Logo - Suricata - Intrusion Dectection System

Für Intrusion Detection-Implementierungen ist das Fehlen eines signifikanten Teils des Netzwerkverkehrs inakzeptabel, da selbst ein einzelnes Paket, das nicht vom Intrusion Detection System (IDS) geprüft wird, einen blinden Fleck für das Sicherheitsteam darstellt. Suricata IDS erkennt bekannte Bedrohungen, Richtlinienverletzungen und bösartiges Verhalten.

So leistungsfähig Suricata auch dabei ist, ein Netzwerk reaktiv zu schützen, es wird nur so effektiv sein wie seine Implementierung. Die Untersuchung des Inhalts jedes Netzwerkpakets ist extrem CPU-intensiv, insbesondere bei einer Multi-Gigabit-Netzwerkauslastung. Und das ist oft der Flaschenhals in der Suricata-Performance: die Paketverarbeitung auf der CPU.

Der Napatech-Unterschied

Um dieser Herausforderung zu begegnen, hat Napatech eine Hardwarebeschleunigungslösung entwickelt, die die CPU entlastet und damit die Performance von Suricata deutlich erhöht.

Diese Lösung basiert auf der Napatech Link™ Capture Software, die sich hervorragend für die verlustfreie Beschleunigung von Suricata eignet. Sie entlastet die Anwendungssoftware von der Verarbeitung und Analyse des Netzwerkverkehrs und gewährleistet gleichzeitig die optimale Nutzung der Ressourcen des Servers, was zu einer effektiven Anwendungsbeschleunigung führt.

Optimiert für die Erfassung des gesamten Netzwerkverkehrs bei voller Leitungsrate und nahezu ohne CPU-Belastung des Hostservers (bei allen Framegrößen), weist die Lösung erhebliche verlustfreie Leistungsvorteile für Suricata gegenüber einer Standard-Netzwerkkarte (NIC) auf:

  • 4x verlustfreie Paketleistung
  • 100% verlustfreie Erfassung des gesamten Netzwerkverkehrs
  • 40% Verbesserung der CPU-Auslastung

Aus Beschleunigung wird Wert

Diese Leistungsvorteile ermöglichen Ihnen letztendlich folgendes:

  • Maximieren Sie Ihre Serverleistung, indem Sie die CPU-Auslastung verbessern
    • Minimieren Sie Ihre Gesamtbetriebskosten, indem Sie die Anzahl der Server reduzieren und so den Rackplatz, den Stromverbrauch, die Kühlung und die Betriebskosten optimieren
      • Verkürzen Sie Ihre Time-to-Resolution und ermöglichen Sie so eine deutlich höhere Effizienz

      Hervorragende verlustfreie Leistung

      Die mit dieser Lösung erzielten Verbesserungen wurden durch den Vergleich der Suricata-Leistung auf einem Dell PowerEdge R740 mit einer Standard 40G NIC-Karte und der Napatech NT200 nachgewiesen.

      Mit 40 Kernen (80 Worker-Threads) auf beiden Sockeln bietet die NT200 mit Link™ Capture Software einen fast 3x höheren verlustfreien Suricata-Paketdurchsatz als eine Standard-NIC bei der Ausführung von Suricata mit einem 12.712-Signatur Emerging Threats-Regelsatz.

      Maximaler Durchsatz

      Bei der Ausführung von Suricata auf allen 40 Kernen erreichte der Systemdurchsatz mit einer Standard-NIC einen Höchststand von 34,8 Gbit/s, während die NT200 52,4 Gbit/s lieferte und damit einen um 50% höheren maximalen Durchsatz erzielte.

      Deterministische Leistung

      Fast ebenso wichtig ist, dass die NT200 eine deterministische Leistung zeigt, bei der es praktisch keine Abweichungen in mehreren Testläufen gibt. Im Gegensatz dazu zeigt die Standard-NIC signifikante Leistungsunterschiede zwischen einer Reihe von Messungen mit identischer Arbeitsbelastung. Dieses Verhalten ist in der obigen Grafik dargestellt, wo die NT200-Leistung als eine einzige scharfe Linie erscheint, die keine Variabilität anzeigt. Für die Standard-NIC stellt die dicke Linie den durchschnittlichen Durchsatzwert dar und das umgebende schattierte Band zeigt die Abweichung von verschiedenen Versuchen an. Einfach ausgedrückt bietet die NT200 eine garantierte Anwendungsleistung, während die Standard-NIC-Leistung bei Testläufen mit der gleichen angebotenen Last um bis zu 50% variiert.

      Testkonfiguration

      Die Testkonfiguration basierte auf einem Dual-Sockel Dell R740 mit der 2x40G SmartNIC NT200. Der Datenverkehr wurde durch die PCAP-Wiedergabe einer tatsächlichen Netzwerkverkehrserfassung mit mehr als 125K Flows und einer durchschnittlichen Paketgröße von 486 Bytes erzeugt.

      Hauptmerkmale der Lösung

      • Voller Datendurchsatz bei 100% Netzwerkauslastung für alle Paketgrößen
      • Verlustfreie Erfassung für perfekte Inspektion und Erkennung
      • Onboard-Paketpufferung während Micro-Bursts oder PCI-Express-Busüberlastungsszenarien
      • Erweiterte Hostspeicher-Pufferverwaltung für ultrahohe CPU-Cacheleistung
      • Paketklassifizierung, Match-/Aktionsfilterung und Null-Kopie-Weiterleitung
      • Intelligente und flexible Lastverteilung auf bis zu 64 Queues, welche die CPU-Cache-Performance verbessern, indem sie immer die gleichen Abläufe an die gleichen Kerne liefern

      Napatech Link™ Capture Software

      Die atemberaubenden Benchmarks für Suricata wurden durch Napatechs Reconfigurable Computing Platform™ unterstützt, das auf FPGA-basierter Link™ Capture Software und Napatech SmartNIC-Hardware basiert.

      Die Reconfigurable Computing Platform von Napatech entlastet, beschleunigt und sichert flexibel offene, standardisierte, hochvolumige und kostengünstige Serverplattformen, so dass sie die Leistungsanforderungen für Netzwerk-, Kommunikations- und Cybersicherheitsanwendungen erfüllen können.

      Suricata

      Suricata ist ein ideales Beispiel für die Art von kritischen Unternehmenssicherheitsanwendungen, die durch Hardwarebeschleunigung eine bessere Leistung erzielen können.

      Suricata ist eine kostenlose und quelloffene Anwendung zur Erkennung von Netzwerkbedrohungen, die in Echtzeit IDS-, IPS- und Netzwerksicherheitsüberwachung ermöglicht.

      Suricata ist mit Funktionen ausgestattet, die speziell auf Leistung und Skalierbarkeit ausgelegt sind:

      • Multi-Threaded-Code ermöglicht eine einzelne Suricata Instanz zur Nutzung mehrerer CPUs
      • Native Unterstützung für spezielle Capture-Karten und Hardwarebeschleunigungsvorrichtungen

      Suricata kann mit nativer Unterstützung für die Hardwarebeschleunigung auf Basis der Napatech-Hard- und -Software kompiliert werden. Anweisungen zum Kompilieren von Suricata mit Unterstützung für Napatech sind im Napatech Suricata Installationshandbuch aufgeführt, das unter suricata.readthedocs.io verfügbar ist.

Wir beraten Sie gerne und freuen uns über Ihre Kontaktaufnahme!