Firewalls sind eine wichtige Maßnahme zum Schutz IP-basierter Netze vor Angriffen. An Netzübergängen mit sehr hohem Verkehr und geringem bis mittlerem Schutzbedarf wurden solche Firewalls bisher überwiegend als hardware-basierte Paketfilter in IP-Routern implementiert. In dieser Forschungsarbeit soll untersucht werden, ob eine software-Firewall auf Basis von Linux/Netfilter und normaler Server-Hardware geeignet ist, um das Schutzniveau zu erhöhen, die Investitionskosten zu senken und dennoch die benötigten hohen Übertragungskapazitäten zu ermöglichen.
Ihre Aufgabe
•
Aufbau eines Testbeds, bestehend aus Verkehrs-Quellen und -Senken für Übertragungsraten von 100 Gbit/s, Validierung des Testbeds noch ohne Firewall
•
Installation und Konfiguration einer Linux/Netfilter-Firewall mit 100Gbit/s Schnittstellenkarte
•
Messung von Paketverlusten und Latenz in Abhängigkeit von Last und Größe des Firewall-Regelsatzes
•
Messung und Bewertung verschiedener Ansätze zur Optimierung des Firewall-Regelsatzes, z.B. iptables, eBPF, ipsets, nftables, XDP, ggf. "offloading" in die Netzwerkkarte usw.
Voraussetzungen
Kommunikationsnetze I
Programmierkenntnisse in Python
Linux-Systemadministrator
Kontakt
Dipl.-Ing. Ulrich Gemkow,
Raum 1.335 (ETI II),
Telefon 685-67976, [E-Mail]