„Unkomplizierter Einstieg in die Welt der IDS/IPS Systeme“

Tester André Hermbusch zeigt sich im abschließenden Test „positiv überrascht“ von den ermittelten Performance-Metriken auf der verwendeten Testhardware: „Wir haben den Threat Defender seitdem in diesem Setup weiter bei uns betrieben und planen den Einsatz bei unseren Kunden.“

Durch einen Artikel bei heise online sind wir auf den Threat Defender der jungen Leipziger Firma cognitix aufmerksam geworden. Da eines unserer Hauptgeschäftsfelder IT-Sicherheit ist, haben wir uns als Tester beworben. Kurzfristig erhielten wir die Lizenz sowie Links zum Download der Softwareappliance.

Eingesetzte Hardware

Als Hardwareplattform haben wir uns für einen Pokini F in der Modellvariante C67 und der Erweiterungskarte Pokini F 4LAN entschieden, welche weitere drei Ethernet-Schnittstellen zur Verfügung stellt.

CPU Speicher Netzwerkschnittstellen Kernelmodul
AMD A10 Micro-6700T
4 Kerne, 1.2 – 2.2 GHz
16GB 4x 1GbE
Intel I211 [8086:1539] (rev 03)
igb

Einbindung ins Netzwerk

Mit Hilfe der Erweiterungskarte Pokini F 4LAN verfügt unser Testgerät über vier Gigabit Ethernet-Ports. Die erste Schnittstelle dient als Management-Interface, die verbleibenden drei Schnittstellen wurden automatisch zu einer Ethernet-Bridge zusammengefasst. Damit verhält sich der Threat Defender auf diesen drei Ports praktisch wie ein Switch. Theoretisch könnte eine Threat Defender Installation auf einem performanten Server mit genügend Ports auch größere Switches ersetzen und damit alle Netzwerkverbindungen zwischen den angeschlossenen Geräten analysieren.

In unserem Setup haben wir den Threat Defender zentral zwischen Router und zwei Switches betrieben.

Im LAN wurden alle Clients an einen Switch angeschlossen, die Server an einen weiteren Switch und die Verbindung der beiden Switches sowie des Routers durch die Bridge des Threat Defenders hergestellt.

Setup des Tests.

So konnten wir gleichzeitig Verbindungen ins Internet, sowie zwischen unseren internen Systemen analysieren.

Mit diesem Setup ist die Performance aller Dienste natürlich direkt vom Durchsatz des Threat Defenders abhängig. Im alltäglichen Betrieb sind uns keine Engpässe aufgefallen, um den ersten Eindruck durch Messungen zu überprüfen, haben wir ein paar kurze Tests mit und ohne Threat Defender durchgeführt, die Ergebnisse haben wir im Abschnitt „Performance“ zusammengefasst.

Installation

Das zur Installation bereitgestellte ISO Image konnte problemlos von einem USB-Stick installiert werden, die Installation verläuft schnell und mit nur wenigen Rückfragen.

Als Erstes wird nach kurzer Warnung der lokale Datenträger gelöscht, ein angepasstes CentOS 7 Linux installiert und bis auf die Abfrage von Netzwerkinformationen automatisch konfiguriert.

Nach einem abschließenden Reboot fährt das System hoch und präsentiert auf der lokalen Konsole einen Hinweis auf die konfigurierte URL, unter der der Threat Defender im lokalen Netzwerk erreichbar ist. Ein administrativer Zugang via Konsole ist nicht vorgesehen.

Auf dem Webinterface wird nach der ersten Anmeldung als Startseite der Punkt „Analytics“ mit dem Reiter „Network Intelligence“ geöffnet der den Netzwerkverkehr nach Interface, erkannten Programmen und Protokollen sowie Senderichtung aufschlüsselt:

 

Die Startseite nach der ersten Anmeldung.

Funktionsüberblick

Ausstattung

Folgende Funktionen stehen zur Verfügung:

  • layer 2 firewall
  • inline real-time correlation engine
  • dynamic network segmentation
  • intrusion detection
  • ssl proxy
  • pattern matching engine

Bedient und administriert wird die komplette Software zeitgemäß per Webbrowser. Neben den eigentlichen Sicherheitsfunktionen stehen Funktionen zur Analyse, Reporting und Logging bereit.

Bedienbarkeit

Das Webinterface ist übersichtlich in sieben Kategorien unterteilt, die über ein einklappbares Menü auf der linken Seite erreichbar sind. Sobald die ersten Einstellungen erledigt sind, werden überwiegend nur noch die ersten drei Kategorien „Analytics“, „Policy“ und „Security“ benutzt. „Analytics“ bietet diverse Analysemöglichkeiten mit einer Genauigkeit bis zu einer Sekunde. Unter den Menüpunkten „Policy“ und „Security“ lassen sich mit Hilfe von diversen Klassifikationsmöglichkeiten eigene Regeln und Vorgaben definieren und miteinander in Beziehung setzen. Die vorgenommenen Änderungen müssen über einen zentralen „Apply“ Button aktiviert werden. Der aktuelle Konfigurationsstand kann unter „Settings“ gesichert und anschließend heruntergeladen werden.

Dokumentation und Support

Mit Hilfe des umfangreichen Online Support Portals3) konnten alle auftauchenden Fragen schnell und unkompliziert beantwortet werden.

Performance

Da sich der Threat Defender wie ein Switch ins Netzwerk integriert, hat uns natürlich interessiert, ob sich Unterschiede bei der Performance im Betrieb mit und ohne Threat Defender feststellen lassen. Dafür haben wir zwischen zwei Testgeräten den maximalen Durchsatz von UDP-Paketen mit verschiedenen MTUs von 1500, 500 und 300 gemessen.

MTU bps mit TD bps ohne TD
1500 113MiB/s 113 MiB/s
500 103MiB/s 103 MiB/s
300 37MiB/s 95 MiB/s

Dabei war das erste Gerät „test1“ am Switch mit den Clients angeschlossen und das zweite Gerät „test2“ am Switch mit den Servern. Traffic haben wir mit „netcat“ zwischen den beiden Geräten übertragen und die gemittelten Werte mit „pv“ gemessen:

root@test1~# cat /dev/zero | pv | nc -u test2 65535

root@test2~# nc -l -p 65535 -u | pv > /dev/null

 

Bis zu einer MTU von 500 blieb bei unserem kurzen Test der Durchsatz stabil, dabei hatte der Threat Defender schon mehr als 200.000 Pakete pro Sekunde zu verarbeiten. Erst als wir die MTU weiter auf 300 verringert haben brach der Durchsatz im Vergleich zur direkten Verbindung um mehr als 50% ein.

Fazit

André Hermbusch

Der Threat Defender bietet wie versprochen einen unkomplizierten Einstieg in die Welt der IDS/IPS Systeme und erfordert nur minimale Änderungen an bestehenden Netzwerkstrukturen.

Die ermittelten Performance-Metriken auf unserer Testhardware haben uns positiv überrascht. Wir haben den Threat Defender seitdem in diesem Setup weiter bei uns betrieben und planen den Einsatz bei unseren Kunden.