Нагрузочное тестирование систем обеспечения информационной безопасности

Сергей Ненашев,
разработчик продуктов и услуг компании ООО "ИНФОРИОН"

Леонид Ковтунович,
разработчик продуктов и услуг компании ООО "ИНФОРИОН"

СЕГОДНЯ бизнес вынужден обеспечивать постоянную доступность своих информационных ресурсов. Поэтому во время проектирования, внедрения и модернизации инфотелекоммуникационной инфраструктуры предприятия постоянно поднимаются вопросы оценки принятых технических решений со стороны производительности и устойчивости компонентов сети, средств системы обеспечения информационной безопасности (СОИБ) и информационных систем при работе в условиях штатной и повышенной нагрузки и воздействия сетевых атак.

При расширении ИТ-инфраструктуры появляются проблемы, связанные с ухудшением скоростных характеристик. При этом бывает сложно определить, какие составляющие инфраструктуры необходимо модернизировать. К этому прибавляется постоянный рост сложности СОИБ, повышающий требования к квалификации обслуживающего их персонала.

Как убедиться в том, что прикладные сервисы обеспечат необходимое качество обслуживания в условиях прогнозируемой нагрузки? Как удостовериться в том, что используемая СОИБ развернута и настроена корректно и создаст ожидаемый уровень защищенности? Такие вопросы должны прорабатываться на всех этапах жизненного цикла информационной системы и инфраструктур обеспечения, но зачастую они поднимаются только тогда, когда проблема уже возникла или в случае если появилась необходимость обосновать затраты на увеличение существующих мощностей.

Нагрузочное тестирование

Эффективным подходом к решению обозначенных проблем является применение методов нагрузочного тестирования.

Нагрузочное тестирование позволяет ответить на следующие вопросы:

• Как поведут себя в условиях обычных или распределенных атак отказа в обслуживании (DoS- и DDoS-атак) сетевые сервисы в целом и обеспечивающие их компоненты ИТ-инфраструктуры?
• Достаточно ли производительности используемой СОИБ для функционирования в условиях прогнозируемой нагрузки с должным уровнем обеспечения качества информационных сервисов? Достаточна ли производительность самих сервисов?
• Правильно ли проведена настройка межсетевых экранов и средств обнаружения вторжений?
• С какой скоростью наполняются журналы регистрации событий средств СОИБ, операционных и информационных систем? Не приведет ли к отказу в обслуживании переполнение журналов событий? Есть ли необходимость в изменении правил протоколирования событий?
• Успешно ли справляются со своими задачами антивирусные почтовые шлюзы и системы фильтрации спама?

При анализе проблем производительности нагрузочные тесты позволяют выявить узкие места в инфраструктуре и дают возможность оценить результативность принятого решения после исправления выявленных недостатков (внесения изменений).

Из-за наличия в масштабной ИТ-инфраструктуре большого числа объектов тестирования оно может производиться самыми разными методами. Это может быть как создание атакующего, вирусного или легитимного трафика, так и эмуляция деятельности пользователей либо одновременное выполнение таких действий. Различаться могут точки, в которых создается нагрузка (трафик). Например, может потребоваться провести тестирование защищенности сетевого сервиса как от атак, исходящих изнутри локальной сети предприятия, так и от атак, исходящих из сети Интернет.

К проведению нагрузочного тестирования не следует подходить как к задаче, выполняющейся единожды. В условиях функционирования современных предприятий ИТ-инфраструктура может очень динамично развиваться и соответственно изменяться. Изменяются свойства сети, состав и качество прикладных сервисов, число пользователей, свойства СОИБ. Поэтому оценка реакции системы на повышение нагрузки должна быть регулярной и выполняться, например, при проведении периодического аудита информационной безопасности.

INFORION-NAG

INFORION-NAG - это программно-аппаратный комплекс, предназначенный для:

• тестирования корпоративных информационных систем и средств обеспечения информационной безопасности на устойчивость к внутренним и внешним сетевым атакам, в том числе и распределенным;
• тестирования пропускной способности каналов передачи данных и сетевого оборудования;
• тестирования производительности сетевых сервисов и приложений.

Злонамеренная нагрузка имитируется распространенными атаками типа flooding. Кроме того, может быть сымитирована передача вредоносного ПО (вирусов) по распространенным прикладным протоколам.

Легитимная нагрузка является эмуляцией деятельности пользователей и создается для следующего набора прикладных сетевых сервисов: SMTP (с возможностью включения в трафик спама и вирусов), FTP, HTTP, SMB, Microsoft SQL Server, Oracle SQL Server. Состав поддерживаемых сервисов и возможностей по их тестированию регулярно расширяется. Увеличивается число поддерживаемых атак. Комплекс позволяет выполнять как однонаправленное тестирование, так и одновременное создание нагрузки на разные компоненты исследуемого объекта.

Продукт ориентирован на операторов связи, сервис-операторов, провайдеров услуг Интернета, производителей различного сетевого оборудования и промышленных комплексов, а также на все предприятия и организации, заинтересованные в обеспечении устойчивости ИТ-инфраструктур и их отдельных компонентов к повышенным нагрузкам и атакам.

Архитектура комплекса

INFORION-NAG выполнен на специализированной аппаратной платформе, имеющей девять встроенных сетевых интерфейсов, восемь из которых используется для поддержки выделенных зондов, а один - для управления. Архитектура комплекса является распределенной клиент-серверной. В ее состав входят следующие основные компоненты: мастер, зонды и консоль управления.

Мастер осуществляет координацию работы всего комплекса посредством выдачи задач зондам, управления ими, мониторинга условий прекращения тестов, генерации отчетов и выполнения ряда других задач. Он установлен на аппаратную платформу INFORION-NAG и не может быть развернут на других средствах администратором комплекса.

Зонд - компонент комплекса, непосредственно выполняющий генерацию трафика сетевых атак и тестов производительности. Зонды могут использоваться на аппаратной платформе комплекса совместно с мастером или устанавливаться на выделенные платформы. На каждом из восьми сетевых интерфейсов аппаратной платформы можно запустить один или несколько зондов в зависимости от замысла нагрузочного теста. Зонды, установленные на внешних выделенных платформах, также работают под управлением мастера.

Процесс тестирования

INFORION-NAG предлагает возможности гибкой настройки политик тестирования. Атаки и нагрузочные тесты могут выполняться одновременно с различными параметрами из разных сегментов сети. Продолжительность выполнения каждой задачи может задаваться пользователем или зависеть от измеряемых параметров, таких как время отклика на ICMP-эхо-запрос или время подключения к TCP-порту. Политики тестирования могут сохраняться, что дает возможность неоднократно повторять тестирование и отслеживать динамику изменения результатов. Процесс выполнения тестирования и использование ресурсов аппаратного комплекса и внешних зондов отображается с помощью специального монитора, интегрированного в графический интерфейс управления.

Одной из основных проблем при проведении нагрузочного тестирования является координация действий различных разрозненных утилит. INFORION-NAG предлагает комплексный подход, осуществляя централизованную координацию действий зондов, располагаемых в разных сегментах сети.

Высокопроизводительная аппаратная платформа позволяет с высокой интенсивностью создавать нагрузку на прикладные сервисы, а использование дополнительных внешних рабочих станций - увеличить суммарную нагрузку, создаваемую в процессе тестирования. Форм-фактор устройства позволяет осуществлять его установку в стандартные телекоммуникационные шкафы.

Проведение нагрузочного тестирования - сложная организационно-техническая задача, и один инструмент не может решить все потенциально возможные проблемы, однако использование продукта INFORION-NAG обеспечивает максимально простое развертывание средств нагрузочного тестирования и позволяет реализовывать сложные стратегии контроля, пользуясь ими регулярно.

Более подробную информацию о комплексе INFORION-NAG можно найти на Интернет-сайте компании ИНФОРИОН.