Disponibilità Assegno di Riecrca Annuale per 24k€
Titolo: FIreWall hardware dInamico (Fi-WI): Applicazioni Verticali e Orizzontali di una piattaforma dinamica hardware-firmware-software per la sicurezza informatica di infrastrutture che richiedano grandi volumi di scambio dati su reti locali
Abstract:
I FireWall Hardware (FWH) commerciali analizzano il traffico di rete tra una generica rete locale e il traffico esterno (dal GARR) e svolgono varie attività computazionali che riconduciamo a due compiti primari di cybersecurity:
-rilevazione di attacchi,
-analisi statistica del traffico di rete.
I FWH di tipo Next Genaration (NGFW) sono già ampiamente diffusi, fanno Deep Packet Inspection (DPI) analizzando il traffico a partire dal livello 2 del modello ISO/OSI e, solitamente, implementano ASIC dedicati al controllo veloce del traffico e FPGA gestite dall’applicazione fornita dai vendor (livello 3 e superiore del modello ISO/OSI). Per identificare gli applicativi che circolano in rete è richiesta una DPI dal livello 4 fino al livello 7 e bisogna allo stesso tempo avere FWH con alta capacità computazionale, altissimo throughput, basse latenze e jitter.
Attualmente il CNAF di Bologna, che è un Tier-1 a livello nazionale, utilizza un FWH con un throughput dell’ordine di 50 Gbps e potenzialmente può fare DPI fino al livello 7 sul traffico di rete. I costi di queste macchine (dell’ordine di 100k€ per il CNAF) scalano pressoché linearmente con il throughput ma in ogni caso non sono programmabili a livello di codice macchina in quanto utilizzano interfacce del vendor non modificabili dall’utente.
Per questi motivi questo progetto AlmaIdea propone lo sviluppo di un FWH alternativo rispetto a quelli commerciali, per poter estendere le potenzialità e la sicurezza del traffico su due tematiche principali:
· Applicazioni verticali per monitorare il traffico di rete con hardware dedicato, programmabile a livello di codice macchina, utilizzando FPGA di ultima generazione che supportino throughput dell’ordine 10 Gbps, alternativo ai software commerciali che fanno packet filtring fino a 500 Mbps o ai firewall che usano commodity hardware non programmabile a livello di codice macchina. In questa mopdalità possono implementare crittografia custom per applicazioni specifiche degli enti di ricerca (big-transfer e big-data).
- Applicazioni orizzontali della tipologia NGFW, ancora con hardware FPGA dedicato, programmabile a livello di codice macchina. In questa modalità il fine primario è quello di fare monitoring di rete, senza ridurre il throughput.
Le applicazioni di FWH, una volta modellizzate via software e ottimizzate secondo i desiderata, saranno convertite in firmware per FPGA di ultima generazione, con capacità di throughput fino al TB/s, RAM interna ad accesso veloce (8 GB @ 316 GB/s) e processori embedded di tipo ARM CORTEX A9. Le attività di analisi del traffico di rete svolte dai FWH sono anche compatibili con studi di reti neurali autoapprendenti di tipo machine-learning/deep-learning, indipendentemente dal livello di DPI.
Una volta configurato il FWH, questo può essere applicato a qualsiasi infrastruttura di ricerca, il CNAF ne è solo un esempio.
Il candidato acquisirà tutte le competenze di gestione del traffico di rete, dei protocolli digitali di comunicazione, entrerù nel merito della cybersecurity e imparerà a implementare il codice simulato su piattaforme con FPGA: acceleratori hardware.
Published on: July 21 2022
