Тестирование системы обнаружения вторжений (IDS) в Traffic Inspector Next Generation

923

Система обнаружения вторжений IDS (Intrusion Detection System) — обязательный атрибут UTM-шлюза сетевой безопасности. При его выборе IT-специалисты настороженно относятся к недорогим решениям, считая, что их IDS указан лишь для галочки. Но если директор компании не готов выделить солидную сумму, приходится смотреть в сторону более доступных систем. Сделать правильный выбор поможет независимое тестирование системы обнаружения вторжений на производительность. При определенном подходе бюджетное решение работает иногда не хуже, чем в несколько раз более дорогие аналоги.

В данном тесте участвует Traffic Inspector Next Generation S100 — самая доступная версия в линейке, рассчитанная на 100 пользователей. Помимо системы обнаружения (предотвращения) вторжений IDS/IPS этот универсальный шлюз безопасности (UTM) имеет такие функции, как межсетевой экран (блокировка соцсетей, игровых порталов и других сайтов), блокировка мессенджеров и приложений (Layer-7 фильтрация), система отчетов и аналитики, SMS-идентификация клиентов в открытой сети Wi-Fi, шейпер для балансировки трафика, и другие опции (полные характеристики>>>).

  

Traffic Inspector Next Generation S100

Примененная методика тестирования IDS заключается в проверке пропускной способности и построении зависимости количества отброшенных пакетов от интенсивности трафика. Описанная процедура проведена в трех режимах:

  • Режим № 1: активны все правила и все настройки.
  • Режим № 2: активна группа правил Emerging Threads, и оптимизированы настройки.
  • Режим № 3: активна основная группа правил, в том числе P2P, и оптимизированы настройки.

Тестирование осуществлялось с использованием утилиты tcpreplay, которая позволяет воспроизвести записанный предварительно сетевой трафик с определенной скоростью. Команда: tcpreplay –i <интерфейс> -l 0 testTI.pcap. Файл testTI.pcap содержит 649 413 пакетов. Помимо сгенерированного трафика, запускаемого на определенной скорости, запускался торрент-трекер.

Схема тестового стенда:

UTM-устройство Traffic Inspector Next Generation S100 и свитч Cisco 2960G


Режим № 1

В этом режиме загружаем все правила в количестве 30 305 и используем настройки IDS по умолчанию:

Результат в таблице:

10 mbps50 mbps100 mbps
kernel_packets    1152978   1148932   1141671
kernel_drops4109247085841090003
decoder_packets74208844043552858
detect_alerts58512434305243796

Примечание:
kernel_packets — отправленные пакеты;

kernel_drops — отброшенные пакеты. Как видим, при настройках по умолчанию и при полном наборе правил происходят большие потери пакетов (> 30% относительно kernel_packets);

decoder_packets — обработанные пакеты;

detect_alerts — количество выявленных атак. В режиме № 1 основную массу выявленных атак составили атаки типа «Фрагментированный пакет», но и атаки «Выявление торрент-трекера» также были определены.


Режим № 2

В этом режиме повышаем эффективность IDS за счет изменения механизма поиска маршрутов, отключения загрузки в отчеты содержимого пакета (payload), а также отключения групп правил и определенных групп пакетов. Вариант настроек, использованный в режиме № 2:

Список активных правил:


Результат тестирования:

50 mbps100 mbps150 mbps200 mbps
kernel_packets
    1152444  1140667  1233745  1138648
kernel_drops018695296591471094
decoder_packets11525501122905938517671490
detect_alerts4222

С ограниченной группой правил эффективность IDS существенно выросла. Атака типа «Выявление торрент-трекера» была обнаружена, а атаки «Фрагментированный пакет» больше не появлялись.


Режим № 3

В этом режиме оставляем те же настройки, что и в предыдущем. В списке активных правил оставляем самые критические:

Результат в таблице:

50 mbps100 mbps150 mbps200 mbps
kernel_packets    1142611  1142483  1139858  1139193
kernel_drops60381236667075484032
decoder_packets
11365111308341074841658056
detect_alerts
1324

В этом режиме система обнаружения вторжений работает еще эффективнее, чем в режиме №2, с незначительными улучшениями.


Резюме

Финальная таблица результатов, выраженная в процентах kernel_drops относительно kernel_packets, показана ниже:

10 mbps50 mbps100 mbps150 mbps200 mbps
Режим №1    36%  62%  95%    
Режим №20%2%24%41%
Режим №31%1%6%42%

Графически результат выглядит следующим образом:


Вывод:
количество активных правил и оптимизация настроек напрямую влияют на эффективность IDS в Traffic Inspector Next Generation S100: если в Режиме №1 (по умолчанию) потери велики, то в Режимах №2 и №3 потери практически отсутствуют вплоть до 100 mbps (скорости большинства выделенных линий в офисах ).

Если в компании стоит задача приобрести недорогой, но эффективный сетевой шлюз безопасности, S100 будет хорошим решением при выполнении следующих условий:

  • применение в условиях офиса с выделенной линией не более 100 mbps;
  • наличие штатного (или привлечённого) администратора локальной сети, который активирует нужные правила и выставит оптимальные настройки IDS.

В этом случае экономия может составить несколько сотен тысяч рублей — именно такая разница в цене между Traffic Inspector Next Generation S100 и более дорогими аналогами.


Протестировать Traffic Inspector Next Generation в своей сети. 

Бесплатно в течение 30 дней.

Попробовать бесплатно
Назад
Далее
Рекомендуем почитать Смотреть все

5 ключевых фактов о Wi-Fi 6 и 5G

Теги: локальная компьютерная сеть, Wi-Fi технологии

На вкус и цвет UTM/NGFW есть: как выбрать защитное решение и не прогадать

Теги: Сравнение UTM/NGFW, Traffic Inspector Next Generation

История внедрения Traffic Inspector Next Generation в «Оптосенс»

Теги: Traffic Inspector Next Generation, бизнес, кейс компании, VPN, Смарт-Софт

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
Бесплатное 30-дневное тестирование
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
Бесплатное 30-дневное тестирование
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100
S500
M1000
L1000+
Enterprise
FSTEC
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа