Met een economie in volle recessie moet er bespaard worden – ook bij de ict-afdeling. En beveiliging is dan vaak – doch niet altijd verstandig – het eerste waarin we snoeien. Dit is dan ook het moment bij uitstek om eens te kijken naar een aantal beveiligingsproducten die gratis of zeer goedkoop zijn. Beveiligen die wel doeltreffend?

Vaak zijn het de beveiligingsbudgetten die het eerst sneuvelen als het minder goed gaat. U kunt dan besparen door gebruik te maken van beveiligingsoplossingen die gratis zijn of slechts een zeer beperkt budget vereisen. Met een beperkt beveiligingsbudget maakt u zich terecht zorgen. Een zwakke beveiliging is onvoldoende en maakt u dus kwetsbaar. Hackers of malware veroorzaken schade. In geval van vandalisme recht-streekse schade, in geval van gegevensdiefstal zowel onmiddellijke als toekomstige schade. Die schade kan financieel gezien veel groter uitvallen dan de kostenbesparingen die u kon bekomen door voor een te goedkope beveiliging te kiezen. Om nog maar te zwijgen van de kosten die u moet maken om veroorzaakte schade weer te herstellen. Een te zwakke beveiliging is dus geen optie.

Er bestaat natuurlijk heel wat gratis beveiligingssoftware voor Windows-desktops, maar dan komen we bij de klassieke antivirus, antiparasiet-, persoonlijke firewall- en internetfilteroplossingen terecht. Dat is leuk voor eindgebruikers, maar als bedrijf hebt u iets meer nodig. Gratis desktopoplossingen kunnen immers niet centraal beheerd worden in een netwerk en beveiligen ook niet uw hele netwerk in een klap. Dat neemt niet weg, dat sommige gratis stukjes software wel interessant kunnen zijn voor gebruik in een bedrijf. Kwetsbaarheidsscanners, bijvoorbeeld. Wist u echter, dat er ook firewalls en zelfs volledige UTM’s volledig gratis te verkrijgen zijn?

Open source UTM

We presenteren u een aantal open source en gratis te gebruiken UTM’s of ‘Unified Threat Management’ oplossingen, sommige met optie op onderhoudscontracten, in alfabetische volgorde. U moet wel nog zelf voor de bijpassende hardware zorgen. Maar dat kan heel bescheiden, zelfs in een virtuele machine als het moet. Sommige van deze softwarematige UTM’s zijn zo compact dat u ze zelfs vanaf een flashgeheugen of cd-schijfje kunt draaien.

Endian Firewall Community

Ondanks de naam is dit wel degelijk een UTM-appliance en niet alleen een firewall. Het gaat om een open source Linux oplossing die u op een pc of in een virtuele machine installeert. Die moet dan wel minstens twee of drie netwerkkaarten hebben. Op die manier krijgt u een volledige UTM-appliance met alle functionaliteit die u daarvan verwacht. Er zit een ‘stateful’-pakketinspectiefirewall in, plus proxy’s op applicatieniveau voor inhoudsgedreven protocols zoals http, ftp, pop3 en smtp. Via deze proxy’s kan dan inhoudsfiltering gebeuren, antispam en antivirus. Deze UTM-software biedt ook OpenVPN. Endian is overigens een normaal winstmakend bedrijf. Deze gratis oplossing moet dan ook vooral laten zien waartoe Endian in staat is. Bovendien hoopt het bedrijf natuurlijk, dat u ertoe zult overgaan hun commerciële UTM-appliances in hard- of software te kopen. In vergelijking met het commerciële aanbod ontbeert de ‘community’-versie de commerciële ondersteuning en er is ook geen goede updatemogelijkheid voor de diverse diensten. De installatie gebeurt via een tekstwizard. Die houdt de zaken vrij eenvoudig. Hij gebruikt kleuren om de netwerkpoorten mee aan te duiden. De Endian Firewall Community heeft momenteel het versienummer 2.3.

Beheer

De webinterface ziet er karig doch smaakvol uit. U kunt kiezen uit hoofdrubrieken Systeem, Status, Netwerk, Services, Firewall, Proxy, VPN en Logs. Elk van deze hoofdrubrieken klapt uit in een menu van subrubrieken uiterst links. De rest van de pagina bevat de detailinformatie. Onder Proxy zitten alle inhoudsfilters en antivirus. Er is duidelijk werk gestoken in de webinterface, want van vrijwel alles zijn status- en statistiekgrafieken op te vragen. Voor de firewall en de proxy’s kunt u regels opstellen met tijdsbeperkingen.

Beoordeling

Voor een gratis product zijn we behoorlijk onder de indruk van Endian. Helemaal niet slecht!

www.endian.com/en/community/overview

m0n0wall

M0n0wall is een softwarefirewall. Die downloadt u en brandt hem op een cd-r. Een oude pc met twee of drie netwerkkaarten is prima. Die tovert u dan om tot een firewallappliance met m0n0wall. De achtergrond van m0n0wall is, dat de Zwitserse auteur een systeem wilde dat van voor tot achter configureerbaar was via een webinterface en dus nooit zou vereisen dat u gebruik moet maken van een Linux shell script of iets dergelijks. Omdat m0n0wall minder dan 6 MB schijfruimte in beslag neemt, kan het ook draaien vanaf een flashgeheugen. M0n0wall gebruikt als basis het besturingssysteem FreeBSD (ook gratis) dat ontdaan is van alles wat voor een firewall overbodig is. De transportsnelheid van de firewall is afhankelijk van de gebruikte hardware, maar de kabelsnelheid van Ethernet is zeker mogelijk en met modernere pc’s is ook Gigabit Ethernet geen probleem. M0n0wall draait volledig vanaf de cd of het flashgeheugen en heeft dus geen harde schijf nodig. Omdat alles zo compact is, komt m0n0wall toe met zelfs heel erg oude pc’s: een 486-cpu met 64 MiB RAM is prima, zolang u er twee netwerkkaarten in kwijt kunt. We zitten overigens aan versie 1.3.

Beheer

De configuratie is een xml-bestand en die slaat u op een diskette op. Standaard werkt m0n0wall met een configuratie waarbij de lan-aansluiting ip-adres 192.168.1.1 heeft, alleen is nog niet duidelijk welke netwerkaansluiting bij lan en bij wan hoort. Dat kunt u configureren met behulp van een tekstmenu dat verschijnt op de firewall-pc. De autodetectie van de netwerkkaarten blijkt niet te werken. We komen wel twee aansluitingen ‘xl0’ en ‘rl0’ tegen waarvan we door de netwerkkabel even uit te trekken kunnen bepalen dat xl0 overeenkomt met wat wij als lan-aansluiting willen hebben en rl0 is dan de wan-aansluiting. Als we dat ingesteld hebben, wil m0n0wall de configuratie op een diskette schrijven en de pc herstarten. Dat is gelukkig erg eenvoudig gehouden, omdat m0n0wall een gewone fat-diskette geschikt voor DOS en Windows verwacht. Eenmaal dat dit allemaal in orde is, gebruikt m0n0wall een standaardconfiguratie waarin van wan naar lan alles geblokkeerd is en van lan naar wan alles toegelaten. Via de webinterface kunt u die regels aanvullen of wijzigen. De webinterface heeft een traditionele menubalk uiterst links en detailschermen rechts daarvan. Het is mogelijk meerdere gebruikers te definiëren voor het webbeheer, maar de firewallregels gelden voor het hele lan en kunnen dus niet gespecificeerd worden voor specifieke gebruikers of gebruikersgroepen.

Beoordeling

M0n0wall is recht voor de raap en uiterst eenvoudig. Er is geen extra functionaliteit buiten de firewall, dus geen inhoudsfilter, geen proxyserverdienst, geen IDS en ook geen VPN. Als u alleen maar behoefte heeft aan een firewall zonder meer die kan draaien in een minimaal systeem, is m0n0wall beslist een kijkje waard.

www.m0n0.ch/wall

SmoothWall Express

SmoothWall is een firewallsysteem dat al jaren bestaat. Tegenwoordig heet de gratis variant SmoothWall Express. We zitten aan versie 3.0 SP1. Zoals bij zoveel oorspronkelijk gratis producten zit er sinds een aantal jaren ook een commerciële component aan. De commerciële SmoothWall omvat ondersteuning en u kunt zelfs complete appliances met de SmoothWall firewall aan boord kopen. SmoothWall Express is open source en draait op Linux. Het wordt geleverd als een complete distributie, dus met een geharde en gestripte Linux aan boord. U downloadt een cd-image, brandt dat en installeert het in een oudere pc met twee of drie netwerkkaarten. Naar keuze kunt u een 32-bit of een 64-bit systeem downloaden. De installatieprocedure is dezelfde die door meer van deze Linux-gebaseerde gateways gebruikt wordt: het gaat om een tekstwizard die een aantal schermen met netwerkconfiguratievragen afloopt en u uw eigen toetsenbord en uw eigen taal laat kiezen. U hoeft helemaal niets van Linux te kennen, maar u moet wel iets van netwerkconfiguraties afweten. De installatieprocedure van SmoothWall wil namelijk weten welke netwerkkaarten ze moet gebruiken voor welk doel en welke configuratie die moeten krijgen. SmoothWall gebruikt kleuren om het doel aan te geven.

Beheer

SmoothWall Express heeft een bijzonder mooie en fris ogende webinterface van het tabbladtype. Er is geen echte voorziening voor het definiëren van allerlei ingewikkelde firewallregels, maar u kunt wel beperkingen opleggen aan het verkeer van bepaalde tcp-protocols of ip-adressen en u kunt toegang van een meer onveilige naar een veiliger niveau voor bepaalde diensten instellen. U kunt de configuratie van SmoothWall bewaren op een usb-stick of diskette en bij een eventuele herinstallatie terug inlezen. Er is een mogelijkheid om SNORT (een inbraakdetectiesysteem, zie ook www.snort.org) in te schakelen. SmoothWall Express kent ook enige voorzieningen om bepaald voor hackers typerend tcp-verkeer te blokkeren. U kunt SmoothWall Express als proxy gebruiken: daarvoor zit de Squid proxyserversoftware erbij. Er is inhoudsfiltering en ClamAV antivirus voorzien, en zelfs een IM-proxyfilter.

Beoordeling

Met SmoothWall Express krijgt u een functionaliteit die vergelijkbaar is met de meeste breedbandrouters en nog heel wat verder gaat. Hiermee kunt u wel wat meer netwerkstations bedienen dan met de meeste breedbandrouters. Bijgevolg ook een erg interessant product voor bedrijven. En als wij SmoothWall met Endian vergelijken, dan moeten we toch vaststellen dat ze wel heel erg op elkaar lijken. SmoothWall was er eerst, dus denken we dat Endian daar de mosterd is gaan halen.

www.smoothwall.org

Untangle

In 2002 begonnen twee Californiërs met Untangle (letterlijk: ontwarren) omdat ze een afdoende beveiliging voor kmo-netwerken veel te duur of veel te omslachtig vonden, of beide. Alleszins vereisten de diverse gratis of zeer goedkope beveiligingsproducten allemaal aparte servers en dat vonden ze ook niet goed voor een kmo. Vandaar dus het ontwarren van dat beveiligingskluwen. Untangle bestaat uit een voorgeconfigureerd en geïntegreerd geheel van open source beveiligingsapplicaties die tesamen een volledige UTM vormen. U downloadt en brandt een iso: die installeert via een gemakkelijke wizard op een pc en u bent meteen beveiligd. Met een webinterface beheert u het systeem. Untangle bestaat inmiddels al een tijdje. Het open source en gratis gedeelte kunt u naar wens aanvullen met commerciële opties. Standaard krijgt u in het gratis gedeelte een firewall met IDS/IPS, OpenVPM, routing met QoS, aanvals-, fishing-, virus-, parasiet- en spamblokkering, een webfilter, applicatie- of protocolcontrole en een rapportagemodule. Als commerciële opties kunt u een onderhoudscontract krijgen, een connector naar Active Directory, een Policy Manager (beveiligingsreglementbeheer), een Branding Manager (om het merk Untangle te vervangen door uw eigen), de webfilter van eSoft, de antivirusengine van Kaspersky, PC Remote (de desktops van pc’s en servers op afstand bedienen) en Remote Access Portal (clientloze VPN). Wel interessant: de signatuurupdates en software-upgrades zijn wel degelijk gratis voorzien in het standaardpakket. Untangle gebruikt overigens de Debian Linux-distributie als basis. Het Untangle-systeem gebruikt zelf een Firefox webbrowser voor zijn installatiewizard. Die wizard laat u in een paar stappen het systeem heel eenvoudig configureren en werkklaar maken. U kunt het systeem configureren als een transparante brug (inline-UTM) of als een router met ingebouwde UTM. De huidige versie is 7.1.

Beheer

De webinterface van Untangle is een waar juweeltje. Er is een bijzonder innovatieve aanpak gebruikt. U krijgt namelijk een 19-inchrek van beveiligingsappliances te zien. Links staat een lijst van beschikbare applicaties en rechts ziet u de software in de vorm van appliances die al draaien. U hoeft maar op een applicatie te klikken in de lijst uiterst links en dan verschijnt de bijhorende appliance in het rek. Er zijn knoppen om de appliance aan of uit te zetten, om de instellingen te bekijken en te wijzigen, en er zijn statusmeters voor activiteit, sessies en dataverwerkingssnelheid.

Beoordeling

Untangle is een prachtig product. We vinden het erg fraai dat standaard alle functionaliteit voorzien is, zelfs antimalware en inhoudsfilters. U moet alleen bijbetalen voor betere commerciële producten. Untangle is meteen een van onze favoriete goedkope beveiligingsproducten!

www.untangle.com

Vyatta Community Edition

Bij Vyatta richt men de pijlen vooral op Cisco. Met vijf nogal tendentieuze vragen en vijf “schokkende” antwoorden moet u tot de conclusie komen dat Cisco pure geldverspilling is en dat Vyatta de voor de hand liggende keuze is. Wij denken dat Vyatta zich geen illusies moet maken: bedrijven die Cisco kunnen betalen, zullen dat ook doen. Bedrijven die moeten besparen, zullen eerder geneigd zijn eens naar Vyatta te kijken. De naam ‘Vyatta’ komt overigens uit het Sanskriet en betekent “open”. Ook hier kunt u een iso down-loaden en die dan virtueel of op een echt systeem installeren. Helaas voorziet Vyatta geen mooie grafische interface, maar moet u eerst inloggen op een Unix opdrachtregel en dan handmatig een tekstconfiguratie starten. Geen wizard, maar in te tikken opdrachtregels. Het werkt, maar wij waren wel wat anders gewend van de andere gratis UTM’s of firewalls in deze test. Voor de duidelijkheid: dit is geen UTM maar een firewall. Het enige dat hij extra biedt, is antivirus met ClamAV. De gratis ‘Community Edition’ zit aan versie 5, al zou versie 6 uit kunnen zijn tegen de tijd dat u dit leest.

Beheer

Het beheer moet volledig via de opdrachtregel gebeuren. Er is geen webinterface. U definieert firewallregels via losse opdrachtregelbevelen. Met ‘show firewall’ kunt u alles inspecteren vooraleer ‘commit’ te typen om de configuratie actief te maken. Dit is een erg rudimentaire aanpak en dus niet bepaald onze favoriet.

Beoordeling

Vyatta is erg rudimentair met zijn opdrachregelinterface. We raden die dus alleen aan als u een zeer compacte firewallappliance nodig hebt.

www.vyatta.com

Security Scanners

Weten of uw netwerk goed beveiligd is, is natuurlijk ook goud waard. Nog leuker is het, als die wetenschap u helemaal niks kost. Een ‘security scanner’ (veiligheidsscanner) of ‘vulnerability scanner’ (kwetsbaarhedenscanner) zoekt naar veiligheidslekken in uw netwerk. Wij vinden dat een goede scanner niet alleen mogelijke kwetsbaarheden moet melden, maar ook suggesties moet doen in verband met het aanpakken of oplossen van zulke kwetsbaarheden. Hierna bekijken we enkele gratis security scanners die soms verrassend veelzijdig zijn.

Kismet Wireless

Kismet Wireless is open source en gratis. Het is een netwerkdetector, pakketsnuffelaar en inbraakdetectiesysteem voor draadloze netwerken volgens IEEE 802.11. Dat omvat verkeer van 802.11a, b en g en in principe ook 802.11n. Het programma werkt onder Linux en andere Unix-varianten zoals *BSD en Mac OS X. Qua hardware hebt u een draadloze netwerkkaart nodig die promiscue kan werken en dus ook netwerkpakketten kan ontvangen die niet voor hem bestemd zijn. Er zijn een twintigtal wlan-kaarten die Kismet ondersteunt, en hoewel er een versie gecompileerd is voor Windows ondersteunt die er slechts een. In de praktijk maakt dat de Windowsversie alleen bruikbaar als drone (zie verderop).

Passief

In tegenstelling tot andere wlan-detectiesystemen werkt Kismet puur passief. Er worden dus geen netwerkpakketten uitgezonden, het werkt alleen op basis van wat de wlan-kaart kan ontvangen. Een zogenaamde promiscue netwerkkaartinstelling zorgt ervoor dat de kaart alle netwerkpakketten op het netwerk opvangt, dus ook alle pakketten die niet voor hem bestemd zijn. In een draadloos netwerk betekent dit, dat de promiscue wlan-kaart pakketten opvangt of ‘snuffelt’ van alles wat maar uitzendt en in het bereik van de netwerkkaart ligt: AP’s, clients, noem maar op. De Kismet-software kan dan de AP’s en de clients met elkaar associëren zodat u kunt zien wie met wie contact probeert te leggen.

Functionaliteit

Via de uitgezonden netwerkpakketten kan Kismet dus inbraakpogingen ontdekken en biedt dus basis IDS-functionaliteit. Daarbij kan Kismet ook concurrerende snuffelaars zoals NetStumbler ontdekken, zolang ze maar actief zijn en niet zoals Kismet passief. De aanwezigheid van een passieve snuffelaar zoals Kismet is niet te detecteren op het draadloze (of bekabelde) netwerk. Kismet ondersteunt het bewaren van gesnuffelde pakketten en doet dat dan in standaardformaten zoals Airsnort en tcpdump/Wireshark. Om zoveel mogelijk draadloze netwerken op te sporen, ondersteunt Kismet kanaalhuppelen. In plaats van sequentieel van een kanaal naar het volgende te navigeren, springt Kismet in een niet-sequentiële volgorde tussen de kanalen heen en weer waarbij telkens een groot gat gelaten wordt. Omdat aan elkaar grenzende kanalen overlappen, vergroot Kismet hiermee de kans om meer pakketten te snuffelen.

Kismet werkt in drie onderdelen. Een ‘drone’ of robot verzamelt enkel netwerkpakketten, maar analyseert ze niet. Dat doet een Kismet server. Die kan alleen draaien en netwerkpakketten onderzoeken of dit doen in samenwerking met een drone. Het derde onderdeel is de client en die dient alleen maar om informatie te tonen: deze communiceert dus met de server. Tot slot kan Kismet de geografische locatie van een draadloos netwerk bepalen als u een gps-ontvanger aansluit en ondersteunt het dect-sniffing plus Wi-Spy DBx.

Beoordeling

Kismet Wireless is een uitstekend gereedschap om volledig passief te “snuffelen” en alle aanwezige AP’s en clients plus alle mogelijke intrusiepogingen te detecteren. Het vereist wel de nodige technische kennis en hoewel het open source is, blijkt niemand Windows echt te ondersteunen. U gebruikt het dus best met Linux of Mac OS X.

www.kismetwireless.net

NTSecurity Toolbox

Deze Toolbox (gereedschapskist) wilden we u beslist niet onthouden. Hoewel alle software in deze Toolbox gratis is, is het geen open source. Deze Toolbox is een verzameling security-gerelateerde kleine programmaatjes geschreven door de 34-jarige Zweed Arne Vidstrom. Arne is een it-beveiligingsresearcher en hij werkt voor het Defense Research Agency in Zweden. In zijn vrije tijd houdt hij zich ook nog eens met beveiliging bezig en wel via zijn website ntsecurity.nu. Hij schreef meer dan veertig programma’s die allemaal op een of andere manier met beveiliging en Windows te maken hebben. Er zitten heel wat tussen die Windows-beheerders uit de nood kunnen helpen als een systeem hen niet meer binnen laat, maar diezelfde programma’s zullen natuurlijk ook dankbaar geaccepteerd worden door hackers. Deze tekst zou veel te lang worden om alle programma’s individueel aan te halen – laat staan te bespreken – en dus verwijzen we u graag naar zijn website. Alle programma’s zijn gratis te downloaden en te gebruiken, maar het is geen open source en Arne is ook niet van plan de broncode vrij te geven.

http://ntsecurity.nu/toolbox

Conclusie

Zelfs als het gratis is, blijken sommige producten erg interessant te zijn en ook voor bedrijven zeer nuttige functionaliteit aan te bieden. Het interessante aan appliances in softwarevorm, is dat u ze kunt virtualiseren. Daardoor bespaart u op apparaten en stroomverbruik. Wenst u ondersteuning en snelle updates, dan zijn van sommige gratis producten iets duurdere commerciële versies beschikbaar. Wij zijn vooral onder de indruk van producten als Endian, SmoothWall en Untangle.

Johan Zwiekhorst