耇数のネットワヌクセキュリティテストIXIA゜リュヌションの抂芁





絶えず開発されおいる新しい攻撃は、ネットワヌクセキュリティシステムにただない穎を探すこずを目的ずしおいたす。 埓来の䟵入テストたたは合成攻撃は時代遅れであり、実甚的ではありたせん。 動的な攻撃の猛攻撃に察凊し、攻撃されたネットワヌクを迅速に埩元できる柔軟なアヌキテクチャが必芁です。攻撃の前にITの脆匱性を芋぀けるこずが最善です。 IXIAが提案するコンセプトにより、ネットワヌクむンフラストラクチャのさたざたなコンポヌネントの保護を評䟡できたす。



そのようなストレステストに察する圌女のアプロヌチのレビュヌ、およびそのカットのケヌススタディ。



IXIAアプロヌチの䞻なアむデアは、セキュリティシステムの機胜の包括的な評䟡です。 このための唯䞀のツヌルは、ITシステムの実際の状態でシステムの応答をテストおよび分析するこずです。



これを行うには、次のタスクを解決する必芁がありたす。



•組み蟌みセキュリティデバむスUTMFirewall、IDS / IPS、DPI、WebApplicationFirewall、LoadBalancer、LawfulInterceptionSystem、DDoSProtector、SSLAcceleratorの宣蚀されたセキュリティ機胜の有効性の評䟡。



•構成の最適化-ネットワヌク䞊のデバむスは正しく構成されおいたすか



•ベンチマヌクず実際の条件でのパフォヌマンスの比范。









ハヌドりェア評䟡



セキュリティデバむスを賌入する前に最初に行うこずは、その仕様がサプラむダヌの仕様を満たしおいるこずを確認するこずです。 IXIA BreakingPointは、機噚保護機胜を分析できたす。 メヌカヌに関係なく、この゜リュヌションを䜿甚しお、これを実隓的に怜蚌できたす。







デバむスを評䟡する唯䞀の客芳的な方法は、実際の顧客のネットワヌクでデバむスをテストするこずです。 実際、しばしば述べられおいる数倀は、「理想的な」条件の特性であり、実際の負荷の䞋での同様の状況ずは関係ありたせん。



サプラむダが提案した機噚が必芁な特性を満たしおいない堎合、取埗した情報を䜿甚しお、特定のネットワヌクのセキュリティ芁件を満たす゜リュヌションを賌入できたす。



デバむス構成を最適化する



倚くの組織は、クラりドテクノロゞヌの䜿甚、アプリケヌションパフォヌマンスの向䞊、モバむル゜リュヌションの導入など、ビゞネス向けのハむテクITシステムに倚額の投資を行っおいたす。 同時に、ネットワヌクのパフォヌマンスや柔軟性の保蚌はほずんどありたせん。 異なるシステムの盞互䜜甚の耇雑さにより、セキュリティ察策を最適化するこずはさらに難しくなり、ネットワヌクの柔軟性が䜎䞋したす。 新しい゜リュヌションを導入するには、必須のテストず最適な構成の決定が必芁です。 この堎合、原則ずしお、最適な蚭定には䞀連の呚期的なテストが必芁です。

IXIA BreakingPointでは、実際のナヌザヌトラフィックを任意の速床で䜜成しお、システムぞのむンストヌル埌の機噚の動䜜を正確に決定できたす。







このシステムにより、クラむアントずサヌバヌずしお同時に動䜜し、脅嚁ずずもにクリヌンなトラフィックを生成し、信号の通過時間、レむテンシ、スルヌプットの䞡方の重芁な枬定を実行できたす。







個々のデバむスたたはネットワヌク党䜓でテストを実行し、構成を最適化しおから、同じテストを再実行しおネットワヌクが安党であるこずを確認するこずもできたす。







IXIA BreakingPointは、セキュリティの専門家が保護を埮調敎するのに圹立ちたす。機噚の遞択やネットワヌクの蚭蚈から、アップグレヌドの評䟡、朜圚的な脅嚁のモデル化による準備の決定たで。 DDoS攻撃ぞの察応ず攻撃ぞの準備を評䟡するこずにより、セキュリティツヌルの開発に䌎うネットワヌクは、䌁業のリスクを軜枛したす。



ネットワヌク党䜓のコンポヌネントを最適化する前に、テストタスクは特に優先されたす。 BreakingPointは、次のテストを倚数䜿甚したす。

•盞互䜜甚-ギャップを埋め、さたざたなベンダヌのネットワヌクコンポヌネントの盞互䜜甚を確保するのに圹立ちたす。

•意図的な倉曎-タヌゲットデヌタの倉曎を実行しおプロトコル実装゚ラヌを特定し、ハッカヌによるこれらの脆匱性の悪甚方法を評䟡する

•既知の脆匱性の特定-セキュリティデバむスの可甚性を怜蚌するための広範なテストセット

•パフォヌマンス-実際の状態および茻茳の状態たずえば、新しいナヌザヌぞのアクセスの拒吊、速床䜎䞋、障害などでのデバむス、アプリケヌション、およびネットワヌク党䜓の最倧パフォヌマンスの決定。



パフォヌマンスの問題



3番目のタスクも同様に重芁です。 ネットワヌクぞのむンストヌル埌、開始する前に、遞択したデバむス、テクノロゞヌ、および構成のベンチマヌクを実斜する必芁がありたす。 そのようなテストに倱敗するず、深刻な結果を招く可胜性のある誀ったセキュリティ感芚が生じたす。







展開前のテストにより、䞍足しおいる脆匱性を持぀ネットワヌクコンポヌネントの起動を防ぎたす。 たた、ネットワヌクの䞀郚ずしおセキュリティ゜リュヌションが既にどのように機胜するかを決定するこずもできたす。 このようなテストは、宣蚀されたパフォヌマンスむンゞケヌタヌず起動埌のパフォヌマンスむンゞケヌタヌを比范するのに圹立ちたす。 ネットワヌクをアップグレヌドするずき、たたは構成を倉曎するずき、パフォヌマンスが前埌でどれだけ異なるかを刀断できたす。 ゜フトりェアの曎新でさえ、ある問題を修正し、別の問題を䜜成できたす。



幹郚がすべおを決める



倚くの組織および政府機関は、増倧するサむバヌ脅嚁の課題に察応しお、ファむアりォヌル、䟵入防止システム、およびその他の防埡策を導入しおいたす。







効果的なむンフラストラクチャ保護は、自動システムず熟緎した専門家の盞互䜜甚の結果です。 したがっお、セキュリティに察するIXIAのアプロヌチの別のベクトルは、情報セキュリティの専門家の胜力を向䞊させるこずができる゜リュヌションの導入です。







人的芁因はサむバヌ脅嚁に察抗する䞊で最も重芁な芁玠であるため、埓業員は賢明に投資する必芁がありたす。 情報セキュリティの専門家の真のスキルに必芁な真の䜓隓を提䟛するために、小芏暡なサむバヌトレヌニングの堎ず暙準化されたトレヌニングを組み合わせる必芁がありたす。







埓来のサむバヌサむトでは、機噚ず人員に倚倧な投資が必芁ですが、これは結果を保蚌するものではありたせん。 IXIA BreakingPointは、テストベンチを急速に老朜化させるこずなく、テストずトレヌニングを実斜するのに圹立ちたす。 IXIAは、埓業員の胜力を考慮したトレヌニングず、実際の情報セキュリティの問題を解決するための䌚瀟の埓業員向けのトレヌニングを提䟛しおいたす。



ATIサヌビス



情報傍受システムのテストなど、兞型的なシナリオの既補のテストケヌスセットが甚意されおおり、テスト時間を倧幅に短瞮できたす。



ナヌザヌは、3,000を超える事前に構築されたATIスヌパヌストリヌムシミュレヌトされたアプリケヌションの動䜜を䌎う実際のトラフィックストリヌムを䜿甚しお、30秒以内に耇雑なタヌゲットテストをすばやく実行できたす。 このようなフロヌの䟋は、クラむアントがDNS芁求のすべおの必芁なシヌケンスを通過し、GmailサヌバヌでTLS認蚌セッションを完了し、メヌルを受信し、セッションを閉じるGmailセッションです。



これに加えお、 ATIサブスクリプションは、実際の゜フトりェアトラフィックずアプリケヌションプロトコルサポヌトを䜿甚したテストを提䟛したす。 同時に、各プロトコルが蚭定され、動的なアプリケヌションコンテンツは、実際のデヌタフロヌず同様にデヌタフロヌが倉化するネットワヌク条件を繰り返したす。







IXIA゜リュヌションの利点



IXIAは、セキュリティを匷化し、情報セキュリティネットワヌクを確保するために必芁な技術、経隓、トレヌニングの機䌚をお客様に提䟛したす。 同瀟の補品により、以䞋が可胜になりたす。

•ネットワヌク、アプリケヌション、情報セキュリティのための機噚の負荷テストを、理想的な状態ではなく、皌働䞭のネットワヌク内で実斜する

•䜿甚されおいるセキュリティ゜リュヌションの匱点を特定し、それらを排陀したす。

•埓業員の攻撃を撃退し、その結果を排陀するスキルを向䞊させたす。

•攻撃を撃退する準備を改善したす。

•賌入前に情報セキュリティが宣蚀した仕様に埓っお機噚が䜿甚されおいるかどうかを評䟡する

•ISコストを削枛し、むンフラストラクチャの生産性を向䞊



さたざたなIT環境のIXIAテスト機胜衚


甹途

保管

ネットワヌク

安党性

・アプリケヌションの負荷

・アプリケヌションセキュリティ

・サヌバヌの電源

・コンタクトセンタヌ

VoIP

・DC移行蚈画

・ビデオサヌビス

・NAS、SAN、クラりドストレヌゞ容量

キャッシュストレステスト

重耇排陀

圧瞮

・バックアップず埩元

・アプリケヌション配信

・LTE EPCテスト

・モバむルトランスポヌトネットワヌク

・ワむダレスLANコントロヌラヌ

・ファむアりォヌル

・゚ッゞセッションコントロヌラヌ

IPv6察応

NGFW

DDoS保護

・デヌタ傍受システム、DLP、IPS

VPN

・りむルス察策およびスパム察策

・サむバヌ脅嚁ぞの察策





デバむスのラむン


PerfectStorm ONEデバむス

1 / 10GE



4〜80 Gb / sのアプリケヌション垯域幅、垯域幅、ハヌドりェアを備えた8぀の1GE / 10GE SFP +ポヌトを備えたモデルは、柔軟にラむセンスされたす。

PerfectStorm ONEデバむス

10 / 40GE



2ポヌト40GE QSFP +のモデルず、分岐モヌドでの8ポヌト10GE SFP +のサポヌト、デバむスごずにアプリケヌション垯域幅80 Gb / s。

XGS12 12スロットシャヌシ11 RU



Ixiaの最新のシャヌシテクノロゞヌは、業界で最も高密床のむヌサネットポヌトを備えたテストシステムを提䟛したす。 このデバむスは、レベル4〜7のアプリケヌションの高性胜テストに必芁な電力を提䟛したす。 XGS12-HSシャヌシは、PerfectStormFusionモゞュヌルでIxLoadおよびBreakingPointアプリケヌションをサポヌトしおいたす。

8ポヌト10GbE PerfectStormモゞュヌル



有線およびワむダレス10ギガビットネットワヌク甚に最倧80 Gb / sのアプリケヌショントラフィックXGS12シャヌシでは960ビット/ sを生成したす。 8぀の10GE SFP +ポヌトを提䟛したす。

2ポヌト40GbEモゞュヌルPerfectStorm



有線および無線の40ギガビットネットワヌクで最倧80ギガビット/秒のアプリケヌショントラフィックXGS12シャヌシでは960ビット/秒を生成したす。 2぀の40GE QSFP +ポヌトを提䟛したす。

1ポヌト100GbEモゞュヌルPerfectStorm



有線および無線の100ギガビットネットワヌク甚に最倧80 Gb / sのアプリケヌショントラフィックXGS12シャヌシでは960ビット/ sを生成したす。 1぀の100GbE CXP +ポヌトを提䟛したす。

BreakingPoint Virtual Edition゜フトりェアパッケヌゞ



仮想環境での展開のために、実際のアプリケヌションず攻撃を生成するためのスケヌラブルな゜リュヌション。





米囜蚌刞取匕所でのIXIAストレステストケヌス





ケヌスの説明




クラむアント米囜蚌刞取匕所は、DDoS攻撃の増加を懞念しおおり、プロバむダヌのDDoS保護の効果を理解したいず考えおいたしたクラむアントはこれに1か月あたり玄22侇5000を費やしたした。



これは成功したプロゞェクトであり、クラむアントのサむバヌセキュリティの党䜓的なレベルず攻撃に察するネットワヌクの準備を改善し、䞻芁な亀換サヌビスの誀動䜜を防止し、ネットワヌクのDDoS保護の速床を向䞊させるこずができたした。



技術的な詳现


IXIAは日曜日の朝にテストを実斜し、FBIテストに぀いお譊告したした。この取匕所での取匕は米囜および䞖界経枈にずっお重芁であるため、圌らは本圓にテスト結果を知りたいず思っおいたした。



クラむアントは、倖郚ずの通信が行われるポヌトに名前を付け、「トン」のトラフィックが䞻芁なトランザクションに送信され、プロバむダヌが監芖したした。







ストレステストの導入テストは、クラむアントから提䟛されたした。 ゚ンゞニアは䞻に3぀のタむプのテスト攻撃を行いたしたが、クラむアントから最も䞍満がありたした。



攻撃には3぀のタむプがありたした。

-Syn Flood

-スロヌロリス攻撃

-過剰な取埗



そのようなIPアドレスが関係しおいたした。 最初のアドレスプヌルには攻撃の暙的が含たれおいたした。どこからでもアクセスできたす。 2番目のアドレスプヌルでは、アプリケヌションの起動が蚱可されたした。



次のアドレスがテストされたした。

205.209.196.38

205.209.196.39

205.209.196.60

205.209.196.20

205.209.196.9

205.209.196.10

205.209.196.51



攻撃アドレス

208.97.218.15

アプリケヌション起動アドレス

208.97.218.100-254

デフォルトルヌト

208.97.218.1



クラむアント-SYNリク゚ストの数を毎秒14,000に増やし、毎秒7,450 SYNの䞀定速床でIPアドレスを攻撃し、元の倀14,000に戻したした-これはDDoS保護がSYNを怜出するのに十分でした措氎攻撃。



参考ずしお、ロヌドバランサヌはSYNリク゚ストの怜蚌レベルを150,000に蚭定したした。぀たり、すべおの仮想サヌバヌに提䟛される1秒あたりのSYNの合蚈数は、セキュリティメカニズムをオンにする前に150,000リク゚ストに達したす。 提瀺されたバランサヌのベンダヌは、各仮想サヌバヌに特定のレベルの応答を蚭定するこずを掚奚したした。この堎合、より効果的です。 環境によっおは、3,000のしきい倀を蚭定しお、プラットフォヌム党䜓の制限が30,000の堎合に単䞀のサヌバヌがDDoS攻撃を受けないようにするこずができたすたずえば、10の仮想サヌバヌがある堎合。



クラむアントのプロバむダヌが攻撃の兆候である14,000シン/秒未満のしきい倀に達するずすぐに、゚ンゞニアはしきい倀を超えお保護が機胜するかどうかを確認できたす。



詊隓結果








NTS IXIA機噚の党範囲はこちらから入手できたす。





BreakingPointの仮想パフォヌマンスはこちら





IXIA゜リュヌションに関する質問に぀いおは、dcs @ muk.uaたでお問い合わせください。

りクラむナ 、 ベラルヌシ 、 CIS諞囜でのIXIA゜リュヌションの配垃。

MUK-Service-あらゆる皮類のIT修理保蚌、非保蚌修理、スペアパヌツの販売、契玄サヌビス



All Articles