Как проверить IPS? Infection Monkey vs Check Point

Как проверить IPS? Infection Monkey vs Check Point


Три года назад мы публиковали статью “Online инструменты для простейшего Pentest-а”. Там мы рассказали про доступные и быстрые способы проверки защиты вашего периметра сети с помощью таких инструментов как Check Point на максимум я пытался показать, чем опасны дефолтные настройки. Это касается всех вендоров. Надо уметь правильно “закручивать” гайки. В данном случае я решил сначала проверить дефолтный профиль Check Point — Optimized. Результаты можно посмотреть на картинке ниже:



Стоит отметить, что с дефолтным профилем Infection Monkey успешно “взломал” тестовый хост (несмотря на примитивность атаки). Нужная сигнатура просто не была включена.

Результаты Check Point IPS с моим профилем


Настройки были выполнены в соответствии с рекомендациями, которые были даны в рамках курса “Check Point на максимум”. Результат получился уже совсем другой:



При этом IPS предотвратил заражение хоста и дальнейшее распространение Infection Monkey.
Стоит отметить, что у Check Point-а довольно хорошая форензика. Вот так выглядит сам лог:



Здесь вы можете посмотреть и дамп трафика, и номер CVE, и тип атаки, и подробную информацию о ней, а так же рекомендации по настройке Check Point. Пример:



В этом плане Check Point хорошо поработал, т.к. у них имеется богатая база знаний по всевозможным зловредам.

Заключение


Безусловно, Infection Monkey это не панацея и не может отразить все потенциальные проблемы в защищенности сети. Но для бесплатного инструмента это более чем интересно. Как уже говорил, можно “пошуметь” в сети и посмотреть, как ведут себя ваши средства защиты. Те же NGFW с дефолтными настройками могут вести себя крайне неудовлетворительно. Если полученный результат вас не устраивает, мы можем помочь с анализом вашей конфигурации .

В ближайшее время мы планируем опубликовать подобные тесты для другого инструмента ( Cymulate ), которым можно воспользоваться бесплатно, триальной версией. Там уже гораздо больше вариантов атаки. Кроме результатов мы поделимся рекомендациями, как усилить защиту. Чтобы не пропустить следующие статьи следите за обновлениями в наших каналах ( Telegram , Facebook , VK , TS Solution Blog )!
Alt text