Yaklaşık bir haftadır tüm hesaplarıma aşağıdaki gibi e-posta geliyor… Ben de bu soruyu alıp “Hangi IPS çözümü diğerinden farklıdır, neden” diye sormak isterim. Hatta daha ileriye gidip IPS çözğmleri gerçek koruma sağlar mı diye kışkırtıcı bir soru sorabilirim ama bu aşamaya henüz gelemedik:)
NSS Labs Hangi IPS Çözümünü öneriyor?
Sayın huzeyfe onal,
Tüm IPS üreticileri en iyi çözüme sahip olduklarını iddaa ederler, bu durumda hangisine güvebilirsiniz ?
Bu kafa karışılığını ortadan kaldırmak için NSS Labs gibi güvenilir bağımsız bir otoritenin görüşlerine başvurmanızı tavsiye ederiz. NSS Labs, dünyanın önde gelen bağımsız araştırma ve bilgi güvenliği test kuruluşudur. 2009 yılı son çeyreğinde, NSS Labs 7 IPS üreticisini 1,159 farklı atak tipi aracılığıyla zorlu bir teste tabi tutmuştur.
Hangi IPS konfigürasyonu tamamlandıktan sonra en yüksek bloklama oranlarına erişmiştir ? Hangi IPS çözümleri kaçırma testlerini başarıyla tamamlamıştır ? Hangi IPS çözümleri RPC parçalama, URL gizleme ve FTP kaçırma gibi testlerden başarısız olmuştur ?
Bu soruların cevaplarını ve daha fazlasını, ücretsiz olarak ve NSS Labs tarafından hazırlanan Q4 2009 Ağ Sızma Engelleme Sistemi Test Yönetici Özeti içerisinde bulabilirsiniz.
Bu raporda lider IPS çözümleri NSS Labs değerlendirme kategorilerinde “Tavsiye edilir”, “Tarafsız” ve “Dikkat” olarak yer alıyor.
NSS Labs yönetici özetinin bir kopyasını ücretsiz olarak edinmek için, kayıt olunuz.
Sourcefire
Bir iki dakikalığına raporda ismi geçen Sourcefire’ı çıkarıp herhangi bir IPS ismi yazın bakalım birşey değişecek mi?
Değişmeyeceğini garanti edebilirim zira çok değil son beş yılı incelerseniz hemen tüm bilinen IPS firmaları(Mcafee, TippingPoint, IBM ISS Proventia) benzeri e-posta göndermişlerdir.
Peki hangisine inanacağız? NSS gerçekten bağımsız bir kuruluş mu? Eğer bağımsızsa neden her sene IPS firmalarıyla ilgili şüphe uyandıracak biçimde değişik raporlar üretiyor? Ya da IPS ürünleri neden daha iyiye gitmiyor ve bazıları daha önceki performanslarını sağlayamıyor? IPS dediğimiz cihaz tam teknik detay içeren bir sistemdir, neden IPS’inizi kendiniz test emiyorsunuz?… Sorular uzar gider.
IPS satıcıları, NSS, Gartner gibi kurumlar kendilerini ön plana çıkarınca NSS/Gartner raporlarını ön plana çıkarır, raporlar kendilerini kötülüyorsa adını bile anmaz ve bu kurumların bağımsız olmadığını ileri sürer. Peki doğruyu nasıl bulacağız?
Aslında bir IPS’i test etmek zor degildir, NSS ya da benzeri kurumların yaptığı testleri biraz TCP/IP bilgisi olan herkes kendi test ortamlarında gerçekleştirebilir. Hatta gerekiyorsa gidip NSS’in testleri nasıl gerçekleştiriyor, hangi opensource/ticari araçları, yöntemleri kullanıyor detaylıca öğrenip birebir aynı testleri gerçekleyebilirsiniz.
IPS’i test edemeyecek birinin IPS yönetmesi zaten sıkıntılı bir durumdur, IPS’ler Firewall gibi değildir, detay teknik bilgi gerektirir. Eğer teknik bilgisi yetersiz birisine IPS yönetimi verilmişse o IPS’i aşmak çok kolay olacaktır ki yakında yayınlayacağım “Türkiye’de IPS Kullanım Şekilleri” raporu bunu fazlasıyla ortaya çıkarıyor.
Bir iki firmadan almak istediğimiz güvenlik ürünlerini test etmek istiyoruz ama bu konuda yeterli kaynak yok serzenişi üzerine önce bu konuda bir eğitim içeriği hazırladım şimdilerde de eğitim içeriğini dolduruyorum.
Eğitimin adı “Uygulamalı Firewall/IPS Testleri Eğitimi”.
İçeriği temel olarak günümüz sınır güvenliğini oluşturan dört bileşenin detaylı testlerinde oluşuyor: Firewall, Web application Firewall, Network Intrusion Prevention System ve DDOS Prevention System
Amaç: güvenlik cihazlarının kullanıldığı ortamlarda gerçek hayatta yapılan yanlışlıkları örneklerle gösterme ve bilinen araçları kullanarak çeşitli testlere tabi tutma(performans, işlevsellik vs).
İçeriği hazırlarken westCostLabs, NSS, IcsaLabs gibi dünyada bu konuda kabul gören(?) test firmalarının yöntemlerine paralel gittik fakat o testlerde olmayan, ya da test dökümanlarına yazılmamış ama gerçek hayatta tecrübe ettiğimiz konuları da ekledik. Bir aya kadar eğitim ciddi birkaç firmada görücüye çıkacak(kendi çalıştığım firmalar). Sonrasında kurumsal olarak isteyenlere sunulacak. Tabi bir de işin gerçek cihazlarla çalışma yönü var, onun için de bilinen güvenlik üreticilerinin Türkiye’deki yetkilileriyle görüşmelere başlıyorum.
En ufak projede bilen 50-60k $ tutacak bu ürünleri almadan önce gerçek testlerden geçirmek isterseniz şimdiden bu eğitime yer ayırtmanızı öneririm. Eğitim sadece kurumsal şirketlere açık olacaktır. Detaylarını içerik tamamlanınca ayrı bir blog postu olarak buraya gireceğim.
