Verschlüsselung kostet Performance

IP-Leistungsmessungen

Die Ergebnisse der IP-Performance-Messungen zeigen deutliche Unterschiede auf. Der Einbruch bei mit 3DES verschlüsselten Übertragungen war zu erwarten. Interessant sind die Differenzen zwischen den beiden Herstellern. Während die Linux-gestützte Defendo bei einer verschlüsselten Verbindung im unidirektionalen Betrieb noch 21 Prozent Durchsatz schaffte - mit einer Fast-Ethernet-Anbindung sind das 21 MBit/s - erreichte Sonicwall hier nur 4 Prozent beziehungsweise 4 MBit/s. Dies deckt sich mit den vom Hersteller für 3DES angegebenen Werten. Auch beim Vergleich der verschlüsselten mit den unverschlüsselten Verbindungen stellten wir große Unterschiede fest. Während bei Defendo der Durchsatz mit Verschlüsselung um den Faktor 4,5 bis 6 zurückgeht, je nachdem ob die Daten uni- oder bidirektional gesendet werden, liegt dieser Faktor bei Sonicwall zwischen 8 und 16.

Anzumerken ist, dass wir bei Defendo für die Messungen ohne Verschlüsselung einen reinen Routingmodus wählten. Dieser steht bei Sonicwall nicht zur Verfügung. Um trotzdem Messungen mit unverschlüsselter Übertragung in einer Back-to-Back-Konfiguration durchzuführen, stellten wir die Option "IPsec Encapsulating Security Payload (ESP)" mit "NULL Encryption" ein. Dadurch wurde die Verschlüsselung deaktiviert. Dieses Verfahren garantiert die Authentizität und Integrität der Daten, codiert sie aber nicht. Der Nachteil liegt in der etwas geringeren Performance. Der tatsächliche Durchsatz des Paketfilters ohne Tunneling dürfte deshalb etwas höher liegen als die von uns gemessenen Werte.

Auch bei der Latenz, also der Paketlaufzeit, unterschieden sich die Hersteller deutlich. Die Geräte von Linogate erreichten mit verschlüsselten Verbindungen 2,5 ms im unidirektionalen und etwa 8 ms im bidirektionalen Betrieb. Damit ist die Durchlaufzeit um den Faktor 5 besser als bei den Appliances von Sonicwall. Diese Leistungsdifferenzen lassen sich auf die Systemleistung der Testkandidaten zurückführen. Linogate liefert Defendo mit einem 700-MHz-Prozessor und 64 MByte Arbeitsspeicher aus, während Sonicwall nur mit einem 233-MHz-Prozessor und 8 MByte RAM arbeitet.

Bei den verschiedenen IP-Forwarding-Tests, die wir auch mit 80- und 1518-Byte-Paketen durchführten, traten einige Probleme auf. Defendo hatte Schwierigkeiten mit einer Netzwerkkarte. Eine Testreihe mit 1518 Byte großen Paketen ergab einen Durchsatz von null Prozent. Nach einer Untersuchung, in die der Hersteller über den Fernwartungszugang eingebunden war, vermuten wir einen technischen Defekt der Netzwerkkarte.

Sonicwall konnte mit 1518-Byte-Paketen keinen Durchsatz erzielen, das heißt, auch bei geringster Last wurde kein Paket korrekt übertragen. Der Grund: Bedingt durch einen Offset, der durch das Tunneling entsteht, wird die ursprüngliche maximale Paketlänge von 1518 Byte vergrößert, und zwar sowohl mit 3DES-Verschlüsselung als auch mit ESP NULL. Um dieses übergroße Paket auf einer Verbindung mit einer MTU-Size (Maximum Transmission Unit) von 1500 Byte zu übertragen, müsste es geteilt (fragmentiert) werden.

Die Paketgrenze von 1500 Byte entspricht mit dem MAC-Header (Medium Access Control) von 14 Byte und der Check-Summe von 4 Byte unserer Paketgröße von 1518 Byte. An dieser Stelle trat das Problem auf, dass die zum Zeitpunkt der Tests vorliegende Firmware 6.0.x.x Pakete, die in die Tunnel gesendet werden sollen, nicht fragmentiert. Dies stellt unserer Meinung nach eine erhebliche Beeinträchtigung der VPN-Funktion von Sonicwall dar. Laut Hersteller soll dieses Problem mit der seit kurzem erhältlichen Firmware 6.1.2.0 gelöst sein.