Voordat wij een toestel een UTM-appliance noemen, moet het minstens zowel een firewall als inhoudsinspectie bevatten. Bij voorkeur kan het toestel nog meer: inbraakdetectie en -preventie (IDS/IPS), antimalware, antiphishing, etc. In het najaar van 2007 publiceerden we een test waarin UTM's van CheckPoint, Fortinet, IBM, NetASQ, SecPoint, SonicWall en Draytek aan bod kwamen. Vandaag en als aanvulling komen nieuwe UTM's van SonicWall en van Vasco aXsGuard aan bod.
...

Voordat wij een toestel een UTM-appliance noemen, moet het minstens zowel een firewall als inhoudsinspectie bevatten. Bij voorkeur kan het toestel nog meer: inbraakdetectie en -preventie (IDS/IPS), antimalware, antiphishing, etc. In het najaar van 2007 publiceerden we een test waarin UTM's van CheckPoint, Fortinet, IBM, NetASQ, SecPoint, SonicWall en Draytek aan bod kwamen. Vandaag en als aanvulling komen nieuwe UTM's van SonicWall en van Vasco aXsGuard aan bod. De NSA 3500 UTM van SonicWall is bedoeld voor middelgrote netwerken. (De Pro4100 die we vorig jaar testten is bedoeld voor grote netwerken.) Bij dit model zijn er zes netwerkaansluitingen die u naar hartenlust kunt indelen. Lastenverdeling en uitvalovername worden eveneens ondersteund. De webinterface van de NSA 3500 heeft een vrij eenvoudige indeling. Bij de inhoudsfilter kun je kiezen tussen die van SonicWall zelf of een van een ondersteunde derde partij: N2H2 (nu van Secure Computing) ofWebsense Enter-prise. De inhoudsfilter van SonicWall werkt categoriegebaseerd. U kunt sites in een witte of zwarte lijst opnemen. Er is een standaard inhoudsfilter met 12 categorieën en een optionele 'Premium Business Edition' inhoudsfilter die 56 categorieën biedt. De antiviruscontrole werkt op twee niveaus: op de gateway en op de clients. Voor beide kunt u regels opgeven. De gateway-antivirus en de antiparasietcontrole werken op bepaalde protocols die u kunt in- en uitschakelen: http, https, ftp, smtp, pop3 en imap4. Kortom alle belangrijke internetapplicaties waarmee bestanden getransporteerd kunnen worden. Bij de gateway-antivirus kunt u daarenboven CIFS/NetBIOS en tcp-stromen laten controleren. De e-mailfilter dient in feite voor het blokkeren van bepaalde extensies, ook in samenwerking met de antivirusmodule. Er is geen echte spamfilter voorzien. De NSA 3500 heeft een vrij gebruiksvriendelijk beheer, werkt prima en biedt een uitgebreide functionaliteit. De ingebouwde webfilter konden we wel weer omzeilen door naar pornosites te surfen via de cache van Google. Bovendien volgt SonicWall een in onze ogen bijzonder kwalijke Amerikaanse gewoonte, want heel wat Amerikaanse webfilters staan erop om deNRA website als een politieke of militaire website te bestempelen en niet als een wapengerelateerde. Wat ons betreft is dat wel degelijk een wapenpromotende site! aXsGuard is de verzamelnaam van een heel gamma security appliances van de Belgische firma Able NV. Able werd overgenomen door Vasco (welbekend van de authenticatie met tokens en de beroemde DigiPass). Able blijft bestaan als fabrikant van de aXs Guard appliances, maar verkoop, contacten en ondersteuning verloopt allemaal via Vasco. Het gamma maakt gebruik van telkens dezelfde software en mogelijkheden, alleen de hardware verschilt en bepaalt hoeveel verkeer u kunt ondersteunen. De Office-producten zijn bestemd voor omgevingen met minder dan 20 gebruikers. Voor meer dan 20 gebruikers is er de Enterprise-reeks en aan de top zijn er eigenschappen als hoge-beschikbaarheid, RAID-1, tape back-up en een redundante voeding. U betaalt in feite alleen het toestel met bijbehorende software, er komen geen bijkomende kosten bij kijken. De enige uitzondering is, dat sommige diensten die op de appliance voorzien zijn en door een andere producent geleverd werden, wel clientlicenties kunnen verplichten. Een voorbeeld is de antivirusmodule: die maakt gebruik van een antivirusengine vanTrend Micro en deze producent vereist clientlicenties. De overname door Vasco had een interessant gevolg voor de aXsGuard appliance. Ooit was dat namelijk een router met allerlei internetservers waarbij u voor bijkomende functionaliteit (modules) dan moest bijbetalen. Nu Vasco de lakens uitdeelt, is aXsGuard standaard een router annex sterke-authenticatieappliance geworden met optionele beveiligingsfuncties. Dat geldt niet voor veel internetserverfuncties, die zijn net als vroeger wel degelijk standaard. Voor een beveiligingsappliance heeft deze aXsGuard standaard al veel meer functionaliteit aan boord dan we gewend zijn te zien. Dit is zeker geen gewone security appliance: het toestel kan zelfs als mail-, web- en faxserver in uw onderneming fungeren! Naar wens kan de aXsGuard uitgerust worden met een ingebouwde analoge, isdn- of adsl- modem. Het aantal netwerkkaarten kan variëren van 2 tot 16. Een en ander kan wel beperkt zijn door de behuizing, natuurlijk. Aangezien alleen de authenticatie standaard is, moet u dus bijbetalen voor UTM-functionaliteit en ook voor inhoudsbeveiliging via malwarebestrijding, vpn en ook fax is een optie. De UTM-functionaliteit bestaat uit een geïntegreerde firewall, IDS en inhoudsinspectie voor e-mail (inclusief spamfilter) en opgevraagde webpagina's. De firewall werkt met iptables-regels en dat is de Linux-standaard (iptables hoort bij hetnetfilter-project in de Linux-kernel). Als u dus een bestaande firewall heeft die met iptables werkt, kunt u de regels gewoon overnemen in uw aXsGuard appliance. U kunt overigens in totaal 20 beveiligingsmodules bij Vasco bestellen voor uw aXsGuard appliance. U kunt deze appliance ook als breedband- of gewone router gebruiken en hij kan meerdere interfaces en gateways verzorgen. Zo kunt u gewone adsl- of kabelverbindingen als back-up gebruiken voor bijvoorbeeld SDSL. Hierbij kunt u regels opstellen voor bandbreedtebeheer en aan lastenverdeling doen als u dat wenst. Het apparaat kan als een volwaardige mailserver fungeren, maar u kunt hem ook als mailproxy of mailrelay inzetten. Clients kunnen gebruik maken van pop3, imap4 en webmail. Er is een Squid webproxy ingebouwd en maar liefst drie webservers: een voor uw eigen netwerk, een voor publieke toegang vanop het internet en een secure internet webserver. Daarnaast zijn er nog een paar handigheidjes ingebouwd als u gebruik maakt van een breedbandconnectie met variabel ip-adres zoals kabel of adsl. Zo ondersteunt de appliance het automatisch updaten van dynamische domeinnamen (zoals dyndns. org) en kan hij zelf als dns-server fungeren voor uw eigen netwerk. Uiteraard kan hij ook als dhcp-server fungeren en u kunt elke netwerkaansluiting configureren voor een statisch of dynamisch adres (dat laatste via dhcp of via PPPoA/PPPoE). U beheert het toestel via een webinterface. Die blijkt vrij eenvoudig en logisch in elkaar te zitten maar biedt toch toegang tot alle mogelijkheden van het toestel. De opbouw is klassiek: aan de linkerkant een menustructuur en daarnaast een bij het gekozen menuonderdeel horend dialoogtabblad. De beveiligingsreglementen zijn gebruikersgebaseerd en u kunt werken met een systeembreed reglement waarop dan uitzonderingen gedefinieerd worden voor bepaalde gebruikersgroepen of individuele gebruikers. Er zijn geen wizards, dus kan het wel de nodige problemen met zich meebrengen voor u alles behoorlijk onder de knie en ingesteld hebt. De ingebouwde webfilter laat zich niet omzeilen via de cache van Google. Standaard kent hij maar een beperkt aantal categorieën en bij de agressieve of geweldpromotende staan wel een flink aantal Duitse en Britse ul-trarechtse of nazistische sites, maar geen Belgische of Nederlandse. En de AmerikaanseNRA-site staat daar ook niet bij. Heel wat voornamelijk Nederlandse pornosites blijkt de webfilter niet te kennen, maar als er banners voorkomen (zoals adultfinder. com) die in zijn zwarte lijst staan, blokkeert hij toch de site die hij eerst aan het inladen was. De SonicWall NSA 3500 (prijsprestatiescore 55/100) bekoort ons samen met de vorige keer geteste NetASQ F200 (54/100) het meest. Beste presteerder blijft de duurdere Fortinet FortiGate 300A (prijsprestatiescore 52/100 en prestatiescore 64/100). Op de Vasco aXsGuard XSP 3000 is technisch weinig aan te merken, hij is alleen een stuk duurder (prijsprestatiescore 43/100).Johan Zwiekhorst