Ponieważ Check Point i jego partnerzy dostarczyli cztery oddzielne platformy, na których pracowało w rzeczywistości to samo oprogramowanie, dopuszczono tę trochę odbiegającą od normy konfigurację w celu pokazania różnych opcji dostępnych u partnerów Check Point.

Bezpieczeństwo kontra szybkość działania

Można łatwo zbudować IPS, który pracuje rzeczywiście szybko, jeżeli pominie się "drobny" problem: ile ataków może on zablokować i jaka będzie liczba fałszywych rozpoznań. Podczas testów użyto urządzenia Mu-4000, które pozwoliło uzyskać zgrubne porównanie zdolności każdego IPS do blokowania ataków (zob. tabela "Przepustowość IPS").

Do wygenerowania tego zestawienia brano przepustowość danego IPS i korelowano ją z efektywnością blokowania ataków. Tak więc IPS, który działał szybciej (np. 750 Mb/s), ale blokował tylko 10% ataków, otrzymywał niższą punktację niż IPS działający wolniej (np. 250 Mb/s), ale blokujący 50% ataków. Większa przepustowość jest niewątpliwą zaletą, ale ta punktacja faworyzuje urządzenia, które przechwytują większą liczbę ataków.

Proventia MX5010 uzyskało zdumiewająco dobre rezultaty - po znormalizowaniu wydajności - zarówno w profilu serwera, jak i klienta punktacja MX5010 była trzy razy wyższa niż kolejnej na liście platformy Juniper ISG-1000.

Całościowe testy pokazały jednak, że chociaż można doświadczyć znaczącego obniżenia wydajności po włączeniu funkcji IPS, ostrożny dobór, jaki ruch powinien być skanowany i które sygnatury powinny być włączone - wraz z odpowiednim elementami sprzętu - pozwala na połączenie funkcji zapory ogniowej i IPS.

Najlepsze rezultaty uzyskały rozwiązania Fortinet FortiGate 3610A, IBM System x3650 (z Check Point VPN-1), Juniper ISG-1000 ze zintegrowanym komputerem blade IPS, IBM/ISS Proventia MX5010, Secure Computing Sidewinder i SonicWall Pro 5060. Także Check Point UTM-1 2050 i Juniper SSG-520 M osiągnęły niezłe rezultaty, odpowiednio 200 i 400 Mb/s w testach profilu serwerowego.

Testy przepustowości przy włączonych funkcjach antywirusowych oraz antywirusowych plus IPS wyłoniły wyraźnego zwycięzcę. Osiągając przepustowość 524 Mb/s przy funkcjach antywirusowych, Fortinet FortiGate 3610A znacznie wyprzedził konkurencję. Drugie miejsce zajął Sidewinder 2150D - 396 Mb/s, czyli ok. 20% wolniej. Na trzecim uplasowała się Proventia MX5010 - 298 Mb/s.

Po wykonaniu setek testów wydajnościowych potwierdziło się to, co kilku dostawców przyznało przed ich rozpoczęciem: lepiej nie wykonywać skanowania antywirusowego w urządzeniach UTM dla przedsiębiorstwa. Z wyjątkiem FortiGate 3610A, który obsługiwał funkcje zapory ogniowej, antywirusa i IPS z prędkością 520 Mb/s, żadna z gigabitowych zapór ogniowych nie przekroczyła 300 Mb/s w tych samych warunkach.

Wyniki testów wydajnościowych potwierdzają, że ani IPS, ani antywirus nie pasują do zapory ogniowej klasy przedsiębiorstwa, przynajmniej wtedy kiedy mówi się o przewidywalnej, gigabitowej wydajności. Z drugiej jednak strony okazało się, że ostrożne konfigurowanie może zapewnić dodatkową ochronę na szybkiej zaporze ogniowej przedsiębiorstwa, którą można użyć w sytuacjach nadzwyczajnych.

Testy funkcjonalności IPS

Juniper Networks ISG-1000 i Cisco ASA5540 z dodatkowym modułem SSM-20 IPS oferują produkt IPS, który powinien zadowolić specjalistów ds. bezpieczeństwa zarówno w obszarze konfigurowania, jak i mechanizmów kontrolnych.

ASA 5540 uplasował się tuż za ISG-1000, ponieważ Cisco zbyt luźno wiąże politykę zapory ogniowej z polityką IPS. Chociaż firma udoskonaliła zarządzanie wprowadzając Cisco Security Manager, zapora i IPS nie są tak zintegrowane jak być powinny. Nie można np. zastosować różnych reguł polityki do różnych strumieni danych (wewnętrznych i zewnętrznych). Do IPS można zastosować jedynie pojedynczą politykę. Przy nowym mechanizmie o nazwie "virtual sensor" można tworzyć wiele polityk, ale są one stosowane do wirtualnych LAN lub interfejsów i nadal nie pasują do polityk zapory ogniowej.

Jedną z bardziej interesujących implementacji IPS była IBM/ISS Proventia MX5010, wchodząca w obszar UTM przede wszystkim jako IPS, a na drugim miejscu jako zapora ogniowa. Chociaż konfigurowanie IPS Proventia w praktyce sprowadza się do zaznaczenia dwóch pól wyboru w interfejsie graficznym - w celu włączenia lub wyłączenia IPS dla wszystkich interfejsów i całego ruchu jednocześnie - testy pokazały, że "czarna skrzynka" blokuje więcej szkodliwego ruchu niż jakiekolwiek testowane urządzenie (zob. tabela "Przepustowość IPS").

Z opcjonalnym urządzeniem zarządzającym SiteProtector uzyskuje się silne narzędzia IPS, IDS i raportowania. Można się jednak obawiać, że administratorzy sieci w przedsiębiorstwach nie będą zadowoleni z takiego poziomu konfigurowania, ponieważ jak tylko pokażą się fałszywe rozpoznania, brak możliwości konfigurowania będzie poważnym niedostatkiem. IBM/ISS wziął po prostu UTM dla oddziałów zamiejscowych i przeskalował jego wydajność w górę, do imponujących osiągów, ale nie przeskalował wraz z tym zarządzania i sterowania do standardów klasy enterprise.

Stosowanie reguł do przepływu ruchu

W zaporze ogniowej UTM, która pośredniczy w komunikacji wewnętrznej i zewnętrznej, czy też chroni sieci użytkownika i strefy zdemilitaryzowane lub usługi sieciowe, konieczność utrzymywania różnych zasad polityki dla klientów i serwerów webowych jest oczywista. Chociaż niektóre implementacje IPS pozwalają na definiowanie adresów, jakie mają być chronione przez każdą sygnaturę, wysiłek związany z wykonaniem tego dla setek czy nawet tysięcy sygnatur jest kolosalny i nie do przyjęcia.

Juniper ISG-100 i SSG 520 M zapewniają ścisłe połączenia pomiędzy polityką zapory ogniowej i rożnymi politykami IPS, podobnie jak WatchGuard Firebox. Kiedy tworzona jest np. dowolna reguła polityki zapory Juniper ISG-1000, to może ona stanowić, czy dany ruch jest także kierowany do IPS. Następnie na poziomie IPS, dla każdego przepływającego ruchu można wybierać różne zestawy sygnatur IPS. Inne zapory ogniowe nie oferują takiej elastyczności w zakresie połączenia reguł z przepływem ruchu.

Secure Computing Sidewinder nie zapewnia obsługi różnych polityk IPS w różnych strefach. Produkt ten uzyskał funkcjonalność IPS w nowszej wersji swojego oprogramowania, która była zbyt świeża podczas testów i firma musiała poprawić kilka błędów w zaporze ogniowej, aby uzyskać możliwość wykrywania i blokowania ataków przez IPS. Graficzny interfejs używany w tej wersji do zarządzania IPS jest bardzo słaby. W celu odczytania jakiejkolwiek informacji o sygnaturach konieczne było logowanie z użyciem wierszy komend, nawigowanie po katalogach zapory ogniowej i przeglądanie plików, w których sygnatury te były przechowywane.

Secure Computing przyjęła poprawną koncepcję, ponieważ można definiować zestawy sygnatur i stosować je w regułach. Niestety, zarządzanie w wersji dostarczonej do testów wymaga tak dużego nakładu pracy, że Sidewinder w tym punkcie nie może być poważnie brany jako IPS klasy przedsiębiorstwa.

Implementacja IPS, jaką można znaleźć w Fortinet FortiGate 3600A, SonicWall Pro 5060 i WatchGuard Firebox Peak X8500e, jest bardziej przystająca do rynku SMB. Wszystkie trzy urządzenia charakteryzują się brakiem adekwatnych możliwości konfigurowania. FortiGate ma np. możliwość włączenia lub wyłączenia każdej sygnatury tylko dla całego systemu i nie ma możliwości posługiwania się sygnaturami w grupach. Tak jak w wypadku innych zaawansowanych mechanizmów Fortinet, jedynym sposobem uzyskania dostępu do niektórych części IPS, jak np. dodanie zaufanych adresów IP do poszczególnych sygnatur, jest wykorzystanie interfejsu wierszy komend (CLI). W czasie testów nie można było utworzyć różnych profili dla ochrony serwera i ochrony klienta w urządzeniach FortiGate 3600A i SonicWall Pro 5060 w realnym czasie (czyli bez ręcznego włączania i wyłączania tysięcy sygnatur).

WatchGuard Firebox Peak X8500e jest z trzech wymienionych produktów najbliżej celu, ale z bardzo surowymi jeszcze, predefiniowanymi profilami "serwer", "klient" i "oba". Aczkolwiek administratorzy poszukujący większej kontroli konfiguracyjnej będą rozczarowani, ponieważ Firebox jej nie zapewnia.

IPS wagi lekkiej

Można też znaleźć lżejsze technologie IPS, z mniej złożonym konfigurowaniem. Reprezentują je Check Point SmartDefense (dostępna na wszystkie platformy), Cisco Protocol Inspection (wbudowana w ASA 5540 i niewymagająca dodatkowego modułu IPS), Juniper Deep Inspection (testowana w SSG-520 M) i technologie proxy wbudowane w WatchGuard Firebox Peak X8550e oraz Secure Computing Sidewinder 2150D.

Te "lekkie" IPS zapewniają mniejszy poziom ochrony niż bardziej tradycyjne, oparte na sygnaturach, i są przystosowane do mniejszego zakresu ataków, alternatywnych portów i protokołów. Jednak są one także znacznie mniej skomplikowane w konfigurowaniu i mają mniej opcji dostosowywania oraz wymagają mniejszego przygotowania technicznego niż "ciężkie", oparte na sygnaturach IPS z Juniper czy Cisco.

Administratorzy, którzy potrzebują IPS w obwodowej zaporze ogniowej, ale nieszczególnie martwią się specyficznymi politykami i strumieniami danych, prawdopodobnie dojdą do wniosku, że Check Point SmartDefense zapewnia wystarczającą, dodatkową ochronę przy niskich kosztach. SmartDefense potrzebuje jednak usprawnienia. Kiedy urządzenie po raz pierwszy pojawiło się na rynku, nie miało wielu opcji do ustawienia. W miarę jak je ulepszano, pojawiało się coraz więcej opcji, co w końcu uczyniło to urządzenie trudnym do konfigurowania. Zamiast kilku okienek opcji, podzielonych na różne zestawy protokołów i aplikacji, teraz są ich setki. Ponieważ Check Point przejął dostawcę rozwiązań IPS-IDP, firmę NFR, jest nadzieja, że w przyszłych wersjach pojawią się dopracowane opcje konfiguracyjne i styl zarządzania.

Skuteczność IPS

W czasie testów używano narzędzi do testowania Mu-4000 firmy Mu Security, w celu sprawdzenia, czy produkty te dobrze chronią przed znanymi lukami (zob. tabela "Przepustowość IPS"). Nie można było jednak w teście mierzyć fałszywych rozpoznań.

IBM/ISS Proventia MX5010 uzyskała najwięcej punktów w scenariuszach klienta i serwera, przechwytując dużo więcej ataków niż pozostałe produkty. Przy użyciu ustawień domyślnych i 75% przechwyceń w atakach klienckich oraz 44% w atakach serwerowych Proventia ma najlepsze reakcje na ataki użyte podczas testów. Juniper ISG-1000 plasuje się nieco niżej, przechwytując podobną liczbę ataków serwerowych przy ustawieniach domyślnych, ale mniejszą przy atakach klienckich.

W odniesieniu do mechanizmów IPS ochrony klienta, WatchGuard uplasował się za Juniper ISG-1000 oraz platformami Check Point. Równie solidną wydajnością wykazały się Secure Computing i SonicWall. Dla mechanizmów IPS ochrony serwera, Astaro Internet Security ASG 425a uplasował się tuż za ISG-1000 i IBM/ISS Proventia MX5010.

Interesujące wyniki przyniosły testy zapór ogniowych Sidewinder i ISG-1000 bez włączonych mechanizmów IPS. Secure Computing od dawna promuje architekturę proxy, jako lepiej zabezpieczającą niż filtrowanie pakietów, preferowane przez takich dostawców jak Check Point, Cisco i Juniper. Przeprowadzone testy nie potwierdzają tego. Sidewinder 2150D testowano w trybie proxy bez IPS i następnie porównano z zaporą Juniper bez włączonego IPS. Okazało się, że proxy Sidewinder bez IPS nie są bardziej efektywne w blokowaniu ataków niż zapora ogniowa filtrująca pakiety bez IPS. Sidewinder zablokował 7% ataków klienckich i 14% ataków serwerowych; zapora z filtrowaniem pakietów Juniper zablokowała 5% ataków klienckich i 17% ataków serwerowych.

Sidewinder może oferować dodatkową ochronę w niektórych obszarach, ale proxy nie jest substytutem IPS.