IPS y los Tests de Velocidad

By 30 marzo, 2018 IT Security, Sophos UTM, XG

La activación de cualquier función de escaneo o filtrado en un Firewall/UTM afectará sin duda el rendimiento de la red. De las características de seguridad disponibles en un Firewall/UTM, se sabe que el Sistema de Prevención de Intruso (IPS) tiene el mayor impacto en el rendimiento de una red (throughput).

Cuando se ejecuta una prueba de velocidad tipo OOKLA Speedtest o Test de Velocidad de Movistar en las condiciones descritas a continuación, el impacto en el rendimiento puede ser mucho mayor de lo esperado. 

  1. Tenemos IPS activado
  2. Usamos una red de alta velocidad, como una conexión a internet por Fibra, Gigabit o Gigabit LAN
  3. Una o varias conexiones comparten la misma IP de origen y IP de destino (este punto es muy relevante en cuanto al rendimiento de IPS)

Esto se basa en cómo el proceso IPS maneja el tráfico y las limitaciones de la prueba en lugar de reflejar efectivamente el throughput.

El motor de escaneo IPS puede iniciar múltiples procesos en múltiples núcleos de CPU; sin embargo, solo se usa un proceso por cada par de origen y destino de IP. A medida que aumenta la velocidad de la conexión, la demanda de los recursos del sistema también aumenta para procesar el flujo incrementado de paquetes.

Al usar una conexión de alta velocidad, llegará un punto en el que el ancho de banda de red disponible es mayor que la velocidad con la que el proceso IPS puede escanear el tráfico, lo que hace que el núcleo de la CPU ejecute el proceso para alcanzar el 100%. No existen cifras exactas para este impacto porque depende del modelo de UTM y de qué más está haciendo el sistema en ese momento.

Siempre que las conexiones nuevas se originen desde una fuente diferente o se dirijan a un destino diferente, estas pasarán por un nuevo proceso de IPS en un núcleo de CPU separado. Esto permitiría, por lo tanto, que una conexión simultánea solo tenga su velocidad limitada cuando su núcleo de CPU alcance el 100% o cuando el ancho de banda de red disponible se haya saturado.

En términos reales, esto significa que el impacto real en el rendimiento de la red no será tan dramático como lo muestran los resultados de la prueba de velocidad y los usuarios finales no notarán ningún impacto en el rendimiento de la red a menos que transfieran archivos muy grandes.

Para manteneros al día sobre temas de Seguridad IT y noticias destacadas, haceros fans de nuestra página de Facebook o síguenos en Twitter.

https://community.sophos.com/kb/en-us/119464

Copyright 2017, TresW