Mu-4000 проверяет IP-оборудование

БЕЗОПАСНОСТЬ

Камерон Стардевант

ИТ-менеджерам, перед которыми стоит задача поддержки нормальной работы оборудования IP-сетей в далеко не всегда дружелюбной среде, стоит обратить внимание на Mu-4000 Security Analyzer. Это устройство компании Mu Security, изготовленное в форм-факторе 2U (3,5 дюйма), очень подойдет организациям, которые заинтересованы в контроле своей IP-аппаратуры при минимальных затратах рабочего времени на мониторинг и регистрацию результатов проверок.

Mu-4000 выявило сбой в обработке протокола ICMP на тестируемом устройстве

Хотя Mu-4000 называется анализатором безопасности, выполняемые им тесты и подготавливаемые отчеты затрагивают более широкие и общие аспекты функционирования сетей. Ведь источниками аномальных и дефектных пакетов могут быть не только действия хакеров, но и обычные приложения или сетевые устройства, запрограммированные без учета общепринятых протоколов.

Следует, однако, учесть, что такой квалифицированный помощник, как Mu-4000, обойдется в весьма приличную сумму. Комплект из базового устройства Mu-4000 и ПО версии 2.2 для тестирования предлагается по стартовой цене 35 000 долл. Такая платформа позволяет анализировать протоколы IPv4, TCP, UDP (User Datagram Protocol), ICMP (Internet Control Message Protocol) и ARP (Address Resolution Protocol). За дополнительную функциональность, связанную с анализом других протоколов, потребуется доплатить от 10 000 до 30 000 долл., в зависимости от сложности задач. Данные об уязвимостях по каждому протоколу поставляются на основе подписки.

Версия 2.2 платформы Mu-4000 вышла в свет в конце ноября прошлого года.

Испытания продукта в eWeek Labs показали, что зонды и методология тестирования, на которых построен продукт Mu-4000, могут обеспечивать ИТ-специалистов информацией, детализация которой зависит от продолжительности тестирования. На многие из наших тестов ушло менее 10 мин, однако для выполнения тестов, объединяющих несколько протоколов, может потребоваться несколько часов, а то и дней.

Приступая к опробованию Mu-4000, мы запустили серию несложных тестов сетевого экрана ZyWall 1050 фирмы ZyXel Communications (подробности приведены на веб-странице www.eweek.com/ article2/0,1759,2081115,00.asp). Мы также проверили сетевой анализатор OptiView компании Fluke Networks, часто используемый в нашей лаборатории при поиске неисправностей.

Сеанс анализа аномалий в IP-сети начинался с выбора протокола, представленного компанией Mu Security на основании опубликованных данных об уязвимостях, либо скрипта или части небезопасного кода, полученного из внешнего источника.

Мы решили проверить, как наш OptiView справляется с обработкой искаженного трафика ICMP. Описав объект тестирования и установив удаленный генератор атаки, мы настроили функции мониторинга и рестарта.

Mu-4000 позволяет выбрать активный или пассивный метод мониторинга либо тест устройств без мониторинга. Применение мониторинга позволяет убедиться в том, что устройство, подвергнутое враждебным изменениям, продолжает нормально работать. Контроль может быть простым, как в случае ICMP-пинга, или сложным, как при захвате log-данных проверяемого устройства. Мы использовали ICMP-пинг для проверки работоспособности OptiView в ходе тестирования.

Процесс рестарта - один из примеров того, как Mu-4000 работает без вмешательства человека. Анализатор оснащен двумя стандартными портами электропитания, подконтрольными анализирующей системе. Если сетевое устройство перестает отвечать на запросы монитора и это продолжается в течение заранее заданного отрезка времени, Mu-4000 может перезапустить его, отключая, а затем включая его питание через внутренние контакты электропитания. Мы успешно опробовали этот метод на нашем анализаторе Fluke. Для выключения и включения сетевого оборудования Mu-4000 также можно интегрировать через SNMP с модулями электропитания компании American Power Conversion.

Процесс рестарта четко контролируется, и поэтому исследования искажений приостанавливаются до полной перезагрузки. При проведении тестов временные параметры можно изменять. Пользователи могут их регулировать, с тем чтобы сеансы анализа выявляли содержательную информацию о поведении устройства в ходе теста, а не генерировали бессмысленные сообщения, будто бы оно не работало, когда в реальности оно перезагружалось или изменяло свое состояние, реагируя на тестовые команды.

Mu-4000 позволяет формировать ясные отчеты о неполадках, которые можно использовать для информирования руководства компании. Анализ аномалий, обеспечиваемый Mu Security, содержит также массу пояснительного материала, детализирующего природу аномалий и показывающего направление для более детальных исследований.