De internetaansluiting van uw bedrijf begint steeds meer gelijkenis te vertonen met een open riool: het is ongelooflijk wat voor rommel er van het internet uw bedrijf binnenstroomt! Een firewall is dus al lang niet meer voldoende en de meeste producenten bieden dan ook een allesomvattende beveiligingsappliance aan: de UTM-appliance.

De in hardware uitgevoerde firewall of ‘firewall appliance’ is natuurlijk geen onbekende. Zulke apparaten blokkeren de toegang tot uw bedrijfsnetwerk voor alles waar u niet specifiek toestemming voor gegeven hebt. Het zwakke punt van zo’n firewall is dat hij niet de data zelf kan controleren, alleen maar de weg die data aflegt van en naar de buitenwereld.

Om zelf op een veilige manier vanuit die buitenwereld uw bedrijfsnetwerk te kunnen gebruiken installeert u een VPN (Virtual Private Network). Via e-mail en via http (beiden geldige toegangswegen van en naar de buitenwereld) kunnen er echter toch nog kwalijke dingen uw netwerk binnenraken. Daar hebt u dan weer andere beveiligingen voor nodig. Antivirus- en antiparasiet- of kortweg antimalwaremaatregelen om de virussen, trojans, wormen en ander gespuis tegen te houden. Inhoudsinspectie om e-mails te onderzoeken op spam en andere rommel, of om kwalijke dingen in webpagina’s en websites tegen te houden (zoals porno, diefstal van gevoelige informatie of zelfs complete identiteiten, parasieten en ander ongewenst materiaal). Daarnaast zult u pogingen tot inbraak in uw netwerk willen opsporen en blokkeren: dat doet u met een IDS (Intrusion Detection System). In verband hiermee ziet u tegenwoordig ook de afkorting IPS (Intrusion Prevention System) opduiken: hier probeert het systeem aanvallen te voorkomen in plaats van ze alleen te detecteren. Antiphishing probeert het vissen naar privé-gegevens tegen te houden, zodat er geen wachtwoorden, e-mail- of webadressen, kredietkaart- of andere financiële gegevens naar buiten gestuurd worden.

Unified Threat Management

U heeft met andere woorden zo’n vijf of zes beveiligingsoplossingen nodig om al die taken uit te voeren. Niet alleen kan dit uw netwerkprestaties beïnvloeden doordat die controles noodzakelijkerwijze allemaal in sequentie uitgevoerd moeten worden, al die toestellen nemen ook behoorlijk wat bedrijfsbronnen in beslag, zowel financieel (aankoop, werkingskosten en onderhoud) als qua plaats. Het is dus wel een leuk idee om al die aparte appliances in één apparaat te combineren: een ‘Unified Threat Management’ of UTM-appliance, ofwel een geïntegreerde beveiligingsappliance.

Helaas bestaat er veel verwarring omtrent dit begrip. Veel bedrijven die een firewall- of inhoudsinspectieappliance op de markt hebben, noemen die immers ook een UTM-appliance. Op die manier bent u eigenlijk niet zeker waarover het gaat als u een advertentie of een folder ziet over een UTM-appliance: gaat dit over een firewall of kan hij meer? U zult dus moeten kijken naar de geboden functionaliteit. Onze definitie is eenvoudig: een UTM-appliance bevat een bundeling van veiligheidsgebonden functionaliteiten. Een toestel met alleen firewall-functionaliteit noemen we dan ook een firewall appliance. Voordat wij een toestel een UTM-appliance noemen, moet het minstens zowel een firewall als inhoudsinspectie bevatten. Bij voorkeur kan het toestel nog meer: inbraakdetectie en -preventie (IDS/IPS), antimalware, antiphishing, noem maar op.

U kunt een UTM-appliance via het netwerk beheren, maar uiteraard alleen via de netwerkaansluiting voor het interne netwerk. Dat beheer kan via uw webbrowser of eventueel via speciale software die u daarvoor op uw beheerwerkstation moet installeren.

Praktijk

We onderzochten zes UTM-appliances voor grotere bedrijven. In alfabetische volgorde zijn dat CheckPoint UTM-1, Fortinet FortiGate 300A, IBM ISS Proventia MX3006, NetASQ F200, SecPoint Protector P1000-250 en SonicWall Pro4100. Apart bespreken we twee kleinere UTM-appliances voor kmo’s en SoHo-omgevingen van Draytek en SonicWall. We bekeken de functionaliteit en de mogelijkheden van de appliance (wat krijgt u voor uw geld?) en het beheer.

Met behulp van de IBM ISS Internet Scanner hebben we voor elk van de appliances een scan uitgevoerd van zo’n 128 beveiligingsrisico’s. Het goede nieuws is, dat ze allemaal perfect scoorden (behalve bij degene die een ping vanaf het internet toestonden, maar dat is makkelijk genoeg uitschakelbaar als u dat wenst) en geen enkele informatie vrijgaven over het binnennetwerk. Zo hoort het!

CheckPoint UTM-1

Als er één bedrijf naam maakte met firewalls en netwerkbeveiliging, dan is het toch wel het Amerikaanse CheckPoint. Hun appliance met de bescheiden naam UTM-1 is uitgevoerd in lichtgrijs met op het voorpaneeltje een lichtblauw CheckPoint-logo. Hoewel alle productinformatie die we kregen voor het model 2050 is, leverde CheckPoint ons het model 1050. Qua firmware zijn al die modellen identiek, het verschil zit ‘m in de prestaties die ze kunnen leveren. De basisfunctionaliteit werkt via vier vaste netwerkpoorten: int, ext, dmz en sync/lan1. Het model 1050 dat wij kregen heeft daarboven nog eens een Gigabit-switch met vier netwerkpoorten en er zijn ook usb-aansluitingen. CheckPoint levert namelijk een usb-sleutel mee waarmee u zo’n appliance erg snel weer in de fabrieksinstellingen kunt zetten: gewoon een kwestie van sleutel erin steken en de appliance starten. Het beheer loopt uiteraard via een webinterface en CheckPoint koos daarvoor zoals het hoort een niet-standaard IP-poort.

Beheer

Bij de eerste start verschijnt een installatiewizard. Die laat u toe alle netwerkaansluitingen te configureren en het beheertype te kiezen: lokaal (u wil deze appliance lokaal beheren) of centraal (er is een centraal beheersysteem om meerdere UTM’s te beheren en deze appliance zal dus niet lokaal beheerd worden). Overigens kunt u met één voor lokaal beheer ingestelde UTM-1 alle andere UTM-1’s binnen uw organisatie centraal beheren. Als u met Windows werkt, krijgt u ook de gelegenheid een SmartConsole beheerapplicatie te downloaden en te installeren. Daarna kunt u de appliance beheren via die applicatie of via de webinterface. Die laatste geeft u echter geen beheer over de beveiligingsfunctionaliteit van de appliance, alleen over de appliance en zijn werking zelf. CheckPoint koos voor de beheerinterface pastelkleuren met lichtblauwe, lichtgele en grijzige tinten. Uiterst links is er een hoofdmenu met uitklapbare rubrieken die elk een leuk en duidelijk pictogram hebben (maar ook tekst). Als u een rubriek aanklikt, schuift die open in subrubrieken. Als er een andere rubriek open stond, gaat die terug dicht. U kunt dus maar één rubriek tegelijk open hebben. De vier hoofdrubrieken zijn: Informatie, Netwerk, Appliance en Productconfiguratie. Onder Informatie vindt u het welkomstscherm (dat de andere rubrieken kort uitlegt) en een statusoverzicht. Netwerk bevat logischerwijze de configuratie van de netwerkpoorten met bijbehorende instellingen voor routing, DNS en hostnaam. De rubriek Appliance omvat instellingen voor datum en tijd, back-up en restore, upgrade- en beeldkopiebeheer, onderhoud (diensten of de hele appliance stoppen of starten), diagnose, beheerwebserver (poort en toegang), appliancebeheerders, web- en ssh-clients, en beheerbeveiliging (loginrestricties en time-outs). Productconfiguratie staat in voor het licentiebeheer, en de toegang voor het GUI-beheer voor gebruikers en beheerders, het downloaden van de SmartConsole beheerapplicatie en het starten van het SmartPortal. Dat laatste is een webuitbreiding voor SmartCenter om externe toegang voor bepaalde beveiligingsinstellingen mogelijk te maken. UTM-1 bevat licenties voor UTM-1 zelf, voor SmartPortal, voor SmartCenter en voor de Eventia rapportagemodule. Voor het eigenlijke beveiligingsbeheer gebruikt u dus de SmartConsole en met name SmartDashboard. Dat bevat een demomodus voor demonstratiedoeleinden maar ook om te leren werken met de interface. Die is erg veelzijdig en te ingewikkeld om hier te bespreken, maar er zit alles in om policy’s en daarbij horende regels te maken, te bekijken en te bewaken op een zeer overzichtelijke manier.

Beveiliging

De CheckPoint UTM-1 is in essentie een firewall op steroïden. U definieert policypakketten en voor elk reglement definieert u de bijbehorende regels voor alle soorten van netwerkobjecten, -groepen en -structuren met acties voor een of meerdere diensten tegelijk. Daarbij kunt u rekening houden met vpn-verkeer, en QoS-regels aanmaken en opleggen. Naast de bijzonder uitgebreide firewallfunctionaliteit kunt u regels aanmaken voor SmartDefense en voor inhoudsinspectie. SmartDefense is de verzamelnaam voor alles wat maar met aanvallen en hun signaturen te maken heeft: zowel antivirus als antiparasiet en antihacker voor alle mogelijke protocols en applicaties, maar ook IPS. De inhoudsinspectie controleert welbepaalde protocols/applicaties (standaard smtp, pop3, ftp en http) op malware. U kunt daar bijkomende instellingen voor opgeven. Een echte inhoudsfilter waarbij data uitgesloten of toegelaten wordt op inhoud (buiten de aanvalspatronendetectie) zit echter niet in deze UTM-1.

Praktijk

CheckPoint biedt een bijzonder veelzijdige en erg krachtige UTM-appliance. Buiten antimalware zit er geen echte inhoudsfilter in, maar al de rest doet hij wel en zonder dat we er iets op aan te merken hebben. Hiermee kunt u zeer ingewikkelde structuren opzetten die toch overzichtelijk gehouden worden via slimme objectkaarten met bijbehorende navigator. Als netwerkbeveiliging voor u zwaarder doorweegt dan inhoudsbeveiliging (buiten malware), is deze appliance zeker uw overweging waard.

Fortinet FortiGate 300A

Fortinet is een fabrikant die alleen maar security appliances maakt. In feite gaat het van klein naar groot om in essentie hetzelfde toestel met dezelfde firmware. Het verschil zit ‘m in de netwerkaansluitingen, de bandbreedte daarvan en de verwerkingssnelheid van het bijbehorende apparaat. De 300A is een compact, één-rekeenheid hoog toestel in smaakvol grijs met een zwart front. De kast is mooi genoeg om niet alleen in een rek maar zelfs op een werktafel te passen. Fortinet zorgde voor een vrij stille ventilator: die begint wel wat luidruchtiger, maar gaat na een tijdje veel stiller draaien. De firmware werkt met modules waarvoor u een licentie moet aanschaffen. De appliance kan als router of als transparante brug werken. Er zijn zes netwerkaansluitingen waarvan de allereerste standaard voorzien is als een poort voor het interne netwerk, en de vierde als een DMZ-aansluiting. De geboden UTM-functionaliteit is erg volledig en omvat ook web- en e-mail security. Een echte alles-in-één oplossing dus. Fortinet maakt zich sterk dat zelfs al dekt de licentie en bijbehorende prijs altijd de volledige functionaliteit, dit toestel inzake prijs en zeker functionaliteit prima kan concurreren met strikte ééndoel-appliances. Bij de 300A krijgt u dus veel meer waar voor uw geld, aldus Fortinet.

Beheer

U kunt elk FortiGate apparaat beheren via een webinterface die alleen bereikbaar is in het interne netwerk. Mocht u een groot aantal FortiGate appliances in uw bedrijf hebben of willen, dan heeft Fortinet ook nog een FortiManager in hun productgamma: dat is een centraal-beheersysteem voor grote aantallen FortiGate appliances. De webinterface ziet er eenvoudig uit en blijkt ook zo te zijn in het bedienen ervan. Aan de linker kant ziet u de basisfuncties van de security appliance en door ze aan te klikken splitst u ze uit in hun onderdelen. Elk aangeklikt onderdeel laat zijn configuratie in het rechterdeel van het scherm zien. Vaak is dat dan zelf ook weer in een aantal tabbladen onderverdeeld. Alle onderverdelingen zitten logisch in elkaar en de bediening van de diverse dialoogschermen is zo eenvoudig dat u ermee uit de voeten zou moeten kunnen zelfs als u vrijwel geen ervaring met firewalls en dergelijke toestellen heeft.

Beveiliging

Fortinet gebruikt een eigen antimalware-engine en uiteraard zorgt het systeem voor volautomatische frequente updates van die malwaresignaturen, maar ook van de andere signatuurdatabases voor parasieten, aanvalspatronen voor de ingebouwde IDS/IPS en updates voor de spamfilter. Alle beveiligingen activeert u via een firewallreglement of policy. De beveiligingsinstellingen lopen via een beschermingsprofiel dat u kunt wijzigen. Het is mogelijk overrides te definiëren voor beheerders of managers. Voor de verschillende ingebouwde inhoudsfilters kunt u zelf zoektermen definiëren, url’s of ip-adressen blokkeren, ActiveX, Java en andere scripten en cookies filteren. Fortinet heeft ook eigen filterdiensten waar de appliance gebruik kan van maken (zoals een FortiGuard webfilterdienst) en die dan volledig op afstand beheerd worden. Elk te controleren object wordt voorgelegd aan zo’n filterdienst en die geeft dan een ‘OK’ of ‘niet OK’ terug. Dit werkt op basis van objectcategorieën en u kunt van elke categorie aangeven of ze gewenst is of niet.

Praktijk

Dit is een erg fraaie, goed uitgewerkte en gebruiksvriendelijke appliance. De webfilter blijkt niet erg waterdicht te zijn en is voor verbetering vatbaar. De andere beveiligingsmaatregelen zijn goed bruikbaar.

IBM ISS Proventia MX3006

Zoals u ondertussen wellicht weet, is ISS overgenomen door IBM. Tot dusver blijven de beveiligingsproducten ongewijzigd. De Proventia MX3006 is een kleine compacte UTM appliance, maar hij kan toch wat grotere netwerken aan (tot 500 gebruikers). Hij heeft alle netwerkaansluitingen vooraan en wel zes stuks. Het juiste aantal is afhankelijk van het preciese MX-modelnummer (model MX3006 = 6 aansluitingen). Ook ISS gebruikt een webinterface voor het beheer. Alleen vereist die Java 1.5: de modernere Java 1.6 blijkt problemen op te leveren. De eerste keer verschijnt er een installatiewizard. Die helpt u door de eerste instellingen heen en laat u ook kiezen tussen twee mogelijke werkmodi: router en transparant. Bij transparant werken alle beveiligingen ook nog, maar fungeert de appliance als een brug: u hoeft dan geen ip-adressen aan de poorten toe te wijzen, behalve één beheeradres. In routermodus definieert u een extern en een intern ip-adres, eventueel een dmz en nog andere interne netwerken. In dat geval moeten al die poorten een ip-adres en bijhorende routing hebben.

Beheer

U doet het dagelijkse beheer van de appliance via het beheeradres bij transparant gebruik, of via het ip-adres van de interne poort(en) bij routergebruik. Eenmaal dat gebeurd is, kunt u via https aan de Java-webinterface voor de eigenlijke configuratie. De interface is helder en duidelijk en maakt gebruik van een uitklapbare hoofdmenuboom uiterst links met een zestal rubrieken. De ‘home’-pagina toont statusinformatie. De rest is eigenlijk zelfverklarend. De pagina voor ‘firewall’ is waarschijnlijk de meest ingewikkelde omdat er het grootste aantal subtabs aanwezig is, maar ISS is er toch in geslaagd om de eigenlijke informatiepanelen erg eenvoudig en overzichtelijk te houden. Voor alle beveiligingspolicy’s kiest u bijvoorbeeld eerst voor welk bereik de policy bedoeld is (zoals intern, dmz of voor de appliance zelf). Daarna toont het systeem een venster ‘inbound’ en een venster ‘outbound’ waarin de regels te zien zijn voor respectievelijk inkomend en uitgaand verkeer. Die regels zitten op de standaardmanier in elkaar: elke regel geeft op wat toegestaan of verboden is voor welk netwerk, welk protocol, welke zenders en welke bestemmelingen (zowel adressen als poorten). Als u een regel wil bewerken of toevoegen krijgt u een pop-upvenster met de dialoog die u nodig heeft om de regel samen te stellen. ISS hield ook dit zeer eenvoudig en biedt afrolkeuzemenuutjes overal waar dat mogelijk is. Het is op deze manier zelden of nooit nodig de documentatie te raadplegen om deze machine te configureren. ISS is overal van deze premisse uitgegaan en dat is vooral goed te zien bij de inbraakpreventiepagina. In de praktijk gaan de meeste beheerders zich er heus niet mee amuseren inbraakpreventieregels te zitten editeren, vooral omdat dat er ettelijke duizenden kunnen zijn. Standaard krijgt u dus alleen een scherm te zien waarbij u het afweren van aanvallen en het auditeren van alle verkeer kunt aan- of uitzetten.

Beveiliging

U kunt het beheer van de beveiliging eenvoudig houden of zo ingewikkeld en diepgravend maken als u maar wilt. Voor diepgravender instellingen kunt u een pagina ‘Advanced’ openen. Heel interessant is dat de inbraakpreventie protocollen herkent en dus niet aparte regels voor iedere niet-standaard tcp- of udp-poort moet hebben zoals het geval is voor veel andere appliances op de markt. Een bekende trojan wordt dus herkend als hij via de normale http-poort 80 het netwerk binnenkomt, maar ook als dat zou gebeuren via bijvoorbeeld poort 9000. De appliance maakt trouwens volautomatisch zogenaamde “dynamische regels” aan om een gedetecteerde aanval af te weren. Zo zal het systeem na detectie van een trojan die bijvoorbeeld poort 7777 gebruikt het verkeer van en naar uw netwerk via die poort voor een half uur volledig blokkeren via zo’n dynamische regel. Uiteraard kunt u dit verhinderen als u dat niet wil. In de webinterface kunt u te allen tijde de op het moment geldende dynamische regels bekijken en desgewenst verwijderen. De ingebouwde antivirusmodule is van Sophos, maar ISS heeft er een eigen engine rond gebouwd en noemt dat geheel ‘ISS Virus Prevention System’. De virusupdates zijn wel volledig die van Sophos, maar de appliance haalt ze van de site van ISS. Dat geeft ISS de gelegenheid om alle beveiligingsupdates in één keer door te sturen, dus ook inbraakpatronen. Standaard staat de machine ingesteld om één keer per dag te gaan kijken naar nieuwe updates. Daarbij horen ook updates van de IPS-signaturen en de categorie- en URL-lijsten voor de ingebouwde webfilter.

Voor de IPS steunt ISS niet alleen op aanvalspatroonsignaturen, maar ook en vooral op kwetsbaarheidssignaturen. In plaats van te proberen de aanvaller te identificeren, bekijkt de inbraakpreventie van ISS de acties die zij onderneemt op protocolniveau en vergelijkt die met een database van kwetsbaarheden. Is er een overeenkomst, dan wordt de actie geblokkeerd. Het grote voordeel van dit systeem is, dat er een signatuurdistributie kan gebeuren zodra een kwetsbaarheid ontdekt of gepubliceerd wordt, zelfs voordat er voor de betroffen applicatie een patch uitgebracht is en voordat er aanvallers bekend geraakt zijn. De inbraakpreventie van ISS kan zelfs rekening houden met pogingen om misbruik te maken van ‘buffer overflow’-bugs in Windows. Ook herkent het pogingen om spyware, adware of bepaalde andere soorten malware op uw netwerk te krijgen.

Praktijk

Deze MX3006 van IBM ISS werkt over het algemeen goed en heeft een gebruiksvriendelijke beheerinterface, al zijn we niet zo gelukkig met de nogal specifieke Java-vereisten. De beveiliging is adequaat, maar er zijn gebieden die IBM ISS nog zou kunnen verbeteren. Zo is de webfilter niet denderend. Hij kent voornamelijk foute Amerikaanse sites, maar veel Europese niet. De beveiliging is bovendien gemakkelijk omzeilbaar door via de Google-cache te werken of door (indien mogelijk) een externe proxyserver te definiëren in uw browser.

NetASQ F200

Het Franse bedrijf NetASQ heeft zich net zoals vele Amerikaanse concurrenten gespecialiseerd in beveiligings-appliances. Het productgamma bestaat uit UTM- en mail security appliances. De UTM-appliances draaien in feite allemaal dezelfde firmware en hebben hetzelfde beheer, alleen hun hardwareprestaties verschillen. De UTM-productreeks loopt van het allerkleinste model F25 voor kmo’s tot de machtige F5500 die dezelfde functionaliteit tegen een continue doorvoersnelheid van 2 Gbit/s kan leveren. De F200 is het kleinste van drie middenmootmodellen. Hij is bedoeld voor iets grotere kmo’s en levert firewall- en IPS-prestaties van zo’n 192 Mbit/s en vpn-prestaties van 32 Mbit/s met maximaal 65.000 gelijktijdige tcp-verbindingen. Met maxima van 1000 vpn-tunnels en 2048 filterregels moet deze F200 al heel wat werk kunnen verzetten.

De appliance heeft een bijzonder in het oog springend ontwerp: matzwart met vooraan een witte streep waarvan het middendeel rood oplicht als de appliance aan staat. Alle aansluitingen zitten achteraan. De F200 heeft vier netwerkpoorten. De eerste daarvan is standaard voor het externe netwerk bedoeld, en de tweede voor het interne. Wel even uitkijken dus, want dat betekent ondermeer dat voor het beheer die tweede aangesloten moet zijn! Bij de eerste setup is dat geen probleem omdat dan alle poorten beheer toestaan, maar als u hem uit het rek haalt omdat er een probleem is opgetreden of zo, dan moet u daar dus wel aan denken. In tegenstelling tot alle andere toestellen in deze test (en NetASQ’s eigen MFiltro mail security appliance) beheert u deze UTM niet via een webinterface, maar via een speciaal beheerprogramma. Dat is de NetASQ Unified Manager en die draait helaas alleen onder Windows.

Beheer

Met een beheerprogramma dat Unified Manager heet kunt u uiteraard meerdere UTM’s centraal beheren, dat spreekt vanzelf. De beheersuite heeft naast de eigenlijke beheerapplicatie ook nog een bewaakprogramma (‘Realtime Monitor’) en een rapportage-applicatie (‘Event Reporter’). De beheerapplicatie opent met een standaard pull-downmenubalk zoals u die in alle Windows-applicaties ziet: File, Firewall, Maintenance, Applications, Options en Help. Onder het File-menu logt u uit of kiest u andere appliances om te beheren (die kunt u in een appliancetelefoonboek opslaan zodat u ze gemakkelijk kunt oproepen). Het Firewall-menu geeft u licentiebeheer, systeemconfiguratie, beheerwachtwoordinstellingen, hoge beschikbaarheid, en veilige configuratie. Bij deze laatste optie wordt de hele configuratie versleuteld weggeschreven op een usb-sleutel. Die moet dan wel altijd in de UTM-appliance steken als die gestart wordt. Onder ‘Maintenance’ (onderhoud) kunt u uw beheerinstellingen back-uppen of herstellen, de firmware controleren en updaten, of de appliance herstarten of afsluiten. Het Applicatie-menu laat u het bewaak- of rapportageprogramma starten. Onder Opties kunt u enkele voorkeurinstellingen vastleggen voor het werken met de appliance. Het belangrijkste voor uw dagelijkse beheer vindt u onder deze menubalk: de rest van het applicatievenster is verdeeld in twee panelen. Een smaller menupaneel links met aanklikbare UTM-menurubrieken en rechts daarvan een breder paneel dat een statusoverzicht bevat. Als u een rubriek kiest, opent die een nieuw dialoogvenster met de bijhorende beheerdetails. Rubrieken waar een plustekentje voor staat, kunt u uitsplitsen in enkele subrubrieken. De rubrieken zijn degene de u zou verwachten bij UTM-beheer: Objecten, Netwerk (aansluitingen en routing), IPS, SEISMO (dat is een kwetsbaarheidsscanner), E-mail (om de UTM-appliance als mailserver te doen werken met kwetsbaarheidsonderzoek en desgewenst spamfilter bij inhoudinspectie), Logs, Active Update (instellingen voor automatische updates), Kalenders (in samenwerking met een LDAP-server), Slot Scheduler (om UTM-regels op bepaalde tijden wel of niet te doen gelden), Certificaten, Policy (filters, NAT, impliciete regels, QoS), PKI, Authenticatie, VPN, Proxy (voor smtp, pop3 en http), inhoudsinspectie (antivirus, antispam, URL-filter), Diensten (dhcp, dns, ntp en snmp).

Beveiliging

Bij het opgeven van filterregels kunt u tien filterslots per policy definiëren, elk met hun eigen regels en tijdinstellingen. Deze slots kunnen een prioriteit hebben. Bij de IPS-configuratie kunt u alle mogelijke acties en responses bekijken en zonodig wijzigen. De stateful inspectie van netwerkpakketten hoort hier ook bij. De inhoudsfilter verzorgt antispam, antivirus en URL-filtering. Het antispamgedeelte gebruikt zwartelijstservers op internet en eigen zwarte en witte lijsten. De instelmogelijkheden zijn voor dit onderdeel veeleer beperkt. De antivirusfunctie werkt samen met de proxyserverfuncties en controleert dus alles wat de appliance cachet ook op malware. Standaard is dat het geval voor pop3, smtp en nntp. Voor websurfen kunt u dat ook aanzetten, maar dat vertraagt de surfervaring natuurlijk nogal. Standaard gebruikt NetASQ ClamAV als antivirusmodule, maar met een bijkomende licentie kunt u ook kiezen voor Kaspersky. De url-filter werkt met categorieën en raadpleegt daarvoor een NetASQ url-databaseserver. Er is een voorziening in de beheerinterface ingebouwd om een alternatieve url-filterdatabase te raadplegen, maar die was in ons testexemplaar niet actief.

Praktijk

Deze NetASQ UTM F200 demonstreert duidelijk dat alle heil inzake beveiliging zeker niet van over de oceaan hoeft te komen. Deze Franse UTM-appliance werkt prima en biedt een gebruikersvriendelijke en veelzijdige Windows-beheerapplicatie. Bovendien is ze nog erg aantrekkelijk geprijsd ook!

SecPoint Protector P1000-250

Ook in Denemarken maakt men beveiligingsappliances zoals deze SecPoint Protector P1000 (de toevoeging -250 slaat op het aantal aangekochte gebruikerslicenties). Deze appliance is uitgevoerd in blauw en heeft vier netwerkpoorten. Helemaal links is er een lcd-paneeltje met bijbehorende bedieningstoetsen, maar in principe hoeft u dat zelden of nooit te gebruiken. De eerste netwerkpoort ‘A’ heeft een vast ip-adres 10.10.10.100 en zo kunt u dus altijd aan de beheerinterface, ook al weet u niet op welk ip-adres de appliance staat ingesteld. De andere netwerkpoorten kunt u naar behoefte indelen. Zoals de meeste andere appliances gebruikt SecPoint een webinterface voor het beheer.

Beheer

De webinterface van de SecPoint Protector zit vrij eenvoudig in elkaar. Bovenaan is er een balk met de hoofdmenurubrieken voor het dagelijks beheer: Home (thuispagina), Antispam, Antivirus, Antispyware, IPS, inhoudsfilter, systeem. Helemaal rechts bovenaan kunt u kiezen tussen dit hoofdmenu en een ‘geavanceerd menu’ met systeeminstellingen en activiteiten die bedoeld zijn voor het beheer van de appliance zelf. Onder Antivirus en Anti-spyware kunt u eigenlijk alleen ‘aan of uit’ kiezen (bij Antispyware kunt u individuele controles uitschakelen), maar normaal zult u dat allemaal aan laten staan. De hoofdrubrieken vallen uiteen in ‘pull-down’-menu’s met soms uitgebreide opties, maar vaak is het niet meer dan opties aan of uit zetten. Een kind kan bij wijze van spreken de was doen.

Beveiliging

De SecPoint Protector heeft naast anti-spam ook volledige antimalware-onderschepping voor zowat alle protocols aan boord en inhoudsfilters voor post en webverkeer. Veel van de beveiligingsopties zijn eigenlijk niet door uzelf instelbaar, buiten dan dat u ze kunt aan- of uitzetten. Dat maakt het beheer eigenlijk erg eenvoudig. Gewoon aanzetten en het werkt. Plug en play! Eigenaardig genoeg zijn er geen gewone firewallregels te vinden. De reden daarvoor is, dat deze UTM zich specialiseert in inhoudsfiltering. Als u specifieke firewallregels wil kunnen instellen, zult u een aparte firewall moeten gebruiken. Er zitten natuurlijk wel firewallfunctionaliteiten in, maar die hangen samen met de inhoudsfilters en de IPS. U kunt bijvoorbeeld niet zelf een dmz definiëren en andere werkzones. Een verrassing is, dat SecPoint een eigen antimalware-engine gebruikt. Het is echter mogelijk een alternatieve engine te laten gebruiken: u kunt kiezen uit ClamAV, Kaspersky of Norman.

Praktijk

We begrijpen niet goed waarom SecPoint geen gewone firewallfunctionaliteit aan deze UTM toegevoegd heeft. Dat zou niet meer gekost hebben en de inzetbaarheid van deze appliance enorm hebben doen toenemen. De inhoudsfilters werken voorbeeldig en de spamfilter is zelfs uitstekend.

SonicWall Pro4100

Het Amerikaanse SonicWall is gespecialiseerd in netwerkbeveiliging en levert dan ook allerlei beveiligingsappliances van klein tot groot, waaronder UTM-appliances. De Pro4100 is een van de performantere modellen en bedoeld voor wat grotere netwerken. U krijgt een standaard ‘pizzadoos’ (1 rekeenheid hoge 19-inch appliance) met maar liefst vier ventilatoren, al maken die heel wat minder herrie dan we verwacht hadden. Er zijn tien netwerkaansluitingen die u kunt indelen zoals u maar wenst en u kunt ze ook configureren voor lastenverdeling en uitvalovername. De kast is van grijs metaal en het front toont het bekende logo van SonicWall met de koningsblauwe achtergrond.

Beheer

De webinterface van de Pro4100 heeft een vrij eenvoudige indeling met links een hoofdmenu met uitklapbare menurubrieken: System (alle systeeminstellingen), Network (alle netwerkinstellingen), SonicPoint (andere SonicWall AP’s kunt u hiermee beheren), Firewall (de basisbeveiligingsinstellingen), VoIP (instellingen voor netwerkspraakverkeer via SIP of H.323), Applicatiefirewall (optionele dienst om regels op te leggen voor alle mogelijke internetapplicaties), VPN, Users (voor individuele gebruikers en groepen maar ook gasten), Hardware Failover (uitvalovername door een tweede appliance), Security Services (beveiligingsdiensten: inhoudsfilter, antivirus, antiparasiet, inbraakpreventie, e-mailfilter en RBL-filter [zwartelijstservers]) en dan nog menurubrieken voor journaals, wizards en hulp. De systeeminstellingen bevatten een optie om netwerkpakketten te capteren voor foutenanalyse en probleemopsporing. Alle beveiligingsinstellingen staan u toe om aparte instellingen op te geven voor elk van de door u gedefinieerde groepen netwerkaansluitingen en uiteraard ook per gebruiker of gebruikersgroep of voor bepaalde protocols of diensten. U kunt beveiligingsinstellingen daarnaast laten gelden voor bepaalde tijdstippen. SonicWall heeft standaard al de meest gebruikte periodes ‘werkuren’, ‘vrije-tijd’ en ‘weekend’ voorzien, maar u kunt toevoegen of ervan maken wat u maar wilt.

Beveiliging

Bij de inhoudsfilter kunt u kiezen tussen die van SonicWall zelf of een van een ondersteunde derde partij: N2H2 of Websense Enterprise. De inhoudsfilter van SonicWall werkt categoriegebaseerd en u kunt sites in een witte of zwarte lijst zetten en ook om opname van uw aanpassingen in de updates van de SonicWall filter vragen. Er is een standaard inhoudsfilter met 12 categorieën en een optionele ‘Premium Business Edition’ inhoudsfilter die 56 categorieën biedt. De antiviruscontrole werkt op twee niveau’s: op de gateway en op de clients. Voor beide kunt u regels opgeven. De gateway-antivirus en de antiparasietcontrole werken op bepaalde protocols die u kunt in- en uitschakelen: http, https, ftp, smtp, pop3 en imap4. Kortom alle hoofdinternetapplicaties waarmee bestanden getransporteerd kunnen worden. Bij de gateway-antivirus kunt u daarenboven CIFS/NetBIOS en een tcp-stroom laten controleren. De e-mailfilter dient in feite voor het blokkeren van bepaalde extensies, ook in samenwerking met de antivirusmodule. Maar een echte spamfilter blijkt te ontbreken.

Praktijk

De Pro4100 heeft een vrij gebruiksvriendelijk beheer, werkt prima en biedt een uitgebreide functionaliteit. De ingebouwde webfilter konden we wel weer omzeilen door naar pornosites te surfen via de cache van Google. En ook heeft hij kennelijk moeite met het bestempelen van de NRA-website als eentje die te maken heeft met wapens: dat is typisch Amerikaans, heel wat Amerikaanse webfilters staan erop om www.nra.org als een politieke website te bestempelen en niet als een wapengerelateerde site.

Conclusie

De in onze ogen meest indrukwekkende UTM-appliances in deze test zijn in volgorde de Fortinet FortiGate 300A, de SecPoint Protector P1000 en de CheckPoint UTM-1 2050. Houden we ook rekening met de prijs, dan gaat de titel van beste koop naar het Franse product NetASQ F200 en de tweede plaats wordt dan gedeeld door Fortinet en SecPoint.

Johan Zwiekhorst

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content