Введение
На сегодняшнем рынке присутствует немало производителей, поставляющих IDS (Intrusion Detection System) для операторских и корпоративных сетей. Кроме IDS, реализованных как программно, так и аппаратно, существуют также системы IPS (Intrusion Prevention System), позволяющие не только обнаружить попытки вторжения в защищаемую сеть, но и предотвратить их. В нашу лабораторию попало одно из таких устройств производства компании 3COM: Tipping Point 100E, поддерживающее 1 защищаемый сегмент на скоростях до 100 Мбит/с. Следует обратить внимание на то, что по своей сути Tipping Point выполняет функции моста (коммутатора), что позволяет не проводить переконфигурацию существующей сети. К особенностям программного и аппаратного обеспечения Tipping Point можно отнести следующее:
- защита приложений: фильтры, которые защищают как от известных, так и от неизвестных атак (exploits), направленных на приложения и операционные системы;
- защита инфраструктуры: фильтры, которые защищают от атак полосу пропускания и элементы сетевой инфраструктуры, такие, как коммутаторы, маршрутизаторы и брандмауэры, используя статистические данные для выявления аномального поведения трафика;
- защита производительности: фильтры, которые позволяют ключевым приложениям получать приоритетный доступ к полосе пропускания, ограничивая вместе с тем скорости трафика для менее ответственных приложений;
- фильтрация по сигнатурам, по аномалиям протоколов, по уязвимостям, по аномалиям трафика;
- система TippingPoint IPS устанавливается в сети прозрачно, без IP-адреса и MAC-адреса, и сразу же после установки начинает фильтровать трафик на предмет выявления враждебных или нежелательных пакетов;
- TSE (Threat Suppression Engine, механизм подавления угроз) обеспечивает полный анализ потока пакетов на уровнях 2-7 модели OSI и обеспечивает защиту от внешних и внутренних атак, вирусов, “троянов”, известных и неизвестных эксплойтов, P2P-приложений, неразрешённых IM-приложений, неразрешённого доступа, SYN-флуда, “червей”, DDOS-атак и аномалий трафика.
Внешний вид
Устройство выполнено в 19″ конструктиве, что позволяет монтировать его в телекоммуникационную стойку. Высота составляет 1U.
3COM Tipping Point 100E достаточно интенсивно выделяет тепловую энергию, поэтому крайне важно правильно разместить его в хорошо охлаждаемой стойке или шкафу. Основные вентиляторы расположены на задней стенке корпуса, что позволяет избавиться от бокового охлаждения, однако, боковые отверстия служат для забора воздуха внутрь устройства.
На передней панели устройства расположены два Ethernet-порта 10/100 Мбит/с, трафик которых фильтруется и проверяется. Там же находится и Ethernet-порт MGMT для управления устройством. Также для управления служит и консольный порт, правда, для соединения с компьютером необходим нуль-модемный кабель. Порт USB расположен под Ethernet-портом управления. Такое расположение портов, как будет понятно после заглядывания внутрь, обусловлено расположением выводов на материнской плате, установленной в данное устройство.
На лицевой панели расположен также жидкокристаллический дисплей, который отображает основные параметры устройства. Рядом с дисплеем находятся клавиши управления, с помощью которых можно посмотреть версию ПО и баз вакцины, температуру процессора, занятость оперативной памяти, серийный номер 3COM Tipping Point 100E, а также перезагрузить устройство.
Обратим теперь свой взор к задней стенке аппаратной системы предотвращения вторжений, на которой расположены мощные вентиляторы и разъём для подвода питания.
Так как устройство предназначено для размещения в стойке, особенные эстетические требования к его внешнему виду не предъявляются. Наличие на передней панели маленького дисплея кажется нам вполне уместным и удобным, хотя и присутствует некоторая заторможенность в его поведении.
Геометрические размеры в сантиметрах: 4,45х43,82х30,48. Масса 3COM Tipping Point 100E составляет 5,8 кг.
“Железные” внутренности
Подняв верхнюю крышку, мы обнаружили обычную материнскую плату, процессор, модули памяти, сетевую карту, которые были уложены в одноюнитовый клёпаный корпус. Да-да, именно клёпаный, разобрать и снова собрать который не представляется возможным в условиях нашей лаборатории. Все ремонтные работы должны производиться квалифицированными инженерами Tipping Point.
За основу системы взята одна из материнских плат (Desktop board) производства Intel: D865PCK, D865PCD.
В эту плату (mPGA 478 SOCKET) установлен процессор Intel Pentium 4 (2,4 ГГц/512/533 SL6PC MALAY).
Для охлаждения установленного процессора использован кулер JACE1BC/180 with Blower Fan с медным радиатором.
В качестве сетевой карты выбрана плата также производства Intel: Intel Pro 1000 MT Dual Port.
Оперативная память, использованная в Tipping Point 100E, является производства Kingston: KVR400X64C3A/512.
Так как установлено 2 банка памяти, мы сделали вывод, что всего системе доступен целый гигабайт оперативной памяти. Это, на наш взгляд, очень даже внушительно.
Обратим теперь наш взгляд на “жёсткий диск” сетевого устройства, в роли которого выступает модуль от SimpleTech, вставляемый в обычный разъём для IDE-дисков (FlashDiskModule). К модулю дополнительно подаётся питание – с помощью 4-контактной вилки, как для стандартного floppy-дисковода.
На этом модуле мы обнаружили два чипа памяти от Samsung – K9K4G08U0M, каждый из которых содержит 512 Мбайт памяти.
Естественно, мы не удержались от подключения данного модуля к нашему компьютеру. На “жёстком диске” IPS мы обнаружили 4 раздела: 199 МБ (FAT), 594 МБ (FAT32), 100 МБ (FAT) и 83 МБ (FAT). Список файлов, присутствующих на каждом из разделов, вы можете скачать здесь.
На этом, пожалуй, обзор “железной” части устройства мы закончим. К сожалению, в предоставленной нам модели нет дополнительных микросхем, позволяющих производить аппаратное ускорение проверки потока.
Загрузка
Полная загрузка устройства происходит за 1 минуту и 45 секунд, поэтому Tipping Point 100E к быстрогрузящимся устройствам отнести нельзя, благо, его перезагрузка требуется крайне редко. В процессе загрузки на 22-й секунде слышен лёгкий писк внутреннего динамика. За процессом загрузки мы следили из консоли, работающей на скорости 115 200 бод. Выводимая в процессе старта устройства информация представлена ниже (как всегда мы убрали лишние переводы строк).
Где-то через 23 секунды после старта (после непродолжительного писка из внутреннего динамика) на экране отображается предложение нажать любую клавишу для того, чтобы остановить процесс автоматической загрузки Tipping Point. При нажатии в это время на любую кнопку терминала мы попадаем в загрузочное меню устройства, в котором можно просмотреть или изменить параметры загрузки, отобразить или изменить содержимое памяти устройства, отобразить параметры сетевой части управляющего модуля… Ниже мы приводим содержимое загрузочного меню.
Кроме загрузки, мы решили провести наблюдение за процессом выключения устройства, который занимает 26 секунд. Команда halt подготавливает устройство к безопасному отключению электропитания.
Справедливости ради отметим, что процесс первой загрузки устройства отличается от дальнейших запусков, описанных выше. Во время первого старта системы защиты от вторжений Tipping Point 100E, на консольный порт или встроенный ЖК-дисплей выводится ряд коротких диалогов, при ответе на которые и происходит начальное (предварительное) конфигурирование системы. Так, при первом запуске система просит указать уровень безопасности пользовательских учётных записей (Account Security Level).
Кроме уровня безопасности пользовательских учётных записей, можно также настроить следующие параметры: параметры супер-пользователя (сложность имени и само имя, сложность пароля и сам пароль администратора), параметры порта управления MGMT (адрес IPv4, маску подсети, имя и расположение устройства, а также адрес шлюза по умолчанию), параметры точного времени (источник времени, зону, адреса первичного и вторичного серверов имён, а также режим перехода на летнее/зимнее время), параметры сервисов доступа к управлению устройством (web, CLI, SNMP, NMS и SMS), а также прочие дополнительные параметры.
Перейдём теперь к рассмотрению возможностей устройства.
Обзор web-интерфейса
После загрузки устройства, мы получаем возможность подключиться к Tipping Point 100E для управления с использованием web-браузера. Сразу отметим, что в целях обеспечения безопасности подключение для управления возможно только через MGMT-порт. Также необходимым требованием является использование кроссовера, так как на этом порту нет автоматического определения MDI/MDIX. По умолчанию доступ к устройству возможен только через HTTPS или SSH, то есть ни обычный Telnet, ни HTTP сразу не активированы. После обращения из браузера к адресу 192.168.1.100 мы видим приветственную страничку, запрашивающую логин и пароль.
IPS поддерживает до 10 одновременных сессий управления по протоколам HTTP/HTTPS, до 10 сессий по протоколам Telnet/SSH и 1 управляющее соединение через консоль.
Хотелось бы также сразу пояснить, что тип протокола на наших скриншотах виден, как HTTP, что соответствует действительности, так как перед началом описания мы поменяли настройку безопасности для того, чтобы разрешить соответствующий тип входа.
После успешного входа вы увидите главную страницу, на которой показаны основные цветовые и числовые индикаторы.
Среди представленных индикаторов находятся: логи системы, индикатор производительности, количество занятой и свободной оперативной и дисковой памяти, количество обработанных пакетов, а также сведения о версиях модулей Tipping Point (модели устройства, TOS версии, версии цифровой вакцины, время загрузки, код и серийный номер продукта). Также существует возможность сохранения, просмотра и удаления логов системы. Достаточно приятной особенностью графического интерфейса пользователя является наличие счётчика-таймера, отображающего время в секундах до автоматического отключения сеанса администратора в случае, если последний не будет производить никаких манипуляций с устройством.
Нас сразу же привлекло наличие отдельного раздела помощи. При нажатии на одноимённую ссылку перед нами открывается окно, в котором можно получить справку об использовании любых опций и параметров, представленных в системе.
Вернёмся к настройкам системы. Первым пунктом меню является раздел IPS, содержание которого представлено ниже.
В пунктах меню, посвящённых защите от DDoS-атак, предоставлена возможность создания фильтров.
Обратим теперь свой взгляд к подпункту “Misuse and Abuse”, в котором нашему вниманию представлен набор предустановленных правил, которые отвечают за блокировку известных атак.
На момент написания стати в базе было 118 записей, каждую из которых можно редактировать (блокировать или разблокировать, указать действие, просмотреть описание).
В подразделе “Port Scan/Hot Sweep” представлены известные сканирования портов.
Подпункт “Traffic Normalization” представляет записи, связанные “нормализацией” проходящего трафика, то есть сначала собирается статистика поведения трафика в сети, после чего любые аномальные отклонения трафика регистрируются и блокируются.
Всего же в фильтрах существует 2424 записи (на момент написания статьи), среди которых также фильтры, защищающие определённые приложения или операционные системы, пример такого фильтра представлен ниже.
Считаем необходимым обратить внимание на достаточно длительное применение фильтров (переключение с disabled на enabled). По нашему наблюдению, одновременное изменение большого количества фильтров (более 100) не происходит, и это, скорее всего, сделано с целью защиты производительности системы. Изменения настроек группы фильтров рекомендуется осуществлять на странице “Category Settings” выбором глобальных параметров. Таблица зависимости времени применения фильтров с их количеством представлена в разделе тестирования.
Ещё одним подпунктом меню IPS является “Notifications Contacts”, позволяющий указать параметры логирования или отправки оповещений.
В подразделе “Category Settings” можно задать параметры для каждой из категорий фильтров защиты.
Задать порты защищаемых служб можно в подменю “IPS Services”.
Подпункты меню “Settings-Application protection” и “Settings-Performance Protection” позволяют выставить параметры защиты приложений и производительности сети и серверов, соответственно.
Подпункт “Reset Filters” возвращает все установки, связанные с фильтрами, к их заводским значениям.
Обзор web-интерфейса, продолжение
Перейдём теперь к другому пункту меню под названием “Events”, в состав которого входят следующие подпункты: “Logs” (“Alert Log”, “Block Log”, “Misuse and Abuse Log”), “Reports” (“Attack Reports”, “DDoS Reports”, “Rate Limit Reports”, “Traffic Reports”, “Traffic Threshold Reports”) и “Events” (“Adaptive Filter”, “Blocked Streams”, “Rate Limited Streams”). Итак, рассмотрим всё по порядку.
В пункте “Logs” собраны соответствующие логи, среди которых можно найти также информацию о порядке загрузки операционной системы IPS.
Приятной особенностью является возможность поиска интересующих записей в лог-файлах, а также возможность сохранить файлы на жёсткий диск компьютера полностью.
Кроме поиска нужной информации, в текстовых логах существует возможность отображения статистической информации в виде диаграмм, расположенных в подпунктах меню “Events-Reports”.
Последний подпункт данного пункта меню “Events-Events” предоставляет нам возможность в реальном времени просмотреть заблокированные и ограниченные сетевые потоки.
Пункт меню “Quarantine” содержит 2 подпункта: “Quarantine Action Sets” и “Quarantined Addresses” и позволяет задать правила карантина для определённого трафика или хостов.
Перейдём теперь к пункту меню “Network”, в котором собраны настройки сети для TippingPoint 100E. В подпункте “IPS Segments” представлена информация о физических портах IPS, их скорости и состоянии, а также о типе среды.
Для каждого защищаемого сетевого сегмента существует возможность указать его параметры: имя сегмента, поведение устройства при внутреннем крахе, при отключении одной из линий, а также скорость, дуплексность и автосогласование для порта.
Второй подпункт в разделе “Network” основного меню содержит опции, позволяющие проводить разрешение имени в адрес и наоборот с использованием DNS, сохранять трафик, ping и traceroute.
Обзор web-интерфейса, продолжение
Переходим теперь к пункту меню, связанному с настройкой системы IPS. Данный пункт содержит подразделы: “Configuration”, “Logs”, “Monitor” и “Update”. Рассмотрим каждый из них подробнее.
В подразделе конфигурации собраны следующие подпункты: “Management Port”, “Management Routing”, “High Availability”, “Time Options”, “TSE”, “SMS/NMS”. Подпункт “Management Port” позволяет перезагрузить устройство, указать сетевые параметры порта MGMT, а также задать поддерживаемые типы управления.
Подпункт “Management Routing” отвечает за таблицу маршрутизации, которой будет пользоваться модуль управления IPS.
Подпункт “High Availability” позволяет настроить параметры отказоустойчивости. Можно выбрать, в каком режиме работает связь между портами: в нормальном или как при сбое.
Настройки времени устройства собраны в подразделе “Time Options”. Здесь можно указать источник времени для устройства, синхронизировать со временем управляющей машины, а также задать SNTP-серверы и их параметры.
Подраздел “TSE” содержит параметры механизма подавления трафика (Threat Suppression Engine).
Вкладка “SMS/NMS” позволяет настроить параметры управляющих протоколов.
Подпункт “Logs” позволяет отобразить логи системы, не относящиеся к сетевым событиям, а также логи аудита.
Во вкладке “Monitor” собраны параметры, связанные с мониторингом текущего состояния системы. Некоторые параметры представлены в режиме “только для чтения”, однако часть их можно изменить.
Последним подпунктом в меню “Systems” является “Update”, в котором можно найти “TOS and DV Update”, “Auto DV Configuration”, “System Snapshots”. Однако наш TippingPoint 100E не был зарегистрирован в 3COM, поэтому у нас не было возможности обновлять ПО или цифровую вакцину.
Последним рассматриваемым пунктом меню является “Authentication”, в подпунктах которого можно указать список пользователей, которым разрешается просматривать параметры и состояние устройства, а также тех, кому разрешено изменять эти параметры. Также существует возможность указать параметры учётных записей пользователя: время жизни учётной записи, количество попыток ввода неправильного пароля перед блокировкой, а также параметры блокировки…
На этом этапе обзор web-интерфейса мы заканчиваем, так как пункт меню “Help” мы уже рассмотрели.
Обзор командной строки
После ввода правильного логина и пароля вы увидите приветственное сообщение, позволяющее вводить команды в консольном режиме.
Сразу необходимо указать, что telnet-доступ по умолчанию закрыт, но есть возможность использовать SSH для консольного управления.
Пункт boot отвечает за загрузку устройства. Например, можно посмотреть список образов, доступных для загрузки.
Приятной особенностью командного интерпретатора в TippingPoint 100E является отсутствие необходимости дописывать команды, которые отличаются от принятых в консоли Cisco. Также необходимо упомянуть о том, что мы не будем рассматривать те команды, которые полностью доступны из web-интерфейса IPS.
Следующей интересной командой является системный вызов debug, имеющий перечисленные ниже подпункты.
Эта команда позволяет задать или изменить множество переменных, связанных с работоспособностью самого устройства. Ниже перечислены некоторые из них.
Просмотрим информацию о системе с помощью команды de sho и её параметров.
Вывод de sho с параметром ini-cfg мы здесь не приводим ввиду большого объёма получаемых данных.
Команда setup позволяет задать основные параметры устройства, связанные с сетью.
Единственной неизученной командой в этом режиме остаётся системный вызов conf.
В новом режиме конфигурации доступен следующий набор команд.
В этом режиме нам хотелось бы посмотреть на несколько команд, представленных ниже.
Забавной особенностью оказалась возможность настройки параметров встроенного ЖК-дисплея через командную строку IPS.
Мы надеемся, что дали достаточно полное представление о возможностях настройки и мониторинга, предоставляемых командным интерпретатором TippingPoint 100E, поэтому на этом обзор его возможностей мы заканчиваем.
Тестирование
Проверим, насколько защищённым является MGMT-порт TippingPoint 100E. Для этого мы подключились к нему непосредственно и запустили XSpider 7.0 (build 1401). Открытыми оказались TCP-порты с номерами: 22 (SSH), 23 (Telnet), 25 (SMTP), 80 (HTTP) и 110 (POP3). Мы просканировали на известные уязвимости данные службы. Результат данного сканирования приведён ниже.
TTL=64.
Для TCP-порта с номером 22 найдена следующая информация: используемый сервер SSH – OpenSSH Server engine SSH-2.0-OpenSSH_2.0, а поддерживаемые версии протоколов 1.99 и 2.00.
Наличие открытого 23-го TCP-порта обусловлено тем, что мы перед тестом вручную разрешили этот протокол.
На 25-м и 110-м TCP-портах установленные сервисы не определены.
На 80-м порту установлен HTTP-сервер UOS. Найденные уязвимости представлены ниже.
Используются ссылки с параметрами. Обнаружены формы (POST запрос), использующиеся для передачи данных на сервер. В переменных HIDDEN может храниться специфическая или чувствительная информация. Переменные PASSWORD служат для ввода пароля. Через cookie доступна информация: Ссылка – /auth=3205d028ad67ff55 |
Устройство в целях защиты производительности не осуществляет проверку самого MGMT-порта. Поэтому для защиты трафика управления рекомендуется использовать дополнительные устройства Tipping Point.
Перейдём теперь к проверке функциональности фильтров, для чего задействуем все правила фильтрации и запустим тест. Для проверки мы использовали XSpider 7.0 (build 1549). После тестирования мы заглянули в логи системы предотвращения вторжений. После обнаружения сканирования портов TippingPoint 100E полностью прекратил общение тестируемой машины с тестирующей. В логах блокировки появилась запись, приведённая ниже.
Name: 7000: TCP: Port Scan Severity: Low Description: This algorithmic filter detects a port scan using TCP connections. A port scan is a “vertical” scan where an attacker will probe many ports on a single target system. The port scan is usually an attempt by the attacker to determine which services are available for exploit on the target system. The information returned by the target can be used to determine network connectivity (i.e. is the host reachable), possible vulnerabilities on the target system and, sometimes, the type of operating system executing on the target. A port scan is usually part of a reconnaissance scan and should be considered malicious. A port scan may be proceeded by a host sweep searching for accessible hosts. Each port probe that matches this anomaly filter is assigned a timeout period (default value is 5 minutes) which is the amount of time the system must assess the potential for the port probe to be part of a threat. In addition, the anomaly filter specifies a threshold value. The threshold (default value is 100) describes the number of port probes that are considered suspicious. This filter will fire when the number of matching port probes, that have not timed out, exceeds the threshold value. NOTE: this filter may fire multiple times for a single port scan attack. For example, using the default threshold, the filter would fire on the 101st port probe, the 201st port probe, etc. |
Мы решили просканировать защищённый самим же устройством свой MGMT-порт. В логах TippingPoint нашли записи, показанные ниже.
Мы видим, что устройство достаточно хорошо осведомлено о существующих атаках и позволяет их успешно блокировать. Ещё одной не менее важной, на наш взгляд, является возможность подробного отображения информации по обнаруженной атаке. Например, для записи с пометкой Critical отображается следующее.
Также можно сохранить на диск и просмотреть сами атакующие пакеты (Packet Trace), что позволит более глубоко разобраться в проблеме.
Попробуем теперь проверить, какую полосу пропускания предоставляет нам 3COM Tipping Point 100E. Мы подключили стационарные компьютер и ноутбук к портам этого устройства и запустили netcps. Параметры устройств приведены ниже.
Параметры конечные станции | Стационарный PC | Ноутбук |
Процессор | Intel Celeron (Northwood) mPGA-478 2,8 ГГц | Intel Pentium 4-M (Northwood) mPGA-478B 2,4 ГГц |
Материнская плата | Intel D845GLVA (i845GL) | Fujitsu FJNB172 |
Оперативная память | Kingston DDR-SDRAM 512 Мбайт | Noname 224 Мбайт |
Сетевая карта | 3COM 3C905TX | Realtek RTL8139(A) |
Операционная система | Windows XP Professional SP2 Rus | Windows 2000 Professional SP4 Eng |
Вывод программы netcps и график загрузки линии представлен ниже.
Устройство обеспечивает достаточно хорошую пропускную способность, близкую к скорости среды передачи.
Теперь проверим, как будет выглядеть данный график, если во время передачи включать и/или отключать правила.
По графику и выводу netcps видно, что для генерации правил отводятся некоторые ресурсы CPU (около 20%, если судить по полосе пропускания).
Как мы и обещали при обзоре web-интерфейса, мы приводим сравнительную таблицу и график зависимости времени применения фильтров от их количества.
Количество правил | 10 | 20 | 30 | 50 | 100 | 200 | 400 | 600 |
Время обработки | 9 | 25 | 33 | 43 | 84 | 84 | 88 | 87 |
Заключение
В принципе, Tipping Point 100E произвёл на нас хорошее впечатление, при этом хотелось бы особо указать на интересные особенности работы устройства, а также на некоторые недочёты в реализации внутреннего программного обеспечения. К плюсам Tipping Point 100E можно отнести следующее.
- Высокая скорость обработки проходящего трафика.
- Оперативное добавление новых уязвимостей и атак в базу.
- Возможность выбора режима работы устройства после внутреннего сбоя.
- Подробное журналирование событий.
- Наличие жидкокристаллического дисплея на передней панели, отображающего много полезной информации.
- Переконфигурирование сети при добавлении Tipping Point 100E не требуется.
- Защищает сеть не только от внешних вторжений, но и позволяет закрыть доступ заражённых машин из внутренней сети в Интернет или другие сегменты.
- Не только обнаруживает атаки, но и предотвращает их.
К минусам можно отнести следующее.
- Низкая скорость изменения состояния правил. Использование глобальных настроек закладки Category Settings решает эту проблему, хотя и не достаточно гибко.
- Высокая теплоотдача устройства.
- Генерация сильного шума в процессе работы.
Конечно, последние два пункта не имеют никакого значения при установке устройства в хорошо охлаждаемой и вентилируемой стойке, однако, предъявление высоких требований к температуре окружающей среды мы относим к минусам. Также следует особо подчеркнуть, что 3COM Tipping Point 100E осуществляет антивирусную фильтрацию трафика лишь от некоторого количества наиболее активных (по мнению специалистов Tipping Point) в данный момент вирусов, не использующих протоколы HTTP, FTP, POP3, SMTP, и им подобных лишь в качестве транспорта, что связано с полной блокировкой потока при обнаружении вредоносных данных. Скажем, если вирус расположен на страничке, то есть в виде ActiveX или какого-либо Java-кода, то он может быть заблокирован Tipping Point 100E. Если же пользователь качает какой-то архив по HTTP, а один из файлов архива содержит вирус (например, макровирус в документе Word), то такой архив пройдёт.
Использование Tipping Point 100E нам представляется либо на границе с внешними сетями для защиты периметра, либо между ответственными сегментами. На момент написания статьи устройство можно было приобрести в Москве через сеть партнёров 3COM ориентировочно по цене $15 000.