IPS可用性是喜忧参半
可怎么是网络入侵防御系统?
一个IPS的最重要的特点是它是否做了你买了它的工作。这就是说,它也需要使用在这个意义上,它可以支持网络管理员在齐头并进,在企业中使用的IPS一天到一天的任务。摇出来的IPS产品的性能后,我们把它们放回测试实验室看看他们完全从另一个角度:可用性。
共6个产品点评:Ambiron|分界点|Fortinet公司|NFR|引爆点|顶层
在我们进球的黑暗的一面,虽然是带有分界点的Sentarus,Fortinet公司的FortiGate 3600和Ambiron Trustwave的(原清醒安全)ipAngel管理商品。虽然这三个都有其行政亮点,所有三个需要大量的工作,才可以处理任务,我们想关注的IPS经理。
However, it’s important to keep in mind that both Demarc and Fortinet offer multifunction products (the Fortinet box is a UTM device, while the Demarc product is a combination of host and network-based IPS), where network-based IPS is only a piece of a bigger offering. Network managers may be willing to trade off IPS usability and features in exchange for the other security functions shipped with these products.
我们建立了一个VPN在加利福尼亚州和亚利桑那我们测试实验室之间,以了解这些产品将在企业工作广域网环境。因为所有的性能测试在网络测试在加利福尼亚州的实验室完成,我们做了所有我们的可用性来自亚利桑那州的作品一号的实验室测试。哪里供应商为他们的产品提供独立的管理工具,我们使用这些工具。否则,我们使用的任何原生工具被内置到IPS本身。
为了评估产品的可用性,我们开始着手对所有在企业级的网络操作IPS面向五大任务区域。我们开始寻找配置和提醒功能,因为这是第一次任务的任何安全经理会做,随后为网络,系统和安全政策变化反复重新审视。
接下来,我们看了一下仪表盘功能,对每个产品,看看它是多么容易得到你的网络的安全状态的更新。我们在取证功能,仔细地看着。虽然IPS不是一个替代IDS大多数IPS产品具有较强的一套IDS取证和分析,在他们的特性,我们想看看这是如何放在一起。最后,我们看着每个产品的报告功能。
任务1:配置
IPS的配置可以是一个丑陋的和复杂的工作。为了尽量减少误报和最大限度地覆盖,网络管理员必须推动相当数量的网络拓扑和配置信息到IPS。例如,IPS配置可能需要包括签名特定于正在使用的端口(例如80%,或8080),Web服务器(诸如IIS或Apache),应用语言(如PHP)和第三方应用程序(如日历或论坛软件)。如果没有这种级别的特殊性,在IPS管理风险是丢失的攻击(例如,通过不看交通上所有正确的端口或不具有正确的签名开启)或有假阳性(例如,通过对具有签名唐’t apply).
大多数IPS产品采取IDS类似观点的东西,并鼓励网络管理员可以点亮在常见的端口,如80端口上,使得配置简单的网络流量的所有签名,但它保证了IPS是要执行次优的方法。系统吞吐量和延迟将有额外的签名看交通的影响,以及任何不寻常的网络配置将打开一个孔用于攻击的IPS可能不被期待的。
配置也超越开启和关闭签名。许多我们看,特别是那些来自TippingPoint和顶层的IPS产品,拥有广泛的速率基地IPS功能需要进行调整是有效的。此外,IPS可以有不同的动作时的签名被触发(不是“丢弃数据包”等)。例如,有些网络管理员希望从一个IP地址删除所有未来的交通一旦IPS对任何攻击警告。
我们的测试表明,TippingPoint的配置界面提供了一个很好的模式来定义配置的基础上,规则集。TippingPoint的安全管理系统的给每条规则的粒度,以版本控制的规则集,并应用全局定义的成套动作和警报的规则和规则组的功能真的可以很容易地定义和控制您的配置。我们发现了一些东西,在挑选,如缺乏规则分组的工具,但这款产品表明,TippingPoint的真正知道什么样的网络管理人员需要在IPS配置工具。
如果基于速率的IPS是当务之急,那么顶层IPS 5500的配置打的头把交椅。虽然TippingPoint的5000E也有一些基于速率的IPS功能,谁也没有顶层的精度和控制,当谈到配置基于速率的规则。顶层的招牌配置不强,反映出基于速率的IPS世界该产品的根源。
这给我们带来NFR的Sentivist组合,即必须由一个大多数网络管理者为过于精细,并具有太多的选择故障产品集。从根本上说,Sentivist是一个真正的IDS,而不是IPS,反映其根源为网络流量捕获和分析工具,这是以通过其配置选项和管理风格。It’s easy to describe who would prefer the NFR approach: someone who really wants to control exactly what signatures will trigger an event on their network, to know how the signatures work (since NFR includes source code for most parts of the signatures), and to have the ability to tweak and adjust every aspect of the signature.
NFR的Sentivist管理平台是有人在网络安全博士学位谁拥有花几个小时,每天让一切完美的时间和兴趣的工具。例如,虽然大多数的IPS我们测试可能有用于调整签名十几设置,NFR有数百个变量调整和调整其系统的系统。谁想要一个两用IDS和IPS,以及谁打算真正使用该工具的网络管理员,应该把Sentivist在他们的短名单的顶部。
我们曾与配置的区域Ambiron Trustwave的ipAngel产品混合经验。我们收到的ipAngel管理代码是一个后期测试版,我们遇到了一些错误是阻碍我们的可用性及其接口的测试。什么ipAngel确实是从其他IPS产品不同的是紧密结合由ipAngel设备在使用中收集到的实际签名的IPS漏洞信息。因此,ipAngel执行针对网络扫描仪,并决定哪些系统都在那里,他们正在使用哪些端口和哪些应用程序在这些端口上运行。然后,它可以在规则自动开启紧紧调整IPS只是那些系统。
所有这一切听起来很不错的,但我们得到的代码没有这样的。扫描仪将无法启动;规则不能被编辑;生成的配置被锁定并不能改变。谁想要签名上即使主机不存在(例如,经历快速重新配置手柄实验室环境或系统),网络管理员没有办法做他们想要的东西 - 在版本,我们看着。从概念上讲,ipAngel看起来像它有它的一些伟大的想法,但并没有完全得到一切时间完成了我们的测试。我们也阻碍了在我们的测试,因为ipAngel没有文档或联机帮助。
谁是主要兴趣在基于网络的IPS,网络管理员将在配置工具与分界点的Sentarus和Fortinet公司的FortiGate 3600两者都只有最基本的IPS配置提供失望。例如,在Sentarus产品,改变了IDS规则的IPS规则要求,您可以通过更改单词“警报”,弹出每个规则,一次一个,并对其进行编辑“块”。
FortiGate设备的配置有其自身的限制。例如,基于速率的IPS设置全局定义的,这意味着你不能有Web服务器每秒处理5000页从一个处理每分钟5个交易不同的阈值。我们还发现,在签名的文件是如此不完整的,误导性的,我们无法了解许多签名的自己数据库其实呢,还是有什么漏洞,或者利用它们进行测试。
任务2:警报和行动
一个IPS必须能够丢弃可疑流量,但一个基本的和企业级之间的差异IPS在于能力做多丢弃数据包。这是警报功能和通知控制进来。而这些能力总是存在于IDS,我们认为高端IPS系统还应该提供警报和进行中的攻击采取行动的能力。
顺便说一句,一定要注意在IPS和IDS的世界,术语“警报”有好几个意思,有时可以互换使用,虽然容易混淆,与术语是很重要的“事件”。当签名跳闸“事件”发生时,这可能会导致一个动作,例如丢弃分组或发送系统日志信息。在这篇文章中,我们使用的术语“警告”意味着更高级别的消息,如电子邮件或网页,响应于一个或多个事件来的IPS-管理系统进行。通常情况下,每一个事件都会被记录,除非你明确禁止日志不受关注的事件,但更高级别的警报只会更关键的事件产生。
在一个大的IPS部署警报的工作可能不落在IPS,虽然。网络管理员谁拥有的安全信息管理和安全事件管理器(SIM卡/ SEM)工具可能希望的IPS事件的信息传递到他们的SIM / SEM,让它在更多的全球一级做出提醒决策,也许是基于跨设备甚至是不同类型的安全设备的相关性。
谁在乎提醒在IPS本身将要开始与TippingPoint的5000E网络管理员,尽管分界的Sentarus层和顶层的IPS 5500排在我们后面的评估权的TippingPoint。在TippingPoint的5000E,网络管理员定义的“行动组”,可以与签名关联。一个动作集可以广泛定制。动作可以包括丢弃的流量,攻击者列入黑名单,速率限制,连接重置,以及各种报警和记录行动,包括抓包的痕迹。
印象最深我们关于TippingPoint的警报功能是显而易见的放心运用这些行动不同的签名和签名组。而不是周围挖通过GUI的不同部分,以找出其中应用这些行为或不具有粒度给予不同的操作不同的签名,的TippingPoint真的击中头部采用这种设计的指甲,在结合易用性与动力这样,使得它当你想要它容易得到高度细化的警报。
分界的Sentarus有报警的另一个观点,即证明了一些伟大的想法。而不应用警报签名,可以定义看攻击事件的流过滤器。这使得它更像一个SIM / SEM Sentarus的强大的功能是在攻击过滤任何领域的能力。例如,你可以把对旨在或者从一个特定的IP地址的任何攻击事件警报。
不幸的是,Sentarus开发商冷落任何简单的方法来应用和管理连接到一个签名或签名组警报的简单的任务。分界告诉我们,该公司计划在产品,这将有助于此的将来的版本中添加更多的签名分组设施。
随着顶层的IPS 5500种警报功能,再基于速率的IPS功能莫须有面向签名的IPS功能。在的基于速率的部分IPS 5500 5500,警报是优秀的,并提供了各种阈值和选项,让你知道什么是错的。在IPS的基于签名的一部分,能力极其有限。
你可能会说,警报是更重要的,当涉及到比在产品的基于签名的侧基于速率的IPS。毕竟,基于速率的IPS攻击是长期事件,并可能需要一些人工干预或缓解,所以立即发出警报是非常重要的。对于签名,大多数警报是真正确认IPS已完成其工作,而这可能是更适合的报告工作。
NFR已经建立了一些SIM / SEM特征分成Sentivist,该公司称之为“相关”。相关器是一个过滤器,手表攻击和只有当某些条件发生时,如从相同的IP地址五次攻击集群生成事件。我们发现最有趣的是相关一个需要从网络能成立的Nessus的漏洞扫描器的结果,并使用这些信息只是在攻击匹配已知的安全漏洞发出警报 - 类似行为及其成立的安全控制台(见测试成立产品套件)。