В прошлом году системы обнаружения сетевых атак (Intrusion Detection Systems, IDS), мягко говоря, не блистали простотой инсталляции, высокой производительностью и удобством управления. Но как быстро все изменилось! IDS-продукты развиваются настолько стремительно, что уже сегодня администратор может без труда найти решение, имеющее множество полезных функций, снабженное несколькими управляющими утилитами и демонстрирующее завидное быстродействие.

Мы протестировали пять сетевых систем IDS и поставляемых с ними управляющих консолей, предлагаемых компаниями Cisco Systems, Computer Associates, Enterasys Networks, Intrusion.com и Internet Security Systems (ISS). Чтобы сравнение было максимально корректным, мы намеренно исключили из него системы, функционирующие на хост-компьютерах.

«Голубой ленты» победителя удостоились сразу два продукта — Secure IDS фирмы Cisco и RealSecure корпорации ISS. Устройство IDS Dragon производства Enterasys имеет феноменальное быстродействие, но трудности процедур инсталляции и конфигурирования, а также недостаточная «отточенность» средств управления отодвинули его на второе место. Computer Associates предоставила для испытаний целое семейство продуктов под общим названием eTrust. Высокая интуитивность и логичная структура, богатство функций, реализованных в этом ПО, произвели на нас сильное впечатление, однако раздробленность системы на множество самостоятельных приложений сильно усложняет работу администратора. Что же касается пакета SecureNet Pro от ISS, он стал рекордсменом по простоте установки: нам удалось запустить его в работу всего за 15 минут. К сожалению, невысокая производительность не позволила данной разработке претендовать на призовое место.

Спектр предложений

Тестировавшиеся системы IDS компаний Cisco, Enterasys и Intrusion.com представляли собой аппаратные средства, а продукты CA и ISS — программное обеспечение (ISS совместно с Nokia выпускает и отдельное устройство для обнаружения сетевых атак, но оно осталось за рамками рассмотрения).

IDS-продукты, работающие в сети, состоят из двух основных компонентов — сенсоров и управляющих модулей. В задачу сенсоров входит наблюдение за трафиком, выявление сетевых атак и попыток несанкционированного проникновения в сеть. Модуль управления осуществляет контроль за событиями и генерирует отчеты; для выполнения соответствующих функций служит отдельная консоль.

Современные сенсоры функционируют на самых разнообразных платформах, включая Windows, Unix, Red Hat Linux и Solaris. За исключением продукта Enterasys, в котором для доступа к функциям управления используется Web-браузер, администрирование всех тестировавшихся продуктов осуществляется с помощью серверных и/или клиентских Windows-приложений. Устройство Secure IDS фирмы Cisco, помимо программы Secure Policy Manager, поддерживает управление в среде Unix с применением программного модуля Cisco Secure Director, работающего на платформе HP OpenView (однако второй вариант администрирования не тестировался).

Производительность

В целях измерения производительности мы организовали несколько тестов. Первым делом мы попытались оценить способность разных продуктов распознавать случайную последовательность хорошо известных сетевых атак — потоков ping-запросов, атак Jolt2, SYN-атак и т. д. (табл. 1). Сначала этот тест проводился без фонового трафика. Он считался пройденным, если система успешно распознавала атаку в течение 5 минут после ее начала. Мы специально интересовались созданием записей о выявленных атаках, корректностью определения их типа и быстротой, с которой они были обнаружены.

Затем мы перешли к «стрессовым» тестам. Задача осталась прежней, однако в сеть был добавлен фоновый трафик с интенсивностью 40, 60 и 90 Мбит/с. Если система не могла распознать атаку того или иного типа при работе без нагрузки, из стрессового теста она исключалась. Наконец, в третьем тесте проверялась способность выявлять атаки, которые были специально придуманы для обхода традиционных систем IDS.

В качестве параметров производительности фигурировали три величины: количество выявленных атак, способность обнаруживать атаки при наличии фонового трафика и отказоустойчивость продуктов. В данной категории безусловным лидером оказалась разработка фирмы Enterasys (табл. 2). Показав блестящие результаты в первых двух тестах, устройство IDS Dragon превзошло конкурентов и в способности обнаруживать наиболее изощренные сетевые атаки. Нельзя не отметить высокую надежность его функционирования: при появлении фонового трафика уменьшение производительности оказалось минимальным, а результаты работы отличались завидной стабильностью на протяжении всех тестов.

IDS Dragon пропустил всего три атаки из 27 в первом тесте и выявил все 24 оставшиеся атаки в стрессовых тестах при нагрузке 40 и 60 Мбит/с (см. табл. 2). Даже при максимальной интенсивности трафика (90 Мбит/с) эффективность детектирования осталась довольно высокой — 21 из 24 атак.

Никакой другой продукт не показал подобных результатов. Ближе других к изделию Enterasys оказалось устройство Secure IDS фирмы Cisco, сумевшее распознать 19 из 21 атаки при всех использовавшихся сетевых нагрузках. Отличные результаты «стрессовых» тестов при интенсивности трафика 40 и 60 Мбит/с показало ПО RealSecure от ISS (22 из 24) атак, однако после увеличения нагрузки до 90 Мбит/с число пропущенных вторжений сразу возросло до семи.

Больше всего разочаровал нас продукт компании Intrusion.com. После прекрасного старта в отсутствии нагрузки (распознано 25 атак из 27 — лучший результат среди всех участников испытаний) он начал быстро терять очки при добавлении фонового трафика. Когда данные передавались по сети с интенсивностью 90 Мбит/с, система SecureNet выявила всего четыре (!) атаки из 27. Высокая детектирующая способность этого устройства при работе без нагрузки представляется тем более удивительной, что поддерживаемая им база данных сигнатур оказалась самой скудной.

Нельзя не отметить того факта, что все системы прекрасно справились с обнаружением некоторых атак (Whisker в различных вариациях, Targa3, Bind и др.), которые были специально придуманы для обхода IDS, устанавливаемых в сети. Продукты Cisco, CA, Enterasys и Intrusion.com безошибочно выявили 16 и 17 таких атак, а приложение от ISS показало абсолютный результат — 17 из 17.

Результаты «стрессовых» тестов, продемонстрированные ПО eTrust компании CA, выглядят обнадеживающе, однако при высоких нагрузках (90 Мбит/с) работа программы оказалась неустойчивой. Ситуация выглядела так, словно чем дольше в сети присутствует фоновый трафик (в течение 10 минут и более), тем менее уверенно eTrust распознает сетевые атаки. По этой причине разработка CA получила в данной категории лишь удовлетворительную оценку (табл. 3).

В целом же тестировавшиеся продукты функционировали весьма стабильно, хотя были и исключения. Скажем, производительность приложения RealSecure один раз неожиданно уменьшилась. Дав ему поработать 10 минут в условиях 90-мегабитной сетевой нагрузки, мы решили несколько увеличить интенсивность потока ping-запросов. В результате RealSecure вообще перестало воспринимать какие-либо команды со стороны Internet Information Server. Мы заметили также, что атака Jolt2 буквально «ослепляет» устройство SecureNet — правда, на короткое время.

Управление

Успехи, достигнутые компаниями в этой области, налицо. Ни одна из систем не вызвала у нас нареканий по части генерации отчетов, управления событиями или числа поддерживаемых сенсоров.

Для контроля за большим количеством сенсоров обычно используется древовидная архитектура. Она включает в себя центральную управляющую консоль, сенсоры и модуль сбора данных о событиях, которые частично разгружают консоль от вычислительных процедур, выдавая на нее готовые отчеты. Один модуль сбора данных может поддерживать до 50 сенсоров, а одна управляющая консоль способна взаимодействовать сразу с несколькими такими модулями, что сильно облегчает масштабирование системы. Четыре из пяти испытывавшихся продуктов построены по описанной схеме, и только в ПО eTrust компании CA модули сбора данных о событиях не используются.

В области управления наши симпатии оказались на стороне Cisco и ISS. Приложение Secure Policy Manager компании Cisco, функционирующее под Windows NT/98/2000, имеет наилучшие средства управления событиями. Они дополнены высокоинтуитивным, отлично структурированным интерфейсом, работать с которым — одно удовольствие. Отдельные записи о событиях кодируются цветом и легко сортируются; к тому же мы без труда смогли задать поля, которые требовалось вывести на экран для регулировки уровня детализации предоставляемой информации. Здесь же мы обнаружили прекрасные функции обработки статистических данных и простые в применении шаблоны для генерации отчетов. Стоит отметить удачную интеграцию в данный продукт множества дополнительных функций. По имеющимся сведениям, в конечном счете Secure Policy Manager должен превратиться в единую платформу управления средствами сетевой безопасности, выпускаемыми компанией Cisco, включая и брандмауэр IPX.

Пожалуй, единственное замечание, которые мы можем адресовать разработчикам из этой компании, связано с реализацией крайне полезной функции администрирования сразу нескольких сенсоров. Ее настройка и последующее использование вызвали у нас определенные проблемы.

Приложение RealSecure Manager от ISS, функционирующее под управлением Windows NT/2000 или Solaris, практически ни в чем не уступает продукту Cisco. И здесь мы обнаружили прекрасные средства управления событиями и генерации отчетов, а также высокую степень интеграции приложений. ISS одной из первых занялась разработкой IDS-продуктов, поэтому для объединения под общим «зонтиком» разнообразных функций времени у нее было предостаточно. Система RealSecure базируется на трехуровневой архитектуре, что заметно упрощает контроль за множеством устройств и настройку сенсоров.

Компании Computer Associates, Enterasys и Intrusion.com отстали от лидеров, но не более чем на шаг. Например, у ПО eTrust Intrusion Detection Management, работающего под управлением Windows 95/NT/2000 и Millenium Edition, оказались наилучшие средства генерации отчетов, содержащих статистическую информацию и отличающихся завидной полнотой. К сожалению, для применения этого продукта необходимо использовать несколько разрозненных приложений, которые фирме еще предстоит интегрировать в единое целое. Скажем, за сбор статистических данных в режиме реального времени и за детальный мониторинг сетевых устройств отвечают разные программы. Надо ли говорить, что от их объединения продукт сильно выиграл бы. После того как процесс интеграции будет завершен, средства администрирования IDS-продуктов в исполнении CA вряд ли в чем-то уступят разработкам Cisco и ISS. Согласно заверениям представителей CA, интеграция будет завершена в следующих версиях продукта.

Основанное на Web-браузере приложение Dragon Policy Manager компании Enterasys имеет удобные средства представления статистических данных и генерации отчетов. Нам особенно понравилась возможность выбора наиболее частых атак и получения о них подробных сведений. А вот управление событиями не отличалось той же надежностью, что и в других системах. Выводимые записи о событиях нельзя сортировать, не предусмотрен здесь и выбор полей, которые требуется представить на экране. Фильтрация событий, хотя она и реализована разработчиками, доставит администратору немало хлопот. Заметно проще могли бы быть и средства экранной навигации.

В то же время в составе Dragon Policy Manager имеется удобный инструментарий для вывода и анализа детальной информации о конкректных сетевых атаках. Несмотря на то что такая возможность предусмотрена и в других системах, продукт Enterasys оказался вне конкуренции. Администраторы, хорошо знакомые со средой Unix, должны по достоинству оценить интерфейс командной строки, который покажется им на удивление привычным. Наконец, замечание, сделанное по поводу пакета eTrust, в полной мере может быть отнесено и к продукту фирмы Enterasys: от интеграции разрозненных прикладных функций эффективность управления только бы повысилась.

Компания Intrusion.com предлагает два управляющих приложения: SecureNet Pro с интерфейсом X Window для Linux-платформ и SecureNet Provider под Windows 2000, которое разрабатывалось специально для контроля за системами IDS с большим числом сенсоров. Windows-приложение прекрасно подходит для инсталляции в крупных сетевых средах, поскольку оно базируется на трехуровневой архитектуре, а SecureNet Pro — нет. Оба продукта произвели на нас благоприятное впечатление, несмотря на сильные различия в функциональных возможностях, что может создать для администратора определенные трудности.

Инсталляция и простота в работе

В отличие от предыдущих испытаний (см., например, «Сети», 2000, № 4, с. 68-73), в этот раз установка и настройка конфигурации всех пяти систем прошла без сучка и задоринки. Особенно простыми эти процедуры оказались для аппаратных IDS, тогда как при инсталляции ПО пришлось немного повозиться с низкоуровневыми функциями операционных систем, например отключить ненужные серверы (telnet или FTP), влияющие на уровень защиты данных и производительность.

Проще всего инсталлировать устройство RealSecure производства Intrusion.com. Не прибегая к особым ухищрениям, мы сумели заставить его работать за 15 минут. Установка Secure IDS фирмы Cisco также прошла без осложнений, однако во множестве дополнительных настроек и параметров конфигурации, поддерживаемых этим продуктом, недолго и запутаться. К тому же в управляющем приложении Secure Policy Manager не всегда рационально используется экранное пространство. Скажем, на общем экране сигнатур выводится маленькое окно с линейкой прокрутки, в котором трудно что-то разобрать. Размеры окна увеличить невозможно, в то же время на экране остаются огромные неиспользуемые поля.

Процедура инсталляции пакета eTrust отличается высокой интуитивностью, а последовательность выполняемых шагов вполне логична.

При установке продукта компании Enterasys пользователю предлагается на выбор пять функциональных областей для настройки (наборы правил, мониторинг в режиме реального времени и т. д.), однако, углубившись в одну из них, не так-то просто перейти к другой. Поскольку в роли интерфейса выступает Web-браузер, нам ничего не оставалось как многократно нажимать кнопку «Назад», чтобы возвращаться к титульной странице и затем приниматься за следующий раздел. Конечно, можно открыть сразу несколько экранных окон и переходить от одного к другому, но такое решение оптимальным не назовешь. Настройка сенсоров системы Dragon из Unix-интерфейса командной строки не вызывает затруднений, а вот администраторы, предпочитающие работать в Windows, будут разочарованы.

Наконец, дольше всего мы возились с инсталляцией ПО RealSecure производства ISS, хотя и в этом случае процедура заняла менее получаса (часть времени ушла на настройку ОС). Реализованный специалистами ISS графический интерфейс пользователя оказался наиболее логичным и интуитивным. Практически все параметры, которые требовались для процесса установки, присутствовали на одном экране, поэтому нам не приходилось постоянно переключаться для управления разными устройствами и событиями. А вот «утилитам-помощникам» интуитивности недостает: вместо того чтобы сопровождать пользователя на всем пути от начала до конца процесса настройки, они просто предлагали на выбор список опций.

Функциональные возможности

Все тестировавшиеся продукты поддерживают полный набор функций, которые должны присутствовать в IDS. За редким исключением обнаружились и многочисленные дополнительные функции, которыми мы интересовались в процессе тестирования (табл. 4).

Система Secure IDS поддерживает самую большую БД сигнатур известных сетевых атак, а самые подробные сведения об атаках помещены в БД своего продукта корпорацией Enterasys. Впрочем, хорошо это или плохо — решать пользователю, которому зачастую достаточно знать лишь о самом факте предпринятой атаки.

Система SecureNet оказалась единственным продуктом, не поддерживающим автоматическое обновление сигнатур: их загрузка и инсталляция должны производиться вручную. Последовательное обновление каждого удаленного сенсора отнимает массу времени. Указанное обстоятельство стало основной причиной невысокой оценки, выставленной продукту Intrusion.com по этому критерию.

Любой из продуктов позволяет получить детальное описание сетевых атак, включая общую уязвимость и базу данных известных случаев поражения конкретных сетей и информационных систем. Кроме того, поддерживаются идентификаторы Bugtraq ID, размещенные на Web-сайте www.securityfocus.com, на котором профессионалы в области сетевой безопасности публикуют сведения о выявленных атаках.

Все продукты поддерживают режим невидимого мониторинга, в котором сетевые адаптеры могут полностью сканировать передаваемый трафик для последующего анализа системой IDS. Обычно адаптер воспринимает только те пакеты, которые ему адресованы (идентификация выполняется по MAC-адресам). Перевод в режим неизбирательного сканирования осуществляется программно самой системой IDS.

Разрабатывая новые функции для своих IDS, производители в первую очередь стремятся ликвидировать пробелы, на которые указывают пользователи. К ним можно отнести, например, поддержку универсального алгоритма кодирования Unicode (его последней версия 3.1.1) и механизмов, предотвращающих разрыв и повторное установление TCP-соединений. До недавнего времени системы обнаружения сетевых атак не воспринимали пакеты, содержимое которых было закодировано средствами Unicode, и хакеры активно использовали этот изъян. Процедура обновления TCP-соединения позволяет IDS отправить в сеть ложный пакет, который вызывает разрыв TCP-соединения, в то время как брандмауэр должен вообще заблокировать прием каких бы то ни было пакетов.

Все IDS-продукты сегодня поддерживают схемы предотвращения сетевых атак, однако соответствующая функция по умолчанию устанавливается в неактивное состояние, так что пользователь должен сам решить, включать ее или нет.

Дизайн и конфигурация

Среди рассмотренных продуктов изделие Cisco оказалось самым «внушительным»: в стандартной монтажной стойке оно занимает пространство, требующееся для четырех модулей (4-U, или около 7 дюймов), тогда как два других устройства имеют высоту одного модуля. Имеющиеся индикаторы позволяют судить о наличии электропитания и обращениях к диску, однако каких-либо указателей, характеризующих состояние соединений, мы не обнаружили. Cisco — единственный производитель, не выпускающий автономной программной системы IDS или хотя бы комбинированного аппаратно-программного комплекса.

Требования к системным ресурсам, предъявляемые пакетом eTrust компании CA, оказались минимальными. Это означает, впрочем, что для мониторинга высокоскоростных соединений мощности используемой вычислительной платформы может просто не хватить. Computer Associates — единственная фирма, не производящая аппаратных систем IDS.

Зато в портфеле Enterasys имеются оба варианта. Тестируя аппаратную IDS, мы отметили, что светодиодные индикаторы чересчур малы, неудачно размещены, нечетко обозначены и вообще неудобны для оперативного контроля за состоянием устройства. Тем не менее общая многоуровневая архитектура IDS Dragon заслужила положительную оценку, особенно в связи с широкими возможностями масштабирования. К сожалению, модуль сбора сведений о событиях функционирует на управляющей консоли, а не на отдельной платформе, что снижает эффективность использования вычислительных ресурсов для целей администрирования.

Безусловный лидер в области дизайна — продукт фирмы Intrusion.com. Нам особенно понравились легко читаемые индикаторы состояния устройства, хотя кнопку включения питания также можно было бы вывести на переднюю панель.

Наконец, сильной стороной программного обеспечения RealSecure является высокая масштабируемость. Здесь применены весьма своеобразные средства сбора данных о событиях, а управляющее приложение выполняется на отдельном компьютере, все ресурсы которого могут быть отданы под административные задачи.

Резюме

Вывод из проведенного тестирования напрашивается сам собой. За последний год системы IDS претерпели существенные изменения, превратившись в мощный инструмент выявления сетевых атак. Их инсталляция заметно упростилась, а производительность и средства управления вышли на новый уровень. Но нет предела совершенству, и остается только надеяться, что в следующий раз мы будем приятно удивлены результатами, достигнутыми в области корреляционного анализа событий и поддержки скоростей передачи выше 100 Мбит/с.

Бетси Йоком (byocom@mier.com) — старший редактор, Кевин Браун (kbrown@mier.com) — инженер тестовой лаборатории, Дэн Вен Дервир (dvanderveer@mier.com) — технический специалист консультационной компании Miercom. Все они являются членами Network World Global Test Alliance