Auftraggeber des Projekts war ein Vertreter eines bekannten Telekommunikationsgeräteherstellers. Zahlreiche Netzwerksicherheitsgeräte wurden im a1qa Labor getestet.

Da die Prüfarbeiten mit der Aufsichtsbehörde im Bereich der Informationssicherheit abgestimmt werden mussten, erstellten die a1qa-Spezialisten ein detailliertes Dokument mit dem Titel "Prüfprogramm und Methodik" sowie eine Reihe von technischen Unterlagen für die Zertifizierung.

Die Hauptaufgabe bestand darin, die Übereinstimmung mit der regionalen Fassung der ISO 15408 zu überprüfen. Zu den geprüften Geräten gehörten Hardware- und Softwarekomplexe verschiedener Klassen. Für jedes Gerät wurden rund 5.000 Tests durchgeführt.

Für die Tests wurde eine umfassende Laborumgebung mit mehreren Teilnetzen eingerichtet, um die angreifenden Ressourcen von den geschützten Ressourcen zu trennen.

Darüber hinaus entwickelten die a1qa-Ingenieure eine Reihe von automatisierten Checks, um die Geräte, deren Übertragungskapazität von 3 Gbit/s bis 100 Gbit/s reichte, regelmäßigen Belastungstests zu unterziehen.

Es wurden Sicherheitstests durchgeführt. Diese umfassten eine Sicherheitsbewertung, die Ermittlung von Schwachstellen und die Beurteilung der Zertifizierungsbereitschaft der Geräte.

Die Testumgebung wurde auf der virtuellen Infrastruktur VMware ESX(i) auf verschiedenen Hardwareplattformen eingerichtet. Das geschützte interne Netzwerk bestand aus mehreren virtuellen Maschinen, die mit Server- und Benutzerbetriebssystemen der Windows- und Linux-Familien verbunden waren.

Auf den virtuellen Maschinen wurden ein Domänencontroller mit DNS- und DHCP-Serverrollen, ein Webserver mit einer bereitgestellten Webanwendung, ein Mailserver, ein FTP-Server, ein NFS-Server und -Client, ein Mailclient und andere für den Betrieb des Systems erforderliche Komponenten installiert.

Das externe Netzwerk bestand ebenfalls aus virtuellen Maschinen, und zur Durchführung der Angriffe wurden Tools des Kali-Linux-Distributors verwendet.

Das a1qa-Team führte die Tests streng nach Zeit- und Kostenplan durch und bestätigte, dass die angegebenen Funktionen der Geräte den Sicherheitsanforderungen entsprechen.

Alle festgestellten Mängel wurden analysiert und gemeinsam mit dem Hersteller bearbeitet.

Notwendigkeit der Koordinierung der Tests mit der Aufsichtsbehörde im Bereich der Informationssicherheit:

• Die Spezialisten von a1qa erstellten eine vollständige und detaillierte technische Dokumentation für die Zertifizierung, die alle gesetzlichen Anforderungen erfüllte.

Notwendigkeit regelmäßiger Lasttests für Geräte mit einer Kapazität von 3 bis 100 Gbit/s:

• Für diese Aufgabe haben die a1qa-Ingenieure eine Reihe von automatisierten Tests entwickelt.