Готово!
Скоро материал придет на указанную электронную почту. Также подписывайте на нас в Facebook
Ok
Сравнение IDS/IPS модулей от Checkpoint, UserGate, Sangfor, Ideco
Уточню, что описываемое здесь тестирование не учитывает:
скорость работы и производительность решений;
качество работы Web Access Firewall, Botnet, DoS, Antimalware и других систем защиты;
дополнительные модули, такие как VPN, Proxy, Mail, Policy Based Routing, DLP и т. п.
стоимость лицензий и аппаратуры;
отказоустойчивость и надежность.
Итак, в лабораторном стенде были собраны следующие решения:
-
Checkpoint R81.10
-
UserGate 6.1.9.11836R
-
UserGate 7.0.0.735RC
-
Sangfor NGAF 8.0.47
-
Ideco 14.3 сборка 15
Все решения были развернуты в среде виртуализации, имели необходимые лицензии и доступ в интернет для обновления баз сигнатур. Базы IPS выбранных решений были актуальны на момент проведения тестов.
Прежде всего нам хотелось убрать субъективную составляющую и попробовать максимально честно и непредвзято оценить «качество» работы IDS и IPS модулей вышеуказанных систем. Если посмотреть на сравнительные тесты, публикуемые производителями, каждый старается выставить свое решение в выгодном свете с безоговорочной победой. Можем предположить, что победа достигалась «заряженным» набором тестов и предварительно отстроенными правилами.
Перед нами встал вопрос – какие тесты позволят выявить сильные и слабые стороны решений, вне зависимости от их специфики?
Мы решили взять «открытый» сканер уязвимостей с актуальной базой и одинаковым набором тестов, заранее просканировав подготовленные для теста виртуальные машины и приложения, которые планируется защитить выбранными решениями по ИБ.
В качестве сканера уязвимостей был использован OpenVAS сканер (Greenbone community-edition 22.4). Сканер генерирует тысячи попыток, обнаруживающих уязвимости на основе своей базы. Большинство событий, генерируемые сканером, можно отнести к атакам «true positive», которые хотелось бы заблокировать.
Сканирование проводилось без аутентификации и использования учетных записей с уровнем QoD, равным 100%.
Note. QoD или качество обнаружения — это значение от 0 % до 100 %, описывающее надежность выполненного обнаружения уязвимостей или обнаружения продукта.
100% Обнаружение произошло с помощью эксплойта и поэтому полностью проверено.
50% Удаленные проверки, когда промежуточные системы, такие как брандмауэры, могут симулировать правильное обнаружение, так что на самом деле неясно, ответило ли само приложение. Это может произойти, например, для соединений без TLS.
Ниже привел перечень уязвимостей, найденных сканером при котором устройства функционировали в режиме IDS (без предотвращения вторжений). Можно увидеть, что подготовленные системы имеют сотни уязвимостей, попытки эксплуатации которых должны приводить к срабатыванию правил системы предотвращения вторжений.
Сканер и машины с уязвимостями и были нашей базой для тестов.
Продолжение читайте в нашем корпоративном блоге на Хабре.
Новости по теме
- 10 апреля
Булат Сафин, ICL Services: Свой SOC – огромные вложения и обманутые ожидания
Когда аутсорс намного выгоднее собственного SOC, в интервью Cyber Media рассказал Булат Сафин, руководитель группы SOC компании ICL Services.
- 15 мая
ICL Services усовершенствовала Центр реагирования на кибератаки
Команда специалистов «ICL SOC» готова осуществлять в круглосуточном режиме мониторинг, анализ и расследование киберинцидентов и внедрять современные отечественные средства защиты информации.
- 1 июня
ICL Services представила собственное ПО для бизнеса
ИТ-сервисная компания ICL Services представила портфель собственных программных продуктов для бизнеса. Клиентам будут доступны отечественные продукты для автоматизации бизнес-процессов и ИТ.
Будьте в курсе новостей
Подпишитесь на рассылку и будьте в курсе наших последних новостей