Тестирование системы обнаружения вторжений (IDS) в Traffic Inspector Next Generation

6755

Система обнаружения вторжений IDS (Intrusion Detection System) — обязательный атрибут UTM-шлюза сетевой безопасности. При его выборе IT-специалисты настороженно относятся к недорогим решениям, считая, что их IDS указан лишь для галочки. Но если директор компании не готов выделить солидную сумму, приходится смотреть в сторону более доступных систем. Сделать правильный выбор поможет независимое тестирование системы обнаружения вторжений на производительность. При определенном подходе бюджетное решение работает иногда не хуже, чем в несколько раз более дорогие аналоги.

В данном тесте участвует Traffic Inspector Next Generation S100 — самая доступная версия в линейке, рассчитанная на 100 пользователей. Помимо системы обнаружения (предотвращения) вторжений IDS/IPS этот универсальный шлюз безопасности (UTM) имеет такие функции, как межсетевой экран (блокировка соцсетей, игровых порталов и других сайтов), блокировка мессенджеров и приложений (Layer-7 фильтрация), система отчетов и аналитики, SMS-идентификация клиентов в открытой сети Wi-Fi, шейпер для балансировки трафика, и другие опции (полные характеристики>>>).

  

Traffic Inspector Next Generation S100

Примененная методика тестирования IDS заключается в проверке пропускной способности и построении зависимости количества отброшенных пакетов от интенсивности трафика. Описанная процедура проведена в трех режимах:

  • Режим № 1: активны все правила и все настройки.
  • Режим № 2: активна группа правил Emerging Threads, и оптимизированы настройки.
  • Режим № 3: активна основная группа правил, в том числе P2P, и оптимизированы настройки.

Тестирование осуществлялось с использованием утилиты tcpreplay, которая позволяет воспроизвести записанный предварительно сетевой трафик с определенной скоростью. Команда: tcpreplay –i <интерфейс> -l 0 testTI.pcap. Файл testTI.pcap содержит 649 413 пакетов. Помимо сгенерированного трафика, запускаемого на определенной скорости, запускался торрент-трекер.

Схема тестового стенда:

UTM-устройство Traffic Inspector Next Generation S100 и свитч Cisco 2960G


Режим № 1

В этом режиме загружаем все правила в количестве 30 305 и используем настройки IDS по умолчанию:

Результат в таблице:

10 mbps50 mbps100 mbps
kernel_packets    1152978   1148932   1141671
kernel_drops4109247085841090003
decoder_packets74208844043552858
detect_alerts58512434305243796

Примечание:
kernel_packets — отправленные пакеты;

kernel_drops — отброшенные пакеты. Как видим, при настройках по умолчанию и при полном наборе правил происходят большие потери пакетов (> 30% относительно kernel_packets);

decoder_packets — обработанные пакеты;

detect_alerts — количество выявленных атак. В режиме № 1 основную массу выявленных атак составили атаки типа «Фрагментированный пакет», но и атаки «Выявление торрент-трекера» также были определены.


Режим № 2

В этом режиме повышаем эффективность IDS за счет изменения механизма поиска маршрутов, отключения загрузки в отчеты содержимого пакета (payload), а также отключения групп правил и определенных групп пакетов. Вариант настроек, использованный в режиме № 2:

Список активных правил:


Результат тестирования:

50 mbps100 mbps150 mbps200 mbps
kernel_packets
    1152444  1140667  1233745  1138648
kernel_drops018695296591471094
decoder_packets11525501122905938517671490
detect_alerts4222

С ограниченной группой правил эффективность IDS существенно выросла. Атака типа «Выявление торрент-трекера» была обнаружена, а атаки «Фрагментированный пакет» больше не появлялись.


Режим № 3

В этом режиме оставляем те же настройки, что и в предыдущем. В списке активных правил оставляем самые критические:

Результат в таблице:

50 mbps100 mbps150 mbps200 mbps
kernel_packets    1142611  1142483  1139858  1139193
kernel_drops60381236667075484032
decoder_packets
11365111308341074841658056
detect_alerts
1324

В этом режиме система обнаружения вторжений работает еще эффективнее, чем в режиме №2, с незначительными улучшениями.


Резюме

Финальная таблица результатов, выраженная в процентах kernel_drops относительно kernel_packets, показана ниже:

10 mbps50 mbps100 mbps150 mbps200 mbps
Режим №1    36%  62%  95%    
Режим №20%2%24%41%
Режим №31%1%6%42%

Графически результат выглядит следующим образом:


Вывод:
количество активных правил и оптимизация настроек напрямую влияют на эффективность IDS в Traffic Inspector Next Generation S100: если в Режиме №1 (по умолчанию) потери велики, то в Режимах №2 и №3 потери практически отсутствуют вплоть до 100 mbps (скорости большинства выделенных линий в офисах ).

Если в компании стоит задача приобрести недорогой, но эффективный сетевой шлюз безопасности, S100 будет хорошим решением при выполнении следующих условий:

  • применение в условиях офиса с выделенной линией не более 100 mbps;
  • наличие штатного (или привлечённого) администратора локальной сети, который активирует нужные правила и выставит оптимальные настройки IDS.

В этом случае экономия может составить несколько сотен тысяч рублей — именно такая разница в цене между Traffic Inspector Next Generation S100 и более дорогими аналогами.


Протестировать Traffic Inspector Next Generation в своей сети. 

Бесплатно в течение 30 дней.

Попробовать бесплатно

 

 

Подпишитесь на рассылку Смарт-Софт и получите скидку на первую покупку

За подписку мы также пришлем вам white paper "Основы кибербезопасности в коммерческой компании".

Назад
Далее
Рекомендуем почитать Смотреть все

«Код проверяли буквально по строчкам» — о том, как наш межсетевой экран проходил сертификацию ФСТЭК

Теги: Traffic Inspector Next Generation, межсетевой экран, сертификация ФСТЭК, кейс компании

Защита WAF на российском рынке

Теги: Информационная безопасность, WAF, Информационная безопасность бизнеса

Брандмауэр: что он делает и кому может быть полезен

Теги: брандмауэр, Traffic Inspector Next Generation, UTM-решения, Смарт-Софт

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100
S200
S500
M1000
L1000+
Enterprise
FSTEC
SaaS
Software
Software Light
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
SkyDNS для Traffic Inspector Next Generation
Multifactor для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа