Rostoucí používání SSL snižuje výkon firewallů

Pokles výkon je způsoben navýšenou zátěží vinou operací nezbytných pro dešifrování datových paketů a jejich opětovné šifrování.

Rostoucí používání SSL snižuje výkon firewallů


Díky neustálým skandálům ohledně odposlechů dat narůstá zájem a používání kryptografického protokolu SSL (Secure Sockets Layer). Ovšem jeden z primárních důvodů, proč na straně poskytovatelů jakéhokoli obsahu (jako je Google či Facebook) docházelo k váhání s jeho nasazováním, byly výrazně zvýšená zátěž na servery. Zatímco ovšem velké firmy mohou jít cestou různých akcelerátorů SSL, pro jejich klienty to z důvodů současných vysokých cen podobných zařízení není možné.

V současnosti SSL podle zprávy NSS Labs představuje asi 25 až 35 procent typické komunikace klientů v korporacích (u komunikace mezi servery či od serverů směrem ke klientům je tento podíl pochopitelně – či doufejme – výrazně vyšší). Očekává se, že zabezpečená komunikace by měla výrazně narůstat, nejméně o 20 % ročně po několik následujících let.

Společnost NSS Labs ovšem vypracovala analýzu, podle které se výrazně zhoršuje výkon současných moderních firewallů, jakmile se zašifrovaná komunikace vyšplhá k 50 %. Během testování sedmi špičkových produktů, které jsou dnes v prodeji, se ukázalo, že chování zařízení jednoznačně odpovídá kvalitě šifrování. V případě provozu využívajícího 512- nebo 1024bitové šifrování schopnost firewall zpracovávat příchozí pakety klesla o 74 %, v případě 2048 bitů dokonce o 81 %. Současný průmyslový standard je sice 1024 bitů, ale ke konci roku se zdvojnásobí na 2048.

Podle Johna Pirce, viceprezidenta výzkumu v NSS Labs, je zvýšená zátěž způsobená požadavky na kontrolu paketů, každý paket je třeba před bezpečnostní analýzou dešifrovat a potom znovu zašifrovat. Testy sice probíhaly pouze na různých modelech firewallů, ale stejné chování lze očekávat i u systémů na detekci průniků.

Firewally použité ve studii nepatřily do nejlevnější kategorie, pocházely od výrobců jako je Juniper Networks, Stonesoft, Palo Alto Networks, Sourcefire, Check Point, Dell SonicWall a Fortinet. Pokud se bezpečnostní zařízení nemají stát nejslabším článkem komunikačního řetězu, budou muset větší společnosti nasazovat jejich clustery nebo investovat do výrazně výkonnějších (a samozřejmě dražších) systémů.

Podobné chování ovšem vychází z inspekce paketů uvnitř šifrované komunikace SSL. Pokud se ovšem zabezpečená komunikace pouze posílá dál, k výrazné degradaci výkonu nedochází. Takové chování je typické pro domácí zařízení, i když to se samozřejmě může postupně změnit.

 

Úvodní foto: © Joerg Habermeier - Fotolia.com










Komentáře