Pruebas de rendimiento aplicando un IPS
entre dos hosts
Fecha: 7 de septiembre del 2015
Escenario
Estas pruebas se realizaron en un seminario de detección de intrusiones al que asistí como oyente en el propio Centro IT,
y en el que el instructor Alejandro Fernández gentilmente me ofreció realizar una demostración con equipos Cisco.
Decidí presentar una maqueta sobre detección de fugas de información a través del tráfico ICMP ICMP tunnel), en el cual
pueden fragmentarse y adjuntarse datos dentro de un ping (ver el lab http://www.vilarrasa.com.ar/icmp_data.htm).
Este documento, mas allá de las pruebas de IPS, pretende demostrar la relación entre performance y seguridad.
Otras pruebas similares pero con IOS firewalls en: http://www.vilarrasa.com.ar/pruebas_fw_cbac.htm
http://www.vilarrasa.com.ar/pruebas_fw_zbf.htm
Establecimiento de una línea de base: sin
el IPS activado para verificar la capacidad máxima del escenario.
Cisco2801#sh proc | incl CPU
CPU utilization for five seconds: 27%/26%; one minute: 16%; five minutes: 15%
Cisco2801#
El resultado de 80 Mpbs es un valor razonable, ya que entre dos equipos en una misma LAN, a 100 Mbps logran una
performance de 90 Mbps (10 Mbps se pierden en la señalización 4B/5B de layer 1 y cabeceras de layer 2,3 y 4).
Con la firma 2151 solamente: con esta firma inspeccionará todos los paquetes, sean ICMP o no, pero los paquetes
ICMP con payloads mayores a 100 bytes se descartarán.
Podemos apreciar el incremento del uso de CPU del router, ya que la inspección es por software y con una utilización
intensiva del throughput del equipo.
Cisco2801#sh proc | incl CPU
CPU utilization for five seconds: 92%/92%; one minute: 60%; five minutes: 19%
Cisco2801#
Rendimiento del ancho de banda:
Podemos apreciar la pérdida de
rendimiento en la capacidad de reenvío del equipo.
Con todas las firmas por default habilitadas: inspeccionará todos
los paquetes y los comparará contra todas las amenzas.
Cisco2801#sh proc | incl CPU
CPU utilization for five seconds: 99%/97%; one minute: 63%; five minutes: 39%
Cisco2801#
La pérdida de performance es notable.
Todos los IPS basados en software pueden acusar los mismos resultados, pero considerando el ancho de banda de
internet, en la interface outside podemos asumir que estaremos dentro de rangos aceptables.
Cisco ofrece en la línea ASA una solución IPS basada en hardware, de la cual seguramente tendremos alguna prueba
en un futuro no muy lejano….
Ejemplos de fuga ICMP:
(2015) Sensei, my mind is wrong ?
Rosario, Argentina