Come parte della mia ricerca, ho bisogno di determinare i pacchetti massimi (traffico Internet) può un processo di firewall / IDS. Non sono sicuro da che parte cominciare.
La tua assistenza e guida in questo senso è molto apprezzata.
Avendo fatto test per più clienti in cui affermano che "le scansioni non lo porteranno a termine, starai bene", quindi un'ora dopo avremo una riunione per discutere su come gestire un grave incidente di downtime , Posso tranquillamente dire alcune cose:
Se si desidera testare correttamente le funzionalità realistiche di uno di questi dispositivi, è necessario installarlo nell'ambiente di produzione ed eseguire una batteria completa di test attraverso di esso, nella configurazione di produzione finale. I risultati saranno diversi per ogni modello o versione del firewall / IDS / IPS, diverse opzioni di configurazione e diverse topologie di rete e sistemi di back-end raggiunti attraverso il dispositivo. Qualunque risposta tu guadagni, per esempio, un firewall pfSense, sarà completamente diversa rispetto, ad esempio, a un firewall Checkpoint.
Dato che stai parlando di ricerca, la prima cosa che dovresti fare è definire cosa intendi per firewall e IDS. Sono cose diverse; a un livello insignificante, un firewall (di stato) riguarda il livello di rete, mentre un IDS deve fare almeno l'analisi dei pacchetti e l'analisi a livello di applicazione per essere utile.
Sebbene esistano altri tipi di firewall e IDS, ciò che limita il loro throughput è in definitiva l'elemento più lento nella catena di elaborazione. Ecco un esempio di trival:
/dev/log
e poi si dimentica di esso In questo caso i componenti coinvolti sono:
L'elemento più lento della catena è il bus PCI, quindi questo è il fattore limitante nel caso di singoli pacchetti. Ciò significa che, a meno di non mettere una scheda da 10 GB su una CPU 486 con un clock di 100 MHz, la scheda di rete sarà sempre il collo di bottiglia. È un calcolo back-of-the-envelope ma ti dà un limite inferiore.
Una volta che hai una linea di base puoi iniziare a complicarla: ad esempio, cosa succede se il sistema è sovraccarico? Qual è il numero minimo di thread che la CPU deve essere in grado di allocare per mantenere un throughput massimo? In altre parole: isola le tue variabili e, mantenendo tutto il resto uguale, analizza i loro confini. Potresti considerare un approccio di analisi dei confini.
Devi anche chiarire la tua domanda di ricerca: parli di
the maximum packets (Internet traffic) can one instance of firewall/ IDS process
Che cosa intendi per "processo"? Il tuo IDS è attivo o passivo (ad esempio, blocca il flusso di pacchetti finché non è felice o esegue solo analisi passive)? Se sta bloccando, si ha un modello di coda produttore / consumatore in cui il limite superiore dipende dal fatto che l'IDS possa scalare su più core. Altre cose che potresti voler considerare sono l'impronta della memoria, la suscettibilità agli attacchi denial-of-service e così via. Pensa a cosa succede se un utente malintenzionato invia un pacchetto frammentato. Il firewall aspetterà per sempre di assemblarlo? Cosa succede se l'autore dell'attacco invia solo il primo blocco di una richiesta HTTP Chunked?
Per riassumere, inizia definendo esattamente cosa stai cercando di valutare; per ogni elemento, determinare i suoi limiti inferiori e (eventualmente) superiori; combina i risultati.
Leggi altre domande sui tag firewalls packet ids network-scanners