Меня зовут Ильдар Ишкинин, я ведущий инженер Центра компетенций Innostage. После лабораторного тестирования производительности NGFW «Континент 4» в условиях высокой нагрузки мы перешли ко второму этапу. На этот раз мы оценивали не силу, а интеллект устройства — его способность обнаруживать угрозы в режиме работы «Детектор атак». Также в течении месяца мы проводили сравнительный анализ, насколько эффективно отечественный NGFW «Континент 4» справляется с обнаружением атак по сравнению с зарубежным межсетевым экраном нового поколения Palo Alto производства компании Palo Alto Networks.
Зачем тестировали режим «Детектор атак»?
Этот режим интересен тем, что устройство подключается пассивно через зеркалирование трафика (SPAN). Оно получает только копию пакетов, не разрывая сетевой поток и не влияя на топологию. Команде показалось важным протестировать сценарий, когда устройство выступает лишь в роли «наблюдателя» и не участвует в обработке трафика.
Состав стенда и схемы испытаний
В лаборатории Innostage Network Security and Infrastructure (INSI) мы развернули стенд, состоящий из тестируемого устройства Континент 4 «Детектор атак», (подключение в режиме «Monitor») к портам которого передавался зеркалируемый трафик (SPAN) с коммутаторов стенда. Для целей тестирования на лабораторном NGFW Palo Alto был опубликован ряд сервисов в сеть Интернет. С хоста EXT_Attacker отправлялись атаки на NGFW Palo Alto, коммутатор QTECH-6300-1 отправлял копию трафика с NGFW Palo Alto. Дополнительно, для проверки контроля приложений и детектирования сканирования, использовался внутренний хост INT_Attacker и NGFW Check Point, копию трафика с которого отправлял коммутатор QTECH-6300-2.
Таблица 1 – Конфигурация компонентов стенда
№ |
Аппаратная платформа |
Компонент |
Примечание |
1 |
IPC-R3000 |
NGFW Континент 4 |
Версия 4.1.9, режим «Детектор атак» |
2 |
Dell R540 Power Edge |
VMware ESXI |
Виртуальный Континент 4. Версия 4.1.9, центр управления сетью |
3 |
Dell R540 Power Edge |
VMware ESXI |
Виртуальная машина Debian 11 (INT_Attacker), для отправки атак и сканирования изнутри |
4 |
Qtech 6300 32F |
Коммутатор |
Qtech 6300-1. Коммутация стенда, отправка копии трафика с Palo Alto. |
5 |
Qtech 6300 32F |
Коммутатор |
Qtech 6300-2. Коммутация стенда, отправка копии трафика с Check Point. |
6 |
Palo Alto PA-850 |
NGFW Palo Alto |
Версия ПО PAN-OS 11.1. Версия обновления сигнатур 9036-9738 (11/05/25). Тестовый NGFW в лаборатории. |
7 |
- |
Debian 11 |
Внешний атакующий хост (EXT_Attacker) |
8 |
Check Point 5400 |
МЭ Check Point R81.10 |
Версия R81.10, МЭ лаборатории для дополнительного сканирования |
Настройки сетевых интерфейсов Континент 4 «Детектор атак» и ЦУС приведены в таблице (Таблица 2), настройки маршрутизации приведены в таблице (Таблица 3).
Таблица 2 — Сетевые настройки ключевых компонентов стенда
Устройство |
Интерфейс |
Адрес/маска |
Примечание |
Континент 4 «Детектор атак» (IPC R3000)
|
Ge-0-0 |
10.3.0.85/29 |
Интерфейс управления |
Ge-0-1 |
Мониторинг |
Прием SPAN с Palo Alto |
|
Ge-0-2 |
Мониторинг |
Прием SPAN с Check Point |
|
Континент 4 ЦУС (VM) |
Ge-0-0 |
10.11.5.5/24 |
Интерфейс управления |
Таблица 3 — Статические маршруты Континент 4 «Детектор атак» и ЦУС
Устройство |
Сеть назначения |
Шлюз |
Примечание |
Континент 4 Детектор атак (IPC R3000) |
0.0.0.0/0 |
10.3.0.81 |
Маршрут по умолчанию |
Континент 4 ЦУС |
0.0.0.0/0 |
10.11.5.1 |
Маршрут по умолчанию |
Как проходили тесты
Функциональное тестирование мы разделили на три ключевых этапа:
1. Эффективность обнаружения атак. Мы инициировали атаки с внешнего хоста EXT_Attacker на адреса Palo Alto, где опубликованы различные сервисы. Модуль IPS на устройствах Palo Alto выявлял и блокировал эти атаки. Копия трафика передавалась по SPAN на порт Континент 4, работающего в режиме «Детектор атак» для анализа и детектирования. Все события с «Континент 4» отправлялись в систему мониторинга ЦУС.
2. Эффективность детектирования приложений. На этом этапе мы использовали приложения на внутреннем хосте INT_Attacker. Копия генерируемого трафика отправлялась через SPAN на порт Континента 4, где определялось используемое приложение.
3. Дополнительное сканирование средством OpenVAS. Мы использовали фреймворк OpenVAS для сканирования уязвимостей, развернув его на хосте INT_Attacker и направив сканирование на интерфейс Check Point. Копия этого т��афика также передавалась на Континент 4, чтобы проверить, как он определяет само сканирование и атаки, отправляемые сканером в процессе работы.
Настройки Континент 4 «Детектор атак»
Свойства узла безопасности представлены на рисунке 2.
Настройки СОВ можно увидеть на рисунке 3.
Настройки переменных СОВ представлены на рисунке 4.
Настройка фильтров СОВ показаны на рисунке 5.
Мы создали тестовый профиль СОВ «test_block_all» со всеми сигнатурами, установив для каждой действие «Блокировать». Поскольку устройство работало в пассивном режиме «Monitor», блокировка трафика была невозможна, несмотря на эту настройку. Базу правил и профили можно увидеть на Рисунке 6.
Политика СОВ представлена на рисунке 7.
Тест 1: эффективность обнаружения атак (IPS)
Наша задача была простой и наглядной: сравнить, сколько угроз из одного и того же потока трафика сможет обнаружить каждый из двух межсетевых экранов.
С внешнего хоста EXT_Attacker мы направили серию атак, эксплуатирующих известные уязвимости (CVE) на сервисы, защищаемые Palo Alto. Зеркальная копия всего этого трафика одновременно анализировалась Континентом 4 в режиме «Детектор атак». Итоговые результаты и какие атаки были выявлены каждым продуктом, представлены в Таблице 2.
Таблица 4 – Результаты теста 1
№ |
CVE |
Детектировано Palo Alto |
Детектировано Континент 4 |
1. |
CVE-2023-42793 (TeamCity) |
v |
v |
2. |
CVE-2023-22515 (Confluence) |
v |
– |
3. |
CVE-2023-7028 (GitLab) |
v |
v |
4. |
CVE-2021-44228 (Log4Shell) |
v |
v |
5. |
CVE-2023-50164 (Apache Struts) |
v |
v |
6. |
CVE-2023-20198 (Cisco IOS XE Web Server Possible Authentication Bypass Attempt) |
– |
v |
7. |
CVE-2021-31166 |
v |
v |
8. |
CVE-2023-27350 PaperCut MF/NG SetupCompleted Authentication Bypass |
– |
v |
9. |
CVE-2024-29269 ( Telesquare SDT-CW3B1 1.1.0 - OS Command Injection (CVE-2021-46422)) |
– |
v |
10. |
CVE-2024-3273 - D-Link NAS devices Backdoor Account Access and Command Injection Attempt |
v |
v |
11. |
CVE-2024-1212 Command Injection Exploit for Kemp LoadMaster |
v |
v |
12. |
CVE-2024-8504 |
v |
v |
13. |
CVE-2024-34102 |
v |
– |
14. |
CVE-2024-4577: PHP CGI Argument Injection (XAMPP) |
v |
– |
15. |
CVE-2023-46805_CVE-2024-21887 Possible Ivanti Pulse Secure Authentication Bypass and Command Injection Attempt |
v |
v |
16. |
CVE-2024-36401 GeoServer-RCE |
v |
v |
17. |
CVE-2024-23692 Rejetto HTTP File Server Unauthenticated RCE Attempt |
v |
v |
18. |
CVE-2024–27348 - Remote Code Execution vulnerability in Apache HugeGraph Server |
v |
v |
19. |
CVE-2023-26359 - Critical vulnerabilities in Adobe Coldfusion |
– |
v |
20. |
CVE-2023-33246 RocketMQ Remote Code Execution vulnerability |
v |
– |
21. |
CVE-2022-22965-Spring4Shell |
v |
v |
22. |
Сканирование инструментом NMAP |
v |
v |
По результатам этого теста Континент 4 «Детектор атак» и NGFW Palo Alto показали сопоставимую и высокую эффективность. Общий счёт: по 18 обнаруженных атак из 22.
Таблица 5 -Сводные результаты теста 1
Зафиксировано атак Континент 4 «Детектор атак» |
Зафиксировано атак Palo Alto |
18 из 22 атак |
18 из 22 атак |
С детальными скриншотами журналов событий по каждой атаке можно ознакомиться в Приложении 1.
Тест 2: контроль приложений
Цель этого этапа — сравнить, насколько точно системы определяют сетевые приложения в потоке данных. Для этого в уже знакомом профиле «test_block_all» мы активировали модуль «Контроль приложений», выбрав для проверки категории «Чаты» и «Социальные сети».
Как и в случае с СОВ, в пассивном режиме «Monitor» система только идентифицирует приложения, но не блокирует их. Блокировка была бы возможна в режиме «Inline», когда устройство обрабатывает трафик напрямую. Настройки, котор��е мы использовали, показаны на рисунках 8 и 9.
Для генерации трафика использовался внутренний хост INT_Attacker, где в реальном времени использовался мессенджер «Telegram» и социальная сеть «Вконтакте».
На рисунке 10 показаны события с обнаружением приложения «Telegram» на Континент 4 «Детектор атак».
На рисунке 11 представлен журнал событий NGFW Palo Alto с записями об обнаружении приложения «Telegram».
На рисунке 12 можно увидеть события с обнаружением приложения «Вконтакте» на Континент 4 «Детектор атак».
На рисунке 13 зафиксирован журнал событий NGFW Palo Alto с записями об обнаружении приложения «Вконтакте».
Итог теста: и Континент 4, и Palo Alto безошибочно распознали приложения в трафике. Это подтверждает, что функция контроля приложений в отечественном решении работает корректно.
Тест 3: сканирование средством OpenVAS
Цель этого этапа — проверить, как система обнаруживает активность сканера уязвимостей OpenVAS. Мы запустили сканирование с внутреннего хоста INT_Attacker, направив его на интерфейс NGFW Check Point. Параметры, с которыми было запущено сканирование, показаны на рисунке 14.
На рисунке 15 представлен результат сканирования.
В ходе сканирования OpenVAS Континент 4 в роли детектора атак зафиксировал как само сканирование, так и отдельные атаки, которые генерировал сканер. Эти события безопасности отражены на рисунках 16-22.
В результате сканирования средством OpenVAS интерфейса NGFW Check Point, Континент 4 «Детектор атак» успешно детектировал сканирование и атаки на эксплуатацию уязвимостей.
Приложение 1
В этом приложении собраны скриншоты журналов событий, на которых видно, как Континент 4 в режиме «Детектор атак» и NGFW Palo Alto детектировали атаки в ходе теста 1.
1. CVE-2023-42793 (TeamCity): угроза успешно определена обоими устройствами (Рисунок 0-1, 0-2).
2. CVE-2023-22515 (Confluence): NGFW Palo Alto детектировал атаку (Рисунок 0-3).
Континент 4 «Детектор атак» угрозу не выявил.
3. CVE-2023-7028 (GitLab): оба решения зарегистрировали события (Рисунок 0-4, 0-5).
4. CVE-2021-44228 (Log4Shell): NGFW Palo Alto и Континент 4 «Детектор атак» обнаружили угрозу (Рисунок 0-6, 0-7).
5. CVE-2023-50164 (Apache Struts): угрозу определили оба устройства (Рисунок 0-8, 0-9).
6. CVE-2023-20198 (Cisco IOS XE Web Server Possible Authentication Bypass Attempt): NGFW Palo Alto не распознал данную атаку. Континент 4 «Детектор атак» детектировал угрозу (Рисунок 0-10).
7. CVE-2021-31166: оба устройства зарегистрировали событие (Рисунок 0-11, 0-12).
8. CVE-2023-27350 PaperCut MF/NG SetupCompleted Authentication Bypass: Континент 4 «Детектор атак» успешно распознал атаку, NGFW Palo Alto её не обнаружил (Рисунок 0-13).
9. CVE-2024-29269 (Telesquare SDT-CW3B1 1.1.0 - OS Command Injection (CVE-2021-46422)):
Только Континент 4 «Детектор атак» обнаружил попытку эксплуатации (Рисунок 0-14). NGFW Palo Alto пропустил данную угрозу.
10. CVE-2024-3273 - D-Link NAS devices Backdoor Account Access and Command Injection Attempt: Оба устройства обнаружили угрозу (Рисунок 0-15, 0-16).
11. CVE-2024-1212 Command Injection Exploit for Kemp LoadMaster: атака зафиксирована двумя системами (Рисунок 0-17, 0-18)
12. CVE-2024-8504: угроза выявлена обоими системами (Рисунок 0-19, 0-20).
13. CVE-2024-34102: Атака была успешно выявлена NGFW Palo Alto (Рисунок 0-21). Континент 4 «Детектор атак» данную угрозу не обнаружил.
14. CVE-2024-4577: PHP CGI Argument Injection (XAMPP): факт атаки отражён в журнале NGFW Palo Alto (Рисунок 0-22). Континент 4 «Детектор атак» не распознал данную атаку.
15. CVE-2023-46805_CVE-2024-21887 Possible Ivanti Pulse Secure Authentication Bypass and Command Injection Attempt: NGFW Palo Alto и Континент 4 «Детектор атак» обнаружили атаку (Рисунок 0-23, 0-24).
16. CVE-2024-36401 GeoServer-RCE: атака зафиксирована в журнале событий NGFW Palo Alto и Континент 4 «Детектор атак» (Рисунок 0-25, 0-26).
17. CVE-2024-23692 Rejetto HTTP File Server Unauthenticated RCE Attempt: NGFW Palo Alto и Континент 4 «Детектор атак» обнаружили угрозу (Рисунок 0-27, 0-28).
18. CVE-2024–27348 - Remote Code Execution vulnerability in Apache HugeGraph Server: NGFW Palo Alto и Континент 4 «Детектор атак» зарегистрировали атаку (Рисунок 0-29, 0-30).
19. CVE-2023-26359 - Critical vulnerabilities in Adobe Coldfusion: NGFW Palo Alto не распознал данную атаку. Континент 4 «Детектор атак», успешно её обнаружил (Рисунок 0-31).
20. CVE-2023-33246 RocketMQ Remote Code Execution vulnerability: атака была детектирована NGFW Palo Alto (Рисунок 0-32). Континент 4 «Детектор атак» не распознал данную атаку.
21. CVE-2022-22965-Spring4Shell: NGFW Palo Alto и Континент 4 «Детектор атак» зафиксировали атаку в журнале событий (Рисунок 0-33, 0-34).
22. Сканирование инструментом NMAP: активность сканера отражена в журналах NGFW Palo Alto и Континент 4 «Детектор атак» (Рисунок 0-35, 0-36).
Итоги функционального тестирования
На основании результатов проведённых тестов мы можем сделать вывод, что отечественный Континент 4 в режиме «Детектор атак» полностью соответствует заявленным характеристикам. Все ключевые функции: обнаружение вторжений (СОВ), контроль приложений и детектирование сканирования — работают корректно и готовы к применению в реальных проектах.
Схема подключения в режиме «Monitor» делает этот продукт ценным дополнением для построения системы безопасности, позволяя внедрить его без изменений в сетевую топологию.
Надеюсь, наш разбор отечественного межсетевого экрана оказался полезным. Если у вас остались вопросы по методологии или результатам, буду рад обсудить в комментариях.