СЕТЕВАЯ ЗАЩИТА

Кaмерон Стардевант

Система предупреждения вторжений (IPS) - это сложная, часто обновляемая комбинация ПО и аппаратуры, защищающая организацию от активных враждебных атак на сеть. Чтобы помочь ИТ-менеджерам уточнить требования к IPS своих потенциальных поставщиков, лаборатория eWeek Labs подготовила перечень вопросов, касающихся пропускной способности и рабочих характеристик системы, которые могут послужить отправной точкой для рассмотрения предложений.

Заказывая данный тип продукта, организация не может детально описывать уязвимости своей сети, так как эта конфиденциальная информация может попасть в неизвестные руки. Поэтому советуем вставить в вашу заявку фиктивные данные, маскирующую истинную структуру сети.

В то же время осмысленная оценка предлагаемой IPS обязательно требует четкого знания и понимания сиюминутной конфигурации защищаемой сети. Мы слышали из уст многих поставщиков IPS, что они находили в сетях своих заказчиков ранее неизвестные потоки трафика. Подобный сюрприз при тестировании IPS не только подтверждает необходимость в установке такой системы, но и должен стать сигналом для усиления внимания организации к своей сетевой безопасности.

Обновленную и расширенную информацию по подготовке заявок можно будет найти на странице eweeklabs.com/Labs/links.

- Кто из ведущих исследователей возглавляет техническую разработку IPS?

- При каких условиях IPS-устройство (исключая перебои в электропитании) может стать единственной точкой отказа, нарушающей работу сети?

- На какое минимальное время потребуется отключить сеть при установке IPS?

- Какое максимальное число компьютерных систем сможет защищать одна IPS? Если ответ зависит от реальной ИТ-среды, следует получить формулу, включающую такие параметры, как число устанавливаемых и разрываемых IP-соединений в секунду, типы трафика, и еще по крайней мере тройку других показателей, которые можно использовать для разумной оценки минимального числа IPS-устройств, необходимых для защиты сотни Web-серверов.

- Каковы основные элементы аппаратуры, отличающие предлагаемую систему от других имеющихся на рынке?

- Каковы основные отличия ПО данного продукта?

- Какова пропускная способность (обычно измеряемая в Гбит/с) объединительных панелей рассматриваемых моделей IPS?

- Если исходить из семиуровневой сетевой модели OSI, на каких уровнях осуществляет защиту предлагаемый продукт?

- При каком реалистичном сценарии возможна 500-мкс задержка в прохождении пакетов?

- Использует ли IPS рейтинговые оценки, обеспечивающие приоритет известного нормального трафика над неизвестными потоками трафика?

- Каков был за последние полгода кратчайший интервал между последовательными выпусками обновленных сигнатур атак?

- В чем состоит "high availability" предлагаемого продукта ("горячая" отработка отказов, выравнивание нагрузки или комбинация того и другого) и можно ли ознакомиться с диаграммой, иллюстрирующей работу опций высокой готовности IPS?

- Имеется ли пользовательская документация по всем нижеследующим характеристикам IPS:

а) обработка аномального трафика;

б) DoS- и DDoS-атаки;

в) атаки Syn flood;

г) атаки Process table flood;

д) управление конфигурациями группы из многих IPS-устройств;

е) вывод отчетов о заблокированном трафике.

- Способна ли IPS конкретно защищать все нижеследующее сетевое оборудование (составьте перечень всех маршрутизаторов, коммутаторов и брандмауэров, которые используются в вашей организации и должны работать под защитой IPS. Предоставьте конкретную информацию о моделях и ОС).