Постоянно развивающиеся и новые атаки направлены на поиск еще не найденных дыр в системе сетевой безопасности. Традиционные тесты с использованием метода проникновения или синтетических атак устарели и непрактичны. Необходима гибкая архитектура, способная справляться с натиском динамических атак, и уметь быстро восстанавливать атакованную сеть, а лучше всего находить бреши в ИТ еще до атак. Оценить защиту различных компонентов сетевой инфраструктуры позволяет концепция, предложенная компанией IXIA.
Обзор ее подхода к таким нагрузочным тестам, а также кейс применения под катом.
Основная идея подхода IXIA — комплексная оценка возможностей систем безопасности. Единственный инструмент для этого – это тестирование и анализ реакции системы в реальных условиях работы ИТ системы.
Для этого требуется решить следующие задачи:
• оценка эффективности заявленных функций защиты внедренных устройств безопасности (UTMFirewall, IDS/IPS, DPI, WebApplicationFirewall, LoadBalancer, LawfulInterceptionSystem, DDoSProtector, SSLAccelerator);
• оптимизация конфигурации — правильно ли сконфигурированы устройства в сети;
• сравнение производительности на эталонных тестах и в реальных условиях.
Оценка оборудования
Первое, что необходимо сделать перед закупкой устройств безопасности – это убедиться, что их характеристики соответствуют спецификациям поставщика. Решение IXIA BreakingPoint может проанализировать функционал защиты оборудования. При использовании этого решения, независимого от производителей, можно экспериментально это проверить.
Единственным объективным способом оценки устройства является его тестирование в условиях реальной сети заказчика. Ведь зачастую заявленные цифры являются характеристиками в «идеальных» условиях, что не имеет ничего общего с аналогичной ситуацией под реальной нагрузкой.
Если же оборудование, предложенное поставщиком, не соответствует требуемым характеристикам, можно использовать полученную информацию для закупки тех решений, которые соответствует требованиям безопасности именно вашей сети.
Оптимизация конфигурации устройств
Многие организации вкладывают огромные средства в высокотехнологичные ИТ системы для бизнеса: используя облачные технологии, повышая производительность приложений, внедряя мобильные решения. При этом практически не имеют гарантии производительности или гибкости безопасности сети. Сложность взаимодействия различных систем еще более затрудняет оптимизацию мер безопасности, а также уменьшают гибкость сети. Внедрение нового решения требует обязательного тестирования и определения наиболее подходящей конфигурации. При этом оптимальные настройки, как правило, потребуют проведения ряда циклических тестов.
IXIA BreakingPoint позволяет создать реальный пользовательский трафик на любых скоростях, чтобы точно определить, как поведет себя оборудование после установки в систему.
Эта система позволяет работать одновременно как клиент и сервер, генерируя чистый трафик наряду с угрозами и выполняя критические измерения времени прохождения сигнала в обоих направлениях, задержки и пропускную способность.
Также, можно провести тесты на отдельных устройствах или на всей сети, оптимизировать конфигурацию и затем повторно запустить тот же тест, чтобы убедиться в безопасности сети.
IXIA BreakingPoint помогут специалистам по безопасности тонко настроить защиту: от выбора оборудования и проектирования сети до оценки модернизации и моделирования потенциальных угроз для определения готовности. Оценка реакции на DDoS-атаки и готовность к атакам, сетей по мере развития средств безопасности снижает риски для компаний.
Особо приоритетной задача тестирования становится перед оптимизацией компонентов всей сети. BreakingPoint использует целый ряд тестов на:
• Взаимодействие — помогут закрыть бреши и обеспечить взаимодействие компонентов сети разных вендоров
• Намеренное изменение — выполнение целевого изменения данных для выявления ошибок реализации протоколов, а также оценка того, как эти уязвимости могут быть использованы хакерами
• Выявление известных уязвимостей — обширный набор тестов для проверки готовности устройств безопасности
• Производительность — определение максимальной производительности устройств, приложений и всей сети в реальных условиях и в условиях перегрузок (например, отказ в доступе новым пользователям, периоды замедления скорости, отказы и т. д.).
Вопрос производительности
Не менее важной является и третья задача. Необходимо провести эталонные тесты выбранного устройства, технологии и конфигурации после установки в сеть и перед запуском. Если не провести такой тест, будет ложное ощущение безопасности, результатом которого могут быть серьезные последствия.
Тестирование перед развертыванием предотвращает запуск компонентов сети с уязвимостями, которые были упущены. Также, можно определить, как работает решение по ИБ уже будучи частью сети. Такие тесты помогают сравнить заявленные показатели производительности с таковыми после запуска. При модернизации сети или изменении конфигурации можно определить, насколько отличается производительность до и после. Даже обновление ПО может исправить одну проблему, создав при этом другую.
Кадры решают все
Многие организации и государственные институты в ответ на вызовы растущих киберугроз устанавливают межсетевые экраны, системы предотвращения вторжений и другие средства защиты.
Эффективная защита инфраструктуры является результатом взаимодействия автоматических систем и квалифицированных специалистов. Поэтому, еще один вектор подхода IXIA к безопасности — это внедрение решений, позволяющих улучшать компетенцию специалистов ИБ.
Человеческий фактор является наиболее важным элементом противодействия киберугрозам, поэтому в сотрудников нужно разумно инвестировать. Необходимо совмещать небольшие кибер-полигоны и стандартизированное обучение, чтобы обеспечить реальный опыт, необходимый для реальных навыков специалистов по ИБ.
Традиционные киберполигоны требуют серьезных вложений в оборудование и персонал, но и это не дает гарантий результата. IXIA BreakingPoint поможет провести тестирование и обучение без быстро устаревающих тестовых стендов. IXIA предлагает обучение с учетом возможностей персонала и тренинги для персонала компаний по решению реальных задач по ИБ.
Услуга ATI
Доступны готовые наборы тестов типовых сценариев, включая тест систем перехвата информации, которые существенно снижают время тестирования.
Пользователи могут быстро запускать комплексные целевые тесты в течение 30 секунд, используя более 3000 готовых суперпотоков ATI – реальных потоков трафика с симулированием поведения приложений. Примером такого потока может служить сеанс Gmail, в котором клиент проходит через все необходимые последовательности запроса DNS, выполнения сеанса проверки подлинности TLS на сервере Gmail, получения почты и закрытия сеанса.
В дополнение к этому, подписка ATI обеспечивает тестирование с применением реального программного трафика и поддержку протоколов приложений. При этом обеспечивается настройка каждого протокола и динамический контент приложений, повторяющий условия сети, при которых потоки данных меняются также как и реальные.
Преимущества решений IXIA
IXIA предлагает заказчикам технологии, опыт и возможности обучения, необходимые для усиления защиты и обеспечения ИБ сети. Продукты компании позволяют:
• Провести нагрузочные тесты сети, приложений, оборудования по ИБ не в идеальных условиях, а внутри работающей сети
• Выявить слабые стороны используемых решений безопасности и устранить их;
• Улучшить навыки сотрудников в отражении атак и устранении их последствий;
• Улучшить готовность к отражению атак;
• Оценить соответствует ли оборудование по ИБ заявленным спецификациям еще до его покупки
• Снизить затраты на ИБ и повысить производительность инфраструктуры
Таблица возможностей тестирования IXIA для разных ИТ-сред
Приложения |
Хранилище |
Сеть |
Безопасность |
· Нагрузка приложений · Безопасность приложений · Мощность серверов · Контакт-центр · VoIP · Планы миграции DC · Видео сервисы |
· Емкость NAS, SAN и облачных хранилищ · Кеш стресс-тест · Дедупликация · Сжатие · Резервное копирование и восстановление |
· Доставка приложений · LTE EPC тестирование · Мобильная транспортная сеть · Беспроводной контроллер LAN · Межсетевой экран · Пограничный контроллер сессий · Готовность к IPv6 |
· NGFW · DDoS защита · Системы перехвата данных, DLP, IPS · VPN · Антивирус и антиспам · Противодействие кибер угрозам |
Линейка устройств
Устройство PerfectStorm ONE 1/10GE |
Модель с 8 портами 1GE/10GE SFP+ с пропускной способностью приложений от 4 до 80 Гбит/с, пропускная способность и аппаратное обеспечение гибко лицензируются. |
|
Устройство PerfectStorm ONE 10/40GE |
Модель с 2 портами 40GE QSFP+ и поддержкой 8 портов 10GE SFP+ в режиме разветвления, пропускная способность приложений 80 Гбит/с на устройство. |
|
12-слотовое шасси XGS12 (11 RU) |
Новейшие шассийные технологии от Ixia, предлагающие тестовую систему с самой высокой в отрасли плотностью Ethernet портов. Устройство обеспечивает мощность, необходимую для высокопроизводительного тестирования приложений 4-7 уровня. Шасси XGS12-HS поддерживает приложения IxLoad и BreakingPoint на модулях PerfectStormFusion. |
|
8 – портовый 10GbE модуль PerfectStorm |
Генерирует до 80 Гбит/с траффика приложений (960 бит/с на шасси XGS12) для проводных и беспроводных 10-гигабитных сетей. Обеспечивает 8 портов 10GE SFP+. |
|
2 – портовый 40GbE модульPerfectStorm |
Генерирует до 80 Гбит/с траффика приложений (960 бит/с на шасси XGS12) для проводных и беспроводных 40-гигабитных сетей. Обеспечивает 2 порта 40GE QSFP+. |
|
1-портовый 100GbE модульPerfectStorm |
Генерирует до 80 Гбит/с траффика приложений (960 бит/с на шасси XGS12) для проводных и беспроводных 100-гигабитных сетей. Обеспечивает один порт 100GbE CXP+. |
|
Программный пакет BreakingPoint Virtual Edition |
Масштабируемое решение для генерирования реальных приложений и атак для развертывания в виртуализированной среде. |
Кейс применения нагрузочных тестов IXIA на фондовой бирже (США)
Описание кейса
Клиент (фондовая биржа в США) был озабочен участившимися DDoS атаками, и хотел понимать, насколько эффективна DDoS защита их провайдера, (на это клиент тратил почти 225 тысяч в месяц).
Это был успешный проект, позволивший улучшить общий уровень кибербезопасности клиента и готовность сети к атакам и предотвратить сбои главных сервисов биржи, а также увеличить скорость срабатывания DDoS -защиты сети.
Технические детали
IXIA провела тесты в воскресенье утром, предупредив о тестах ФБР — они очень хотели знать результаты теста, так как транзакции именно на этой бирже являются ключевыми для американской и мировой экономики.
Клиент назвал порты, через которые идет общение с внешним миром, были направлены «тонны» трафика на их главные трансакции, которые мониторил провайдер.
Вводные для нагрузочных тестов были даны клиентом. Инженеры делали 3 основных вида тест-атак, на которые клиент жаловался больше всего.
Атаки были трех видов:
— Syn Flood
— Slowloris attack
— Excessive Get
Были задействованы такие IP адреса. Первый пул адресов включал себя цели атаки – к ним можно получить доступ отовсюду. Во втором пуле адресов был разрешен запуск приложений.
Тестировались такие адреса:
205.209.196.38
205.209.196.39
205.209.196.60
205.209.196.20
205.209.196.9
205.209.196.10
205.209.196.51
Адрес атаки
208.97.218.15
Адрес для запуска приложений
208.97.218.100-254
Маршрут по умолчанию
208.97.218.1
Клиент: — мы увеличили количество SYN-запросов до 14 000 в секунду, потом атаковали IP-адреса с постоянной скоростью 7 450 SYN в секунду, и потом вернулись к исходному значению в 14 000 – этого было достаточно для DDoS-защиты, чтобы обнаружить SYN-флуд-атаку.
В качестве эталона балансировщик нагрузки установил уровень проверки SYN-запросов до 150 000, это значит, что общее количество SYN в секунду предусмотренных для всех виртуальных серверов должно достигать 150 000 запросов до того, как они включат свои защитные механизмы. Вендор представленного балансировщика рекомендовал установить определенный уровень срабатывания для каждого виртуального сервера, так как в таком случае они будут более эффективны. В зависимости от среды, они могли установить порог срабатывания 3 000 чтобы обеспечить то, что одиночные сервера не получат DDoS атаку при превышении лимита для всей платформы в 30 000 (если у нас, к примеру, 10 виртуальных серверов).
Как только у провайдера клиента достигался порог ниже 14 000 синов в секунду – что есть показателем атаки, инженеры смогли бы превысить порог, чтобы увидеть сработает защита или нет.
Результаты тестов
- Была уменьшена скорость срабатывания защиты с 50 минут вначале тестов до 5 минут.
- Предотвращение перебоев в работе, что могло привести к колоссальным денежным убыткам, и еще большим имиджевым потерям.
- Улучшился общий уровень готовности к будущим атакам и безопасности ИТ-инфраструктуры финансовой биржи.
- Понадобилось около 15 секунд в тесте чтобы узнать, что идет огромная атака на 2 внешних роутера, которые готовы были «упасть» в следствие атаки. Тесты использовали не так много пропускной способности канала, но были основаны на данных о реальных атаках на клиента. Вследствие тестов были определенны неправильные конфигурации роутеров, о которых никто и никогда не узнал бы, пока не было бы слишком поздно. И они были бы атакованы по-настоящему, если бы IXIA не провела тесты.
- Другим немаловажным результатом тестов было то, что биржа могла проверить в том числе и отлаженость процессов реакции ответственных сотрудников на угрозу.
- В первый раз, когда инженеры запустили тест, заказчики не сказали своему поставщику защиты, и только несколько сотрудников биржи знали об атаках-тестах. Несмотря на то, что сотрудники имели четкие инструкции на случай атаки, время реагирования занимало около 50 минут до «поднятия тревоги»: учитывая все внутренние согласования всех ответственных лиц, а также поставщика ИТ-безопасности. Все эти люди должны были решить, что нужно «бить тревогу» у провайдера, чтобы он отсек весь входящий трафик.
- Ко второму тесту клиент сократил время реагирования до 15 минут, а на третьем тесте – 5 минут. Это была хорошая тренировка «пожарной команды»!
Со всей линейкой оборудования NTS IXIA можно ознакомиться здесь
С виртуальным исполнением BreakingPoint здесь
По вопросам о решениях IXIA обращаться: dcs@muk.ua.
Дистрибуция решений IXIA в Украине, Беларуси, странах СНГ.
МУК-Сервис — все виды ИТ ремонта: гарантийный, не гарантийный ремонт, продажа запасных частей, контрактное обслуживание