O que posso fazer para “testar o estresse” um ASA5505?

Para um dispositivo de firewall É muito comum enfatizar o teste da capacidade de transferência e conexões simultâneas (e em alguns cenários até o tamanho máximo da tabela de conversão NAT).

Em seguida, há a quantidade de novas conexões por unidade de tempo que o dispositivo de firewall pode estabelecer ( taxa de novas conexões ).

Este parâmetro é de significância enorme em um firewall e, na minha experiência, poucas pessoas falam sobre isso e, como conseqüência, muitas pessoas não o testam.

Na verdade, algumas vezes vi firewalls caírem de joelhos sob um DDoS que está bem abaixo da taxa de transferência máxima anunciada do firewall, mas que tem uma taxa de conexão muito alta (por último, lembre-se de ~ 100Kconns / s) .

Quando isso acontece, a explicação nem sempre é fácil de fazer:

"O que você quer dizer com um DDoS de 100Mbps que nosso firewall caiu ???, não é suposto lidar com Zillions of Gbps de throughput? Eu quero falar com o engenheiro de vendas, né, caramba!"

Parabéns por até pensar em testes de estresse. Na minha experiência, você realmente precisa detalhar os componentes do firewall e projetar seus testes para circunstâncias específicas, dependendo de suas políticas e configurações. @jliendo apontou alguns itens bons para consideração. É importante pensar em conexões por segundo, em vez de apenas throughput, e você pode tentar fazer um teste do mundo real fazendo o download de um torrent altamente desenvolvido. Seu dispositivo também pode ter o cartão IPS instalado, portanto, se você quiser testar exaustivamente as políticas que você configurou para inspeção de pacotes com o sensor. Você configurou a verificação antivírus? Você gostaria de testar a taxa de transferência dessa política para ver se ela pode acompanhar. Em geral, o objetivo de um teste de estresse seria testar suas políticas mais do que a capacidade bruta do hardware; já que as políticas podem afetar significativamente os níveis de desempenho do hardware.

Com o acima em mente, você encontrará uma coleção de ferramentas como o iperf para ajudá-lo a analisar casos específicos. O Iperf pode ajudá-lo a testar suas políticas de controle de tempestades. O Seagull é um gerador de tráfego útil que pode testar a maioria de suas outras políticas. (Lembre-se de testar se funciona corretamente ou não, E se bloqueia o tráfego como pretendido) Dependendo do seu ambiente, você também pode querer testar a latência e conexões de rede ruins (talvez o 5505 seja um firewall de escritório remoto?) Para ajudá-lo ajustar seus tempos limite. A versão experimental do Netlimiter é muito útil nesse sentido.

Em resumo, gostaria de voltar a abordar a sua questão a partir da visualização da sua configuração. Se você configurou a caixa para permitir ou negar o tráfego em uma determinada situação, pergunte a si mesmo como testar se isso funciona conforme o esperado. Depois de testado nesse nível, tente testar várias políticas (como HTTP por meio do AV Scan para uma sub-rede secundária em uma VLAN). Em seguida, bombardeie o dispositivo até a morte com um gerador de tráfego, encontre pontos fracos no fluxo e configure a qualidade do serviço para se proteger no caso de situações extremas.