网络世界Editchoiceaward.docx
《网络世界Editchoiceaward.docx》由会员分享,可在线阅读,更多相关《网络世界Editchoiceaward.docx(14页珍藏版)》请在冰豆网上搜索。
网络世界Editchoiceaward
快手缉凶
————2006年度IPS公开比较测试
《网络世界》评测实验室于洋 2006-3-16
测试亮点:
●使用高效TrafficIQPro攻击模拟软件
●全面评估防御能力:
多协议、逃逸、误报
●强调实施安全防御条件下的系统性能
●重视安全管理特性
两年前,曾有权威机构预测,未来几年IPS(入侵防御系统)市场将持续快速增长。
尽管有一段时间,IPS部署的速度没有预期的那样快,不过最近,特别是在国外,越来越多的用户通过IPS来帮助企业实现更高的安全性。
我们了解到,如今国内的大学、运营商、银行等对安全级别要求很高的用户也陆续开始引入IPS。
IPS与传统防火墙的区别已无需赘述,面对现在攻击多发于防火墙允许的规则下的事实,深度防御势在必行。
而且,传统的防火墙+软件系统升级的方式常常使企业不得不陷入“零日攻击”的危险中。
然而,很多有这方面需求的用户仍在徘徊。
他们担心,IPS像IDS一样存在着误报,作为在线(In-line)设备,它会阻断正常业务。
而且,由于大量的深度检测行为,其性能会成为整个网络的瓶颈。
此外,他们还担心IPS会使管理员陷入嘈杂的“报警”声中而无所适从。
究竟目前的IPS产品是否能够打消用户的疑虑呢?
鉴于此,《网络世界》评测实验室组织了这次IPS公开比较测试。
我们本着公开、公正的原则,仍不向参测者收取任何费用。
我们希望通过较为详细的评估,给用户一个组网的参考。
我们从安全性、性能和管理等多个角度对产品进行了评价。
在安全性测试中,除了攻击识别外,我们还考察产品在误报、逃逸避免和P2P控制等方面的表现。
而且,一旦出现未通过的项目,我们允许参测厂商在72小时内进行攻击库的更新,希望借此展现厂商研发在面对新的攻击时的反应速度。
在目前的IPS市场中,存在着两种类型的产品:
一种是专门的IPS,它一般只作为IPS使用,有的兼有剪裁版的防火墙功能。
一种是包含IPS功能的一体化安全网关(UTM),这类产品除了IPS功能外,还可以充当防火墙、VPN和防病毒、防垃圾邮件网关。
因此,我们针对这两类IPS产品,向国内外主流厂商发出了邀请。
包括:
Fortinet、ISS、Juniper、绿盟科技,McAfee,Radware,思科,TippingPoint和WatchGuard。
不过,半数以上的厂商由于各种原因拒绝了我们的邀请,只有Fortinet、TippingPoint和WatchGuard勇敢地接受了挑战。
其中,TippingPoint的送测产品为专门的IPS,另外两家则送来了他们的UTM产品。
在测试中,我们使用D-LINK的全千兆交换机和思博伦通信的两款测试仪搭建了测试环境。
Karalon公司及其代理商—上海柏联克科技向我们提供了强大的攻击模拟软件—TrafficIQPro。
在此一并向他们表示感谢!
经测试,TippingPoint的IPS2400E凭借其高度的安全性与卓越的性能赢得了我们的最高评价,获得《网络世界》评测实验室编辑选择奖。
Fortinet的FortiGate-800也在多方面表现良好,具有很高的性价比。
WatchGuard的PEAKX8000则在管理与产品的设计方面体现出它独到的一面。
防御:
眼明手疾
现在,多数攻击都是针对应用上的弱点及漏洞展开的,它们可以绕开传统防火墙的拦截进到企业网内部为所欲为。
蠕虫、后门木马与间谍件成了人们耳熟能详的词汇,将IPS部署在网络边界或数据中心中进行深度防御成为目前安全级别较高企业的必然选择。
IPS一般都具有多种预处理器,来实现过往数据流的协议分析与重组等功能,并进一步通过特征匹配、协议异常和流量异常等措施辨认出恶意数据流,并将其丢弃或重置整个会话。
由于它位于网络骨干并充当In-line设备,IPS攻击防御的全面性和准确性非常重要。
在测试中,一方面,我们考察产品的攻击识别能力,其中还包括“逃逸”情况下的攻击过滤检查;另一方面,我们进行某些正常的网络行为,看它是否会在合法数据流通过时出现误报。
攻击识别
测试中,我们从TrafficIQPro的近700种攻击中挑选了不同类别的攻击,每种攻击都有着自己的CVE(CommonVulnerabilitiesandExposures)编号,而且,这些攻击多数都针对目前现有系统的漏洞,包含著名的冲击波、震荡波、红色代码及其变种等。
攻击测试拓扑如图1所示,在TrafficIQPro虚拟的攻击机与目标机所在的网段,我们还部署了Sniffer软件,用来监视出入IPS的流量。
由于每一款IPS都不可能涵盖所有已经出现过的攻击,在测试中,我们允许厂商在72小时内针对不支持的项目进行升级,并要求厂商将升级后的库放在公司官方网站上供普通用户下载。
这从一个侧面体现了厂商面对一个新出现的攻击的反应速度,而IPS厂商的反应速度也一定程度上反映着对“零日攻击”的防御能力。
除了使用TrafficIQPro模拟攻击外,我们还使用SmartBits6000B实施了强度高达1Gbps的SYN_Flood攻击。
并使用一台Linux主机作为扫描器,穿越IPS对服务器资源进行扫描。
我们发现,IPS2400E表现最好,它可以实现即插即用的安全防御,它工作在桥模式,无需设置IP地址,对于企业网中的所有流量来说都是透明的,它支持2000多种过滤器,但它缺省就启动了超过1000条的安全过滤器。
在保持出厂配置条件下,我们模拟的攻击,几乎都能触发准确报警,并有超过半数的攻击流被丢弃掉了。
在它提供的报警中,包含了最为详细的解释说明,比如CVE编号和漏洞介绍以及相关链接等内容。
我们实施的攻击中,只有一项不在IPS2400E的防御范围之内,在72小时内,TippingPoint完成了新过滤器的更新。
在其升级后的版本中,我们重复测试了该项目,它能够准确报警并阻断。
我们发现,所匹配的新的过滤器有着和其他过滤器一样的标准格式。
其结果如表1所示。
FortiGate-800作为一款UTM,它支持透明和路由两种方式,我们在测试中将产品配置成透明模式。
当启用IPS功能后,它可以防御超过2000种的攻击。
在其默认配置中,它的攻击告警多数都是启动的,不过只有少部分的攻击阻断是打开的,用户可以根据自己的需要开启对某些攻击的阻断,配置过程也很简单。
Fortinet也在我们规定的时间内完成了对自己产品的更新。
其结果如表2所示。
PEAKX8000的深度防御需要开启其Proxy功能,但我们发现,使用TrafficIQPro实现的模拟攻击流在TCP三方握手阶段即被X8000的Proxy模块丢弃了,故我们没有使用TrafficIQPro对其进行测试。
对此,WatchGuard给出的解释是:
WatchGuard的提前预防御功能将模拟攻击流的TCP连接进行了修改,确保外部主机不能通过应用层直接看见内部设备的主机信息,X8000在不需要启动IPS的情况下即可实现对类似的模拟攻击进行阻挡。
所以我们只是针对SYN_Flood、端口扫描和一项针对Web服务器的攻击对其进行了测试,结果如表3所示。
测试中我们发现,几款产品对于重复发送的在同一地址对、针对同一目的端口的恶意数据流在一个较短的时间戳内只触发一次告警,这样,网络的安全状况得到反映,又不至于使管理员陷入“嘈杂”的报警中。
“逃逸”避免
随着IDS/IPS的部署,黑客们也找到了一些“逃逸”技术来躲避IDS/IPS的检查。
“编码”和“分片”就是其中的两种方式。
要准确地阻断这些经过“逃逸”处理的攻击,IPS必须具备一定的解码、包重组与流重组能力。
我们分别对上述两种“逃逸”方式进行了测试。
测试中,我们首先在浏览器的URL中输入某指令,利用Web服务器的漏洞进行目录遍历并执行恶意程序,几款IPS都检测出URL中的指令为攻击企图,并对该行为准确报警。
然后,我们对URL中的指令进行Unicode编码处理,试图通过编码“骗”过IPS。
此外,我们还将攻击的默认目的端口由“80”改为“6789”。
结果两次测试都没能逃过IPS的检查,IPS依然能够解析出该攻击的存在。
最后,我们使用分片工具对上述恶意数据流进行IP分片和TCP分片处理,并打乱分片的发送顺序,将攻击企图分割开来传输。
最终,也还是没有逃过IPS的拦截,报警也依然准确。
误报
由于IPS对攻击进行阻断,那些被它误判为“攻击”的合法数据流将被丢掉,进而影响正常业务,IPS的这种误报行为是要尽力避免的。
我们使用常见的几种通信方式进行合法通信,检查几款产品是否存在误报。
测试拓扑如图2所示。
测试结果如表4所示,只有FortiGate-800在我们使用Netbios的“网上邻居”里传输一个含有“可疑”URL的文本文件时出现了误报,触发了一条级别为“Critical”的报警。
在72小时的更新时间内,Fortinet及时作了修正,在新版本中,该问题被解决。
P2P控制
如今,BT、eDonkey等P2P软件迅速流行起来,这类软件会快速耗尽网络带宽,影响企业正常业务的运行。
我们对参测产品是否能够及时阻断BT应用进行了测试。
我们搭建了如图3所示BT下载环境,在启动几款IPS的BT过滤规则后,BT下载没能成功。
值得一提的是,IPS2400E可以识别BT通信的粒度非常细,BT下载的全过程中,包含了与Tracker接触、下载种子文件、对等体之间的联系、对等体之间的文件传输等多个阶段,它都能够准确地识别下来,并根据需求进行阻断。
编看编想:
理智看待IPS
很多用户仍对IPS颇多疑虑,没有充分认识到其价值,有些更是抓住IPS的“小辫子”不放。
最为典型的一个问题就是误报。
由于IPS不像IDS那样只是对攻击进行报警,它还要实施阻断。
人们担心因为它的误报而影响正常业务,这样的担心是不必要的。
因为目前市场上好的IPS,在实现攻击防御时,除了特征匹配外,还采取了流量与协议异常分析和一些其他独有的技术,好的IPS的攻击识别准确率相当高。
在日常流量情况下,不易发生误报。
当然,由于它还没有完全脱离特征匹配方式,“零误报”只能是一个难以企及的理想状态,特别是精心构造的一些“伪”攻击流较容易触发报警。
所以,听说过安全厂商悬赏那些成功入侵其防火墙者的事情,却没听说过有谁会悬赏那些使IPS发生误报的人。
值得一提的是,IPS产品都能配置成像IDS那样工作,只报警不阻断,IPS厂商一般都推荐用户在部署新的IPS时将其设置为IDS方式,一段时间后,便对整个网络安全状况有所了解,可以发现是否存在误报,并禁掉那些针对网络中不存在系统的保护,进一步减小误报的可能性。
防火墙是企业网边界安全代名词的时代过去了,国内几大银行纷纷开始部署IPS就是很好的注脚。
不因噎废食并不意味着我们要迁就误报问题,一方面还是要选择误报率低的产品,另一方面用户还要合理地使用IPS。
另外,大家很关心IPS所能防御的攻击数目。
至今,具有权威CVE编号的安全漏洞就有一万两千多个,可是目前市场上口碑颇好的IPS所实现的攻击过滤器也不过二三千条。
如此大的差距是否可接受呢?
事实上,具有CVE编号的那些安全漏洞有很多是针对旧有系统的,比如Windows95和IIS4.0。
而且,也有一部分漏洞在国内系统中是没有的。
因此,IPS厂商往往只将针对那些尚存的系统漏洞进行防护,并根据自己的客户群系统的特点进行有针对性地防御。
而且,即便是那些还没有被列入CVE编号的漏洞,只要用户需要,也很可能被IPS加入到防御列表中。
因此,不能一味地以量取胜,应该考察IPS对于现有系统的支持,如:
除了需要识别IM软件外,能识别IM通信内部所夹杂攻击的IPS是值得推荐的。
此外,用户购买IPS与其他网络产品有一个明显的不同,就是一定要购买其特征库或攻击过滤器的升级服务。
IPS的优势也在于此,它可以通过不断地升级来对用户特有的系统进行保护,并缓解“零日”攻击的困扰。
性能:
堪当骨干
IPS要进行非常多的深度检测,作为In-line设备,其吞吐量、时延以及能同时处理的TCP连接数等指标对企业网性能都会产生很大的影响。
用户不希望在系统安全性得到增强的同时,IPS成为新增的性能瓶颈。
测试中,我们仅关闭了少数几条影响测试仪收集结果的过滤规则,将剩余的其他所有过滤规则全打开,我们不希望性能数据是在不进行任何安全防御的条件下取得的,毕竟,IPS是作为攻击防御产品出现的。
并发连接数
通过IPS所能建立的TCP并发连接数是一个很重要的指标。
由于IPS需要保持每个TCP连接的状态,并且,IPS必须对通过它所建立的每一条TCP连接进行攻击过滤。
由于网络中大部分应用都是基于TCP传输的,因而这个参数很大程度上体现着一个In-line设备所能同时服务的用户及应用进程的数目。
我们使用思博伦通信的4-7层性能测试仪:
一对Avalanche和Reflector进行测试,测试拓扑如图4所示。
参测的几款产品虽然在测试结果上表现出了较大差异,但应该说它们都拿出了企业级的数据。
如表5所示。
即便是对于那些具有数千用户的企业网,正常情况下,数十万个TCP并发连接数也可以满足需要了。
FortiGate-800达到了100万个,IPS2400E的结果则接近180万个。
要说明的是,由于此次我们的测试仪数目所限,没能测出IPS2400E在这个指标上的峰值。
(我们曾在以前的测试中使用两对Avalanche和Reflector测得一台IPS2400所支持的并发连接数达到230万个。
)
吞吐量和时延
如果说在传统的网络边界,即便是大型企业,租用155Mbps或更低的出口带宽仍比比皆是,这种情况下,IPS的吞吐量还不是一个非常迫切的问题。
可是,在数据中心或是大型企业的城域网内,日常骨干流量一般都会达到数百兆、甚至数千兆bps。
IPS也从传统的网络边界向数据中心和城域网内不同区域间的接口处蔓延。
另一方面,时延在很多情况下扮演着比吞吐量还要重要的角色。
过多的时延会对那些交互型应用,如VoIP产生不良的用户体验。
高时延还会大幅降低上层应用的吞吐能力,对于多数应用来说,端到端的性能和时延成反比。
我们使用思博伦通信的SmartBits6000B测试仪,配以LAN-3301A和LAN-3321A千兆网卡和SmartApplication与SmartFlow测试软件,对IPS的吞吐量和时延进行了测试,拓扑如图5所示。
在测试吞吐量时,我们采用7种包长双向传输,并将双向结果累加起来得到每个包长下的吞吐量值。
借鉴吞吐量结果,我们测试了IPS在不同负载条件下512字节的时延。
吞吐量结果如图6所示,可以发现,FortiGate-800和IPS2400E都有不错的表现,它们在大部分包长的吞吐量都达到了2Gbps,FortiGate-800在1280字节的吞吐量更是超过了3Gbps,而IPS2400E则在中、小包长表现出明显优势。
WatchGuard的最高吞吐量也接近了1Gbps。
表6显示的是三款产品时延的表现,IPS2400E拿出了类似交换机的表现,在打开所有2000多条攻击过滤器的条件下,它引入的时延和一台二层交换机没有明显区别,所有时延都控制在几十微秒。
流量管理
作为一道安全屏障,出入企业网所有的流量都要经过它,IPS对流量进行细分并加以控制是非常必要的。
它的限流功能可以实现企业网带宽资源的有序分配,达到保护企业关键业务的目的。
参测的几款产品可以针对IP地址和协议端口号等参数对带宽进行控制,也可以对匹配某个过滤规则的流量进行限流。
我们对UDP和P2P限流分别进行了测试。
在UDP限流中,我们使用SmartBits6000B的SmartApplication软件向IPS发送超过限流带宽的UDP报文,如图7所示。
通过比较接收到的UDP流量,判断IPS是否可以进行针对UDP的流量限制。
结果,所有参测产品都可以准确地实现限流,而且配置该功能也非常地简单。
在P2P限流中,我们依旧搭建了BT下载环境,并将IPS允许通过的BT流量限制为不超过5Mbps。
我们跟踪BT下载者的带宽使用情况,Windows网络监视器的抓屏如下图所示,BT流量的峰值不超过5Mbps,参测产品都给出了类似的表现。
安全:
重在管理
IPS作为企业网安全策略重要的执行者,除了阻断恶意数据流外,它还必须将网络的安全状况直观、准确地反映出来,这样才能提高网络安全基础设施的运行与维护效率,与管理员发生良性互动。
FortiGate-800在其管理界面的首页定时刷新显示网络信息,攻击事件的记录一目了然。
Fortinet的FortiAnalyzer系统能收集来自FortiGate-800的日志信息,在进行规整与分析后生成高度相关的网络报告,帮助管理员洞察网络中的可疑行为。
和FortiGate-800类似,IPS2400E也具有完备的日志功能,并可产生趋势分析报告、事件交叉分析等图表,报告网络的健康状态。
它所支持的专用管理平台(SMS)可以提供网络带宽分析,可直观地查看包括网络攻击在内的每种流量,帮助用户获取网络安全动态并定位威胁来源。
PEAKX8000的攻击阻断体现着企业的安全管理策略,当我们对它所保护的服务器资源进行扫描时,除了告警和阻断恶意数据流外,它会将恶意主机与网络“隔离”一段时间(可定义)。
此外,PEAKX8000的监视器会提供实时的运行信息,使管理员对网络的连接和活动有一个实时、全面的了解。
它还具有丰富的报表类型,并可以定制报表的自动生成。
编辑选择奖
TippingPoint的IPS2400E作为一款定位于大型骨干网络边界、数据中心核心的专业IPS产品,在此次测试中给出了与之相称的优异表现:
即插即用的高度安全性、超强的性能与良好的管理特性。
IPS2400E支持2000多种安全过滤器,具有全面的协议分析能力。
它在出厂配置条件下就可以实现对超过1000种的攻击进行防御,测试中它防御准确,没有误报。
此外,通过其独特的“数字疫苗”机制能够及时地对过滤器进行更新,可以有效抵御“零日攻击”的威胁。
作为In-line设备,得益于其专有的NP、FPGA与ASIC的软硬件组合,IPS2400E在满足安全需求的条件下,它仍具有交换机般的性能,除了超过2Gbps的吞吐能力外,它只引入了数十微秒的时延。
IPS2400E便于配置,它产生的安全趋势与带宽分析等多种报表也为管理员提供了丰富的视角来了解网络的安全状况。
IPS2400E高度可靠,即使它的双电源均中断或外部供电失败,通过使用ZPHA(ZeroPowerHighAvailability)设备,它仍能保证数据的正常流通。
IPS2400E从多个角度诠释了一款可信赖IPS的水平,凭借其全面的表现,它赢得了《网络世界》评测实验室编辑选择奖。