Een firewall is al lang niet meer voldoende om uw netwerk te beschermen. De meeste fabrikanten van beveiligingsoplossingen bieden dan ook een allesomvattende beveiligingsappliance aan: de Universal Threat Management of UTM-appliance. We hebben er vier nieuwe getest: Check Point UTM-1 570, gateProtect GPA-400, Phion M3 en SecPoint P1000.

Eind november (in Data News nr. 38 van 28/11/2008) testten we vier UTM’s: Fortinet FortiGate 310B, NetASQ U250, SonicWall NSA4500 en Vasco aXs-Guard AG5506. De vier nieuwe UTM’s die we hier bespreken, hebben we volgens dezelfde methode getest. De tabellen die bij dit artikel horen, kunt u downloaden in de Specials-rubriek op onze website. De test van eind november vindt u in pdf-formaat op onze website in de rubriek Magazines (nr. 38 vanaf pagina 48).

Check Point UTM-1 570

Check Point heeft een serie UTM-1 appliances waarvan de firmware identiek is. Het verschil zit ‘m in de netwerkprestaties. Model 570 is bedoeld voor 250 gebruikers. De basisfunctionaliteit van de UTM-1 werkt via vier vaste netwerkpoorten. CheckPoint levert een usb-sleutel mee waarmee u de appliance snel weer in de fabrieksinstellingen kunt zetten. U kunt met een voor lokaal beheer ingestelde UTM-1 alle andere UTM-1’s binnen de organisatie centraal beheren. Er is een webgebaseerde wizard voor de eerste configuratie, maar daarna gebruikt u het SmartDashboard en diverse SmartConsoles. Dat zijn beheerapplicaties voor Windows. Er is een webinterface aanwezig in de UTM-1, maar die dient alleen voor de appliance-specifieke configuratie en het daaraan gebonden beheer, zoals netwerkinstellingen en afsluiten of upgraden en back-ups maken van de configuratie. De UTM-1 is in essentie een firewall op steroïden. Met behulp van SmartDashboard definieert u policypakketten. Voor elk reglement maakt u de bijbehorende regels voor alle soorten van netwerkobjecten, -groepen en -structuren met acties voor een of meerdere diensten tegelijk. Daarbij kunt u rekening houden met alle denkbare protocollen en netwerkverkeer. Voor alles kunt u regels opstellen en afdwingen. Naast de bijzonder uitgebreide firewall-functionaliteit kunt u regels aanmaken voor SmartDefense en voor inhoudsinspectie. Mits de aankoop van een bijkomende licentie kunt u ook antispam en antivirus inschakelen.

Deelconclusie

Check Point biedt een bijzonder veelzijdige en erg krachtige UTM-appliance. De functionaliteit is bijzonder volledig, inclusief krachtige inhoudsfilters. Met de UTM-1 kunt u zeer ingewikkelde beveiligingsstructuren opzetten die toch overzichtelijk gehouden worden via slimme objectkaarten met bijbehorende navigator.

gateProtect GPA-400

De gateProtect GPA-400 appliance is een vrij grote vuurrode 19-inch kist van twee rekeenheden hoog. Achterop zitten alle aansluitingen, waaronder zes netwerkaansluitingen die u naar believen indeelt. De GPA-400 is het kleinste model van drie; de twee hogere zijn de GPX-800 en GPX-1000. Ze gebruiken dezelfde firmware, alleen de prestaties verschillen. gateProtect noemt zijn beveiligingsappliances trouwens xUTM-appliances waarbij die kleine ‘x’ staat voor ‘extended’. Dat verwijst naar de uitgebreidere UTM-functionaliteit dan voorzien zou zijn bij de concurrentie. Extra’s zijn een uitgebreide gebruikersauthenticatie (xUA) en een uitgebreide vpn (xVPN). De uitgebreide gebruikersauthenticatie slaat op alle diensten en protocollen, niet alleen http. En ook xVPN dient voor alle mogelijke diensten via SSL en is dus niet beperkt tot het gebruikelijke. gateProtect voorziet hoge beschikbaarheid met synchronisatie over verschillende kanalen en lastenverdeling op de gateway met verdeling van diensten. De xUTM-appliance kent verder een uitgebreide functionaliteit inzake netwerkverkeeroptimalisatie ( traffic shaping en QoS), waarbij deze optimalisatie ook toegepast kan worden binnen in vpn-tunnels en voor zowel up- als download.

Een individuele appliance beheert u met behulp van een Administration Client. gateProtect biedt daarnaast Command Center V2 voor het centraal beheer van tot 500 UTM-appliances. U bespaart tijd door de beginnerswizard af te lopen en dan achteraf alles te gaan fijnregelen naar uw expertgebonden wensen. Dit zorgt ervoor dat uw appliance zo snel mogelijk werkt.

gateProtect gebruikt een licentiesysteem waarbij u kiest welk soort beveiliging u wenst voor hoeveel gebruikers. De mogelijke beveiligingsdiensten zijn: een virusfilter met een echte https-scan, een spamfilter met real-time detectie en een inhoudsfilter. Die omvat ook een webfilter, maar die kunt u helaas omzeilen via de cache van Google.

Deelconclusie

Deze gateProtect UTM-appliance werkt met een beheerclient terwijl wij liever een webinterface zien, maar dat neemt niet weg dat dit een van de gebruikersvriendelijkste oplossingen is die we onder ogen kregen. De ingebouwde webfilter vinden we wat tekortschieten, maar kan wel door uzelf bijgesteld worden. Dat kost dan weer tijd. De andere filters blijken prima te werken en ook de firewall en vpn zijn van het hoogste niveau.

Phion M3

Ook Phion heeft UTM’s die voornamelijk in prestaties verschillen, maar grotendeels van dezelfde soft- of firmware gebruik maken. Voor deze test kregen we de M3, bedoeld voor een paar honderd gebruikers. Er zijn vier vrij configureerbare Gigabit-netwerkpoorten, waarvan de eerste standaard voorbehouden is als beheerinterface. Dat kunt u echter wijzigen. De appliances draaien onder PhionOS, een eigen besturingssysteem op basis van een geharde Linux-kernel. Naast de beveiligingsactiviteiten kan een Phion appliance ook dienen als smtp-relay, htt-proxyserver en als DNS-server.

Voor het beheer maakt u gebruik van een speciale beheerapplicatie genaamd Phiona. Dat is een zogenaamde ‘portable application’: een programma dat u niet hoeft te installeren maar op eender welk opslagmedium (bijvoorbeeld een usb-staaf) kunt starten. Phiona dient zowel voor het centraal als voor het lokaal beheer. De Phion M3 bevat vpn-technologie met onder meer AES 256-encryptie, inbraakpreventie en -detectie, bescherming tegen DoS- en DDoS-aanvallen, bandbreedtebeheer en wan-optimalisatie. Bovendien kan de appliance ook inhoudsbeveiliging met een spam- en webfilter uitvoeren. De inhoudsfilter voor webtoegang blijkt standaard meer bedoeld te zijn om aanvalspogingen te onderscheppen. We vonden niet zo direct een manier om categorieën websites te verbieden, maar wellicht is dat een optie met bijkomende licentie die ons niet geleverd werd. Voor het opzetten van vpn-tunnels biedt Phiona een klik-en-sleepsysteem waarmee u het vpn-netwerk als het ware kunt tekenen.

Deelconclusie

Phion levert met de Netfence M3 een appliance met een enorme hoeveelheid beveiligingsinstellingen en -mogelijkheden die dankzij het beheerprogramma Phiona zowel lokaal als centraal goed onder controle gehouden kunnen worden. De beheerapplicatie is gebruiksvriendelijk, maar vereist een verregaande technische kennis en even gewoon worden aan de plaatsing van sommige parameters.

SecPoint P1000

De SecPoint Protector P1000 is uitgevoerd in blauw en heeft vier netwerkpoorten. Een opvallend verschil met andere UTM’s is dat deze appliance geen router en geen firewall is. SecPoint veronderstelt dat zowat alle bedrijven met een internetaansluiting deze functies al ingevuld hebben. Bijgevolg gebruikt u deze UTM-appliance als een inline-filter. Er zijn standaard maar twee van de vier netwerkpoorten in gebruik. Poort ‘C’ sluit u aan op de internetkant (liefst onmiddellijk na uw router) en poort ‘D’ op uw binnennetwerk. Daarna geeft u de appliance een adres in uw netwerk en dan kan hij werken. De webinterface voor het beheer steekt eenvoudig in elkaar. De hoofdrubrieken vallen uiteen in ‘pull-down’-menu’s met soms uitgebreide opties, maar vaak is het niet meer dan opties aan of uit zetten. De SecPoint Protector heeft naast antispam ook volledige antimalware-onderschepping voor zowat alle protocollen aan boord. Ook zijn er inhoudsfilters voor post en webverkeer. Standaard gebruikt SecPoint de gratis opensource antimalware-engine ClamAV. Die is echter niet zo goed en daarom kunt u ook kiezen voor een alternatieve engine: BitDefender, Kaspersky of Norman. Veel van de beveiligingsopties zijn eigenlijk niet door uzelf instelbaar, buiten dan dat u ze kunt aan- of uitzetten. Dat maakt het beheer natuurlijk supereenvoudig. Omdat deze UTM zich specialiseert in inhoudsfiltering en geen firewall of router aan boord heeft, zijn er natuurlijk geen firewallregels te vinden. Er zitten wel bepaalde firewallfunctionaliteiten in, maar die hangen samen met de inhoudsfilters en de IPS. De webfilter laat zich helaas om de tuin leiden als een gebruiker een verboden pagina probeert op te halen via de cache van Google.

Deelconclusie

SecPoint veronderstelt dat de meeste bedrijven al een firewall en router hebben. Daarom zitten deze functionaliteiten niet in deze UTM. We begrijpen die redenering wel, maar het zou niet zoveel meer gekost hebben om dat toch toe te voegen. Dat zou de inzetbaarheid van deze appliance enorm hebben doen toenemen. De inhoudsfilters werken voorbeeldig en de spamfilter is zelfs uitstekend, maar de webfilter kan nog heel wat beter.

Algemene Conclusie

Als we ook rekening houden met de vier UTM’s die we vorige keer op dezelfde manier testten, dan springt de eerder geteste NetASQ U250 eruit als beste presteerder. Samen met eveneens eerder geteste Vasco aXsGuard AG5506 is dit ook onze beste koop van de acht geteste UTM’s. De gateProtect krijgt met zijn GPA-400 van ons een eervolle vermelding.

Johan Zwiekhorst