Evaluation of a sequential approach of a majority decision based firewall system

  • chair:Network Functions Virtualization, Service Function Chaining
  • type:Bachelorarbeit
  • time:2017
  • advisor:

    Robert Bauer, Roland Bless

  • person in charge:Albrecht Weiche
  • Firewalls sind ein wichtiger Bestandteil um Computernetzwerke vor unerwünschten Zugriffen zu schützen. Um das Risiko einer fehlerhaft konfigurierten oder kompromittierten Firewall abzuschwächen, wurde am KIT das Konzept der n-party Majority Decision Firewall (nMDF) entwickelt. Hierbei werden drei (oder mehr) Firewalls  von unterschiedlichen Herstellern eingesetzt, um kritische Netzbereiche zu schützen. Eine spezielle Komponente ist dabei für den namensgebenden Mehrheitsentscheid zuständig, der Pakete nur dann passieren lässt, wenn mindestens zwei der drei Firewalls den Netzwerkzugriff gestattet haben. In verschiedenen Arbeiten am Institut für Telematik wurde auf Basis von DPDK bereits ein erster Prototyp der nMDF implementiert. 

    Ziel der Bachelorarbeit war es, zu untersuchen, welche Vor- und Nachteile sich durch eine sequentielle Anordnung der Firewalls ergeben und wie in diesem Fall eine praktische Umsetzung auf der Basis von Network Functions Virtualization (NFV) und Service Function Chaining (SFC) bewerkstelligt werden kann. Hierzu musste der sequentielle Ansatz zunächst als DPDK-Applikation umgesetzt werden. Anschließend sollten die beiden Varianten (parallel und sequentiell) miteinander verglichen werden.