Een firewall is al lang niet meer voldoende om uw netwerk te beschermen. De meeste fabrikanten van beveiligingsoplossingen bieden dan ook een allesomvattende beveiligingsappliance aan: de UTM-appliance. Wij hebben er vier getest.
Elke beveiliging van uw netwerk begint met een firewall. Zo’n apparaat blokkeert de toegang tot uw bedrijfsnetwerk voor alles waar u niet specifiek toestemming voor gegeven hebt. Het zwakke punt van zo’n firewall is dat hij niet de data zelf kan controleren, alleen maar de weg die data aflegt van en naar de buitenwereld.
Om zelf op een veilige manier vanuit die buitenwereld uw bedrijfsnetwerk te kunnen gebruiken installeert u bovendien een VPN of ‘Virtual Private Network’. Via e-mail en via http (beide geldige toegangswegen van en naar de buitenwereld) kunnen er echter toch nog kwalijke dingen uw netwerk binnenraken. Daar hebt u dan weer andere beveiligingen voor nodig. Antivirus- en antiparasiet- of kortweg antimalwaremaatregelen om de virussen, trojans, wormen en ander gespuis tegen te houden. Inhoudsinspectie om e-mails te onderzoeken op spam en andere rommel, of om kwalijke dingen in webpagina’s en websites tegen te houden (zoals porno, diefstal van gevoelige informatie of zelfs complete identiteiten, parasieten en ander ongewenst materiaal). Daarnaast zult u pogingen tot inbraak in uw netwerk willen opsporen en blokkeren: dat doet u met een IDS of ‘Intrusion Detection System’. In verband hiermee ziet u tegenwoordig ook de afkorting IPS (Intrusion Prevention System) opduiken: hier probeert het systeem aanvallen te voorkomen in plaats ze alleen te detecteren. Antiphishing probeert het vissen naar privé-gegevens tegen te houden, zodat er geen wachtwoorden, e-mail- of webadressen, kredietkaart- of andere financiële gegevens en meer van dergelijke inlichtingen naar buiten gestuurd worden.
Unified Threat Management
U heeft met andere woorden zo’n vijf of zes beveiligingsoplossingen nodig om al die taken uit te voeren. Niet alleen kan dit uw netwerkprestaties beïnvloeden doordat die controles noodzakelijkerwijze allemaal in sequentie uitgevoerd moeten worden, al die toestellen nemen ook behoorlijk wat bedrijfsmiddelen in beslag, zowel financieel (aankoop, werkingskosten en onderhoud) als qua plaats. Het is dus wel een lucratief idee om al die aparte appliances in één apparaat te combineren: een ‘Unified Threat Management’ of UTM-appliance. Voordat wij een toestel een UTM-appliance noemen, moet het minstens zowel een firewall als inhoudsinspectie bevatten. Bij voorkeur kan het toestel nog meer: inbraakdetectie en -preventie (IDS/IPS), antimalware en anti-phishing. U kunt een UTM-appliance via het netwerk beheren, maar uiteraard alleen via de netwerkaansluiting voor het interne netwerk. Dat beheer kan via uw webbrowser of eventueel via speciale software die u daarvoor op uw beheerwerkstation moet installeren.
We bekeken uiteindelijk vier UTM-appliances voor grotere netwerken: Fortinet FortiGate 310B, NetASQ U250, SonicWall NSA4500 en Vasco aXsGuard. We vroegen ook UTM’s aan CheckPoint, SecPoint en WatchGuard, maar die fabrikanten slaagden er niet in om tijdig een appliance in ons testlab te krijgen, hoewel ze daar meer dan een maand de tijd voor hadden en ons herhaaldelijk beloofden dat de appliance onderweg zou zijn.
We bekeken de functionaliteit en de mogelijkheden van de appliance en het beheer. Wat krijgt u voor uw geld? Met behulp van de IBM ISS Internet Scanner hebben we voor elk van de appliances een scan uitgevoerd van zo’n 128 bekende kwetsbaarheden en dus beveiligingsrisico’s. Het goede nieuws is dat ze allemaal perfect scoorden en geen enkele informatie vrijgaven over het binnennetwerk. De toestellen die standaard een ping vanaf het internet toestonden werden wel als kwetsbaar gevlagd, maar dat is makkelijk genoeg uitschakelbaar als u dat wenst.
Fortinet FortiGate 310B
De FortiGate security appliances van Fortinet gebruiken van klein naar groot in essentie dezelfde firmware. Het verschil zit ‘m in de netwerkaansluitingen, de bandbreedte en de verwerkingssnelheid van het bijbehorende apparaat. De appliance kan als router of als transparante brug werken. Er zijn tien netwerkaansluitingen waarvan de allereerste standaard voorzien is als een poort voor het interne netwerk, en de vierde als een DMZ-aansluiting, maar dat is allemaal herconfigureerbaar. Fortinet geeft voor de 310B een werksnelheid op van tot 12 Gbit/s firewall met 9 Gbit/s VPN gecombineerd met 850 Mbit/s IPS- en AV-acceleratie. Fortinet wijst er ons met nadruk op, dat deze cijfers gelden voor effectieve werkbelastingen, dus draadsnelheden, en niet zoals bij sommige concurrenten met speciaal voor de meting aangepaste belastingen. Verder zijn er geen echte opties bij deze appliance. De standaardlicentie omvat immers alle beveiligingen die beschikbaar zijn. Een echt alles-in-één apparaat dus. Fortinet maakt zich sterk dat dit toestel inzake prijs en zeker functionaliteit prima kan concurreren met strikte ééndoel-appliances, zelfs al dekt de licentie en bijbehorende prijs altijd de volledige functionaliteit.
Beheer
Elk FortiGate-apparaat is te beheren via een webinterface. Standaard is die alleen bereikbaar in het interne netwerk, maar dat kunt u veranderen. Mocht u een groot aantal FortiGate appliances in uw bedrijf hebben of willen, dan heeft Fortinet ook nog een centraal-beheersysteem genaamd FortiManager in hun productgamma. De webinterface voor het beheer ziet er eenvoudig uit en blijkt ook zo te zijn in het bedienen ervan. Aan de linkerkant ziet u de basisfuncties van de security appliance en door ze aan te klikken splitst u ze uit in hun onderdelen. Elk aangeklikt onderdeel laat zijn configuratie in het rechterdeel van het scherm zien. Vaak is dat dan zelf ook weer in een aantal tabbladen onderverdeeld. Alle onderverdelingen zitten logisch in elkaar en de bediening van de diverse dialoogschermen is zo eenvoudig dat u ermee uit de voeten zou moeten kunnen zelfs als u vrijwel geen ervaring hebt met firewalls en dergelijke toestellen.
Beveiliging
Fortinet gebruikt een eigen antimalware-engine en uiteraard zorgt het systeem voor volautomatische frequente updates van die malwaresignaturen, maar ook van de andere signatuurdatabases voor parasieten, aanvalspatronen voor de ingebouwde IDS/IPS en updates voor de spamfilter.
Alle beveiligingen activeert u via een firewallreglement of policy. De beveiligingsinstellingen lopen via een beschermingsprofiel dat u kunt wijzigen. Het is mogelijk ‘overrides’ te definiëren voor beheerders of managers. Voor de verschillende ingebouwde inhoudsfilters kunt u zelf zoektermen definiëren, url’s of ip-adressen blokkeren, ActiveX, Java en andere scripts en cookies filteren. Fortinet heeft ook eigen filterdiensten waar de appliance van gebruik kan maken, zoals de FortiGuard webfilterdienst, en die dan volledig op afstand beheerd worden. Elk te controleren object wordt voorgelegd aan zo’n filterdienst en die geeft dan een ‘OK’ of ‘niet OK’ terug. Dit werkt op basis van objectcategorieën en u kunt van elke categorie aangeven of ze gewenst is of niet.
Deelconclusie
De FortiGate 310B is een erg fraaie, goed uitgewerkte en gebruiksvriendelijke appliance. De webfilter blijkt niet helemaal waterdicht te zijn, want we konden een pornoblokkering omzeilen via de Google cache. Nu kunt u wel gecachte inhoud volledig blokkeren en ook gewraakte afbeeldingen standaard laten vervangen door blanco’s en dan blokkeert u de zaak toch. Wij zouden echter graag zien dat we niet alle gecachte inhoud moeten blokkeren, maar dat dezelfde regels voor normale webtoegang ook gelden voor ge-cachte inhoud. De andere beveiligingsmaatregelen werken zoals we dat verwachten van een goede UTM-appliance.
NetASQ U250
Het Franse NetASQ heeft zich net zoals vele Amerikaanse concurrenten gespecialiseerd in beveiligingsappliances. Het productgamma bestaat uit UTM- en mail security appliances. De UTM-appliances draaien in feite allemaal dezelfde firmware en hebben hetzelfde beheer, alleen hun hardwareprestaties verschillen. De UTM-productreeks loopt van het allerkleinste model U30 voor kmo’s tot de machtige U450 die dezelfde functionaliteit tegen een continue doorvoersnelheid van 5 Gbit/s kan leveren. De U250 is het kleinste van drie middenmootmodellen. Hij is bedoeld voor iets grotere netwerken en levert pakketverwerkingsprestaties van zo’n 850 Mbit/s met maximaal 400.000 gelijktijdige tcp-verbindingen. Om de vpn-prestaties te verbeteren maakt de U-serie gebruik van een speciale ASIC (applicatie-specifiek geïntegreerd circuit). De appliance heeft een sober ontwerp in matzwart. Alle aansluitingen zitten vooraan. De U250 heeft zes netwerkpoorten. De eerste daarvan is standaard voor het externe netwerk bedoeld, en de tweede voor het interne en dus ook het beheer. In tegenstelling tot alle andere toestellen in deze test beheert u deze UTM niet via een webinterface, maar via een speciaal beheerprogramma. Dat is de NetASQ Unified Manager en die draait helaas alleen onder Windows.
Beheer
Met een beheerprogramma dat Unified Manager heet kunt u uiteraard meerdere UTM’s centraal beheren, dat spreekt vanzelf. De beheersuite heeft naast de eigenlijke beheerapplicatie ook nog een bewaakprogramma (‘Realtime Monitor’) en een rapportage-applicatie (‘Event Reporter’). De beheer-applicatie opent met een standaard pull-downmenubalk zoals u die in alle Windows-applicaties ziet: File, Firewall, Maintenance, Applications, Options en Help. Onder het File-menu logt u uit of kiest u andere appliances om te beheren (die kunt u in een appliancetelefoonboek opslaan zodat u ze gemakkelijk kunt oproepen). Het Firewall-menu geeft u licentiebeheer, systeemconfiguratie, beheerwachtwoordinstellingen, hoge beschikbaarheid, en veilige configuratie. Bij deze laatste optie wordt de hele configuratie versleuteld weggeschreven op een usb-sleutel. Die moet dan wel altijd in de UTM-appliance steken als die gestart wordt. Onder ‘Maintenance’ (onderhoud) kunt u uw beheerinstellingen back-uppen of herstellen, de firmware controleren en updaten, de appliance herstarten of afsluiten, of een andere bootpartitie kiezen voor de volgende systeemstart. Het Applicatie-menu laat u het bewaak- of rapportageprogramma starten. Onder Opties kunt u enkele voorkeurinstellingen vastleggen voor het werken met de appliance. Het belangrijkste voor uw dagelijkse beheer vindt u onder deze menubalk: de rest van het applicatievenster is verdeeld in twee panelen. Een smaller menupaneel links met aanklikbare UTM-menurubrieken en rechts daarvan een breder paneel dat een statusoverzicht bevat. Als u een rubriek kiest, opent die een nieuw dialoogvenster met de bijhorende beheerdetails. Rubrieken waar een plustekentje voor staat, kunt u uitsplitsen in enkele subrubrieken.
De rubrieken zijn degene de u zou verwachten bij UTM-beheer: Objecten, Netwerk (aansluitingen en routing), Inbraakpreventie, SEISMO (dat is een kwetsbaarheidsscanner), E-mail (om de UTM-appliance als mailserver te doen werken met kwetsbaarheidsonderzoek en desgewenst spamfilter bij inhoudinspectie), Logs, Actieve Update (instellingen voor automatische updates), Kalenders (in samenwerking met een LDAP-server), Slot Scheduler (om UTM-regels op bepaalde tijden wel of niet te doen gelden), Certificaten, Policy (filters, NAT, impliciete regels, QoS), PKI, Authenticatie, VPN, Proxy (voor smtp, pop3 en http), inhoudinspectie (antivirus, antispam, URL-filter), en Diensten (dhcp, dns, ntp en snmp).
Beveiliging
Bij het opgeven van filterregels kunt u tien filterslots per policy definiëren, elk met hun eigen regels en tijdinstellingen. Deze slots kunnen een prioriteit hebben. Bij de IPS-configuratie kunt u alle mogelijke acties en responses bekijken en zo nodig wijzigen. De stateful inspectie van netwerkpakketten hoort hier ook bij. De inhoudsfilter verzorgt antispam, antivirus en URL-filtering. Het antispamgedeelte gebruikt zwartelijstservers op internet en eigen zwarte en witte lijsten. De instelmogelijkheden zijn voor dit onderdeel veeleer beperkt.
De antivirusfunctie werkt samen met de proxyserverfuncties en controleert dus alles wat de appliance cachet ook op malware. Standaard is dat het geval voor pop3, smtp en nntp. Voor websurfen kunt u dat ook aanzetten, maar dat vertraagt de surfervaring natuurlijk nogal. Standaard gebruikt NetASQ ClamAV als antivirusmodule, maar met een bijkomende licentie kunt u ook kiezen voor Kaspersky. De URL-filter werkt met categorieën en raadpleegt daarvoor een Net-ASQ url-databaseserver. Er is een voorziening in de beheerinterface ingebouwd om een alternatieve URL-filterdatabase te raadplegen.
Deelconclusie
Deze Franse UTM-appliance van NetASQ werkt prima en biedt een gebruikersvriendelijke en veelzijdige Windows-beheerapplicatie. Bovendien is ze nog erg aantrekkelijk geprijsd ook! Het hoeft dus zeker niet altijd Amerikaans te zijn.
SonicWall NSA4500
De NSA4500 UTM van SonicWall is bedoeld voor middelgrote netwerken, en er zijn natuurlijk modellen voor kleinere en voor grotere netwerken. Bij dit model zijn er zes netwerkaansluitingen die u naar hartenlust kunt indelen. Er zijn maar liefst vier ventilatoren en bij het starten van de appliance maken die een rotherrie, maar gelukkig kennen ze temperatuurafhankelijke rotatiesnelheden zodat dat snel vermindert tot een heel wat lager niveau. Lastenverdeling en uitvalovername worden eveneens ondersteund.
Beheer
De webinterface van de NSA4500 heeft een vrij eenvoudige indeling. Uiterst links zien we het hoofdmenu met uitklapbare menurubrieken: System (alle systeeminstellingen), Network (alle netwerkinstellingen), SonicPoint (andere SonicWall AP’s kunt u hiermee beheren), Firewall (de basisbeveiligingsinstellingen), voip (instellingen voor netwerkspraakverkeer via SIP of H.323), Applicatiefirewall (optionele dienst om regels op te leggen voor alle mogelijke internetapplicaties), vpn, Users (voor individuele gebruikers en groepen maar ook gasten), Hardware Failover (uitvalovername door een tweede appliance), Security Services (beveiligingsdiensten: inhoudsfilter, antivirus, antiparasiet, inbraakpreventie, e-mailfilter en RBL-filter [zwartelijstservers]) en dan nog menurubrieken voor journaals, wizards en hulp. De systeeminstellingen bevatten een optie om netwerkpakketten te capteren voor foutenanalyse en probleemopsporing. Alle beveiligingsinstellingen staan u toe om aparte instellingen op te geven voor elk van de door u gedefinieerde groepen netwerkaansluitingen en uiteraard ook per gebruiker of gebruikersgroep of voor bepaalde protocols of diensten. U kunt beveiligingsinstellingen daarnaast laten gelden voor bepaalde tijdstippen. SonicWall heeft standaard al de meest gebruikte periodes ‘werkuren’, ‘vrijetijd’ en ‘weekend’ voorzien, maar u kunt toevoegen of ervan maken wat u maar wilt.
Beveiliging
Bij de inhoudsfilter kunt u kiezen tussen die van SonicWall zelf of een van een ondersteunde derde partij: N2H2 van Secure Computing of WebSense Enterprise.
De inhoudsfilter van SonicWall werkt categoriegebaseerd. U kunt sites in een witte of zwarte lijst opnemen. Er is een standaard inhoudsfilter met 12 categorieën en een optionele ‘Premium Business Edition’ inhoudsfilter die 56 categorieën biedt. De antiviruscontrole werkt op twee niveau’s: op de gateway en op de clients. Voor beide kunt u regels opgeven. De gateway-antivirus en de antiparasietcontrole werken op bepaalde protocols die u kunt in- en uitschakelen: http, https, ftp, smtp, pop3 en imap4. Kortom alle belangrijke internetapplicaties waarmee bestanden getransporteerd kunnen worden. Bij de gateway-antivirus kunt u daarenboven CIFS/NetBIOS en tcp-stromen laten controleren. De e-mailfilter dient in feite voor het blokkeren van bepaalde extensies, ook in samenwerking met de antivirusmodule. Er is wel een spamfilter, maar die werkt alleen op basis van witte en zwarte lijsten (ook zwartelijstservers op internet) en dat is dus erg beperkt.
Deelconclusie
De NSA4500 heeft een vrij gebruiksvriendelijk beheer, werkt prima en biedt een uitgebreide functionaliteit. De ingebouwde webfilter konden we wel weer omzeilen door naar pornosites te surfen via de cache van Google. Bovendien beschouwt SonicWall net zoals veel Amerikaanse filters de website van de NRA als een politiek getinte en niet als een wapengereateerde, wat ze overduidelijk wel is.
Vasco aXsGuard Enterprise XSP 3000
Het bedrijf Vasco is waarschijnlijk het bekendst van de authenticatie met tokens en de beroemde DigiPass. Niet zo heel lang geleden namen ze het Belgische bedrijf Able over en konden daardoor de onder de naam aXs-Guard verzamelde security appliances als nieuw beveiligingsgamma aanbieden. Able blijft overigens bestaan als fabrikant van de aXs Guard appliances, maar verkoop, contacten en ondersteuning verlopen allemaal via Vasco.
Het aXsGuard gamma maakt gebruik van telkens dezelfde software en mogelijkheden, alleen de hardware verschilt en bepaalt hoeveel verkeer u kunt ondersteunen. De Office-producten zijn bestemd voor omgevingen met minder dan 20 gebruikers. Voor meer dan 20 gebruikers is er de Enterprise-reeks en aan de top zijn er eigenschappen als hoge-beschikbaarheid, RAID-1, tape back-up en een redundante voeding. In feite betaalt u alleen het toestel met bijbehorende software, er komen geen bijkomende kosten bij kijken. De enige uitzondering is, dat sommige diensten die op de appliance voorzien zijn en door een andere producent geleverd werden, wel clientlicenties kunnen verplichten. Een voorbeeld is de antivirusmodule: die maakt gebruik van een antivirusengine van Trend Micro en deze producent vereist clientlicenties.
Beheer
U beheert de Vasco aXsGuard appliance volledig via een webinterface. Uiterst links is er een uitklapbare boom met menuonderdelen en daaruit blijkt een indrukwekkend veelzijdige functionaliteit. Dat komt, omdat zo’n appliance zijn leven in feite start als authenticatieappliance. De beveiligingsfuncties zijn optioneel en die kunt u via standaardpakketten ineens bij een appliance bestellen of naderhand individueel bijbestellen. Er zit heel wat internetserverfunctionaliteit in en die is standaard. De aXsGuard gaat veel verder dan wat we gewend zijn van gewone beveiligings-appliances. U kunt hem zelfs als mail-, web- en faxserver gebruiken. Het aantal netwerkkaarten kan variëren van 2 tot 16. Een en ander kan wel beperkt zijn door de behuizing, natuurlijk. Aangezien alleen de authenticatie standaard is, moet u dus bijbetalen voor UTM-functionaliteit en ook voor inhoudsbeveiliging met malwarebestrijding, De menuboomstructuur van een Gatekeeper bestaat uit Systeem, Gebruikers en groepen, Computers, Authenticatie, E-mail, Groupware, Webtoegang, Webservers, Firewall, PKI, VPN en RAS, Netwerk, Directorydiensten, Reverse Proxy, Antimalware, Fax, Bewaking, Statistieken en Add-ons. Die benamingen zijn vrij zelfverklarend. Elke hoofdrubriek vertakt naar subrubrieken met allerlei instellingen en parameters.
Beveiliging
De UTM-functionaliteit bestaat uit een geïntegreerde firewall, IDS en inhoudsinspectie voor e-mail (inclusief spamfilter) en opgevraagde webpagina’s. De firewall werkt met iptables-regels en dat is de Linux-standaard (iptables hoort bij het netfilter-project in de Linux kernel). Als u dus een bestaande firewall heeft die met iptables werkt, kunt u de regels gewoon overnemen in uw aXs-Guard appliance. Vermits de basisfunctionaliteit van de appliance authenticatie is, is alle andere beveiligingsfunctionaliteit optioneel. Als u alleen authenticatie kiest, dan heet de appliance aXsGuard Indentifier. Kiest u ook beveiligingsmodules, dan heet de appliance aXsGuard Gatekeeper. Vasco veronderstelt dat u mogelijk al een firewall in gebruik hebt en daarom vertrekt de basisbeveiliging bij een applicatiefirewall en ondersteuning voor vpn (ook via SSL). Daaromheen kan desgewenst een firewall en IPS-dienst draaien als u die toch nog niet had, eventueel aangevuld met inhoudsscanning (antimalware en anti-phishing) en dan zijn er ook nog de verschillende internetserverdiensten zoals e-mail met webmail, ‘advanced networking’ met fax en uiteraard hoge-beschikbaarheid.
Deelconclusie
De Vasco aXsGuard oplossing werkt prima en u kunt kiezen uit verschillende prestatiecategorieen. Mocht een appliance na verloop van tijd niet krachtig genoeg meet zijn, dan kunt u upgraden naar een hogere prestatieklasse door alleen het prijsverschil bij te betalen. Vasco heeft een met macro’s werkende spreadsheet beschikbaar waarmee u via het invullen van een aantal vragen kunt zien wat u precies nodig hebt en hoeveel dat kost.
Algemene Conclusie
Van de vier appliances in deze test springt de NetASQ U250 eruit als beste presteerder en beste koop. Een eervolle vermelding geven we nog aan de Vasco aSxGuard die ook bijzonder veel waar voor uw geld biedt. Fortinet eindigt als vierde omdat hij in vergelijking met de andere erg duur lijkt, maar dat komt omdat u bij aankoop de volle pot betaalt voor de gehele functionaliteit. Er zijn dus geen bij te betalen opties en extra licenties achteraf. Vanaf het vijfde gebruiksjaar valt Fortinet daarom fors goedkoper uit dan de concurrentie en dat is toch ook wel interessant om te weten.
Johan Zwiekhorst
Fout opgemerkt of meer nieuws? Meld het hier