Wielki test UTM dla przedsiębiorstw cz. 1

Testy wydajności UTM

Ponieważ każda sieć wymaga różnych sposobów pomiaru wydajności i większość produktów UTM oferuje bardzo dużo opcji wdrażania, trudno jest wyciągnąć ogólne wnioski, jak takie produkty będą zachowywać się w danej sieci. Niemniej jednak można powiedzieć, że większość przedsiębiorstw zechce postępować ostrożnie z dodawaniem mechanizmów UTM, takich jak IPS czy skanowanie antywirusowe do obwodowych zapór ogniowych, a to z powodu ich nieprzewidywalnego wpływu na całkowitą wydajność systemu.

W testach podstawowych, gdzie włączano jedynie funkcje zapory ogniowej, osiem z trzynastu urządzeń przekraczało założony cel testowania - przepustowość 1 Gb/s. Jednak po włączeniu mechanizmów UTM systemy, które przekraczały 1 Gb/s, drastycznie obniżyły szybkość. Wśród 56 wyników testu z włączonymi różnymi mechanizmami UTM, 36 było na poziomie 250 Mb/s lub niżej.

Przy konfiguracji IPS na tym, czy uzyskamy szybką czy powolną zaporę, może zaważyć wybór sygnatur. Najlepszy zawodnik w kategorii IPS - IBM/ISS Proventia MX5019 - udowodnił, że można jednak uzyskać szybki IPS postawiony nad zaporą ogniową. Inne platformy wymagają ostrożnego strojenia i świadomego wyboru tego co się chce chronić, zanim osiągnie się przewidywalną i akceptowalną wydajność.

Skanowanie antywirusowe wnosi podobne obciążenia w większości platform (wyjątkiem jest Fortinet FortiGate 3600A), które także czynią z niego bardzo obciążający dla wydajności dodatek.

Ruch na zaporze ogniowej symulowano używając narzędzi do testowania firmy Spirent Communications - Avalanche i Reflector. Ustawiono obciążenie 1 Gb/s rozdzielone na cztery porty: z narzędziem Reflector obsługującym strony WWW na 20 symulowanych serwerach webowych na dwóch portach, a na pozostałych dwóch - z Avalanche symulującym 500 klientów webowych.

Na wszystkich zaporach ogniowych ustawiono umiarkowanie restrykcyjną politykę, dopuszczając ruch HTTP między segmentami sieci z włączoną translacją adresów (NAT). Nie próbowano wyznaczać największej szybkości dla każdego produktu - większość urządzeń miała możliwość przekroczenia 1 Gb/s. Celem było ustalenie, jak ona spada, gdy włącza się mechanizmy UTM (zob. tabela "Przepustowość zależy...").

Mechanizmy bezpieczeństwa wielu z testowanych zapór ogniowych to całe bogactwo opcji. Na przykład Secure Computing pozwala na uruchomienie Sidewinder z filtrowaniem pakietów lub w trybie proxy, chociaż żaden z nich nie jest tym samym modelem bezpieczeństwa, jaki zapewnia w pełni aplikacyjne proxy (także obsługiwane). Przy filtrowaniu pakietów Sidewinder przekraczał założony próg szybkości, a w trybie proxy był bliski 1 Gb/s. Jednak przedsiębiorstwo, płacące 80 tys. USD za produkt, płaci głównie za pełne możliwości proxy. Po włączeniu ich czysta wydajność spadła do 826 Mb/s.

Problemy wdrażania

W każdym przypadku opcje wdrożeniowe optymalizowano pod kątem bezpieczeństwa, a nie szybkości. Włączenie inspekcji HTTP - mechanizmu, który zapewnia pewien zakres zapobiegania wtargnięciom - spowodowało prawie niezauważalną degradację przepustowości dla Cisco ASA5540 - z 660 do ok. 640 Mb/s. Włączenie inspekcji HTTP z zaawansowanymi mechanizmami (np. blokowanie ActiveX w zawartości) spowodowało "tąpnięcie" przepustowości aż o ok. 80%.

Wybór konfiguracji dla pomiaru wydajności podczas testowania włączonych mechanizmów UTM był jeszcze bardziej skomplikowany. Technologia IPS Check Point o nazwie Secure Defense jest tego dobrym przykładem. Jest to setka opcji dla różnych typów aplikacji i różnych ataków. Trzeba decydować, których sygnatur będzie się używać, a kiedy włączy się cokolwiek ponad domyślne ustawienia, wpływ na wydajność jest ogromny.

Podczas testowania Nokia IP290, na którym pracowało oprogramowanie zapory ogniowej Check Point, początkowo wyłączono opcję Secure Defense, a po jej włączeniu z ustawieniami domyślnymi, wydajność spadła niewiele (z 1003 do 993 Mb/s). Kiedy następnie wprowadzono rekomendowane przez Check Point ustawienia IPS dla serwera (które zapewniają skanowanie większej liczby ataków), odnotowano 85-proc. spadek przepustowości.

Dla uzyskania wyników wydajności IPS zastosowano dwa scenariusze: jeden zakładający ochronę serwerów, a drugi ochronę systemów klienckich. W pierwszym scenariuszu istnieje więcej potencjalnych ataków, ale IPS chroniący serwer musi kontrolować wyłącznie ruch w kierunku serwera. Przy ochronie klienta istnieje mniej ataków, ale w celu ich wyszukania trzeba się przyglądać pełnemu strumieniowi danych. Na przykład, jeżeli poszukuje się grafiki z atakiem typu "przepełnienie bufora", to może on być na początku, w środku lub na końcu obrazka.

Podczas testów stwierdzono duży rozrzut w tym, jak szybko każde z urządzeń może działać z włączonym IPS. Zdumiewająco szybkim wyjątkiem było urządzenie IBM/ISS Proventia MX5010, obsługujące IPS niewiele poniżej 1 Gb/s, w jedynej konfiguracji jaką dysponuje - "włączony".

Dla pozostałych jednak wybór profilu daje duże różnice. IBM System x3650, na którym pracuje zapora Check Point, wyprzedził wszystkich (z wyjątkiem Proventii) w scenariuszu ochrony serwera, osiągając 816 Mb/s. Jednak kiedy przestrojono wszystkie urządzenia na scenariusz ochrony klienta, do przodu przesunęły się Fortinet FortiGate 3600A i Secure Computing Sidewinder 2150, plasując się tuż za Proventią, z wydajnością odpowiednio 624 i 581 Mb/s.

Istotna jest tu uwaga, że Check Point zalecił konfigurowanie urządzeń UTM-1 2050 i Nokia IPP290 w trybie aktywny-aktywny. Wszystkie inne urządzenia były skonfigurowane w trybie aktywny-pasywny. Oznacza to, że pozycja na liście wydajności tych urządzeń jest wyższa niż mogłaby być w bardziej typowej konfiguracji aktywny-pasywny.