Wielki test UTM dla przedsiębiorstw cz. 1
- Józef Muszyński,
- Joel Snyder,
- 07.01.2008
Testy wydajności UTM
Ponieważ każda sieć wymaga różnych sposobów pomiaru wydajności i większość produktów UTM oferuje bardzo dużo opcji wdrażania, trudno jest wyciągnąć ogólne wnioski, jak takie produkty będą zachowywać się w danej sieci. Niemniej jednak można powiedzieć, że większość przedsiębiorstw zechce postępować ostrożnie z dodawaniem mechanizmów UTM, takich jak IPS czy skanowanie antywirusowe do obwodowych zapór ogniowych, a to z powodu ich nieprzewidywalnego wpływu na całkowitą wydajność systemu.
W testach podstawowych, gdzie włączano jedynie funkcje zapory ogniowej, osiem z trzynastu urządzeń przekraczało założony cel testowania - przepustowość 1 Gb/s. Jednak po włączeniu mechanizmów UTM systemy, które przekraczały 1 Gb/s, drastycznie obniżyły szybkość. Wśród 56 wyników testu z włączonymi różnymi mechanizmami UTM, 36 było na poziomie 250 Mb/s lub niżej.
Przy konfiguracji IPS na tym, czy uzyskamy szybką czy powolną zaporę, może zaważyć wybór sygnatur. Najlepszy zawodnik w kategorii IPS - IBM/ISS Proventia MX5019 - udowodnił, że można jednak uzyskać szybki IPS postawiony nad zaporą ogniową. Inne platformy wymagają ostrożnego strojenia i świadomego wyboru tego co się chce chronić, zanim osiągnie się przewidywalną i akceptowalną wydajność.
Skanowanie antywirusowe wnosi podobne obciążenia w większości platform (wyjątkiem jest Fortinet FortiGate 3600A), które także czynią z niego bardzo obciążający dla wydajności dodatek.
Ruch na zaporze ogniowej symulowano używając narzędzi do testowania firmy Spirent Communications - Avalanche i Reflector. Ustawiono obciążenie 1 Gb/s rozdzielone na cztery porty: z narzędziem Reflector obsługującym strony WWW na 20 symulowanych serwerach webowych na dwóch portach, a na pozostałych dwóch - z Avalanche symulującym 500 klientów webowych.
Mechanizmy bezpieczeństwa wielu z testowanych zapór ogniowych to całe bogactwo opcji. Na przykład Secure Computing pozwala na uruchomienie Sidewinder z filtrowaniem pakietów lub w trybie proxy, chociaż żaden z nich nie jest tym samym modelem bezpieczeństwa, jaki zapewnia w pełni aplikacyjne proxy (także obsługiwane). Przy filtrowaniu pakietów Sidewinder przekraczał założony próg szybkości, a w trybie proxy był bliski 1 Gb/s. Jednak przedsiębiorstwo, płacące 80 tys. USD za produkt, płaci głównie za pełne możliwości proxy. Po włączeniu ich czysta wydajność spadła do 826 Mb/s.
Problemy wdrażania
W każdym przypadku opcje wdrożeniowe optymalizowano pod kątem bezpieczeństwa, a nie szybkości. Włączenie inspekcji HTTP - mechanizmu, który zapewnia pewien zakres zapobiegania wtargnięciom - spowodowało prawie niezauważalną degradację przepustowości dla Cisco ASA5540 - z 660 do ok. 640 Mb/s. Włączenie inspekcji HTTP z zaawansowanymi mechanizmami (np. blokowanie ActiveX w zawartości) spowodowało "tąpnięcie" przepustowości aż o ok. 80%.
Wybór konfiguracji dla pomiaru wydajności podczas testowania włączonych mechanizmów UTM był jeszcze bardziej skomplikowany. Technologia IPS Check Point o nazwie Secure Defense jest tego dobrym przykładem. Jest to setka opcji dla różnych typów aplikacji i różnych ataków. Trzeba decydować, których sygnatur będzie się używać, a kiedy włączy się cokolwiek ponad domyślne ustawienia, wpływ na wydajność jest ogromny.
Dla uzyskania wyników wydajności IPS zastosowano dwa scenariusze: jeden zakładający ochronę serwerów, a drugi ochronę systemów klienckich. W pierwszym scenariuszu istnieje więcej potencjalnych ataków, ale IPS chroniący serwer musi kontrolować wyłącznie ruch w kierunku serwera. Przy ochronie klienta istnieje mniej ataków, ale w celu ich wyszukania trzeba się przyglądać pełnemu strumieniowi danych. Na przykład, jeżeli poszukuje się grafiki z atakiem typu "przepełnienie bufora", to może on być na początku, w środku lub na końcu obrazka.
Podczas testów stwierdzono duży rozrzut w tym, jak szybko każde z urządzeń może działać z włączonym IPS. Zdumiewająco szybkim wyjątkiem było urządzenie IBM/ISS Proventia MX5010, obsługujące IPS niewiele poniżej 1 Gb/s, w jedynej konfiguracji jaką dysponuje - "włączony".
Dla pozostałych jednak wybór profilu daje duże różnice. IBM System x3650, na którym pracuje zapora Check Point, wyprzedził wszystkich (z wyjątkiem Proventii) w scenariuszu ochrony serwera, osiągając 816 Mb/s. Jednak kiedy przestrojono wszystkie urządzenia na scenariusz ochrony klienta, do przodu przesunęły się Fortinet FortiGate 3600A i Secure Computing Sidewinder 2150, plasując się tuż za Proventią, z wydajnością odpowiednio 624 i 581 Mb/s.
Istotna jest tu uwaga, że Check Point zalecił konfigurowanie urządzeń UTM-1 2050 i Nokia IPP290 w trybie aktywny-aktywny. Wszystkie inne urządzenia były skonfigurowane w trybie aktywny-pasywny. Oznacza to, że pozycja na liście wydajności tych urządzeń jest wyższa niż mogłaby być w bardziej typowej konfiguracji aktywny-pasywny.