3Сom TippingPoint X505: IPS начального уровня для предприятия

IPS - это специализированные системы для предотвращения вторжений через сеть (Intrusion Prevention System). Реалии современной сетевой безопасности таковы, что уже недостаточно просто отгородиться от интернета межсетевым экраном и чувствовать себя в безопасности. Если у предприятия есть серверы, опубликованные в интернете, то встаёт необходимость отсечения хакерских атак, причём для повышения эффективности такого отсечения IPS должна "знать" о типах и признаках атак.

Примером такой системы может стать TippingPoint X505 - он, помимо функций межсетевого экрана и VPN-концентратора, поддерживает фильтрацию хакерских атак с использованием сигнатур, причём сигнатуры могут обновляться через интернет, из базы, которую постоянно расширяют специалисты центра безопасности TippingPoint. Пожалуй, именно поддержка системы обновления базы уязвимостей через интернет является самой сильной стороной устройств TippingPoint.


Концепция

Концепция IPS заключается в том, что она является симбиозом IDS (система обнаружения вторжений) и пакетного фильтра. Т. е. IPS может не только обнаруживать, но и самостоятельно пресекать злонамеренные действия по сети.

В X505, помимо стандартного межсетевого экрана с богатыми настройками, содержится ещё и система обнаружения злонамеренной активности. Обнаружение производится путём анализа проходящего трафика на предмет наличия в нём т. н. цифровых сигнатур, наличие которых может указывать, например, на попытку взлома. При этом база с сигнатурами может автоматически обновляться через интернет, что делает фильтрацию весьма эффективной.

Интересной возможностью продуктов TippingPoint является способность работать как в режиме маршрутизации (классический межсетевой экран), так и в прозрачном режиме, когда фильтрация производится путём перехвата кадров второго уровня и последующим их анализом уже внутри IPS. Разумеется, анализ уже захваченного кадра производится на всех уровнях от 2 до 7. В случае, если кадр признан доброкачественным, и его передача разрешена правилами фильтрации, он передаётся на соответствующий выходной интерфейс и покидает IPS.

Управление X505 осуществляется через специальный порт "Management". Тем самым реализуется концепция OOBM (управление по отдельной сети), которая позволяет существенно повысить безопасность сети за счёт того, что управление сетевыми устройствами осуществляется по специальной сети, в которую обычные пользователи доступа не имеют.


Исполнение

TippingPoint выполнен в металлическом корпусе высотой 1U для крепления в стойку 19". Толщина металла корпуса достаточно приличная, именно поэтому устройство весит почти 6 килограммов. Внутри корпуса расположен обычный компьютер на платформе Intel, в котором вместо жёсткого диска установлен ATA-диск с накопителем типа Flash объёмом 1 Гбайт, а вместо видеоадаптера в AGP вставлен эмулятор. Штатный разъём LAN выведен наружу и используется как порт управления, а в шину PCI через рейзер включена 4-портовая плата с портами Fast Ethernet с поддержкой VLAN на чипсете Intel.

Производитель заявляет, что используется процессор Intel Pentium 4 частотой 2.4 ГГц, возможно, именно по этой причине с производительностью X505 может сравниться только уровень шума, который производит X505.

X505 "ревёт" как хороший многопроцессорный сервер, так что шум от его работы слышен в соседней комнате даже при закрытой двери. Для надёжного охлаждения, помимо вентилятора в блоке питания, установлено два мощных вентилятора, работающих на выдув. Впрочем, судя по наклейкам, мне на обзор достался X505, не предназначенный для продажи, поэтому, возможно, в серийных моделях проблему с уровнем шума устранят.


Карантин

Карантин - это особое состояние некоторых IP-адресов, которые попали в него либо вследствие работы фильтров IPS, либо были добавлены вручную. В модуле IPS для каждого фильтра можно указать действие, которое будет выполнено при срабатывании фильтра. Одно из таких действий - помещение в карантин.

Если какой-то адрес попадает в карантин, то весь обмен с ним блокируется до тех пор, пока администратор не удалит этот адрес из списка карантина. Интересно, что в карантин могут попадать не только внешние адреса, но и внутренние клиенты. На этот случай предусмотрена возможность указания сообщения для пользователя, который попал в карантин. Например, если компьютер заражён вирусом, который рассылает себя по сети, IPS в состоянии заблокировать работу этого компьютера, поместив его в карантин. А пользователю этого компьютера, при попытке доступа к веб-сайтам, будет выдаваться предупреждение о том, что его компьютер заблокирован и ему следует обратиться к администратору сети.


Зоны и сегменты

TippingPoint использует понятие "зона" для задания физической зоны сети с тем, чтобы обеспечить её защиту или изоляцию. При задании зоны указывается физический интерфейс (или под-интерфейс, если используется VLAN). При этом можно задать ограничение на IP-адреса, используемые в этой зоне (для предотвращения т.н. спуфинга), и ограничение на полосу пропускания (для снижения вероятности DOS-атак).

Для определения, между какими зонами производится фильтрация, TippingPoint вводит термин "сегмент". Сегмент в терминологии TippingPoint - это пара зон, которые могут обмениваться пакетами, но этот обмен должен фильтроваться X505. TippingPoint пропускает трафик только между сегментами, которые определены в его конфигурации, тем самым реализуется принцип межсетевого экрана "запрещено всё, что не разрешено специально".


VPN

X505 может работать как в качестве VPN-концентратора, так и в качестве VPN-клиента. Первая функция позволяет организовывать доступ для удалённых клиентов, вторая - соединять удалённые офисы.

IPSec поддерживается полноценно: максимальная глубина шифрования - AES 256, а для аутентификации точек может использоваться как ключ, так и сертификат.

Для подключения удалённых клиентов поддерживается как L2TP, так и PPTP. Напомню, что L2TP использует для шифрования IPSec, а PPTP - MPPE, который считается уязвимым протоколом. По этой причине следует везде, где только возможно, использовать L2TP, а не PPTP, даже несмотря на то, что PPTP проще настроить.


Аутентификация

Система аутентификации X505 позволяет использовать локальную базу пользователей, удалённый RADIUS-сервер или систему сертификатов X.509.

Особенно интересной функцией является полноценная поддержка сертификатов. Она включает в себя аутентификацию точек IPSec, клиентов L2TP и использование HTTPS для встроенной в X505 веб-консоли управления.

X505 поддерживает загрузку сертификатов доверенных центров сертификации с указанием CRL и выписку запросов на сертификат для локальной установки (для использования в L2TP-клиенте и HTTPS).


Выводы

X505 выглядит вполне подобающе для своего сектора - интерфейс управления выполнен качественно и продуманно. Не обойдены вниманием и вопросы применения сертификатов, которые со временем становятся всё более актуальными.

Самой интересной функцией устройства является именно встроенная IPS, поскольку функции межсетевого экрана и VPN-концентратора могут быть реализованы множеством других устройств. Функция IPS крайне полезна тем, что позволяет в режиме реального времени фильтровать трафик с использованием цифровых сигнатур, база которых может обновляться через интернет.

Тем самым, X505 выглядит как более продвинутая реализация межсетевого экрана начального уровня для предприятий - в дополнение к основным функциям пользователь получает IPS. Не стоит забывать и о том, что TippingPoint предлагает и комплексные решения, в которых X505 может выступать как один из элементов, например, выполнять функцию обнаружения вторжения и передавать информацию в центр управления сетью.

Плюсы:

  1. База сигнатур атак, обновляемая через интернет.
  2. Богатейшие возможности фильтрации.
  3. Полноценная поддержка сертификатов X.509 (аутентификация пользователей, IPSec, L2TP).
  4. Подробная документация.

Минусы:

  1. Настройка через веб-интерфейс возможна только из Internet Explorer.
  2. Не описана или отсутствует процедура сброса забытого пароля.
  3. Высокий уровень шума при работе.

Алексей ГРЕЧАНИНОВ,
ag@techlabs.by

IPS TippingPoint X505 для обзора была предоставлена серебряным партнёром 3Com компанией ОДО "Мультисофт"

Версия для печатиВерсия для печати

Номер: 

27 за 2006 год

Рубрика: 

Hardware
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!