Jste zde: CompuNet > networklab.cz > Test IPS TippingPoint 210E

Test IPS TippingPoint 210E

Test: Kompletní test IPS, laboratoř CompuNet
Testované zřízení: TippingPoint 210E

Společnost TippingPoint, leadera trhu s Intrusion Prevention Systemy není nutné nikomu představovat. Tato společnost se drží již několik let na špici Magic Quadrant společnosti Gartner s velkým náskokem před svými konkurenty. IPS společnosti TippingPoint vynikají především vysokým výkonem, jednoduchostí obsluhy a špičkovou Digitální vakcínou (filtry), která vznikají jako aktivita Zero Day Initiative. Tato aktivita zahrnuje team odborníků, kteří aktivně vyhledávají zranitelnosti v systémech a píšou filtry ještě dříve, než je zranitelnost zveřejněna nebo opravena výrobcem dotyčného systému. Tytéž signatury filtrů jsou použity i v kombinovaných firewallech s IPS řady X společnosti 3Com. Zní to všechno skoro jako reklamní brožura výrobce, ale je to tak. A tak jediným mínusem těchto špičkových IPS systémů je jejich přeci jen vysoká cena.
Před dvěma měsíci byl uveden nový model UnityOne 210E. Tento model nahrazuje velmi úspěšný a nejprodávanější předchozí model UnityOne 200E (výkon 200Mbps, dva segmenty). Model 200E byl poslední v řadě slabších IPS postavených kolem procesoru Intel. Všechny vyšší modely jsou postaveny na procesorech ASIC a metodou paralelního zpracování dosahují gigabitových výkonů.



Označení E v názvu znamená rozšířená ochrana proti útokům na odepření služby DoS – SYN Floods, Established Connection Floods, Connections Per Second Floods, Vulnerability Protection, Attack Tool Protection, Threshold Filters.

Nově uvedený model UnityOne 210E přináší tyto novinky:
- pět nezávislých segmentů.
- vestavěný bypass – v případě výpadku napájení tečou data nepřerušeně dále.
- základní deska již není standardní počítačová deska, ale proprietární řešení TippingPoint s přímo osazenými síťovými jednotkami.
- procesor Intel Procesor Intel Pentium D945 Presler (3, 4GHz, 800MHz, 2x2Mcache).
- Paměť DDR2 2x512MB = 1GB.
- LCD a tlačítka na hlavním panelu. Přes tlačítka lze UnityOne vypnout. LCD informuje o IP adrese a verzích operačního systému a digitální vakcíny.

Výrobce neuvádí žádné možnosti upgrade, ale na desce jsme objevili další dva volné sloty na paměť a zvnějšku je v zásuvném slotu CompactFlash karta 1GB. Na kartu se zřejmě ukládají logy a tak kdyby Vám nestačilo místo, můžete zkusit paměť rozšířit. Výrobce také nijak nedokumentuje dva USB porty na čelním panelu.
Konfigurace UnityOne začíná nastavením IP adresy a dalších sítových parametrů jako DNS, NTP, Default Gateway. Toto nastavení je sice možné provést pomocí tlačítek a LCD, ale to je velmi silně nepohodlné. Raději zvolíme správný síťařský postup a vše nastavíme přes sériový kabel a terminál. Po nastavení IP adresy pro management port můžeme pokračovat přes webové rozhraní. Management port je samozřejmě fyzicky oddělen od portů pro segmenty a zaručuje tak oddělení od kontrolovaného datového toku a nemůže být identifikován útočníkem. Teda pokud si ho nepřipojíte přes přepínač do hlavního datového provozu.
Webové rozhraní pro konfiguraci (samozřejmě přes https) – tvořené „Američany pro Američany“ a mohla by jej ovládat snad i sekretářka. Zde nepřináší model 210E žádné novinky, operační systém je naprosto shodný se všemi ostatními modely TippingPoint. V tomto případě verze 2.5.3. Přesto, že s IPS nepracuji každý den, tak jsem se velmi jednoduše orientoval v nastavení a konfiguraci.

Filtry

To hlavní co se na IPS nastavuje, jsou filtry. Ty jsou rozděleny do kategorií:

Ochrana aplikací – exploity, krádež identity, průzkum, bezpečnostní pravidla, spyware, viry, zranitelnosti
Ochrana infrastruktury – síťová zařízení, normalizace provozu
Ochrana výkonu – IM, P2P, Streaming Media

Obrovskou výhodou TippingPoint je doporučené nastavení od výrobce, které obsahuje všechny nutné filtry. Pro nasazení IPS není nutné žádné učící období a při zkoušce s doporučeným nastavením v naší redakční síti jsme neměli jediný výskyt tzv. False-positive – špatně identifikace a blokovaní korektní komunikace.
UnityOne 210E jsme podrobili několika zkouškám. Krom obvyklé zkoušky v ostrém provozu v naší redakční síti jsme se zaměřili na zkoušku výkonu, zpoždění a zkoušku zachycení infikovaného datového toku. Také jsme neodolali a vyzkoušeli si v praxi bypass.


Zkouška výkonu

Výrobce deklaruje výkon zařízení na 200Mbps. Zkoušku výkonu jsme dělali pomocí třech počítačů s gigabitovými kartami a segmenty jsme propojili do série za sebou, tak aby se výkon agregoval. Zatížení jsme dělali pomocí programu iperf. To sice neodpovídá vzorku dat při skutečném provozu, ale pro test zatížení je to vyhovující. První test jsme dělali se zapnutými doporučenými filtry (1095 filtů) v režimu block + notify. Druhý test jsme zkusili se zapnutými všemi filtry (3537 filtrů) do režimu block + notify. Tento test ale naprosto neodpovídá realitě, nikde nebudete mít reálně zapnuté všechny filtry. Režim block + notify znamená, že škodlivé pakety jsou nejen blokovány, ale je také udělán záznam do logu. To ještě více zatěžuje IPS než samotné blokování.

Doporučené filtry 1095 filtrů:

258Mbps

výkonová rezerva pro zapnutí dalších filtrů

Všechny filtry - 3537 filtrů:

147Mbps

nereálný provoz, všechny filtry nikdy nebudou zapnuté



Poněkud zavádějící je informace na webovém rozhranní, že IPS je vytíženo na 100% = 200Mbps a to v případě, že přes IPS teče 258Mbps. Zde by byla vhodná hodnota opravdového zatížení.

Zkouška zpoždění

Ideální IPS by mělo mít zpoždění stejné jako přepínač.

 

Min

Průměr

Max

Zapnuté doporučené filtry a zátěž 180 Mbit/s

1.22ms

2.08ms

4.56ms

Zapnuté doporučené filtry a maximální zátěž

14.5ms

22.5ms

64.3ms

Zapnuté doporučené filtry a bez zátěže

0.15ms

0.67ms

1.39ms

Bypass

0.05ms

0.59ms

0.85ms

Čísla mluví za vše. Zpoždění na IPS je opravdu je zanedbatelné, pokud nedojde k přetížení.

Zkouška bezpečnosti – test zachycení škodlivého software

To proč si IPS pořizujeme, ze především zachycení škodlivého software. Podrobili jsme IPS speciálnímu testu. Použili jsme nástroj na testování IPS Tomahawk. Ten pracuje tak, že mezi dvěma síťovými kartami přeposílá dříve zachycený vzorek dat s obsahem dříve zachyceného škodlivého software (ve formátu pcap). U odeslaných dat falšuje náhodně IP adresy.



Zkusili jsme také jak IPS filtruje zranitelnosti při plném zatížení. Opět jsme generovali maximální zátěž nad 250 Mbps a současně do stejného segmentu se zátěží jsme pustili vzorek zranitelností. IPS bez zaváhání blokovalo všechny vzorky.

Ovladatelnost při zatížení

Velmi důležitým testem IPS je ovladatelnost při zatížení plným provozem a útoky. I při zapnutých všech filtrech, vytížení datovým tokem 258Mbps a útokem 176 zranitelnostmi komunikovalo IPS přes management port naprosto bez problémů a bez jakýchkoliv známek zpoždění webového rozhranní.

Karanténa

Funkce síťové karantény znamená, že veškerý provoz počítače šířícího škodlivý software je zablokován. Počítač je přesun do karantény a prohlížeči je podsunuta html stránka s informací o karanténě. Počítač je po nastavené době, kdy se předpokládá, že uživatel provedl dezinfekci, z karantény opět propuštěn.

Bypass

Zkouška bypass byla jednoduchá, prostě jsme vytáhli napájení. Na portech to cvaklo a komunikace běžela bez přerušení dále. Nezkoušejte to ale příliš často, v UnityOne je operační systém na flash paměti a tak by se Vám také mohlo stát, že zařízení po několika testovacích výpadcích přijdete o logy. Systém totiž do logu zapisuje průběžně a bez korektního vypnutí mohou být soubory s logy poškozeny.

Služba Express

K UnityOne si platíte roční službu Express. Ta zahrnuje především automatické aktualizace digitálních vakcín, ale také telefonickou a emailovou podporu. Neobvyklé je, že v ceně služby je i výměna zařízení v případě poruchy. Po celou dobu placení služby tedy máte vlastně zařízení v záruce!

Další testy

Na příště jsme si nechali další testy, jakým se IPS obvykle podrobují ve zkušebních laboratořích - aplikační latence, počet otevřených spojení za sekundu, rekurzivní vyhledávání webu, kopírování souborů při zatížení, test ochrany DoS.

Závěr

IPS TippingPoint UnityOne 210E opět nasadila vysokou laťku konkurenci. Ať už počtem segmentů, výkonem, který ve skutečnosti překračuje udávané hodnoty, tak i bezkonkurenční službou výměny zařízení po celou dobu placení služby aktualizací. Kvalita, účinnost a nízká úroveň false positive a snadnost nasazení je samozřejmostí u produktů TippingPoint. Nevýhodou tak zůstává pouze vyšší cena zařízení.