Verschlüsselung kostet Performance

Von: Bernd Klusmann, Christoph Lange

Hauptaufgabe von Firewalls ist die Sicherung von Unternehmensnetzwerken vor Angriffen aus dem Internet. Appliances vereinigen die hierfür nötige Hard- und Software in einer Box. Aufgrund der Konzentration auf ein Spezialgebiet sollen diese Geräte im Vergleich zu größeren und komplexeren Firewalls einfacher zu installieren und zu konfigurieren sein - im Idealfall also Plug and Play. Dies versprechen zumindest die Marketingbroschüren der Hersteller. Damit sind Appliances besonders für kleinere und mittelständische Unternehmen interessant, die einfach zu bedienendes Equipment benötigen, weil eigene Sicherheitsexperten die Ausnahme sind.

Das Appliance-Konzept besagt, dass ein Gerät vorrangig für eine Aufgabe zuständig ist. Viele Hersteller implementieren jedoch neben dem eigentlichen Paketfilter weitere Dienste, zum Beispiel Mailserver, Webserver oder Fileserver. Die Idee eines einfach zu bedienenden Spezialgeräts wird damit aufgegeben. Bei den vom NetworkWorld Partner Lab EANTC durchgeführten Tests haben wir dennoch besonderen Wert auf die Handhabung der Geräte gelegt (Installation, Konfiguration, Verwaltung), da dies für die Zielgruppe von Appliances ein wichtiges Kaufkriterium ist.

Um die Performance zu ermitteln, testeten wir verschiedene Parameter bei der Weiterleitung von IP-Paketen sowie die Skalierbarkeit beim Auf- und Abbau von TCP-Verbindungen. Wie im Einleitungsartikel ausführlich beschrieben, analysieren die IP-Leistungsmessungen den Durchsatz und die Paketlaufzeiten der Firewalls mit und ohne Verschlüsselung (siehe Seite 71). Die TCP-Session-Rate-Tests zeigen, wie viele gleichzeitige TCP-Sitzungen die Firewall unterstützt, mit welcher Rate die Verbindungen aufgebaut werden, und wie lange der Verbindungsaufbau im Durchschnitt dauert.