Раздел: Компьютерная документация -> Сети -> Сетевое оборудование

3com TippingPoint X505: IPS начального уровня для предприятия

IPS – это специализированные системы для предотвращения вторжений через сеть (Intrusion Prevention System). Реалии современной сетевой безопасности таковы, что уже совершенно недостаточно просто отгородиться от Интернет межсетевым экраном и чувствовать себя в безопасности. Если у предприятия есть серверы, опубликованные в Интернет, то встаёт необходимость отсечения хакерских атак, причём для повышения эффективности такого отсечения IPS должна "знать" о типах и признаках атак. TippingPoint X505, помимо функций межсетевого экрана и VPN-концентратора, поддерживает фильтрацию хакерских атак с использованием сигнатур, причём сигнатуры могут обновляться через Интернет, из базы, которую постоянно расширяют специалисты центра безопасности TippingPoint. Пожалуй, именно поддержка системы обновления базы уязвимостей через Интернет является самой сильной стороной устройств TippingPoint.

Исполнение

TippingPoint выполнен в металлическом корпусе высотой 1U для крепления в стойку 19". Толщина металла корпуса достаточно приличная, именно поэтому устройство весит почти 6 килограммов. 

Внутри корпуса расположен обычный компьютер на платформе Intel, в котором вместо жёсткого диска установлен ATA-диск с накопителем типа Flash объёмом 1 Гбайт, а вместо видеоадаптера в AGP вставлен эмулятор. Штатный разъём LAN выведен наружу и используется как порт управления, а в шину PCI через рейзер включена 4-портовая плата с портами Fast Ethernet с поддержкой VLAN на чипсете Intel. 

"Внутренний вид X505" 

"Процессор Intel Pentium и порты материнской платы ATX" 

"Плата на 4 порта Fast Ethernet и эмулятор AGP-видеоадаптера" 

"Оперативная память и Flash-диск с интерфейсом ATA" 

Производитель заявляет, что используется процессор Intel Pentium 4 частотой 2.4 ГГц, возможно, именно по этой причине с функциональностью X505 может сравниться только уровень шума, который производит X505.

X505 "ревёт", как хороший многопроцессорный сервер, так что шум от его работы слышен в соседней комнате даже при закрытой двери. Для надёжного охлаждения, помимо вентилятора в блоке питания, установлено два мощных вентилятора, работающих  на выдув. Впрочем, судя по наклейкам, мне на обзор достался X505, не предназначенный для продажи, поэтому, возможно, в серийных моделях проблему с уровнем шума устранят.

Концепция

Концепция IPS заключается в том, что она является симбиозом IDS (система обнаружения вторжений) и пакетного фильтра. Т. е. IPS может не только обнаруживать, но и самостоятельно пресекать злонамеренные действия.

В X505, помимо стандартного межсетевого экрана с богатыми настройками, содержится ещё и система обнаружения злонамеренной активности. Обнаружение производится путём анализа проходящего трафика на предмет наличия в нём т. н. цифровых сигнатур, наличие которых может указывать, например, на попытку взлома. При этом база с сигнатурами может постоянно обновляться через Интернет, что делает фильтрацию весьма эффективной.

Интересной возможностью продуктов TippingPoint является способность работать как в режиме маршрутизации (классический межсетевой экран), так и в прозрачном режиме, когда фильтрация производится путём перехвата кадров второго уровня и последующим их анализом уже внутри IPS. Разумеется, анализ уже захваченного кадра производится на всех уровнях от 2 до 7. В случае, если кадр признан доброкачественным, и его передача разрешена правилами фильтрации, он передаётся на соответствующий выходной интерфейс и покидает IPS.

Управление X505 осуществляется через специальный порт "Management". Тем самым реализуется концепция OOBM (управление по отдельной сети), которая позволяет существенно повысить безопасность сети за счёт того, что управление всеми сетевыми устройствами осуществляется по специальной сети, в которую обычные пользователи доступа не имеют.

Первоначальная настройка 

Первоначальная настройка производится через консольный порт, так что стоит иметь в виду необходимость наличия компьютера с интерфейсом RS232 на 9 контактов. 

После серии вопросов относительно настроек активируется веб-интерфейс, и дальнейшая настройка может осуществляться уже непосредственно через него. Обратите внимание, что веб-интерфейс работает только с Internet Explorer версии 6 или выше. 

IPS

Самый важный пункт вынесен в самое начало. Как уже было сказано, IPS – основная отличительная особенность X505 от обычного межсетевого экрана.

Раздел IPS содержит фильтры, которые разделяются на несколько категорий для упрощения настройки:

Для пакетов, на которых будут срабатывать фильтры, IPS может производить различные настраиваемые действия: 

В меры по реакции, в частности, входят:

• Ограничение скорости потока (может оказаться полезным для предотвращения DOS-атак);
• Сброс сессии через TCP-reset, помещение атакующего IP в карантин;
• Для целей постдиагностики X505 может выполнить трассировку маршрута до источника и сохранить результаты в лог;
• Уведомление об обнаружении атаки.

Особого внимания заслуживают два действия: карантин и уведомление. В случае помещения IP-адреса, с которого обнаружена атака, в карантин пакеты с него блокируются, а пользователь, который с этого адреса пытается попасть в Интернет, получает настраиваемое сообщение. Разумеется, хакеру это сообщение будет ни к чему, но вот если IPS используется для защиты критических точек внутренней сети, то очень даже пригодится.

Функция уведомления поможет не только выслать сообщение об атаке на e-mail или консоль, но также сообщить о вторжении в систему SMS (которая приобретается отдельно). Система SMS – это дополнительное решение TippingPoint, которое позволяет, например, при обнаружении атаки с компьютера в локальной сети автоматически отключить его порт на коммутаторе. 

Не секрет, что настройка системы защиты от атак – работа кропотливая и долгая. Чтобы ускорить процесс первоначальной настройки, X505 предлагает указать действия, основываясь на категории атак, тем самым, администратор может быстро настроить требуемые уровни безопасности не по каждому фильтру, а сразу по их категориям. 

Firewall

Настройка межсетевого экрана принципиально не отличается от других маршрутизаторов, самое большое отличие – присутствие параметра "зона". Дело в том, что концепция безопасности TippingPoint базируется на т. н. "зонах безопасности", которые привязываются к физическим интерфейсам (либо виртуальным в случае использования VLAN). Суть концепции TippingPoint заключается в том, что фильтрация производится не столько между отдельно взятыми IP-адресами или подсетями, сколько между сегментами Ethernet. Более подробно настройка зон безопасности описана в разделе "Network". 

В работе правил можно учитывать расписания, например, запретить доступ к определённым сайтам в рабочее время. Расписание можно настроить как по времени, так и по дням недели. 

Правила настраиваются на фильтрацию служб (сервисов). Часть служб уже настроена в X505, а остальные можно создавать самостоятельно: 

Нельзя сказать, что настройка службы отличается глубиной, например, невозможно указать обратное соединение. 

Для удобства настройки службы можно объединить в группы и оперировать уже с ними: 

Quarantine

Карантин – это особое состояние некоторых IP-адресов, которые попали в него либо вследствие работы фильтров IPS, либо были добавлены вручную. Как уже было сказано ранее, в модуле IPS для каждого фильтра можно указать действие, которое будет выполнено при срабатывании фильтра. Одно из действий – помещение в карантин. 

В разделе "Карантин" можно просмотреть список действий IPS, которые ведут к помещению IP-адреса в карантин: 

И управлять адресами уже попавшими в карантин: 

Web Filtering

X505 позволяет фильтровать веб-контент на основании списков URL или по категориям, используя online-базу 3Com.  

При ручном задании списка поддерживается как "чёрный", так и "белый" список. Если запись найдена в "чёрном" списке, но при этом присутствует и в "белом", она не сработает. 

Поддерживается функция экспорта и импорта списков фильтрации, а для задания правил можно использовать регулярные выражения (regexp). 

Network

TippingPoint использует понятие "зона" для задания физической зоны сети с тем чтобы обеспечить её защиту или изоляцию. При задании зоны указывается физический интерфейс (или под-интерфейс, если используется VLAN). 

При  этом можно задать ограничение на IP-адреса, используемые в этой зоне (для предотвращения спуфинга), и ограничение на полосу пропускания (для снижения вероятности DOS-атак). 

Для определения, между какими зонами производится фильтрация, TippingPoint вводит термин "сегмент". Сегмент в терминологии TippingPoint – это пара зон, которые могут обмениваться пакетами, но этот обмен должен фильтроваться X505. 

Настройки аппаратных портов позволяют задать режимы их работы: 

Как и в любом маршрутизаторе, в X505 есть интерфейсы с довольно богатыми настройками. 

Поддерживается RIP v1, v2, IGMP с PIM и DHCP-сервер с настройками, вполне достаточными для использования в корпоративной среде. 

VPN

X505 может работать как в качестве VPN-концентратора, так и в качестве VPN-клиента. Первая функция позволяет организовывать доступ для удалённых клиентов, вторая – соединять удалённые офисы. 

IPSec поддерживается полноценно: максимальная глубина шифрования – AES 256, а для аутентификации точек может использоваться как ключ, так и сертификат. 

Для подключения удалённых клиентов поддерживается как L2TP, так и PPTP. Напомню, что L2TP использует для шифрования IPSec, а PPTP – MPPE, в котором обнаружена масса уязвимостей. По этой причине следует везде, где только возможно, использовать L2TP, а не PPTP, даже несмотря на то, что PPTP проще настроить. 

Authentication

Система аутентификации X505 позволяет использовать локальную базу пользователей, удалённый RADIUS-сервер или систему сертификатов X.509. 

Тип учётной записи (локальная или RADIUS) указывается при создании.

Особенно интересной функцией является полноценная поддержка сертификатов. Она включает в себя аутентификацию точек IPSec, клиентов L2TP и HTTPS встроенного веб-сервера.

X505 поддерживает загрузку сертификатов доверенных центров сертификации с указанием CRL и выписку запросов на сертификат для локальной установки (для использования в L2TP-клиенте и HTTPS).

Выводы

X505 выглядит вполне подобающе для своего сектора – интерфейс управления выполнен качественно и продуманно. Не обойдены вниманием и вопросы применения сертификатов, которые со временем становятся всё более актуальными.

Самой интересной функцией устройства является именно встроенная IPS, поскольку функции межсетевого экрана и VPN-концентратора могут быть реализованы множеством других устройств. Функция IPS крайне полезна тем, что позволяет в режиме реального времени фильтровать трафик с использованием цифровых сигнатур, база которых может обновляться через Интернет.

Тем самым, X505 выглядит как более продвинутая реализация межсетевого экрана начального уровня для предприятий – в дополнение к основным функциям пользователь получает IPS. Не стоит забывать и о том, что TippingPoint предлагает и комплексные решения, в которых X505 может выступать как один из элементов (например, выполнять функцию обнаружения вторжения). 

Плюсы:

1. База сигнатур атак, обновляемая через Интернет.
2. Богатейшие возможности фильтрации.
3. Полноценная поддержка сертификатов X.509 (аутентификация пользователей, IPSec, L2TP).
4. Подробная документация.

Минусы:

1. Настройка через веб-интерфейс возможна только из Internet Explorer.
2. Не описана или отсутствует процедура сброса забытого пароля.
3. Высокий уровень шума при работе.

Автор: Алексей Гречанинов
Источник: www.techlabs.by