Pruebas de rendimiento aplicando un IPS entre dos hosts

 Fecha: 7 de septiembre del 2015

 

Escenario

 

Estas pruebas se realizaron en un seminario de detección de intrusiones al que asistí como oyente en el propio Centro IT,

y en el que el instructor Alejandro Fernández gentilmente me ofreció realizar una demostración con equipos Cisco.

Decidí presentar una maqueta sobre detección de fugas de información a través del tráfico ICMP ICMP tunnel), en el cual

pueden fragmentarse y adjuntarse datos dentro de un ping (ver el lab http://www.vilarrasa.com.ar/icmp_data.htm).

 

Este documento, mas allá de las pruebas de IPS, pretende demostrar la relación entre performance y seguridad.

 

Otras pruebas similares pero con IOS firewalls en: http://www.vilarrasa.com.ar/pruebas_fw_cbac.htm

                                                                                                       http://www.vilarrasa.com.ar/pruebas_fw_zbf.htm

 

 

 

 

 

Establecimiento de una línea de base:  sin el IPS activado para verificar la capacidad máxima del escenario.

 

 

Cisco2801#sh proc | incl CPU

CPU utilization for five seconds: 27%/26%; one minute: 16%; five minutes: 15%

Cisco2801#

 

El resultado de 80 Mpbs es un valor razonable, ya que entre dos equipos en una misma LAN, a 100 Mbps logran una

performance de 90 Mbps (10 Mbps se pierden en la señalización 4B/5B de layer 1 y cabeceras de layer 2,3 y 4).

 

 

Con la firma 2151 solamente: con esta firma inspeccionará todos los paquetes, sean ICMP o no, pero los paquetes

ICMP con payloads  mayores a 100 bytes se descartarán.

 

 

Descripción: Descripción: Descripción: Descripción: Descripción: http://www.vilarrasa.com.ar/icmp_data_archivos/image015.jpg

 

Podemos apreciar el incremento del uso de CPU del router, ya que la inspección es por software y con una utilización

intensiva del throughput del equipo.

 

Cisco2801#sh proc | incl CPU

CPU utilization for five seconds: 92%/92%; one minute: 60%; five minutes: 19%

Cisco2801#

 

Rendimiento del ancho de banda:

 

Podemos apreciar la pérdida de rendimiento en la capacidad de reenvío del equipo.

 

 

 

Con todas las firmas por default habilitadas: inspeccionará todos los paquetes y los comparará contra todas las amenzas.

 

 

Cisco2801#sh proc | incl CPU

CPU utilization for five seconds: 99%/97%; one minute: 63%; five minutes: 39%

Cisco2801#

 

La pérdida de performance es notable.

 

 

Todos los IPS basados en software pueden acusar los mismos resultados, pero considerando el ancho de banda de

internet, en la interface outside podemos asumir que estaremos dentro de rangos aceptables.

Cisco ofrece en la línea ASA una solución IPS basada en hardware, de la cual seguramente tendremos alguna prueba

en un futuro no muy lejano….

 

Ejemplos de fuga ICMP:

 

 

 

 

(2015) Sensei, my mind is wrong ?

Rosario, Argentina