Тестирование устройств защиты сетей

Сценарий

Каждое предприятие озабочено обеспечением информационной безопасности своей сети. Каждый компьютер, осуществляющий доступ в Интернет или оказывающий услуги через Интернет, должен быть защищен от угроз информационной безопасности. По данным Ponemon Institute, в 2016 году средний убыток от одного вторжения в сеть превышал 4 млн долл., что на 29% больше, чем в 2013 году, и на 5% больше, чем в 2015 году.

Существуют атаки, связанные с внедрением в компьютеры разнообразных вредоносных программ, к числу которых относятся вирусы, черви, руткиты, троянские и шпионские программы, показывающий рекламу вредоносный код, пугающие программы (scareware) и недавно появившиеся программы-вымогатели (ransomware). Эти атаки часто достигают успеха с помощью самих же компьютерных пользователей — при считывании ими электронной почты, просмотре веб-страниц, загрузке файлов по FTP, мгновенном обмене сообщениями и одноранговом обмене файлами. Кроме того, вредоносные программы могут проникать на компьютеры в ходе онлайновых игр и в результате беспечного отношения пользователей к установке новых приложений. К другим видам атак относятся атаки типа «отказ в обслуживании» против сайтов компаний, атаки, использующие уязвимости, против сервисов веб, email, FTP и др., а также атаки с кражей паролей.

Для защиты своих сайтов и сервисов, наряду с обучением пользователей, предприятия применяют разнообразные средства обеспечения информационной безопасности, включая:

  • Межсетевые экраны — фильтруют входящий в сеть трафик по IP-адресам и протоколам. Межсетевые экраны следующего поколения (NGFW) используют функционал DPI для фильтрации трафика по инкапсулированным протоколам и содержимому пакетов.
  • VPN-шлюзы — используются для обеспечения безопасного доступа к сети предприятия его удаленным сотрудникам и партнерам. Для защиты трафика, передаваемого доверенными узлами, эти устройства применяют IPsec-шифрование.
  • Системы обнаружения и предотвращения вторжений (IDS/IPS) — защищают от хакерских атак. Эти сложные устройства распознают множество видов необычного пользования сетью в поисках признаков ее неправильного использования. Системы IDS оповещают администраторов о возможных вторжениях в их сети, а системы IPS блокируют доступ к ним (обычно это обеспечивается путем программирования функций межсетевого экрана).
  • Фильтры URL — закрывают доступ к подозрительным веб-сайтам. Эти устройства контролируют все обращения к серверам веб, FTP и другим, а также блокируют доступ к сайтам из предоставленного поставщиком списка.
  • Шлюзы для защиты от вредоносного ПО и спама — предотвращают проникновение вредоносных программ на компьютеры предприятия, осуществляя контроль содержимого электронной почты, трафика веб и FTP и других поступающих на предприятие данных. Этот вид защиты часто реализуется на отдельных компьютерах.
  • Шлюзы безопасности с «песочницей» — проверяют данные или файлы на наличие вредоносного ПО, исполняя или анализируя их в «песочнице» перед тем, как пропустить в сеть.
  • Шлюзы для предотвращения утечки данных (DLP) — блокируют передачу ценных данных из информационной системы предприятия вовне. Эти устройства контролируют исходящий из информационной системы предприятия трафик на предмет наличия в нем закрытой информации, которая может быть преднамеренно послана пользователем и передана вредоносным ПО.

Многие из указанных выше функций теперь объединены в одном устройстве, называемом системой для объединенного контроля угроз (UTM) или межсетевым экраном следующего поколения.

Решения Ixia

Компания Ixia предлагает полное тестовое решение, которое определяет следующие показатели средств обеспечения информационной безопасности:

  • Эффективность — способность обнаруживать все виды атак и защищать от них.
  • Точность — способность точно выполнять свои функции (без большого числа ложноположительных результатов).
  • Производительность — возможность задействовать защитные механизмы и при этом сохранять приемлемую скорость работы сети. Защитные механизмы должны продолжать пропускать хороший трафик даже в ходе самых агрессивных атак.


В процессе тестирования защитного устройства оборудование Ixia генерирует трафик разнообразных атак вместе с легитимным трафиком

Сервис Ixia BreakingPoint Actionable Threat Intelligence (ATI) реализует полную программу технического обслуживания и технической поддержки, нацеленную на оптимизацию и повышение устойчивости ИТ-инфраструктур к атакам. В рамках этой программы предусмотрено обновление тестового ПО компании Ixia для реалистичной имитации трафика новых приложений и атак. Служба поддержки оперативно реагирует на запросы клиентов.

Продукция Ixia тестирует все виды аппаратных и программных средств, предназначенных для обеспечения информационной безопасности сетей, используя:

  • Известные уязвимости. Продукция Ixia могут имитировать более 37 тыс. разных атак, нацеленных на известные уязвимости и сгруппированных (в перечне) по категориям. Описания атак часто обновляются, чтобы соответствовать результатам деятельности хакеров.
  • Различные методики обхода средств защиты. Атаки часто маскируются с помощью фрагментации пакетов и других сложных операций. Для тестирования эффективности средств защиты решения Ixia применяют различные методики их обхода.
  • Массовые DDoS-атаки. Для определения устойчивости кибернетических инфраструктур имитируются DDoS- и ботнет-атаки. Чтобы имитировать крупномасштабные DDoS-атаки используются большая вычислительная мощность тестовых портов Ixia и их конфигурируемый функционал.
  • Шифрование. В целях тестирования шифрование с применением протокола IPsec используется двояко. Шифрование легитимного трафика осуществляется для измерения пропускной способности VPN-шлюзов. Шифрование трафика атаки выполняется для тестирования эффективности и точности работы защитных устройств при осуществлении атак через защищенные соединения.
  • Мультисервисный трафик. Для измерения производительности защитного устройства на него подается реалистичный мультисервисный трафик с имитацией логики работы сервисов. Это позволяет определить истинную скорость работы (включая обеспечение QoE) устройства, а не просто его максимальную пропускную способность.

Функционал тестового решения Ixia на базе ПО BreakingPoint
Функция   Опции
Имитация атак с использованием известных уязвимостей  
  • Десятки тысяч известных уязвимостей.
  • Более 360 имитируемых приложений.
  • Двунаправленные атаки.
  • Методики обхода средств защиты
Имитация DDoS-атак  
  • Более 30 типов атак.
  • Почти неограниченный масштаб
Шифрование  
  • IPsec.
  • SSL/TLS
Генерирование мультисервисного трафика  
  • Данные.
  • Голос.
  • Видео.
  • Пользователи в масштабе города.
  • Измерение показателей QoE

Для измерения производительности VPN-шлюзов, используемых для соединения многочисленных подразделений предприятий и подключения удаленных пользователей к корпоративным сетям, предназначено приложение IxLoad-IPsec.

Приложение IxLoad-IPsec определяет следующие характеристики VPN-шлюзов всех типов:

  • максимальное число одновременно поддерживаемых соединений между сетями и пользовательских соединений,
  • скорость установления новых соединений,
  • пропускную способность,
  • совместимость (может ли шлюз поддерживать многочисленные протоколы аутентификации и шифрования, используемые в наше время).

Предлагаемые приложения и платформы
BreakingPoint/BreakingPoint VE
ATI Subscription
  Тестирование устройств защиты сетей трафиком приложений и атак; регулярно предоставляются обновления ПО для имитации самого полного и актуального в отрасли набора атак и приложений
IxLoad/IxLoad VE   Хорошо масштабируемая поддержка шифрования SSL и IPsec для проверки работы инфраструктуры обеспечения информационной безопасности
TrafficREWIND   Виртуальное устройство, использующее информацию о трафике действующей сети в метаданных ATI-процессора для повышения степени реалистичности тестового трафика, выдаваемого тестовым решением на базе ПО BreakingPoint, что улучшает анализ сбоев и аттестацию устройства/сети перед вводом в эксплуатацию
PerfectStorm   Из шасси высотой 11U нагрузочные модули PerfectStorm выдают смешанный трафик атак и приложений общей интенсивностью до 960 Гбит/с, имитируя до 720 миллионов сеансов работы пользователей в сети одновременно
PerfectStorm ONE   Портативное устройство (с портами 10/1GE) для реалистичного нагрузочного тестирования прикладным трафиком интенсивностью до 80 Гбит/с
CloudStorm   Мультитерабитная платформа облачного масштаба для тестирования доставки приложений и защиты сетей
Шасси XGS12   Самая высокая в отрасли плотность портов 100GE, 40GE и 10GE в стоечном пространстве высотой 11U, что сокращает потребности в стоечном пространстве и упрощает техническое обслуживание
Шасси XGS2   2-слотовое высокопроизводительное шасси высотой 3U