БЕЗОПАСНОСТЬ
Камерон Стардевант
ИТ-менеджерам, перед которыми стоит задача поддержки нормальной работы оборудования IP-сетей в далеко не всегда дружелюбной среде, стоит обратить внимание на Mu-4000 Security Analyzer. Это устройство компании Mu Security, изготовленное в форм-факторе 2U (3,5 дюйма), очень подойдет организациям, которые заинтересованы в контроле своей IP-аппаратуры при минимальных затратах рабочего времени на мониторинг и регистрацию результатов проверок.
Mu-4000 выявило сбой в обработке протокола ICMP на тестируемом устройстве
Хотя Mu-4000 называется анализатором безопасности, выполняемые им тесты и подготавливаемые отчеты затрагивают более широкие и общие аспекты функционирования сетей. Ведь источниками аномальных и дефектных пакетов могут быть не только действия хакеров, но и обычные приложения или сетевые устройства, запрограммированные без учета общепринятых протоколов.
Следует, однако, учесть, что такой квалифицированный помощник, как Mu-4000, обойдется в весьма приличную сумму. Комплект из базового устройства Mu-4000 и ПО версии 2.2 для тестирования предлагается по стартовой цене 35 000 долл. Такая платформа позволяет анализировать протоколы IPv4, TCP, UDP (User Datagram Protocol), ICMP (Internet Control Message Protocol) и ARP (Address Resolution Protocol). За дополнительную функциональность, связанную с анализом других протоколов, потребуется доплатить от 10 000 до 30 000 долл., в зависимости от сложности задач. Данные об уязвимостях по каждому протоколу поставляются на основе подписки.
Версия 2.2 платформы Mu-4000 вышла в свет в конце ноября прошлого года.
Испытания продукта в eWeek Labs показали, что зонды и методология тестирования, на которых построен продукт Mu-4000, могут обеспечивать ИТ-специалистов информацией, детализация которой зависит от продолжительности тестирования. На многие из наших тестов ушло менее 10 мин, однако для выполнения тестов, объединяющих несколько протоколов, может потребоваться несколько часов, а то и дней.
Приступая к опробованию Mu-4000, мы запустили серию несложных тестов сетевого экрана ZyWall 1050 фирмы ZyXel Communications (подробности приведены на веб-странице www.eweek.com/ article2/0,1759,2081115,00.asp). Мы также проверили сетевой анализатор OptiView компании Fluke Networks, часто используемый в нашей лаборатории при поиске неисправностей.
Краткий список аналогов - ISIC (IP Stack Integrity Checker). Пакет утилит для тестирования стабильности IP-стека (www.sourceforge.net). - Средства оценки уязвимостей nCircle. Могут использоваться совместно с Mu-4000 для выявления слабых звеньев (www.ncircle.com). - Разработки Protos Project. Проект в области контроля безопасности для реализации самостоятельных действий пользователей в тестировании IP (www.ee.oulu.fi/research/ouspg/protos). |
Сеанс анализа аномалий в IP-сети начинался с выбора протокола, представленного компанией Mu Security на основании опубликованных данных об уязвимостях, либо скрипта или части небезопасного кода, полученного из внешнего источника.
Мы решили проверить, как наш OptiView справляется с обработкой искаженного трафика ICMP. Описав объект тестирования и установив удаленный генератор атаки, мы настроили функции мониторинга и рестарта.
Mu-4000 позволяет выбрать активный или пассивный метод мониторинга либо тест устройств без мониторинга. Применение мониторинга позволяет убедиться в том, что устройство, подвергнутое враждебным изменениям, продолжает нормально работать. Контроль может быть простым, как в случае ICMP-пинга, или сложным, как при захвате log-данных проверяемого устройства. Мы использовали ICMP-пинг для проверки работоспособности OptiView в ходе тестирования.
Процесс рестарта - один из примеров того, как Mu-4000 работает без вмешательства человека. Анализатор оснащен двумя стандартными портами электропитания, подконтрольными анализирующей системе. Если сетевое устройство перестает отвечать на запросы монитора и это продолжается в течение заранее заданного отрезка времени, Mu-4000 может перезапустить его, отключая, а затем включая его питание через внутренние контакты электропитания. Мы успешно опробовали этот метод на нашем анализаторе Fluke. Для выключения и включения сетевого оборудования Mu-4000 также можно интегрировать через SNMP с модулями электропитания компании American Power Conversion.
Процесс рестарта четко контролируется, и поэтому исследования искажений приостанавливаются до полной перезагрузки. При проведении тестов временные параметры можно изменять. Пользователи могут их регулировать, с тем чтобы сеансы анализа выявляли содержательную информацию о поведении устройства в ходе теста, а не генерировали бессмысленные сообщения, будто бы оно не работало, когда в реальности оно перезагружалось или изменяло свое состояние, реагируя на тестовые команды.
Mu-4000 позволяет формировать ясные отчеты о неполадках, которые можно использовать для информирования руководства компании. Анализ аномалий, обеспечиваемый Mu Security, содержит также массу пояснительного материала, детализирующего природу аномалий и показывающего направление для более детальных исследований.