Konzept-Vorschlag Performance-Test Firewall-Cluster



Ähnliche Dokumente
How-to: Webserver NAT. Securepoint Security System Version 2007nx

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Kontrollfragen: Internet

(Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch)

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

4 Assistent "Erste Schritte"

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Versuch 3: Routing und Firewall

Switching. Übung 7 Spanning Tree. 7.1 Szenario

Subpostfächer und Vertretungen für Unternehmen

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

Grundlagen Messdatennutzung

Technische Grundlagen von Internetzugängen

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

LANCOM Techpaper Routing-Performance

LANCOM Techpaper Routing Performance

Machen Sie Ihr Zuhause fit für die

GGAweb - WLAN Router Installationsanleitung Zyxel NBG 4615 v2

HVS32 Datenbank Archivierungs Dienst

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

Firewalls für Lexware Info Service konfigurieren

Firewalls für Lexware Info Service konfigurieren

MSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

Internet Security 2009W Protokoll Firewall

LabView7Express Gerätesteuerung über LAN in einer Client-Serverkonfiguration. 1. Steuerung eines VI über LAN

Formular»Fragenkatalog BIM-Server«

IPTables und Tripwire

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales.

Anbindung des eibport an das Internet

D a s P r i n z i p V o r s p r u n g. Anleitung. - & SMS-Versand mit SSL (ab CHARLY 8.11 Windows)

SolarWinds Engineer s Toolset

300 MBIT WIRELESS ACCESS POINT ROUTER

Benutzerhandbuch bintec R1200 / R1200w(u) / R3000 / R3000w / R3400 / R3800(wu) GRE

Root-Server für anspruchsvolle Lösungen

Grundlagen Firewall und NAT

Performance und Bandbreitenmanagement Tests Version MuSeGa

Einrichten des Elektronischen Postfachs

Performance Analyse in einem komplexen Softwaresystem Gebhard Ebeling

GGAweb - WLAN Router Installationsanleitung Zyxel NBG 6616

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

Routing und DHCP-Relayagent

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

Virtual Private Network

Guide DynDNS und Portforwarding

WLAN Konfiguration. Michael Bukreus Seite 1

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Erste Schritte mit Deinem Protonet Server

Internet LUFA. Topologiebeschreibung LUFA Speyer Gesamtübersicht. Co Location in einem RZ. LUFA Speyer Topologiebeschreibung Projekt Nr.

DURCH VIDA ERZEUGTE PROTOKOLLDATEIEN 1 EINFÜHRUNG

SharePoint Demonstration

Local Control Network Technische Dokumentation

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

Technical Note ewon über DSL & VPN mit einander verbinden

PQ Explorer. Netzübergreifende Power Quality Analyse. Copyright by Enetech Alle Rechte vorbehalten.

FL1 Hosting Technische Informationen

Internet und WWW Übungen

Dokumentation zum Spielserver der Software Challenge

Anleitung zur Nutzung des SharePort Utility

... über OGVIT GmbH & Co. KG

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

Fragebogen zur Anforderungsanalyse

ANYWHERE Zugriff von externen Arbeitsplätzen

DynDNS Router Betrieb

Grundlagen der. Videokommunikation

Wireless & Management

Daten Monitoring und VPN Fernwartung

SIP Konfiguration in ALERT

BitDefender Client Security Kurzanleitung

EDI Connect goes BusinessContact V2.1

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

BytStorMail SAAS als Relay

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Orientierungstest für angehende Industriemeister. Vorbereitungskurs Mathematik

DCS-3110 EVENT SETUP

Gemeinsamer Bibliotheksverbund: Übertragung von Datenexporten für den Verbundkatalog Öffentlicher Bibliotheken

Das Handbuch zu KNetAttach. Orville Bennett Übersetzung: Thomas Bögel

Handbuch Synology-Server Einrichten / Firewall

LED Beleuchtung - Fehlerbetrachtung bei der Beleuchtungsstärkemessung

Installation des COM Port Redirectors

Echtzeitanomalieerkennung für Internetdienste (Abschlussvortrag)

Switching. Übung 9 EAP 802.1x. 9.1 Szenario

Transkript:

Sachgebiet Informationstechnik Konzept-Vorschlag Performance-Test Firewall-Cluster CPU-Last ( busy ): Summe Kernel User Abbildung 1: CPU-Auslastung einer Firewall während eines RBT-Lasttests Kontakt: Jürgen Wehner (Sachgebietsleiter) Tel: (0911) 65 73-190 Email: juergen.wehner@rbt-nbg.de Claus-Georg Pleyer Tel: (0911) 65 73-225 Email: claus-georg.pleyer@rbt-nbg.de Helmut Schmidt Tel: (0911) 65 73-144 Email: helmut.schmidt@rbt-nbg.de Stand: Mai 2007 90431 Nürnberg, Wallensteinstraße 119 Telefon 0911-6573-0, Fax 0911-6573-111 Amtsgericht Nürnberg HRB 609 Gesellschafter: Bayerischer Rundfunk - Hessischer Rundfunk - Mitteldeutscher Rundfunk - Radio Bremen - Rundfunk Berlin-Brandenburg Saarländischer Rundfunk- Südwestrundfunk - Zweites Deutsches Fernsehen Geschäftsführer: Dipl.-Ing. (FH) Alfred Preissner

Die RBT verfügt über Know-how, Erfahrung und Meßmittel für Firewall-Performancetests. Ziele Mit dem RBT-Testvorschlag sollen Investitionen in die bestmögliche Sicherheit bei anforderungsgemäßer und zukunftssicherer Performance der Firewall getätigt werden. Die Ziele der Untersuchung sind: - Ermittlung der Leistungsgrenzen des Systems - Überprüfung realer Betriebsszenarien - Kontrolle der Wirksamkeit von Schutz- und Failover-Mechanismen - Vergleich des Systems mit bereits getesteten Varianten - Optimierung von Konfigurationen in Bezug auf Sicherheit und Performance - Hilfe bei Investitions-Entscheidungen und der Auswahl von Alternativen Testkonzept Es werden vier zentrale Fragen geklärt: 1. Welche Performancewerte erreicht die Firewall? (Benchmark) Hierzu dienen die in RFC 3511 festgelegten Testgrößen: - maximale Sessionanzahl - maximale Sessionauf- und abbaurate - maximaler Durchsatz bei unterschiedlichen Paketgrößen - Latenzmessung - maximale http-transferrate - maximale http-transaktionsrate - Kombination aus maximaler http-transferrate und TCP/IP-Paketen mit SYN-Flag - Kombination aus maximaler http-transferrate und verbotenem Verkehr - Kombination aus maximaler http-transferrate und fragmentierten UDP/IP-Paketen 2. Reichen die CPU-Reserven der Firewall für den betrieblichen Einsatz aus? (vgl. Abb. 2) Realistischer Verkehr setzt sich aus den folgenden CPU-Einflußfaktoren zusammen: - Paketrate: mit kleinen Paketgrößen steigt der Protokoll-Overhead - Transferrate: auch Übertragungsrate, Durchsatz - Transaktionsrate: Wieviele Übertragungen werden pro Sekunde abgeschlossen? - Sessionrate: abhängig von der Fluktuation der aktiven Benutzer - Protokoll: bestimmt die obigen Faktoren und den Overhead - aktiver Firewall-Regelsatz (Rule-Set): bestimmt die Tiefe der Protokollprüfung - Network Address Translation (NAT): Umsetzung zw. internen u. Internet-IP-Adressen - Angriffslast und unerwünschter Verkehr Seite 2 / 6

direkte Abhängigkeit indirekte Abhängigkeit Sessionanzahl Transferrate [Mbit/s] Auf- u. Abbau von TCP-Sessions Dateigröße [Byte] Sessionrate [1/s] FW-CPU FW-CPU [% busy] Transaktionsrate [1/s] Angriffsrate [Pakete/s] FW-Regel, Overhead, Paketrate [1/s] Angriffe Protokoll Abbildung 2: Dynamische Einflußfaktoren auf die CPU-Auslastung der Firewall 3. Wie beeinflussen Firewall-Regeln die Performance? Die unter 1. und 2. genannten Größen werden mit unterschiedlichen Regelsätzen der Firewall ermittelt, um die optimale Konfiguration für den realen Betrieb herauszufinden. 4. Schützt die Firewall ausreichend vor Angriffen und unerwünschtem Verkehr? Hierzu können vom RBT-Testsystem folgende Streßarten erzeugt werden: - Viren-Angriff: Mails mit simuliertem Virus im Anhang - SYN-Flood: viele TCP-Pakete mit gesetztem SYN-Flag - IP Fragmentation: fragmentierte, übergroße IP-Pakete - Ping of Death: fragmentierte, übergroße ICMP-Pakete - IP Spoofing: Pakete mit gefälschter interner IP-Adresse - Land Attack: SYN-Flood oder Ping mit identischer Ziel- und Quell-IP-Adresse - Smurth Attack: Ping mit gefälschter Quell-Adresse an die Broadcast-IP-Adresse - Port-Scanning: TCP- und UDP-Pakete mit beliebig gesetzten Flags an beliebige Ports - Capture und Replay von bereits einmal akzeptierten, duplizierten Paketen Seite 3 / 6

Testleistungen Ein Test durch die RBT leistet Folgendes: - Generierung ausreichender Lasten über zwei bis vier Gigabit-Netzwerkkarten eines modularen Client/Server-Meßsystems aus spezieller Hard- und Software - Nachbildung eines individuellen Lastmixes aus verschiedenen Anwendungen und Verkehrsprofilen - Skalierung bis auf mehrere tausend Verbindungen mit individuellen IP- und MAC- Adressen - Streßlast mit unerwünschten Verkehrsarten und typischen Angriffen aus dem Internet - Monitoring von Systemressourcen - Verifizierbare Lastszenarien um Auswirkungen von Konfigurations-Änderungen, Updates oder Upgrades zu erkennen - Orientierung an den RFCs 3511, 2647 und 2544 Verkehrsanalyse im Vorfeld Die RBT kann den im realen Betrieb an der Firewall auftretenden Verkehr mit einer speziellen Gigabit Ethernet Hardwarekarte und der Analysesoftware Omnipeek der Firma WildPackets mitschneiden und analysieren. Die in Abb. 2 gezeigten Einflußfaktoren lassen sich so als Grundlage für realistische Testkonfigurationen quantifizieren. Beispielsweise zeigt Abb. 3 die Transferraten- Verteilung über fünf gängige und noch erweiterbare Benutzer-Protokolle eines RBT-Lastmixes. RTSP; 60; 6% SMTP; 100; 10% HTTP; 400; 42% HTTPS; 150; 16% FTP; 250; 26% Abbildung 3: Beispiel-Lastmix aus 5 Protokollen mit unterschiedlicher Transferrate (in Mbit/s) Seite 4 / 6

Testaufbau Über die zu untersuchende Firewall wird von der RBT durch zwei Last-Module variabel konfigurierbarer Nutz- und Angriffsverkehr gesendet (s. Abb. 4). LAN / DMZ Angriffslast WAN / Internet Anwender- Verkehr Client/Server Last-Modul 1 Firewall Abbildung 4: RBT-Testaufbau mit der zu untersuchenden Firewall (schematisch) Client/Server Last-Modul 2 Ein Controller-Laptop mit der Software NetPressure steuert und überwacht die Messungen über ein separates Management-LAN. Ein spezielles ReportingTool dient zur vergleichenden Auswertung der Ergebnisse. Diese Komponenten bilden das Dienste-Meßsystem NetworkTester der Firma Agilent Technologies. Beispiele aus einem RBT-Bericht 1. Zusammenhang von Transfer- und Sessionrate mit der CPU-Zeit der Firewall Oberhalb der orangenen Kurve droht die Überlastung des Systems. Transferrate [Mbit/s] 1000 900 800 700 600 500 400 300 200 100 0 0 100 200 300 400 500 Sessionrate [1/s] Auslastung der FW-CPU 80 % 50 % Zunehmende Paketu. Transaktionsraten, komplexere Firewall- Regeln u. Angriffslast drücken die Kurven zu den Achsen Abbildung 5: Lastszenario aus Transfer- und Sessionrate über eine Firewall an Gigabit Ethernet Seite 5 / 6

2. Zunehmender Denial-of-Service-Angriff auf die Firewall bei Anwender-Verkehrsmix Mit ansteigenden SYN-Flood-Paketen sinken Transfer-, Transaktions- und Sessionrate der Anwender-Protokolle. Es treten zunehmend Timeout-Fehler auf. Die Firewall-CPU wird bis zu 90 % ausgelastet, wenn der Angriff den Nutzerverkehr überwiegt. 1000 800 Angriffsverkehr: Angriffsrate [Mbit/s] 600 400 Anwenderverkehr: Transferrate [Mbit/s] Transaktionsrate [1/s] Sessionrate [1/s] Fehler 200 0 00:00 00:20 00:40 01:00 01:20 01:40 02:00 02:20 Zeit [mm:ss] CPU-Last ( busy ): Summe Kernel User Normalbetrieb Beeinträchtigung Überlastung Abbildung 6: Verkehrsmix mit steigendem SYN-Flood-Angriff u. resultierender CPU-Last der Firewall Ergebnisse Auf der Basis der strukturierten Untersuchung entstehen folgende Unterlagen: - bewertete (Vergleichs-)Graphiken zu Durchsatz, Antwortzeiten, Fehler, etc. - Dokumentation der Leistungsgrenzen der Firewall - Benennung von möglichen Engpässen je nach betrieblichem Einsatz - Dokumentation des Schutzverhaltens bei angriffsartigem Verkehr - Performancevergleich mit anderen Systemen Seite 6 / 6

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback