Журнал "Information Security/ Информационная безопасность" #6, 2024

Не лучшим образом ска- зывается на производитель- ности файрвола использова- ние средств предотвраще- ния вторжения IDS/IPS. В них существуют свои наборы правил. На производительность файрвола влияет и объем трафика, который на него поступает. Вопрос о производитель- ности кажется простым, но на самом деле ответ на него зависит от огромного коли- чества условий. Для того чтобы узнать ско- рость сети в идеальных усло- виях, в нее нужно установить устройство и измерить скорость на нем. Но таких условий ни в одной работающей инфра- структуре никогда не будет: она всегда будет загружена трафи- ком, который генерируют под- ключенные устройства. Среди наших заказчиков есть вуз, в инфраструктуре которого больше тысячи пользователей. В стандартном режиме сеть этой организации никаких про- блем не испытывает. Но в про- шлом году этот университет (как и многие другие в России) пережил DDoS-атаку, которая привела к тому, что система обнаружения вторжений мгно- венно забрала вместо обычных 5-6% ресурсов все 100%. Если бы был сделан замер произво- дительности сети, то он показал бы минимальные значения, даже на топовом, высокопроиз- водительном оборудовании. AD и производительность Те же самые факторы оказы- вают свое влияние и на про- изводительность TING. Она зависит от текущих настроек файрвола, а те, в свою очередь, от политик безопасности, кото- рые действуют в компании. Некоторые предприятия все- гда по умолчанию проксируют доступ сотрудников в Интернет, при этом авторизацию на про- кси-сервере организуют через контроллер домена. Когда поль- зователей много, и все они обра- щаются ко внешним ресурсам через один и тот же прокси, при каждом таком обращении идет обмен данными с контроллером домена Active Directiry (AD). Мы сталкивались со случаями, когда только трафик AD, все назначе- ние которого – авторизация, исчисляется сотнями Мбит/c. В такой ситуации мало того, что канал забивается дополнитель- ным трафиком, еще и генериру- ется значительная нагрузка на прокси-сервер. В результате производительность упиралась в потолочные значения. И в Linux, и в FreeBSD суще- ствует такая характеристика как Load Average – совокупность загрузки устройств системы: от процессора до устройств ввода- вывода. Когда значение Load Average равно единице, это озна- чает, что достигнут пик произво- дительности для одного процес- сора. Если это значение превы- шает единицу, то нагрузка пре- вышает пиковое значение. Для машин с восемью процессорами такое предельное значение Load Average будет равно 8 и т.д. Мы сталкивались со случая- ми, когда у некоторых заказчи- ков при авторизации пользова- телей на прокси через конт- роллер домена значение Load Average на восьмипроцессорных машинах достигало 50. Как влияет на производительность IDS/IPS Не лучшим образом сказы- вается на производительности файрвола использование средств предотвращения втор- жения IDS/IPS. В них суще- ствуют свои наборы правил. Они описывают критерии, по которым анализируется входя- щий трафик и определяется, похож он на атаку или нет. Таких правил может быть еди- новременно задействовано очень много, и производитель- ность файрвола, естественно, тратится на их обработку. На производительность файр- вола влияет и объем трафика, который на него поступает. Например, в организации, у кото- рой нет ни собственного сайта, ни внешних сервисов, которые она обслуживает, используются TING и IDS/IPS – в этом случае система обнаружения вторжений будет потреблять минимум ресурсов, и то только в момент атаки, если она случится. Но другая организация с собствен- ным сайтом и личными кабине- тами пользователей при такой же схеме организации защиты (файрвол + IDS/IPS) обязательно столкнется с высокой нагрузкой. Эта нагрузка станет еще выше, если будет зафиксиро- вана атака, слабое оборудова- ние может ее не выдержать. Кроме того, необходимо учиты- вать еще и интенсивность атаки. DDoS может "положить" прак- тически любое устройство, даже самое производительное, отра- зить такое нападение можно только на уровне провайдера. Поэтому IDS/IPS в компании, где обслуживается большое количество внешних сервисов, всегда будет потреблять боль- шое количество ресурсов и даже может забрать все мощ- ности, если их недостаточно. Вариантов решения проблемы перегрузки много. Самые оче- видные из них: увеличить мощ- ность системы, быстродействие дисковой подсистемы и нарас- тить пропускную способность локальной сети. Эти способы действенны, но сопряжены с дополнительными расходами на апгрейд оборудования. Есть и другие способы при- вести нагрузку на систему в соответствие с расчетной про- изводительность – например, оптимизация контроллера доме- на. В ряде случаев такая мера позволяла при той же пользо- вательской активности сокра- тить нагрузку на межсетевой экран вдвое. FreeBSD как способ борьбы с нагрузками В качестве среды исполнения в TING используется FreeBSD – и не потому, что все мы страст- ные поклонники этой операцион- ной системы или очень любим командную строку. Конечно, можно было использовать и один из дистрибутивов Linux, но дело в том, что FreeBSD отлично ведет себя именно в условиях высокой нагрузки, которая критична для производительности сети. Эта ОС загружает меньше процес- сов, оставляя место для данных, например, в операциях ввода- вывода, а если и блокирует что- то, то не всю систему разом, а какое-то отдельное действие. Иными словами, сетевой стек FreeBSD обеспечивает более высокую производительность в условиях высокой нагрузки, отличается большей стабиль- ностью. Сама ОС менее требо- вательна к ресурсам, а значит и расходует их экономнее, остав- ляя место для других задач. Вопрос о производительности кажется простым, но на самом деле ответ на него зависит от огромного количества условий. Предусмотреть все особенности использования TING в конкрет- ной инфраструктуре невозмож- но, поэтому конкретного ответа нет и быть не может. l • 23 NGFW www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ СМАРТ-СОФТ см. стр. 72 NM Реклама