Комментарии 12
Тестирование только по производительности как-то маловато, железка все-таки должна защищать.
Могу поделиться опытом собственных тестов IPS для банка.
Железка должна была защищать подсеть платежных систем. Данная подсеть находится во внутреннем периметре сети банка, но на нее DST-Nat'ится из Интернета трафик для системы Интернет Клиент-Банк (ИКБ). Соответственно, необходимо было защититься от атак которые прилетают из Интернетов и от потенциальных троянов проникнувших во внутреннюю сеть.
ИКБ, работает через Web соответственно потенциально уязвим для атак из OWASPTop10. Из этих атак выбрал SQL-Inj, XSS и DoS-Атаки — TCP SYN Flood, UDP flood, HTTP slow lories
В качестве объекта защиты выступала виртуалка с DVWA IPS ставилась перед ней в разрыв.
Тест 1. Запускаем IPS с полностью активированным всеми правилами и начинаем мучить DVWA стандартными Web-атаками (SQL-Inj, XSS)
Тест 2. Берем Kali linux и жестко флудим жертву TCP SYN, UDP, http slow lories
Тест 3. С помощью Interceptor-NG делаем ARP poisoning
Тест 4. С помощью metsploit запускаем RCE атаку (тогда делал MS08_067)
В результате… чудо решение стоившее кучу килобаксов, имевших сертификаты Федеральных служб… смогло поймать только последнее.
Попробуйте помучать вашу железку аналогичным образом. Интересно что получиться.
Могу поделиться опытом собственных тестов IPS для банка.
Железка должна была защищать подсеть платежных систем. Данная подсеть находится во внутреннем периметре сети банка, но на нее DST-Nat'ится из Интернета трафик для системы Интернет Клиент-Банк (ИКБ). Соответственно, необходимо было защититься от атак которые прилетают из Интернетов и от потенциальных троянов проникнувших во внутреннюю сеть.
ИКБ, работает через Web соответственно потенциально уязвим для атак из OWASPTop10. Из этих атак выбрал SQL-Inj, XSS и DoS-Атаки — TCP SYN Flood, UDP flood, HTTP slow lories
В качестве объекта защиты выступала виртуалка с DVWA IPS ставилась перед ней в разрыв.
Тест 1. Запускаем IPS с полностью активированным всеми правилами и начинаем мучить DVWA стандартными Web-атаками (SQL-Inj, XSS)
Тест 2. Берем Kali linux и жестко флудим жертву TCP SYN, UDP, http slow lories
Тест 3. С помощью Interceptor-NG делаем ARP poisoning
Тест 4. С помощью metsploit запускаем RCE атаку (тогда делал MS08_067)
В результате… чудо решение стоившее кучу килобаксов, имевших сертификаты Федеральных служб… смогло поймать только последнее.
Попробуйте помучать вашу железку аналогичным образом. Интересно что получиться.
Все верно говорите, IDS — это так, затравка. Планировал в следующий раз за IPS взяться, думал над методой. Спасибо за идеи:) Постараюсь их применить. Кстати "… чудо решение" — не можете назвать, какое? Интересно потом сравнить результаты. Тут тоже есть сертифицированный вариант ФСТЭК (не в той железке, которая у меня сейчас, но в принципе у производителя), но IDS/IPS помоему еще не сертифицировали, только проходят процедуру.
Кстати "… чудо решение" — не можете назвать, какое? Интересно потом сравнить результаты.
К сожалению был NDA при тестировании. Беглый анализ подобных железок на выставках дает основание предположить что проблема имеет системный характер.
Как думаете, попросить на тест сертифицированную железку или эту прогнать? С одной стороны, для чистоты сравнения нужна сертифицированная. С другой — врядли они чем-то отличаются…
На самом деле без разницы, так как 90% отечественных IPS / IDS — это русифицированные Snort или Suricata.
Сертификация в общем случае не делает систему лучше, она только отсеивает «явный бред».
Кстати, с точки зрения методики тестирования можно посмотреть в сторону противодействия IPS классическому kill chain в его описании как MITRE ATT&CK Matrix
Сертификация в общем случае не делает систему лучше, она только отсеивает «явный бред».
Кстати, с точки зрения методики тестирования можно посмотреть в сторону противодействия IPS классическому kill chain в его описании как MITRE ATT&CK Matrix
В свое время тестировал Suricata и баловался с pf_ring, если честно он не особо дает прироста в производительности (На то время со всеми включенными правилами, железка начинала отбрасывать пакеты уже на 10-15 Мб) а вот Suricata собранная с поддержкой cuda позволила легко переварить 200-250 Мб. При этом использовалась простая офисная видеокарта.
Признаться, я в основном работал со IDS snort и не сталкивался в нем с поддержки cuda, поэтому не обратил внимание на данную особенность. По поводу pf_ring суждение сложное, все зависит от количества экземпляров запускаемой suricata. Возможно стоило поиграться в данном направлении. Предложение по pf_ring это просто предложение, окончательное решение прежде всего за разработчиком оборудования.
Что-то интерфейс на скриншотах по моему оценочному суждению перекрашенный OPNsense на базе FreeBSD напоминает. Вот бы сравнил кто файлики то, как много разницы набежит. И конфиги не входящих в дистриб сервисов как у FreeBSD в /usr/local/etc лежат…
По сути своей TING это OPNsense с добавленными проприетарными плагинами от вендора + локализация + есть сертифицированная версия ФСТЭК. Другие авторы про это писали подробно, вот например habr.com/company/smart_soft/blog/350964
А pfsense на этой железке, не знаете, какую будет иметь производительность? Если тоже с сурикатом. Еще хуже? Бывают ли дистрибутивы у этого производителя ''на попробовать'' покрутить? А вот этот файл testTI.pcap он что содержит, примеры каких-то атак? Его можно как-то использовать у себя? Спасибо.
«А pfsense на этой железке, не знаете, какую будет иметь производительность?» Есть предположение, что также.
«Бывают ли дистрибутивы у этого производителя ''на попробовать'' покрутить?» — вот тут: www.smart-soft.ru/products/ting есть кнопка «Попробовать бесплатно»
«А вот этот файл testTI.pcap он что содержит, примеры каких-то атак?»
В трафике testTI.pcap использовалась атака типа «Фрагментированные пакеты» jolt2 (http://www.securiteam.com/exploits/5RP090A1UE.html) и targa3 (https://packetstormsecurity.com/DoS/targa3.c).
+ нагрузка из iperf + ping
" Его можно как-то использовать у себя?" — попробуйте:)
«Бывают ли дистрибутивы у этого производителя ''на попробовать'' покрутить?» — вот тут: www.smart-soft.ru/products/ting есть кнопка «Попробовать бесплатно»
«А вот этот файл testTI.pcap он что содержит, примеры каких-то атак?»
В трафике testTI.pcap использовалась атака типа «Фрагментированные пакеты» jolt2 (http://www.securiteam.com/exploits/5RP090A1UE.html) и targa3 (https://packetstormsecurity.com/DoS/targa3.c).
+ нагрузка из iperf + ping
" Его можно как-то использовать у себя?" — попробуйте:)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Исповедь тестировщика: как я покопался в IDS конкурента