怎樣測試IPS：思博倫ThreatEX/2700簡介

本文已發表在專家專欄：[url]http://netsecurity.51cto.com/art/200712/61412.htm[/url]

【51CTO.com 專家特稿】目前，不少企業都部署了IPS產品，用於網絡的***防護，在實際應用中獲得了普遍的承認。俗話說，工欲善其事，必先利其器，一款合格的IPS產 品出廠以前，須要通過不少測試，才能擔負起***防護的重任。但你是否知道IPS須要進行哪些測試？你又是否知道怎樣對IPS進行測試？帶着這些問題，咱們 特別邀請51CTO安全專家葉子，爲你們揭開謎底。

當前，國內外知名的安全商廠以及產品測評機構都在採用思博倫的Avalanche＋ThreatEX設備對IPS進行測試，但網絡上對ThreatEX設備的介紹比較少，不少人不知道怎麼樣來使用這個設備。

ThreatEX設備的簡介

思博倫通訊和Imperfect Networks公司宣佈結爲戰略合做夥伴關係後，思博倫通訊的Avalanche與Imperfect Networks的ThreatEx產品組合可以幫助企業在極端的負載條件下測試安全基礎設施的性能和運行情況。

ThreatEx技術可以檢驗IDS和IPS可否利用目前的和以往的***特性抵禦已知的和未知的***。在思博倫通訊 Avalanche的配合下，能夠對IDS/IPS的阻止***性能進行測試，並可以確保在不影響性能的情況下容許真正的用戶流經過。

ThreatEx由一臺產生***的專用設備構成，包含大量的預先配置的***。這些***可單獨使用或與其它***一塊兒使用。用戶能夠利用 ThreatEx Designer軟件建立已有***的變種或新的***。它還能夠利用ThreatWalker軟件自動評估企業存在的安全漏洞。

ThreatEx 2700能夠真實地模擬數千種***及變種，包括：DDoS、蠕蟲、病毒、VoIP***、無線（802.11x）***、協議模糊（Fuzzing）***、應用***，以及其餘更多的***。

Spirent Avalanche 2500和Spirent Reflector 2500設備則提供了正常的Web、e-mail、FTP和DNS流量。

ThreatEX/2700的設備爲2U的專用設備，前面板有Management Interface、Eth0-PassThru InterfaceEth1-Threat Generation、Eth2-Reflector Interface、Eth3-Unused端口，電源開關在後面板上，以下圖示：

圖1

ThreatEX 設備由如下這些模塊組成：控制界面、基礎知識庫、用戶自定義事件界面、測試腳本、網絡傳輸等。以下圖所示：

 

圖2

ThreatEX 的內部工做原理以下圖：

 

圖3

當用戶經過 ThreatEX 的控制端對***腳本進行配置後，經過 Controller port 加載***數據包，而正常的業務數據流經過 Passthrough port 進入設備內部，兩端口的數據經過 Threat port 流出，通過須要測試的 IPS 設備，返回 ThreatEX 設備的 Virtual Server 端口。

 

ThreatEX 的引擎支持加載 XML ***腳本和 PCAP Dissector 來構造***數據包，以下圖結構所示：

 

圖4

測試環境以下圖所示：

圖5

當鏈接好測試的網絡後，可能經過 SSH 登陸 ThreatEX 的設備管理界面進行配置，以下圖所示進行登陸：

 

圖6

ThreatEX 設備的 SSH 登陸的用戶和密碼： admin/admin 。登陸後，能夠查看系統信息、配置網絡、配置主機名字、檢測 License 的狀態、關閉系統、重啓系統的操做，以下圖所示：

 

圖7

先安裝 ThreatEX 的控制端程序，能夠向思博倫商廠要求提供安裝程序和 license ，安裝程序 ThreatExSuite.exe 的安裝過程跟通常程序安裝同樣，比較簡單，這裏就不詳細講解了。另外注意控制端須要 java 的環境，若是沒有的話，能夠去下載 jre-6u2-windows-i586-p-s.exe 進行安裝。

 

網絡環境都搭建好、測試程序都調試好後，就能夠進行 IPS 的事件測試。

如何使用ThreatEX：

 

1 、打開 ThreatEX 的主界面，以下圖所示：

 

圖8

2 、若是 Resources 中沒有資源顯示，則右擊選擇 add ，添加 ThreatEX 設備資源，設備管理口的 IP 地址默認爲： 192.168.0.100 。

 

圖9

3 、右擊資源項，選擇 Query ，則會出現以下圖所示：

 

圖10

4 、右擊 spirent_2700@192.168.0.100 ， 選擇 Set ports ，配置 threat 網卡口和 reflector 網卡口。

ThreatEX/2700 設備默認 eth1 爲 threat Generation Interface ， eth2 爲 Reflector Interface 。在配置 IP 地址和網關時能夠互指地址。點擊 OK 進行保存（最大化可看見）。配置完後須要右擊資源，選擇 Reserve 。以下圖所示：

圖11

 

圖12

注意：只有 Reserve 成功後，工具框中的 Set test Parameters 和 Send a test to a appliance 圖標纔會變亮。

 

5 、點擊 File － >new － >test ，建立***測試用例。點擊 Threats ，選擇 New test 。以下圖所示，選擇要加載的***腳本。

 

圖13

6 、配置測試變量中相關的源 MAC 、目的 MAC 、源 IP 、目的 IP 、相關用到的端口。源 MAC 的值必須是 eth1 的 MAC ，目的 MAC 的值必須是 eth2 的 MAC 。如圖所示：

 

圖14

7 、配置***方案相關的名字、描述、時間、超時時間、流量。如圖所示：

 

圖15

8 、配置完後，出現以下圖所示，點擊 Send a test to a appliance 圖標，加載***腳本。加載過程比較慢。

 

圖16

九、加載***腳本成功後，出現以下圖所示，點擊Run ，運行***。

圖17

10 、若是***成功，則會在 Data 中看到 Threat Port 的 Value 和 Reflector Port 的 Value ，以下圖所示：

 

圖18

最後能夠經過ThreatEX的報表系統來查看事件測試的狀況。

另外最新的ThreatEX事件腳本能夠經過如下連接地址進行查看：
[url]http://www.spirentcom.com/enterprise/threatx/[/url]

注意：在實際應用中會常常遇到***腳本加載XML出錯、ThreatEX程序異常退出、***包發出的數據爲空等一些bug問題。若是隻重啓控制端程序，則系統沒法正常使用。最好的解決方法是把設備和控制端程序都重啓並配置使用。