目前,很多企业都部署了IPS产品,用于网络的入侵防御,在实际应用中得到了广泛的认可。俗话说,工欲善其事,必先利其器,一款合格的IPS产品出厂之前,需要经过很多测试,才能担负起入侵防御的重任。但你是否知道IPS需要进行哪些测试?你又是否知道怎样对IPS进行测试?带着这些问题,我们特别邀请51CTO安全专家叶子,为大家揭开谜底。当前,国内外知名的安全商厂以及产品测评机构都在采用思博伦的Avalanche+ThreatEX设备对IPS进行测试,但网络上对ThreatEX设备的介绍比较少,很多人不知道怎么样来使用这个设备。ThreatEX设备的简介思博伦通信和Imperfect Networks公司宣布结为战略合作伙伴关系后,思博伦通信的Avalanche与Imperfect Networks的ThreatEx产品组合能够帮助企业在极端的负载条件下测试安全基础设施的性能和运行状况。ThreatEx技术能够检验IDS和IPS能否利用目前的和以往的攻击特性抵御已知的和未知的攻击。在思博伦通信 Avalanche的配合下,可以对IDS/IPS的阻止攻击性能进行测试,并能够确保在不影响性能的状况下允许真正的用户流通过。ThreatEx由一台产生攻击的专用设备构成,包含大量的预先配置的攻击。这些攻击可单独使用或与其它攻击一起使用。用户可以利用ThreatEx Designer软件创建已有攻击的变种或新的攻击。它还可以利用ThreatWalker软件自动评估企业存在的安全漏洞。ThreatEx 2700可以真实地模拟数千种攻击及变种,包括:DDoS、蠕虫、病毒、VoIP攻击、无线(802.11x)攻击、协议模糊(Fuzzing)攻击、应用渗透,以及其他更多的攻击。Spirent Avalanche 2500和Spirent Reflector 2500设备则提供了正常的Web、e-mail、FTP和DNS流量。ThreatEX/2700的设备为2U的专用设备,前面板有Management Interface、Eth0-PassThruInterfaceEth1-Threat Generation、Eth2-ReflectorInterface、Eth3-Unused端口,电源开关在后面板上,如下图示:
498)this.style.width=498;" big(this)"="" alt="" src="http://new.51cto.com/files/uploadimg/20071203/125250311.gif" border="0" height="279" width="445"> |
图2 |
ThreatEX的内部工作原理如下图:
498)this.style.width=498;" big(this)"="" alt="" src="http://new.51cto.com/files/uploadimg/20071203/125453512.gif" border="0" height="368" width="312"> |
图4 |
测试环境如下图所示:
498)this.style.width=498;" big(this)"="" alt="" src="http://new.51cto.com/files/uploadimg/20071203/125629728.gif" border="0" height="559" width="445"> |
图5 |
当连接好测试的网络后,可能通过SSH登录ThreatEX的设备管理界面进行配置,如下图所示进行登录:
498)this.style.width=498;" big(this)"="" alt="" src="http://new.51cto.com/files/uploadimg/20071203/125956348.gif" border="0" height="310" width="445"> |
图7 |
先安装ThreatEX的控制端程序,可以向思博伦商厂要求提供安装程序和license,安装程序ThreatExSuite.exe的安装过程跟一般程序安装一样,比较简单,这里就不详细讲解了。另外注意控制端需要java的环境,如果没有的话,可以去下载jre-6u2-windows-i586-p-s.exe进行安装。 网络环境都搭建好、测试程序都调试好后,就可以进行IPS的事件测试。
如何使用ThreatEX:
1、打开ThreatEX的主界面,如下图所示:
498)this.style.width=498;" big(this)"="" alt="" src="http://new.51cto.com/files/uploadimg/20071203/130156126.gif" border="0" height="300" width="445"> |
图9 |
3、右击资源项,选择Query,则会出现如下图所示:
498)this.style.width=498;" big(this)"="" alt="" src="http://new.51cto.com/files/uploadimg/20071203/130334408.gif" border="0" height="518" width="445"> |
图11 |
498)this.style.width=498;" big(this)"="" alt="" src="http://netsecurity.51cto.com/art/200712/61412_1.htm" border="0" height="1" width="1">498)this.style.width=498;" big(this)"="" alt="" src="http://new.51cto.com/files/uploadimg/20071203/130653338.gif" border="0" height="365" width="445"> |
图14 |
7、配置攻击方案相关的名字、描述、时间、超时时间、流量。如图所示:
498)this.style.width=498;" big(this)"="" alt="" src="http://new.51cto.com/files/uploadimg/20071203/11503815.gif" border="0"> |
图16 |
9、加载攻击脚本成功后,出现如下图所示,点击Run ,运行攻击。
498)this.style.width=498;" big(this)"="" alt="" src="http://new.51cto.com/files/uploadimg/20071203/11503817.gif" border="0"> |
图18 |
最后可以通过ThreatEX的报表系统来查看事件测试的情况。另外最新的ThreatEX事件脚本可以通过以下链接地址进行查看:
[url]http://www.spirentcom.com/enterprise/threatx/[/url]注意:在实际应用中会经常遇到攻击脚本加载XML出错、ThreatEX程序异常退出、攻击包发出的数据为空等一些bug问题。如果只重启控制端程序,则系统无法正常使用。最好的解决方法是把设备和控制端程序都重启并配置使用。