怎样测试IPS：思博伦ThreatEX/2700简介

　　目前，很多企业都部署了IPS产品，用于网络的入侵防御，在实际应用中得到了广泛的认可。俗话说，工欲善其事，必先利其器，一款合格的IPS产品出厂之前，需要经过很多测试，才能担负起入侵防御的重任。但你是否知道IPS需要进行哪些测试？你又是否知道怎样对IPS进行测试？带着这些问题，我们特别邀请51CTO安全专家叶子，为大家揭开谜底。

　　当前，国内外知名的安全商厂以及产品测评机构都在采用思博伦的Avalanche＋ThreatEX设备对IPS进行测试，但网络上对ThreatEX设备的介绍比较少，很多人不知道怎么样来使用这个设备。

　　ThreatEX设备的简介

　　思博伦通信和Imperfect Networks公司宣布结为战略合作伙伴关系后，思博伦通信的Avalanche与Imperfect Networks的ThreatEx产品组合能够帮助企业在极端的负载条件下测试安全基础设施的性能和运行状况。

　　ThreatEx技术能够检验IDS和IPS能否利用目前的和以往的攻击特性抵御已知的和未知的攻击。在思博伦通信 Avalanche的配合下，可以对IDS/IPS的阻止攻击性能进行测试，并能够确保在不影响性能的状况下允许真正的用户流通过。

　　ThreatEx由一台产生攻击的专用设备构成，包含大量的预先配置的攻击。这些攻击可单独使用或与其它攻击一起使用。用户可以利用ThreatEx Designer软件创建已有攻击的变种或新的攻击。它还可以利用ThreatWalker软件自动评估企业存在的安全漏洞。

　　ThreatEx 2700可以真实地模拟数千种攻击及变种，包括：DDoS、蠕虫、病毒、VoIP攻击、无线（802.11x）攻击、协议模糊（Fuzzing）攻击、应用渗透，以及其他更多的攻击。

　　Spirent Avalanche 2500和Spirent Reflector 2500设备则提供了正常的Web、e-mail、FTP和DNS流量。

　　ThreatEX/2700的设备为2U的专用设备，前面板有Management Interface、Eth0-PassThru InterfaceEth1-Threat Generation、Eth2-Reflector Interface、Eth3-Unused端口，电源开关在后面板上，如下图示：

图1

　　ThreatEX设备由以下这些模块组成：控制界面、基础知识库、用户自定义事件界面、测试脚本、网络传输等。如下图所示：

图2

　　ThreatEX的内部工作原理如下图：

图3

　　当用户通过ThreatEX的控制端对攻击脚本进行配置后，通过Controller port加载攻击数据包，而正常的业务数据流通过Passthrough port进入设备内部，两端口的数据通过Threat port流出，经过需要测试的IPS设备，返回ThreatEX设备的Virtual Server 端口。

　　ThreatEX的引擎支持加载XML攻击脚本和PCAP Dissector来构造攻击数据包，如下图结构所示：

图4

　　测试环境如下图所示：

图5

　　当连接好测试的网络后，可能通过SSH登录ThreatEX的设备管理界面进行配置，如下图所示进行登录：

图6

　　ThreatEX设备的SSH登录的用户和密码：admin/admin。登录后，可以查看系统信息、配置网络、配置主机名字、检测License的状态、关闭系统、重启系统的操作，如下图所示：

图7

　　先安装ThreatEX的控制端程序，可以向思博伦商厂要求提供安装程序和license，安装程序ThreatExSuite.exe的安装过程跟一般程序安装一样，比较简单，这里就不详细讲解了。另外注意控制端需要java的环境，如果没有的话，可以去下载jre-6u2-windows-i586-p-s.exe进行安装。

　　网络环境都搭建好、测试程序都调试好后，就可以进行IPS的事件测试。

　　如何使用ThreatEX：

　　1、打开ThreatEX的主界面，如下图所示：

图8

　　2、如果Resources中没有资源显示，则右击选择add，添加ThreatEX设备资源，设备管理口的IP地址默认为：192.168.0.100。

图9

　　3、右击资源项，选择Query，则会出现如下图所示：

图10

　　4、右击spirent_2700@192.168.0.100，选择Set ports，配置threat网卡口和reflector网卡口。

　　ThreatEX/2700设备默认eth1为threat Generation Interface，eth2为Reflector Interface。在配置IP地址和网关时可以互指地址。点击OK进行保存（最大化可看见）。配置完后需要右击资源，选择Reserve。如下图所示：

图11

图12

　　注意：只有Reserve成功后，工具框中的Set test Parameters和Send a test to a appliance图标才会变亮。

　　5、点击File－－，创建攻击测试用例。点击Threats，选择New test。如下图所示，选择要加载的攻击脚本。

图13

　　6、配置测试变量中相关的源MAC、目的MAC、源IP、目的IP、相关用到的端口。源MAC的值必须是eth1的MAC，目的MAC的值必须是eth2的MAC。如图所示：

　　7、配置攻击方案相关的名字、描述、时间、超时时间、流量。如图所示：

图15

　　8、配置完后，出现如下图所示，点击Send a test to a appliance图标，加载攻击脚本。加载过程比较慢。

图16

　　9、加载攻击脚本成功后，出现如下图所示，点击Run ，运行攻击。

图17

　　10、如果攻击成功，则会在Data中看到Threat Port的Value和Reflector Port的Value，如下图所示：

图18

　　最后可以通过ThreatEX的报表系统来查看事件测试的情况。

　　另外最新的ThreatEX事件脚本可以通过以下链接地址进行查看：

　　http://www.spirentcom.com/enterprise/threatx/

　　注意：在实际应用中会经常遇到攻击脚本加载XML出错、ThreatEX程序异常退出、攻击包发出的数据为空等一些bug问题。如果只重启控制端程序，则系统无法正常使用。最好的解决方法是把设备和控制端程序都重启并配置使用。

　　【51CTO.COM 独家特稿，转载请注明出处及作者！】