigido com base nos resultados apresentados pela ferramenta. O caso de uso é apresentado em diversas iterações, cada uma representando alterações nos requisitos da rede. Este caso mostra a ferramenta e os conceitos no contexto-alvo: na ajuda ao administrador da rede. / Computer networks are under constant threat, even more when connected to the Internet. To decrease the risk of invasions and downtime, security devices such as the packet filter are deployed. As a first layer of security, the packet filter is responsible for blocking out unwanted traffic at key network locations. The packets dropped or forwarded by the filter are defined by a set of rules programmed by the network administrator. These rules are in the form of guarded commands, each with a condition and a decision section. As the number of services and networks grow, the number of rules tend to grow as well. Beyond a certain threshold, the complexity of maintaining such a large and distributed set of rules becomes a burden for the network administrator. Mistakes can be easily made, compromising security. This work develops the concept of “anomaly”, each representing a potential problem, a contradiction or a superfluous rule in the rule set; i.e. a warning to the system administrator. There are 7 types of anomalies divided in two groups: single filter anomalies and networked anomalies. The single-filter anomalies warns the administrator about rules that contradict one another (the “conflict” anomaly) or have no effect (“invisibility” and “redundancy”) in the analysed filter. The networked anomalies, on the other hand, analyse the filters in the context of the network topology and warn the administrator about filters that contradict one another (“disagreement”), filters that block desired traffic (“blocking”), rules that have no effect on the given network topology (“irrelevancy”) and routers that are enabling unwanted traffic (“leaking”). Each type of anomaly is formally defined along with its algorithm. The developed concepts were used to implement a tool — the Packet Filter Checker (PFC) — that reads a description of the rules and network topology in a simple custom language and reports all anomalies present. This tool is used to analyse and fix a fictional user case in several iterations of changing requirements. This shows the tool and the anomalies in the target context: where they help the network administrator.

Redes : Comunicacao : Dados

Seguranca : Redes : Computadores

Filtros : Pacotes

Packet filter

Firewall

Security policy

Policy conflict

Rule coherence

Evaluation of software to construct genetic linkage maps in plants / Avaliação de softwares para construção de mapas genéticos em plantas

Santos, Jenifer Camila Godoy dos

04 July 2019

Genetic maps are useful tools in breeding programs and evolutionary studies. Since the publication of the first map, several concepts have been proposed and implemented in various mapping software. Each software presents different characteristics for the construction of maps. For example, aspects such as availability of source code, licenses, tutorials, and operating system need to be considered. There are also important points related to the statistical methods employed. In this context, the users\' choice can often be a complicated task. The objectives here were: i) to present the main software with free licenses developed in recent years; ii) construct linkage maps using these software and, iii) evaluate them from the point of view of users. The software considered were: OneMap, Lep-MAP, HighMap, Lep-MAP2, Flipper, Lep-MAP3, ASMap, and GUSMap. This work can guide researchers about the free tools available to construct genetic maps. / Mapas genéticos são ferramentas úteis em programas de melhoramento e em estudos evolutivos. Desde a publicação do primeiro mapa, vários conceitos foram propostos e implementados em vários softwares de mapeamento. Cada software apresenta diferentes características para construção de mapas. Por exemplo, aspectos como disponibilidade do código fonte, licenças, tutoriais e sistema operacional precisam ser considerados. Há ainda pontos importantes relacionados aos métodos estatísticos empregados. Assim sendo, nem sempre a escolha pelos usuários é uma tarefa simples. Os objetivos aqui foram: i) apresentar os principais softwares com licenças gratuitas desenvolvidos nos últimos anos; ii) construir mapas de ligação utilizando esses programas e iii) avaliá-los do ponto de vista dos usuários. Os softwares considerados foram: OneMap, Lep-MAP, HighMap, Lep-MAP2, Flipper, Lep-MAP3, ASMap e GUSMap. Este trabalho poderá orientar os pesquisadores quanto às ferramentas gratuitas disponíveis para construção de mapas genéticos.

Computer packages

Construção de mapas genéticos

Construction of genetic maps

Diploid species

Espécies diploides

Lep-MAP3

Lep-MAP3

OneMap

OneMap

Pacotes computacionais

Desenvolvimento e análise de desempenho de um 'packet/session filter' / Development and performance analysis of a packet/session filter

Spohn, Marco Aurelio

January 1997

A segurança em sistemas de computação é uma das áreas mais críticas nas ciências da informação. Freqüentemente se ouve falar em alguma "brecha" descoberta em algum sistema. Não importando quão grave seja o problema, já existe certa paranóia em relação a questões de segurança. Esses furos na segurança podem ser explorados de diversas maneiras: para obter benefícios financeiros indevidos, personificação maliciosa a custos de uma pretensa "brincadeira", perda de informações sigilosas, danos em arquivos do sistema, etc. Esses são alguns dos motivos porque se investe cada vez mais em segurança. Como se não bastasse, ainda existem os problemas relativos a legislação: por um lado, o governo pode vir a exigir que a segurança em sistemas de informação seja encarada como um problema federal e impor controle sobre tudo que seja utilizado nos mecanismos de proteção; por outro lado, outros podem reclamar a necessidade de privacidade e liberdade de escolha em problemas relativos a segurança. Os sistemas são, a medida que agregam mais recursos, muito complexos e extensos, propiciando um meio fértil para acúmulo de erros e conseqüentes problemas de segurança. A conectividade alterou a realidade da computação: as redes de computadores estão aí para provar. Entretanto, os sistemas em rede a medida que facilitam a realização de uma série de tarefas também apresentam vulnerabilidades. As redes públicas são um exemplo crítico, pois todas as informações passam por meios não confiáveis sujeitos a alteração ou utilização por terceiros. A Internet talvez represente um dos ambientes mais críticos a nível de segurança. Devido a sua abrangência e velocidade com que cresce, ela é um dos ambientes mais propícios a disseminação e exploração de "furos" de segurança. Existem, entretanto, um esforço constante em desenvolvimento de mecanismos para protegê-la. "Internet Firewalls", são um conjunto de mecanismos utilizados para formar uma barreira de segurança entre a rede interna e a Internet. isolando-a das principais ameaças. Os componentes básicos de um "firewall" são o "packet filter" e o "proxy server". Basicamente, o que esses componentes fazem é uma filtragem dos pacotes. 0 "packet filter", como o nome sugere, faz uma filtragem dos pacotes até o nível de transporte (UDP e TCP). 0 "proxy server" atua como um procurador entre o cliente e o servidor real realizando uma filtragem a nível de aplicação; portanto, é uma tarefa mais apurada. Cada um desses componentes básicos apresentam os seus benefícios à segurança da rede interna. Um dos problemas desses mecanismos, é que eles acarretam em um "overhead" ao sistema, degradando o desempenho. Um "packet filter" tem de ser suficientemente rápido para que não seja o gargalo do sistema. De fato, como é apresentado nesse trabalho, pode-se conseguir um filtro tão rápido quanto necessário. A filtragem dos pacotes é baseada nas regras de filtragem que são elaboradas segundo a política de segurança, a qual estabelece qual o tipo de tráfego que pode existir entre a rede interna e a Internet. Cada pacote que passa pelo filtro é comparado com as regras de filtragem na ordem em que elas foram especificadas pelo administrador. Dependendo do número de regras, e este é um fator relevante porque são em grande número os serviços utilizados na rede, o tempo médio de filtragem aumenta. Uma solução para melhorar o desempenho na filtragem, é realizar a filtragem dos pacotes por sessão ("session filter"). Nesse caso somente se consegue atender aos serviços baseados no TCP (que é orientado a conexão); entretanto, considerando que os serviços mais utilizados na rede são baseados no TCP esse é um mecanismo viável. Na filtragem por sessão apenas o pacote de solicitação de conexão é comparado com a lista de regras de filtragem. Os pacotes subsequentes são verificados junto a uma "cache" de sessões ativas. Caso o pacote pertença a alguma sessão válida ele é passado adiante; caso contrário, ele é descartado. O acesso a "cache" deve ser suficientemente rápido para justificar esse procedimento. Além do ganho em desempenho, o filtro de sessões apresenta a vantagem de monitoramento: todas as sessões ativas entre a rede interna e a Internet estão registradas na "cache". Esta dissertação apresenta o projeto e a implementação de um "Packet/session filter". O filtro foi implementado como um módulo do "kernel" do sistema operacional "FreeBSD". O filtro "ip_fw" disponível como "freeware" na referida plataforma, serviu como referência básica para o desenvolvimento do filtro proposto. O utilitário "ipfw", disponível para gerenciar o filtro de pacotes "ip_fw", foi adaptado para interagir com o filtro desenvolvido. Os testes de desempenho apresentam resultados esperados. Ou seja, o filtro de sessão melhora consideravelmente o processo de filtragem em relação a um filtro convencional. O recurso de monitoramento das sessões ativas também representa uma facilidade a mais no controle e obtenção de estatísticas para o "firewall". / Security in computer systems is one of the most critical areas in "information sciences". Often it is heard something about a new "hole" discovered in some system. No matter how important is such a problem, there is a "paranoia" regarding questions about security. These security holes could be explored in a diversity of ways: to obtain financial benefits, to impersonate somebody to spoofing, to obtain secret informations, to damage to file systems, etc. Those are some of the reasons because so much time and money are spent in security. There are also some problems concerning legislation: government can demand that security in information systems is a federal problem and it can lead to impose control over everything that is used in protection mechanisms; on the other hand, there is the question of privacy and freedom of choice concerning to security. By adding new resources to the systems, the complexity is increase and new bugs and security problems can arise. Connectivity has changed the computer reality: computer networks show that. However, network systems also present weak points. Public networks are a critical example because all information flow by untrusted medias subject to modification or misuse by outsiders. The Internet may be one of the most critical environments concerning security. Because the internet covers almost all the world and grows so fast, it's able to dissiminate "holes" in security. There is, however, a constant effort to develop new mechanisms to protect the Internet, Internet Firewalls are a set of mechanisms used to build a security barrier between the internal network and the internet, maintaining the internal network far away from the main threats. The basic components of a firewall are the packet filter and the proxy server. These two components basically do a packet screening. The "packet filter", as the name suggests, makes a packet filtering up to the transport layer (UDP and TCP). The Proxy Server acts like a proxy between the client and the real server, the proxy does a packet filtering at the application level; therefore, it's a refined task. Each one of these components present their own benefits to the internal network security. A problem of those mechanisms is that they bring an overhead to the system, slowing the performance. A packet filter must be fast enough, otherwise it'll be the bottleneck in the system. The present work slows that, it's possible to obtain a filter as fast as necessary. The packet filtering is based on the filter rules which are prepared following the security policy that establishes what kind of traffic can flow between the internal network and the Internet. Each packet that passes through the filter is compared with the filtering rules to check if it is in the sequence specified by the administrator. Depending on the number of rules, and this is an important issue because there is a great number of services available in the network, the filtering mean time increases. A solution to improve the filtering process is to make the packet filtering by session (session filter). In this case it's only possible to attend to TCP, based services (connection oriented); however, considering that the most used services in the internet are based on TCP this is a feasible mechanism. In the session filtering only the first packet is compared against the filtering rules. The next packets are verified against a session cache. If the packet refers to a valid session it's sent forward; otherwise, it's dropped. The access time to the cache must be fast enough in order to allow applying this procedure. Beyond the performance improvement the session filter presents the advantage of monitoring: all the active sessions are recorded in the "cache". This work presents the project and development of a "packet/session filter". The filter was developed as a kernel module of the operating system "FreeBSD". The filter "ip_fw" available as freeware served as a basic reference to the implementation of the filter here presented. The "ipfw" utility available to manage the "ipfw" packet filter was adapted to interact to the developed filter. The performance benchmark presents expected results. The session filter enhances the filtering process when compared to the conventional packet filter. The monitoring facility also represents an enhancement the control and statistics gathering.

Redes : Computadores

Seguranca : Redes : Computadores

Filtragem : Pacotes

Firewall

Internet

Packet filter

Session filter

Internet firewalls

Internet security

Coherence in distributed packet filters

Penz, Leandro Lisboa

January 2008

Redes de computadores estão sob constante ameaça, ainda mais quando conectadas à Internet. Para reduzir o risco, dispositivos de segurança como o filtro de pacotes são usados. Uma primeira camada de segurança, o filtro de pacotes é responsável pelo bloqueio do tráfego indesejado em posições chave da rede. Os pacotes que devem ser permitidos ou bloqueados pelo filtro são definidos através de um conjunto de regras programadas pelo administrador da rede. Essas regras tem duas partes: a seleção e a ação. Conforme cresce a rede e o número de serviços, a quantidade de regras tende a aumentar. Passado certo limite, a complexidade de manter uma quantidade grande de regras se torna um fardo para o administrador. Isso aumenta a probabilidade de enganos que podem prejudicar a segurança da rede. Este trabalho desenvolve o conceito de “anomalia”, cada qual representa um problema em potencial, uma contradição ou uma regra supérflua dentro do conjunto de regras; ou seja, cada anomalia alerta o administrador da rede para determinada situação. Há 7 tipos de anomalias, que podem ser divididos em dois grupos: anomalias de filtro único e anomalias em rede. As anomalias de filtro único alertam o administrador sobre regras que se contradizem (“bloqueio”) ou que não possuem efeito no filtro (“invisibilidade” e “redundância”). As anomalias em rede, por sua vez, alertam o administrador sobre filtros que se contradizem (“discordância”), filtros que bloqueiam tráfego desejado (“bloqueio”), regras que não se aplicam a nenhum pacote que passe pelo filtro onde estão (“irrelevância”) e roteadores que permitem a passagem de tráfego indesejado (“vazamento”). Cada um desses tipos de anomalia é definido formalmente e apresentado junto com um algoritmo que a encontra. As anomalias e seus algoritmos foram usados para implementar uma ferramenta, o Packet Filter Checker (PFC), que lê as regras e a descrição da topologia da rede e cria um relatório com todas as anomalias presentes. Este trabalho apresenta um caso de uso fictício que é analisado e corrigido com base nos resultados apresentados pela ferramenta. O caso de uso é apresentado em diversas iterações, cada uma representando alterações nos requisitos da rede. Este caso mostra a ferramenta e os conceitos no contexto-alvo: na ajuda ao administrador da rede. / Computer networks are under constant threat, even more when connected to the Internet. To decrease the risk of invasions and downtime, security devices such as the packet filter are deployed. As a first layer of security, the packet filter is responsible for blocking out unwanted traffic at key network locations. The packets dropped or forwarded by the filter are defined by a set of rules programmed by the network administrator. These rules are in the form of guarded commands, each with a condition and a decision section. As the number of services and networks grow, the number of rules tend to grow as well. Beyond a certain threshold, the complexity of maintaining such a large and distributed set of rules becomes a burden for the network administrator. Mistakes can be easily made, compromising security. This work develops the concept of “anomaly”, each representing a potential problem, a contradiction or a superfluous rule in the rule set; i.e. a warning to the system administrator. There are 7 types of anomalies divided in two groups: single filter anomalies and networked anomalies. The single-filter anomalies warns the administrator about rules that contradict one another (the “conflict” anomaly) or have no effect (“invisibility” and “redundancy”) in the analysed filter. The networked anomalies, on the other hand, analyse the filters in the context of the network topology and warn the administrator about filters that contradict one another (“disagreement”), filters that block desired traffic (“blocking”), rules that have no effect on the given network topology (“irrelevancy”) and routers that are enabling unwanted traffic (“leaking”). Each type of anomaly is formally defined along with its algorithm. The developed concepts were used to implement a tool — the Packet Filter Checker (PFC) — that reads a description of the rules and network topology in a simple custom language and reports all anomalies present. This tool is used to analyse and fix a fictional user case in several iterations of changing requirements. This shows the tool and the anomalies in the target context: where they help the network administrator.

Redes : Comunicacao : Dados

Seguranca : Redes : Computadores

Filtros : Pacotes

Packet filter

Firewall

Security policy

Policy conflict

Rule coherence

[en] QUEUING SCHEDULING DISCIPLINE BASED ON USER’S SATISFACTION MEASURED BY QOS METRICS / [pt] DISCIPLINA DE SERVIÇO BASEADA NA SATISFAÇÃO MEDIDA POR MÉTRICAS DE QOS

RAUL WAGNER DOS REIS VELLOSO FILHO

21 October 2009

[pt] Redes de comutação em pacotes vêm substituindo gradativamente as redes de comutação em circuitos, unificando assim, a forma como voz e dados são trafegados. Devido a esse novo conceito de redes comutadas por pacotes, novos desafios referentes ao surgimento de novas aplicações necessitando requisitos de qualidade cada vez mais estritos, vêm recentemente atraindo a atenção de pesquisadores da área de redes de computação. Entre os mecanismos existentes para determinar a qualidade de serviço oferecida por tais redes, o mecanismochave considerado, dos roteadores que desempenham tal função, é o escalonador de pacotes. O conceito que dita à operação de tais escalonadores é o conceito de disciplinas de serviço. No presente trabalho, é proposta uma nova disciplina de serviço onde os pacotes são escalonados de acordo com um indicador de desempenho que mede a satisfação dos usuários baseado no serviço recebido em relação ao serviço contratado. Esse indicador é trazido da economia e se chama Função Utilidade. O sistema considerado no trabalho leva em consideração o funcionamento do roteador de borda de uma provedora de serviços de telecomunicações onde os usuários requerem serviços de VoIP, FTP e HTTP. Os resultados de simulação do sistema mostram que o desempenho da disciplina proposta é comparável, sendo em alguns casos levemente insatisfatória, quando comparada a outras disciplinas existentes na literatura. A lista de trabalhos futuros sugere possibilidades de melhoria deste desempenho, mas que não foram testadas por falta de tempo. / [en] Packet-switched networks have recently replaced circuit-switched networks unifying the way voice and data are carried through those networks. Due to such a new switching concept, challenges related to new applications with different quality requirements have arisen and attracted much attention of computer network researchers. Among the mechanisms used to provide quality of service in those networks, the one chosen in this research is the router’s packet scheduler. The concept that governs packet schedulers is queuing scheduling discipline. In this research, a new queuing scheduling discipline is proposed where packets are scheduled based on a performance indicator that evaluates the user’s satisfaction with the service contracted. That performance indicator is a well-known economic function called utility function. The system considered on this research is focused on the operation of a telecommunications service provider network’s border router where users request FTP, VoIP and HTTP services. Simulation results show that the performance of the proposed service discipline is comparable, but not always to a satisfactory degree, when compared with other service disciplines found in the literature. Some suggestions for future research are added in this dissertation, in order to improve the performance of the proposed service discipline, but they have not been tested due to space and time limitations.

[pt] DISCIPLINAS DE SERVICO

[en] SERVICE DISCIPLINE

[pt] QUALIDADE DE SERVICO

[en] QUALITY OF SERVICE

[pt] FUNCAO UTILIDADE

[en] UTILITY FUNCTION

[pt] ESCALONAMENTO DE PACOTES

Crops : uma proposta de comutador programável de código aberto para prototipação de redes

Mafioletti, Diego Rossi

01 September 2015

Submitted by Maykon Nascimento (maykon.albani@hotmail.com) on 2016-05-12T18:54:15Z No. of bitstreams: 2 license_rdf: 23148 bytes, checksum: 9da0b6dfac957114c6a7714714b86306 (MD5) Dissertacao Diego Mafioletti.pdf: 3702852 bytes, checksum: 6f58b3bb600eedaceeb437d10afde1f9 (MD5) / Approved for entry into archive by Patricia Barros (patricia.barros@ufes.br) on 2016-05-13T16:00:16Z (GMT) No. of bitstreams: 2 license_rdf: 23148 bytes, checksum: 9da0b6dfac957114c6a7714714b86306 (MD5) Dissertacao Diego Mafioletti.pdf: 3702852 bytes, checksum: 6f58b3bb600eedaceeb437d10afde1f9 (MD5) / Made available in DSpace on 2016-05-13T16:00:16Z (GMT). No. of bitstreams: 2 license_rdf: 23148 bytes, checksum: 9da0b6dfac957114c6a7714714b86306 (MD5) Dissertacao Diego Mafioletti.pdf: 3702852 bytes, checksum: 6f58b3bb600eedaceeb437d10afde1f9 (MD5) / Redes Definidas por Software (SDN) prometem um caminho tecnológico para fortalecer os usuários com habilidade de inovar em suas redes. Porém, a diversidade de switches de rede que suportam SDN ainda é um obstáculo para os engenheiros de rede dispostos a desenvolver aplicações inovadoras devido à implementação do hardware ser fechada e proprietária. Essa diversidade implica em desafios significantes no controle dos switches SDN e o desenvolvimento de aplicações SDN de alta performance, o que não contempla um dos pilares de SDN: permitir a pesquisa e inovação em redes de computadores. A proposta deste trabalho é explorar o limite de alguns equipamentos commodities de rede, tal como o switch Mikrotik RouterBoard, no qual seu firmware original é substituído pelo OpenWRT, uma distribuição baseada no GNU Linux, juntamente com o Open vSwitch (OvS), um switch virtual de código aberto independente de hardware, para a criação de um novo ambiente para experimentação em redes de computadores. Como prova de conceito, o protótipo foi implementado em switches comerciais de baixo custo, conduzindo experimentos com o objetivo de analisar certas características do protocolo OpenFlow portadas nestes equipamentos, como quantidade máxima de entradas na tabela de fluxo, a vazão de dados possível utilizando tamanhos variados de pacotes de rede, comparando seus resultados com a implementação original disponibilizada pelo fabricante e a influência da utilização da CPU do switch no resultado. Por fim, foi construído um switch com balanceamento de carga estocástico utilizando tabelas de grupos, um recurso disponível no OpenFlow a partir da versão 1.2, que somente foi possível graças à natureza de código fonte aberto das ferramentas escolhidas. Esta combinação de plataformas abertas representa um passo natural no desenvolvimento, implementação, e avaliação de aplicações SDN. / Software Defined Network (SDN) promises a technological path to empower users with the ability to innovate in their networks. However, the diversity of network switches supporting SDN are still roadblocks for network engineers willing to develop innovative applications due to the closed and proprietary hardware implementation. This diversity leads to significant challenges in the control of SDN switches and the development of high performance SDN applications, hampering the core proposal of SDN: to enable fast innovation in real networks. The proposal of this work is to explore the limits of some commodity network hardware, such as Mikrotik RouterBoard switch, in which its proprietary firmware was replaced by the OpenWRT, a distribution based on GNU Linux, together with the Open vSwitch (OvS), a hardware-agnostic open source virtual switch, to create a new environment for experimentation in computer networking. As proof of concept, the prototype was implemented in low cost commercial switches, conducting experiments in order to analyze certain features of the OpenFlow protocol ported in these equipment, such as maximum number of entries in the flow table, the data plane performance using different sizes of network packets, comparing their results with the original implementation provided by the manufacturer and the influence of switch CPU utilization in the result. This combination of open platforms represent a natural step in the development, deployment, and evaluation of SDN applications.

Redes definidas por software (SDN)

004

Redes de computadores

Sistemas embarcados (Computadores)

Desenvolvimento e análise de desempenho de um 'packet/session filter' / Development and performance analysis of a packet/session filter

Spohn, Marco Aurelio

January 1997

A segurança em sistemas de computação é uma das áreas mais críticas nas ciências da informação. Freqüentemente se ouve falar em alguma "brecha" descoberta em algum sistema. Não importando quão grave seja o problema, já existe certa paranóia em relação a questões de segurança. Esses furos na segurança podem ser explorados de diversas maneiras: para obter benefícios financeiros indevidos, personificação maliciosa a custos de uma pretensa "brincadeira", perda de informações sigilosas, danos em arquivos do sistema, etc. Esses são alguns dos motivos porque se investe cada vez mais em segurança. Como se não bastasse, ainda existem os problemas relativos a legislação: por um lado, o governo pode vir a exigir que a segurança em sistemas de informação seja encarada como um problema federal e impor controle sobre tudo que seja utilizado nos mecanismos de proteção; por outro lado, outros podem reclamar a necessidade de privacidade e liberdade de escolha em problemas relativos a segurança. Os sistemas são, a medida que agregam mais recursos, muito complexos e extensos, propiciando um meio fértil para acúmulo de erros e conseqüentes problemas de segurança. A conectividade alterou a realidade da computação: as redes de computadores estão aí para provar. Entretanto, os sistemas em rede a medida que facilitam a realização de uma série de tarefas também apresentam vulnerabilidades. As redes públicas são um exemplo crítico, pois todas as informações passam por meios não confiáveis sujeitos a alteração ou utilização por terceiros. A Internet talvez represente um dos ambientes mais críticos a nível de segurança. Devido a sua abrangência e velocidade com que cresce, ela é um dos ambientes mais propícios a disseminação e exploração de "furos" de segurança. Existem, entretanto, um esforço constante em desenvolvimento de mecanismos para protegê-la. "Internet Firewalls", são um conjunto de mecanismos utilizados para formar uma barreira de segurança entre a rede interna e a Internet. isolando-a das principais ameaças. Os componentes básicos de um "firewall" são o "packet filter" e o "proxy server". Basicamente, o que esses componentes fazem é uma filtragem dos pacotes. 0 "packet filter", como o nome sugere, faz uma filtragem dos pacotes até o nível de transporte (UDP e TCP). 0 "proxy server" atua como um procurador entre o cliente e o servidor real realizando uma filtragem a nível de aplicação; portanto, é uma tarefa mais apurada. Cada um desses componentes básicos apresentam os seus benefícios à segurança da rede interna. Um dos problemas desses mecanismos, é que eles acarretam em um "overhead" ao sistema, degradando o desempenho. Um "packet filter" tem de ser suficientemente rápido para que não seja o gargalo do sistema. De fato, como é apresentado nesse trabalho, pode-se conseguir um filtro tão rápido quanto necessário. A filtragem dos pacotes é baseada nas regras de filtragem que são elaboradas segundo a política de segurança, a qual estabelece qual o tipo de tráfego que pode existir entre a rede interna e a Internet. Cada pacote que passa pelo filtro é comparado com as regras de filtragem na ordem em que elas foram especificadas pelo administrador. Dependendo do número de regras, e este é um fator relevante porque são em grande número os serviços utilizados na rede, o tempo médio de filtragem aumenta. Uma solução para melhorar o desempenho na filtragem, é realizar a filtragem dos pacotes por sessão ("session filter"). Nesse caso somente se consegue atender aos serviços baseados no TCP (que é orientado a conexão); entretanto, considerando que os serviços mais utilizados na rede são baseados no TCP esse é um mecanismo viável. Na filtragem por sessão apenas o pacote de solicitação de conexão é comparado com a lista de regras de filtragem. Os pacotes subsequentes são verificados junto a uma "cache" de sessões ativas. Caso o pacote pertença a alguma sessão válida ele é passado adiante; caso contrário, ele é descartado. O acesso a "cache" deve ser suficientemente rápido para justificar esse procedimento. Além do ganho em desempenho, o filtro de sessões apresenta a vantagem de monitoramento: todas as sessões ativas entre a rede interna e a Internet estão registradas na "cache". Esta dissertação apresenta o projeto e a implementação de um "Packet/session filter". O filtro foi implementado como um módulo do "kernel" do sistema operacional "FreeBSD". O filtro "ip_fw" disponível como "freeware" na referida plataforma, serviu como referência básica para o desenvolvimento do filtro proposto. O utilitário "ipfw", disponível para gerenciar o filtro de pacotes "ip_fw", foi adaptado para interagir com o filtro desenvolvido. Os testes de desempenho apresentam resultados esperados. Ou seja, o filtro de sessão melhora consideravelmente o processo de filtragem em relação a um filtro convencional. O recurso de monitoramento das sessões ativas também representa uma facilidade a mais no controle e obtenção de estatísticas para o "firewall". / Security in computer systems is one of the most critical areas in "information sciences". Often it is heard something about a new "hole" discovered in some system. No matter how important is such a problem, there is a "paranoia" regarding questions about security. These security holes could be explored in a diversity of ways: to obtain financial benefits, to impersonate somebody to spoofing, to obtain secret informations, to damage to file systems, etc. Those are some of the reasons because so much time and money are spent in security. There are also some problems concerning legislation: government can demand that security in information systems is a federal problem and it can lead to impose control over everything that is used in protection mechanisms; on the other hand, there is the question of privacy and freedom of choice concerning to security. By adding new resources to the systems, the complexity is increase and new bugs and security problems can arise. Connectivity has changed the computer reality: computer networks show that. However, network systems also present weak points. Public networks are a critical example because all information flow by untrusted medias subject to modification or misuse by outsiders. The Internet may be one of the most critical environments concerning security. Because the internet covers almost all the world and grows so fast, it's able to dissiminate "holes" in security. There is, however, a constant effort to develop new mechanisms to protect the Internet, Internet Firewalls are a set of mechanisms used to build a security barrier between the internal network and the internet, maintaining the internal network far away from the main threats. The basic components of a firewall are the packet filter and the proxy server. These two components basically do a packet screening. The "packet filter", as the name suggests, makes a packet filtering up to the transport layer (UDP and TCP). The Proxy Server acts like a proxy between the client and the real server, the proxy does a packet filtering at the application level; therefore, it's a refined task. Each one of these components present their own benefits to the internal network security. A problem of those mechanisms is that they bring an overhead to the system, slowing the performance. A packet filter must be fast enough, otherwise it'll be the bottleneck in the system. The present work slows that, it's possible to obtain a filter as fast as necessary. The packet filtering is based on the filter rules which are prepared following the security policy that establishes what kind of traffic can flow between the internal network and the Internet. Each packet that passes through the filter is compared with the filtering rules to check if it is in the sequence specified by the administrator. Depending on the number of rules, and this is an important issue because there is a great number of services available in the network, the filtering mean time increases. A solution to improve the filtering process is to make the packet filtering by session (session filter). In this case it's only possible to attend to TCP, based services (connection oriented); however, considering that the most used services in the internet are based on TCP this is a feasible mechanism. In the session filtering only the first packet is compared against the filtering rules. The next packets are verified against a session cache. If the packet refers to a valid session it's sent forward; otherwise, it's dropped. The access time to the cache must be fast enough in order to allow applying this procedure. Beyond the performance improvement the session filter presents the advantage of monitoring: all the active sessions are recorded in the "cache". This work presents the project and development of a "packet/session filter". The filter was developed as a kernel module of the operating system "FreeBSD". The filter "ip_fw" available as freeware served as a basic reference to the implementation of the filter here presented. The "ipfw" utility available to manage the "ipfw" packet filter was adapted to interact to the developed filter. The performance benchmark presents expected results. The session filter enhances the filtering process when compared to the conventional packet filter. The monitoring facility also represents an enhancement the control and statistics gathering.

Redes : Computadores

Seguranca : Redes : Computadores

Filtragem : Pacotes

Firewall

Internet

Packet filter

Session filter

Internet firewalls

Internet security

Coherence in distributed packet filters

Penz, Leandro Lisboa

January 2008

Redes de computadores estão sob constante ameaça, ainda mais quando conectadas à Internet. Para reduzir o risco, dispositivos de segurança como o filtro de pacotes são usados. Uma primeira camada de segurança, o filtro de pacotes é responsável pelo bloqueio do tráfego indesejado em posições chave da rede. Os pacotes que devem ser permitidos ou bloqueados pelo filtro são definidos através de um conjunto de regras programadas pelo administrador da rede. Essas regras tem duas partes: a seleção e a ação. Conforme cresce a rede e o número de serviços, a quantidade de regras tende a aumentar. Passado certo limite, a complexidade de manter uma quantidade grande de regras se torna um fardo para o administrador. Isso aumenta a probabilidade de enganos que podem prejudicar a segurança da rede. Este trabalho desenvolve o conceito de “anomalia”, cada qual representa um problema em potencial, uma contradição ou uma regra supérflua dentro do conjunto de regras; ou seja, cada anomalia alerta o administrador da rede para determinada situação. Há 7 tipos de anomalias, que podem ser divididos em dois grupos: anomalias de filtro único e anomalias em rede. As anomalias de filtro único alertam o administrador sobre regras que se contradizem (“bloqueio”) ou que não possuem efeito no filtro (“invisibilidade” e “redundância”). As anomalias em rede, por sua vez, alertam o administrador sobre filtros que se contradizem (“discordância”), filtros que bloqueiam tráfego desejado (“bloqueio”), regras que não se aplicam a nenhum pacote que passe pelo filtro onde estão (“irrelevância”) e roteadores que permitem a passagem de tráfego indesejado (“vazamento”). Cada um desses tipos de anomalia é definido formalmente e apresentado junto com um algoritmo que a encontra. As anomalias e seus algoritmos foram usados para implementar uma ferramenta, o Packet Filter Checker (PFC), que lê as regras e a descrição da topologia da rede e cria um relatório com todas as anomalias presentes. Este trabalho apresenta um caso de uso fictício que é analisado e corrigido com base nos resultados apresentados pela ferramenta. O caso de uso é apresentado em diversas iterações, cada uma representando alterações nos requisitos da rede. Este caso mostra a ferramenta e os conceitos no contexto-alvo: na ajuda ao administrador da rede. / Computer networks are under constant threat, even more when connected to the Internet. To decrease the risk of invasions and downtime, security devices such as the packet filter are deployed. As a first layer of security, the packet filter is responsible for blocking out unwanted traffic at key network locations. The packets dropped or forwarded by the filter are defined by a set of rules programmed by the network administrator. These rules are in the form of guarded commands, each with a condition and a decision section. As the number of services and networks grow, the number of rules tend to grow as well. Beyond a certain threshold, the complexity of maintaining such a large and distributed set of rules becomes a burden for the network administrator. Mistakes can be easily made, compromising security. This work develops the concept of “anomaly”, each representing a potential problem, a contradiction or a superfluous rule in the rule set; i.e. a warning to the system administrator. There are 7 types of anomalies divided in two groups: single filter anomalies and networked anomalies. The single-filter anomalies warns the administrator about rules that contradict one another (the “conflict” anomaly) or have no effect (“invisibility” and “redundancy”) in the analysed filter. The networked anomalies, on the other hand, analyse the filters in the context of the network topology and warn the administrator about filters that contradict one another (“disagreement”), filters that block desired traffic (“blocking”), rules that have no effect on the given network topology (“irrelevancy”) and routers that are enabling unwanted traffic (“leaking”). Each type of anomaly is formally defined along with its algorithm. The developed concepts were used to implement a tool — the Packet Filter Checker (PFC) — that reads a description of the rules and network topology in a simple custom language and reports all anomalies present. This tool is used to analyse and fix a fictional user case in several iterations of changing requirements. This shows the tool and the anomalies in the target context: where they help the network administrator.

Redes : Comunicacao : Dados

Seguranca : Redes : Computadores

Filtros : Pacotes

Packet filter

Firewall

Security policy

Policy conflict

Rule coherence

Comunicação cooperativa usando retransmissão parcial codificada, HARQ tipo-I e códigos LDPC

Brante, Glauber Gomes de Oliveira

30 March 2010

CAPES / Nessa dissertação de mestrado apresentamos um novo método HARQ para sistemas de comunicação cooperativa, denominado Retransmissão Parcial Codificada (RPC). Esse método é baseado na retransmissão de apenas uma fração da palavra código original por parte dos nós cooperativos, aplicando a essa fração um ganho de potência apropriado. Os resultados numéricos utilizando códigos LDPC e HARQ Tipo-I com Chase Combining mostram que o RPC supera os esquemas HARQ cooperativos tradicionais considerando os protocolos AAF e SDF. Além disso, mostramos que a vazão (throughput) do RPC, utilizando apenas um único relay, pode ser consideravelmente maior que a vazão de alguns métodos HARQ cooperativos que utilizam múltiplos relays. / In this master thesis we present a novel HARQ scheme for cooperative communication systems, called Coded Partial Retransmission (CPR). The method is based on the retransmission of only a fraction of the original codeword by the cooperating nodes, applying an appropriate power allocation. Numerical results using LDPC codes and Type-I HARQ with Chase Combining show that CPR outperforms regular cooperative HARQ techniques considering both AAF and SDF protocols. Additionally, we show that the CPR throughput, using a single relay, may be considerably larger than the throughput of some regular cooperative HARQ schemes using multiple relays.

Sistemas de comunicação sem fio

Engenharia elétrica

Wireless communication systems

Packet switching (Data transmission)

Electric engineering

Comunicação cooperativa usando retransmissão parcial codificada, HARQ tipo-I e códigos LDPC

Brante, Glauber Gomes de Oliveira

30 March 2010

CAPES / Nessa dissertação de mestrado apresentamos um novo método HARQ para sistemas de comunicação cooperativa, denominado Retransmissão Parcial Codificada (RPC). Esse método é baseado na retransmissão de apenas uma fração da palavra código original por parte dos nós cooperativos, aplicando a essa fração um ganho de potência apropriado. Os resultados numéricos utilizando códigos LDPC e HARQ Tipo-I com Chase Combining mostram que o RPC supera os esquemas HARQ cooperativos tradicionais considerando os protocolos AAF e SDF. Além disso, mostramos que a vazão (throughput) do RPC, utilizando apenas um único relay, pode ser consideravelmente maior que a vazão de alguns métodos HARQ cooperativos que utilizam múltiplos relays. / In this master thesis we present a novel HARQ scheme for cooperative communication systems, called Coded Partial Retransmission (CPR). The method is based on the retransmission of only a fraction of the original codeword by the cooperating nodes, applying an appropriate power allocation. Numerical results using LDPC codes and Type-I HARQ with Chase Combining show that CPR outperforms regular cooperative HARQ techniques considering both AAF and SDF protocols. Additionally, we show that the CPR throughput, using a single relay, may be considerably larger than the throughput of some regular cooperative HARQ schemes using multiple relays.

Sistemas de comunicação sem fio

Engenharia elétrica

Wireless communication systems

Packet switching (Data transmission)

Electric engineering