Aladdin was net te laat om de eSafe HellGate appliance in te sturen voor onze massatest van Mail Security Appliances van september vorig jaar. Afhankelijk van de licentie kan de HellGate dienst doen als mail security, web security of internet gateway security appliance.

Ruim tweederde van alle e-mails die wereldwijd verzonden worden, zijn ongewenst. Dat is een gemiddelde: het kan dus nog veel erger zijn! De eenvoudigste en hopelijk ook meest effectieve oplossing om e-mails succesvol te filteren, is een ‘mail security appliance’ of kortweg MSA. Ook bij het surfen op het web kunt u heel wat rommel en gespuis tegenkomen. Een ‘web security appliance’ of kortweg WSA is dan een populaire oplossing. En wil u één manusje-van-alles dat tussen het internet en uw binnennetwerk zit en zoveel mogelijk (zoniet alles) wat van het internet komt controleert en zonodig blokkeert, dan spreken we over een internet gateway security appliance of kortweg IGSA.

Demonen

Als het internet de hel is van waaruit allerlei demonen, gespuis en kwaad ons netwerk binnendringt, dan hebben we een of meer wachters nodig aan de hellepoort om het kwaad af te weren. De reeks eSafe HellGate appliances van Aladdin kunnen dus in drie rollen geconfigureerd worden: als mailfilter, als webfilter en als globale internetgateway. De appliance is telkens dezelfde, de rol die u kiest hangt af van de functionaliteit die u wenst en de daarbij passende licenties. Voor dit artikel bekijken we de mailfilterrol en de webfilterrol, de IGSA-rol hebben we niet uitgeprobeerd. Let wel: dit is nog een UTM, daarvoor zou firewallfunctionaliteit nodig zijn en dat doet deze eSafe HellGate niet.De HellGate-appliances zijn gebaseerd op een geharde Red Hat Enterprise Linux (versie 3); daarbovenop draait de eSafe beveiligingssoftware. Wij testten het grootste model van deze serie. De eSafe HellGate HG-200 heeft vier netwerkpoorten, waarvan er normaal telkens maar twee worden gebruikt. De twee meest linkse onderbreken de netwerkconnectiviteit als de appliance uitvalt, de twee meest rechtse sluiten zich kort als dat gebeurt en daardoor kunt u een tweede appliance in serie plaatsen die dan alle taken overneemt als de eerste uitvalt.

Beheer

Het beheer van het systeem is in twee grote modules gekapt. Er is een webinterface, maar daarmee beheert u alleen de appliancehardware zelf. U kunt de netwerkconfiguratie van de appliance bekijken en wijzigen, updates uitvoeren of de appliance uitschakelen of herstarten. Het slechte nieuws is, dat deze webinterface eigenaardig genoeg alleen met IE werkt en dus niet met Firefox of Opera of Safari. Dit is verrassend voor een Linux-gebaseerde machine en wat ons betreft niet meer van deze tijd.

Het eigenlijke beheer van de beveiligingsreglementen gebeurt met een speciale Windows-applicatie die eSafe eConsole heet. Die kunt u downloaden van de webinterface van de appliance, en u krijgt dan de eConsole-variant die bij de door u gekozen appliancerol hoort. U kunt met deze applicatie meerdere appliances beheren, maar we troffen geen globaal beheer voor meerdere appliances aan. De startconsole toont enkel alle gevonden HellGates in het netwerk en u kunt dan een individueel exemplaar gaan beheren. Dat is niet hetzelfde als een stel reglementen naar meerdere appliances tegelijk sturen.

Het eerste beheervenster opent zich nadat u een appliance koos, toont een soort dashboard of statusoverzicht met activiteitsgrafieken en een taartgrafiek met beschermingsresultaten. Onder de hoofdmenurubriek Opties vindt u alle beheeronderdelen en dat zijn er heel wat: van configuratie over rapportage en quarantaine tot het beheer van individuele modules en het genereren van werkingsstatistieken.

De configuratiemodule biedt het eigenlijke beveiligingsreglement. Dat reglement ziet er anders uit voor elke appliancerol. Voor mailbeveiliging is het opgesplitst in e-mail (ingaand en uitgaand; profielen, regels en smtp-acties plus smtp-beveiliging), anti-spam (basis en optioneel geavanceerd, waarbij u die geavanceerde echt nodig hebt om effectief spam te kunnen weren), inhoudsfilter (met nadruk op verschillende soorten scripts en bijlagen), lijsten (witte en zwarte lijsten van e-mailadressen, sleutelwoorden, vandaalbestanden, en te blokkeren bestanden) en beheer (parametrisering, waarschuwingen en journaals, quantaine- en mailinstellingen, updates,…).

Bij de webbeveiliging zien we protocolregels voor http en ftp, parasietafweer, inhoudsfilters, applicatiefilter (optionele dienst), URL-filter (optionele dienst), lijsten (witte en zwarte) en beheer.

Het geheel werkt in een boomstructuur en is vrij gebruiksvriendelijk. Aladdin vertelt ons dat er gewerkt wordt om de losse beheerapplicatie af te schaffen en onder te brengen in een webinterface. Hopelijk werkt die dan wel met Firefox.

Beveiliging

Aladdin heeft in het grijze verleden ooit antivirussoftware op de markt gebracht, en ook een internetgateway die virussen tegen moest houden. Daarvoor hadden ze hun eigen antivirusengine ontwikkeld en die is het bedrijf al die tijd blijven onderhouden. De malwarebestrijding in de HellGate appliance is dus die van Aladdin zelf.

Voor de spamfilter bestaat de bestrijding uit een basisspamfilter met verificatie van de e-mailhoofding, mailservergeldigheid, en van de DNS-informatie van de afzender. Daarmee houdt u niet veel spam tegen. Er is ook nog een geavanceerde spamfilter, maar dat is een bij te betalen dienst. Omdat wij vinden dat u die echt nodig hebt, hebben we in de prijsinformatie onder dit artikel deze optionele licentie bij de adviesprijs geteld. Deze optionele geavanceerde spamfilter bestaat uit een reputatiefilter en een inhoudsanalysefilter. De eerste is van Commtouch en de tweede van Cobion (overgenomen door ISS, dat op zijn beurt overgenomen werd door IBM). Bij die analysefilter kunt u een hele waslijst controlerubrieken aan- of uitschakelen of instellen. Er zitten zelfs categorieën voor URL-filtering in, maar dat is bij lange na niet zo uitgebreid als bij een echte webfilter (maar waarschijnlijk ook niet echt nodig voor e-mail).

Bij de webbeveiligingsrol van de appliance kunt u wel een beroep doen op een zeer uitgebreide URL-filter met categorieën, maar het meest interessante is waarschijnlijk die optionele applicatiefilter. De meeste filterregels zijn immers behoorlijk zwart-wit: als iets er zó uitziet, blokkeer dat dan. De applicatiefilter stelt u in staat webinhoud te beoordelen op basis van wat het werkelijk wil doen op de desktop van een surfende gebruiker. En dan blokkeert u alleen wat echt onveilig is.

Prestaties als spamfilter

Aladdin gebruikt voor de spamfilter de gebruikelijke, populaire zwartelijstservers op internet, maar zet er zo een stuk of zeven achter elkaar. Hierdoor alleen al krijgen we een flink aantal onterecht geblokkeerde berichten. We hebben voor onze eigen spamfilter zelf ook allerlei gratis zwartelijstservers zitten uitproberen. Uiteindelijk zijn we terechtgekomen bij één server die ons perfect blijkt te bedienen: zen. spamhaus. org. We hebben dus de hele waslijst zwartelijstservers van de eSafe appliance gewist en alleen zen. spamhaus. org ingevuld. Daarna liep het heel wat beter. De appliance zelf blijkt zelf ook nogal grof tekeer te gaan bij het detecteren van kwaadaardigheden. Zozeer zelfs, dat het aantal valse positieven dat we moesten redden tijdens de testperiode het hoogste was van alle appliances die we dit en vorig jaar getest hebben. Meer dan 25! Dat is wat ons betreft onaanvaardbaar hoog. Volgens Aladdin komt dit voornamelijk, omdat de appliance zo’n twee weken tijd nodig heeft om een leerfase te doorlopen en af te ronden en pas na die twee weken initiatie zouden we het aantal valse positieven sterk hebben zien dalen.

Natuurlijk konden we ook de configuratie aanpassen om de controles af te zwakken, maar dan stijgt natuurlijk het aantal spamberichten dat op de mailboxen van de gebruikers belandt. We hebben de appliance in totaal drie weken in test gehouden en na twee weken daalde inderdaad het aantal valse positieven, maar helemaal verdwenen ze toch niet.

De appliance zendt dagelijks (of zo vaak als u zelf instelt) een spam- en virusrapport naar alle betrokken gebruikers. Dat is een HTML-rapport via e-mail. In dat rapport kan een gebruiker ofwel niets doen, een bericht vrijgeven of een bericht vrijgeven met aanleren (dat laatste betekent dat de zender dan in de witte lijst gezet wordt). Daarvoor kan een gebruiker per berichtje op een keuzemenuutje klikken. Met Outlook 2007 bleek dit niet te werken: de gebruiker zag helemaal geen keuzemenu en ook de actieknop onderaan om de gekozen wijzigingen door te sturen bleek niet te werken. De oorzaak hiervan blijkt bij Microsoft te liggen. In Outlook2007 werden immers omwille van de “veiligheid” een omvangrijke subset van HTML-elementen, -attributen en -forumulieren in de e-mail body uitgeschakeld. En daardoor werken die actiemenu’s dus niet meer. Dat kan Aladdin dus niet zomaar oplossen. De producent stelt dan ook voor, dat de beheerder in de quarantainerapporttekst een melding opneemt voor Outlook2007-gebruikers dat zij moeten klikken op de button ‘Other actions’ in Outlook 2007 en dan op ‘View in Browser’. Dan verschijnen de actiemenu’s wel en kan een Outlook2007-gebruiker ze ook gebruiken.

Wij kwamen tijdens onze testperiode aan een zeer goed gemiddelde van iets minder dan één spambericht om de twee dagen per mailbox, maar daar hingen dus wel wat valse positieven aan vast, ook na een initialisatiefase van twee weken.

Prestaties als webfilter

Als webfilter zijn we bij de eSafe HellGate zeer te spreken over de configuratie-interface van eConsole: die laat een zeer doordachte fijninstelling toe. U kunt ook als regel instellen dat gebruikers niet via andere proxy’s dan degene die u toelaat mogen surfen en dat voorkomt dan dat ze op slinkse wegen toch nog aan webpagina’s en websites kunnen die u wil blokkeren. En we zijn altijd in de wolken als we eens een zeldzame webfilter tegenkomen die de website van de overmachtige N.R.A. (National Rifle Association) in Amerika indeelt bij wapens en militair en ze dus ook blokkeert zodra we beslissen om die categorie uit te sluiten.

Helaas laat de HellGate ons wel toe om verboden sites op te roepen via de cache van Google. Afbeeldingen ontbreken dan vaak wel, en voor gebruikers die naar pornosites willen surfen ontneemt dat nogal de pointe, maar tekstinformatie en bijbehorende lay-out van geblokkeerde sites verschijnt wel degelijk in beeld. Dat hoort niet!

Al onze pogingen om geïnfecteerd te raken met malware werden wel netjes opgevangen. De blokkering van vele categorieën blijkt minder perfect dan bij andere WSA’s die we getest hebben: zo konden we nog verrassend veel porno bekijken door gewoon te googlen ernaar en dat hoort dus ook niet.

Conclusie

Aladdin heeft wat ons betreft nog wat werk aan het fijnregelen van hun beveiligingsreglement in de HellGate appliance, want nu gaat die veel te grof te werk en heeft daardoor een torenhoog aantal valse positieven. Dat ging wel veel beter na een initiatiefase, maar ook dan nog liet de appliance te veel steken vallen. Ook als webfilter presteert de Hell-Gate redelijk, maar niet zo goed als wat we in het verleden al getest hebben.

Johan Zwiekhorst