IPS-1 wypełnia lukę w ofercie Check Point

Testy wykazały z jednej strony duży potencjał nowego rozwiązania IDS/IPS do zapewniania bezpieczeństwa sieci, z drugiej - jego słabe powiązanie z innymi narzędziami zarządzania Check Point.

Testy wykazały z jednej strony duży potencjał nowego rozwiązania IDS/IPS do zapewniania bezpieczeństwa sieci, z drugiej - jego słabe powiązanie z innymi narzędziami zarządzania Check Point.

IPS-1 wypełnia lukę w ofercie Check Point

Check Point IPS-1

Pod koniec kwietnia br. Check Point wprowadziła na rynek IPS-1 - pierwszą wersję systemu zapobiegania i wykrywania wtargnięć (IDS/IPS) firmy NFR, zintegrowanego z własnym oprogramowaniem (NFR Security została przejęta przez Check Point pod koniec 2006 r.). Zarówno sensor IPS, jak i zestaw narzędzi zarządzania rezydują teraz na Check Point Secure Platform, samoinstalującym się, opartym na Linuksie systemie operacyjnym, którego Check Point używa także do innych narzędzi zabezpieczających i platform zarządzania.

IPS-1 nie zastąpi starszej technologii IPS Check Point - SmartDefense, przynajmniej w najbliższym czasie. Użytkownicy zapory ogniowej Check Point, poszukujący w niej podstawowej ochrony przed zagrożeniami, godzący się na ograniczone możliwości zarządzania i prowadzenia działań śledczych, pozostaną przy SmartDefense. Sensor IPS-1 to urządzenie niezależne, z szerszym zakresem opcji oraz bogatszym zestawem narzędzi analizy zdarzeń.

Firma oferuje sensor IPS-1 zarówno w postaci urządzenia - modele 100/200/500/1000 (w cenie od 10 do 50 tys. USD) oraz jako wyłącznie programowy produkt - OpenSensor - do instalacji na sprzęcie użytkownika.

Testy IPS-1 przeprowadzono używając urządzenia IPS-1 Sensor 200C, o przepustowości 200 Mb/s, z czterema portami, którego cena wynosi 16 tys. USD. System zarządzania Check Point SmartCenter to dodatkowe 10 tys. USD. Dotychczasowi klienci Check Point użytkujący SmartCenter, nie muszą nabywać nowych licencji i mogą po prostu dodać sensory IPS-1 do istniejącego pakietu SmartCenter.

Testy potwierdziły, że IPS-1 zapewnia silny zestaw funkcji IPS i IDS w łatwym do sterowania pakiecie. Dająca się zauważyć w IPS-1 "chropowatość" zarządzania powinna być łatwo usunięta, jak tylko IPS-1 zostanie bardziej zintegrowany z istniejącą infrastrukturą zarządzania Check Point. IPS-1 z bardzo silnym zestawem polityk i narzędzi wykrywania nadużyć potwierdza swoje pochodzenie od IDS. W efekcie dotychczasowi klienci Check Point, poszukujący połączenia funkcjonalności IDS i IPS, znajdą ją w tej linii produktów.

Chociaż zarządzanie IPS-1 zostało zintegrowane z SecurePlatform, to brakuje mu integracji z innymi produktami do administrowania bezpieczeństwem Check Point, zwłaszcza z narzędziami do zarządzania zaporą ogniową.

Stwarza to pewien niedosyt, ponieważ oznacza, iż jeden z najlepszych mechanizmów Check Point - jego silne, oparte na politykach zarządzanie - nie jest dostępne dla zarządzających siecią IPS-1. Mimo że dotychczasowi użytkownicy Check Point znajdą w IPS-1 znajome i przyjazne mechanizmy, to jednak pełna funkcjonalność narzędzi zarządzania tej firmy nie będzie wykorzystana. Producent zapewnia co prawda, iż oferuje pewną integrację logów z własnym produktem zarządzania informacjami bezpieczeństwa i zdarzeniami o nazwie Evenita, ale podczas testów nie sprawdzano tej możliwości.

Niepełna integracja pozostawia pewną lukę w zarządzaniu IPS-1, na przykład brak wbudowanych raportów. Jeżeli zachodzi potrzeba przygotowania raportu podsumowującego dane generowane przez IPS-1, to trzeba zapewnić sobie bazę danych do zamieszczenia tych danych oraz własne narzędzia raportujące, takie jak Crystal Reports. Inną istotną luką jest brak współdzielenia obiektów pomiędzy zaporą ogniową a politykami IPS. Oznacza to, że zarządzający zaporą ogniową, pomimo wysiłku przeprowadzenia odwzorowania swojej sieci z wykorzystaniem silnych narzędzi Check Point do definiowania obiektów, w przypadku IPS-1 będzie musiał zaczynać od początku przy określaniu zasad polityki.

Mimo braków takich więzi z innymi produktami zarządzania Check Point, można być pod wrażeniem wydajności systemu zarządzania IPS-1, kiedy przegląda się zdarzenia rejestrowane przez IPS i IDS. IPS-1 używa architektury klient/serwer, z klientem na platformie Windows połączonym z serwerem zarządzania na zapleczu. Klient jest ograniczony do przeglądania 30 tys. zdarzeń w dowolnym momencie, ale ponieważ operuje poza lokalną pamięcią (angażując serwer do sortowania i łączenia zdarzeń) to jest on bardzo szybki. W porównaniu z innymi narzędziami zarządzania IPS opartymi na przeglądarce, IPS-1 zdecydowanie się wyróżnia - dla wielu operacji klient uaktualnia ekran prawie natychmiast.

IPS-1 wypełnia lukę w ofercie Check Point

Niektóre innowacyjne narzędzia prezentacji, zwłaszcza ciągle uaktualniany Timeline View, zapewniają natychmiastowy, atrakcyjny graficznie wgląd w stan bezpieczeństwa sieci przy użyciu prostych wizualizacji i wykresów.

Istotniejsze od szybkości jednak jest to, że klient ten zapewnia analitykom bezpieczeństwa narzędzia dostatecznie sprawne, aby dobrze wykorzystać informacje dostarczane przez sensory.

Mechanizmy analizy IPS-1 będą zadowalały większość administratorów odpowiedzialnych za bezpieczeństwo. Niektóre innowacyjne narzędzia prezentacji, zwłaszcza ciągle uaktualniany Timeline View, zapewniają natychmiastowy, atrakcyjny graficznie wgląd w stan bezpieczeństwa sieci przy użyciu prostych wizualizacji i wykresów.

Chociaż istnieją tu też pewne luki, takie jak brak możliwości uzyskania szczegółowego wglądu w więcej niż jedno zdarzenie lub pakiet w tym samym czasie, to jednak każdy analityk bezpieczeństwa może uważać klienta IPS-1 za odpowiedni, w pełni wyposażony, dojrzały i bardzo dobrze zaprojektowany.

Check Point spróbował także dołożyć do tego produktu mechanizmy IDS pozwalające administratorowi sieci na ręczne importowanie skanowania sieci Nessus i następnie kwerendowanie tej informacji podczas analizy zdarzeń. Może to być efektowna sztuczka, ale mechanizm ten nie jest jeszcze dojrzały. Wymaga dopracowania, aby stał się bardziej użyteczny dla analityka, który musi ustalać priorytety swoich działań, pracując przy dziurawych i krytycznych systemach. Można mieć nadzieję, że jeżeli Check Point w końcu zintegruje zarządzanie IPS-1 z zarządzaniem zapory ogniowej, niektóre z krytycznych i już dostępnych na zaporze ogniowej informacji będą mogły być udostępnione analitykowi bezpieczeństwa.

Brakujące mechanizmy

IPS-1 wypełnia lukę w ofercie Check Point

Ocena Check Point IPS-1

Mechanizmy IPS zawarte w IPS-1 nie są tak dobrze zaprojektowane, jak te znajdujące się w SmartDefense. Na przykład sensor IPS nie ma żadnej znaczącej ochrony przed DoS (Denial of Service). Brakuje też mechanizmu wykrywania anomalii zachowań w sieci. Podobne luki można znaleźć w zarządzaniu politykami IPS. Połączenie zdarzenia z polityką sensora i dokumentacją zdarzenia jest osiągane jednym kliknięciem. Ale kiedy zamierza się przejść do ostatniego kroku i polityk zarządzania, takich jak dodanie wyjątków (dotyczących hostów) do reguł (powszechne wymaganie w środowisku IPS wrażliwym na fałszywe rozpoznania), staje się to bardzo uciążliwe. Producent zapowiedział wydanie łatek, które mają rozwiązać ten problem.

Testowano także mechanizmy korelacji w systemie zarządzania IPS-1. Zapewniają one proste możliwości wyszukiwania powszechnych cech w alarmach lub grup powiązanych alarmów. Narzędzie to może być użyteczne zarówno dla IDS, jak i IPS. W czasie testów utworzono np. regułę korelacji, która poszukuje grupy 10 ataków w czasie krótszym niż minuta z sieci dla gości lub sieci produkcyjnej, co może wskazywać na bardziej skomasowaną akcję próby włamania do sieci. Tworzenie i używanie reguł korelacji jest bardzo proste, ale możliwości są też proste i nie tak użyteczne jak w narzędziach korelacji innych produktów IPS.

IPS-1 wypełnia lukę w ofercie Check Point

IPS-1 oferuje jednoczesny podgląd wielu profili zagrożeń.

Jednym z krytycznych mechanizmów, jakie Check Point pozostawił nietknięte z oryginalnego produktu NFR, jest silnik wykrywania sensora IPS-1. Po uruchomieniu i zestrojeniu sensora IPS-1 w sieci testowej przez dwa tygodnie używano tych samych reguł polityki, aby ocenić skuteczność blokowania ataków generowanych przez Mu-4000 Service Analyzer. IPS-1 wywiązywał się wyjątkowo dobrze z zadania ochrony serwerów przed atakami, gubiąc jedynie ok. 21% ataków wyprowadzanych z Mu-4000. Dla porównania, w niedawnych testach zapór ogniowych UTM, gdzie używano podobnej metodologii (choć starszego oprogramowania Mu-4000), najlepszy produkt odnotował zgubienie 24% ataków serwerowych, a średnia zgubionych ataków wynosiła 70%.

Dla ataków strony klienckiej (m.in. ataków na aplikacje klienckie, takie jak przeglądarki, lub ataki zagnieżdżone w plikach, np. PDF) sensor IPS-1 nadal wykazywał się przyzwoitymi osiągami, aczkolwiek nie wychwycił 53% ataków generowanych przez Mu-4000 - mniej więcej tyle samo co najlepszy produkt w testach UTM, i nadal o 15 punktów proc. więcej niż średnia dla tych testów.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200