Virussen, parasieten en soortgelijk gespuis dat de veiligheid van computers en servers bedreigd, noemen we malware. Oplossingen om een volledig netwerk daartegen te beschermen zijn netwerkantimalwareproducten. Wij testten zeven dergelijke oplossingen.

De meeste producenten van antimalware-oplossingen hebben in de loop der jaren vanalles bedacht om duidelijk te maken dat ze meer doen dan alleen virussen bestrijden, maar vrijwel niemand noemt zijn product ‘antimalware’ en dat is toch wel eigenaardig. De tendens gaat tegenwoordig in de richting van de termen ‘client security’ of ‘endpoint security’, al heeft die omschrijving het nadeel dat het niet zo duidelijk is dat ook servers daartoe behoren.

Waarom alleen Windows?

Er zijn wel mensen, vaak werknemers van Microsoft, die net zoals hun baas Steve Ballmer, beweren dat als andere besturingssystemen zo succesvol waren geweest als Windows, ook zij het doelwit geweest zouden zijn van allerlei malware. Met die uitspraak zijn we het helemaal niet eens. Een tegenvoorbeeld is immers snel gevonden: de meestgebruikte webserver is Apache, maar het blijkt even goed IIS onder Windows te zijn die het meest last heeft van beveiligingsproblemen. Er zullen bovendien vast wel pogingen ondernomen zijn door snoodaards om malware aan de gang te krijgen op niet-Windows platformen, maar als die geen succes hebben is het enthousiasme van een malware-auteur er snel af. En daar zit hem het hele probleem. Windows blijkt gewoon niet veilig en u kunt niet anders dan de vele beveiligingsgaten dichttimmeren met behulp van beveiligingssoftware.

Microsoft kan de beveiligings- en prestatieproblemen van Windows gewoon niet oplossen zonder het besturingssysteem van de grond af te herschrijven, maar dan zou het niet meer compatibel zijn met bestaande Windows-applicaties. En dus zult u Windows altijd sterk moeten beveiligen, daar komt u niet onderuit. Dat geldt ook voor Windows Server 2008 die volgend jaar uitkomt.

Malwarebestrijding

Dus installeert u een antimalwarepakket, bijvoorbeeld de testwinnaar in dit artikel, en gaat u ervanuit dat u nu volkomen veilig bent. De producenten van antimalwaresoftware geven u althans die indruk. Helaas stellen wij elk jaar bij onze antimalwaretesten vast, dat er altijd wel virussen en parasieten door de mazen van het beveiligingsnet glippen. Bijgevolg moet de software naast de gebruikelijke scans van uw computer ook een ijzersterke residente beveiliging bevatten, die alle wijzigingen aan uw systeemsoftware controleert en zonodig verhindert.

In een netwerk is het probleem nog veel groter. Als één systeem besmet raakt, is het immers voor malware een koud kunstje om de rest van uw netwerk ook te infiltreren. Daarom moet bedrijfsantimalwaresoftware niet alleen al uw servers en werkstations beschermen, maar ook een fatsoenlijk centraal beheer bevatten. Daarmee kunt u alle systemen in uw netwerk op afstand bedienen en configureren, maar ook de software en eventuele beveiligingsupdates vanaf een centrale plek in uw netwerk uitrollen en verdelen naar al die systemen. Minder is méér, zeker bij netwerksoftware: minder werk voor de beheerder en meer functionaliteit voor het hele netwerk!

Testmethode

Netwerkantimalwareproducten testen we in twee fasen: een antivirustest en een antiparasiettest. Bij virussen komt besmetting het meest voor doordat u een bestand binnenkrijgt via e-mail of een opslagmedium. Virusdetectie is dus een heel belangrijke eerste stap want die voorkomt dat u besmet raakt. Uiteraard moet er ook een achtergrondcontrole zijn die een eventueel tot dusver onbekend virus dat toch gestart is op uw systeem, blokkeert. Een parasietbesmetting treedt heel vaak op een meer argeloze manier op: terwijl u surft (zeker met IE), of eventueel ingebed in software die u installeert. Daarom lijkt ons de residente parasietblokkering de belangrijkste factor in de tweede fase van de test. Voor de antivirustest doen we bijgevolg een detectie- en schoonmaaktest, en voor de antiparasiettest kijken we of de software in staat is een besmetting met honderden parasieten te voorkomen of, als dat toch lukt, het systeem met succes weer te zuiveren.

Naast deze prestatietesten hebben we ook punten gegeven op de functionaliteit en netwerkbeheerfaciliteiten van de diverse producten. Meer uitleg over de antivirus- en antiparasiettest vindt u in een tekstkader bij dit artikel (p.36).

Geteste producten

Zoals gebruikelijk vroegen we de bekendste producenten van netwerkantivirussoftware ons een pakket ter evaluatie op te sturen. In deze test vindt u dus de volgende producten (in alfabetische volgorde): Computer Associates Threat Manager r8.1; F-Secure Anti-Virus Corporate Suite 2007; Kaspersky KOSS 3; Panda Business Secure EnterpriSecure 2007, Sophos Endpoint Security and Control, Symantec Endpoint Protection 11.0 en TrendMicro OfficeScan 8. McAfee zou ook meedoen met onze test en wel met Total Protection Enterprise (VirusScan Enterprise 8.5i + AntiSpyware Enterprise 8), maar op het laatste moment kregen we een raadselachtige e-mail uit de VS met de boodschap dat McAfee ondanks goede vroegere resultaten in onze testen dit maal geen ‘resources’ had om aan onze test deel te nemen. Omdat het bedrijf wel onze vragenlijst had ingevuld, hebben we het product opgenomen in onze informatietabellen, maar de gemeten prestaties zijn die van onze vorige antimalwaretest (voorjaar 2007).

CA Threat Manager r8.1

In feite is CA Threat Manager of kortweg TM een beheersomgeving rondom twee ouwe getrouwen van CA inzake beveiliging: CA AntiVirus en CA PestPatrol (antiparasietsoftware). De beheersomgeving bestaat uit een herdistributieserver (optioneel), een TM-server en een TM-console. Op de diverse pc’s en servers in het netwerk draait een TM-agent. Die agent heeft een eigen webinterface die u lokaal kunt oproepen (als u daar tenminste de rechten voor hebt) net zoals een lokaal geïnstalleerd antimalwareprogramma. Door die webinterface neemt de agent meer systeembronnen in beslag dan we zouden verwachten: het is ongeveer vergelijkbaar met een installatie van de complete internetbeveiligingssuite van McAfee. De TM-console beheert alle agenten over het hele netwerk. Dat netwerk kunt u indelen in boomstructuren van organisaties en subnetten. CA ITM r8 biedt een vrij vlot centraal beheer en in tegenstelling tot bij de vorige versie werkt de webinterface nu ook met Firefox. De gebruikersinterface is policy-gebaseerd, maar u zult wat studietijd nodig hebben om alles onder de knie te krijgen. De beveiligingsprestaties op het vlak van virussen en parasieten blijken goed maar niet uitstekend.

F-Secure Anti-Virus Corporate Suite 2007

Het Finse F-Secure biedt Policy Manager als centraal beheer voor de beveiliging. Zoals de naam al doet vermoeden, definieert u een ‘security policy’ of beveiligingsreglement en alle F-Secure beveiligingssoftware gebruikt dat dan om de naleving van uw hele netwerk daarmee af te dwingen. U kunt Policy Manager als een centraal beheer gebruiken voor al uw antimalwareproducten. Hoewel F-Secure in zijn productbenamingen alleen melding maakt van antivirus, blijken de producten ook parasieten te bestrijden en gaat het dus om echte antimalware. F-Secure biedt voor Windows servers aangepaste antimalwareproduten voor file- en Exchange servers. Voor desktopsystemen is er een werkstationantimalwaremodule of Client Security. Dat is een compleet beveiligingspakket voor desktops met naast malwarebestrijding ook een firewallmodule. Policy Manager, dat trouwens ook voor Linux bestaat, kan dit dus net als de andere antimalwareproducten van F-Secure ook volledig op afstand beheren. De beveiligingsoplossing van F-Secure kent eigenaardig genoeg geen quarantaine. U kunt geïnfecteerde bestanden wissen, hernoemen, proberen schoon te maken of alleen vermelden in het logboek maar helaas niet verplaatsen of in quarantaine houden. Bij de producten voor eindgebruikers kan dit wel, maar niet bij de netwerkproducten. Qua detectie en blokkeren van malware haalt F-Secure de hoogste scores van alle producten in deze test, maar het gaat trager dan bij onze test van vorig jaar. Ook schoonmaken doet F-Secure erg goed.

Kasperky KOSS 3

Het uit Rusland afkomstige Kaspersky heeft de laatste tien jaar een zeer sterke reputatie verworven als malwarebestrijder. De firma biedt antivirus- en ondanks de productnaam ook antiparasietbescherming voor zowat elk populair platform. De ‘KOSS’ staat overigens voor ‘Kaspersky Open Space Security’. Alle producten voor alle platformen kunt u centraal beheren via de Kaspersky Administration Kit. Die voorziet een nette boomstructuur om andere van Kasperksy software voorziene systemen mee op afstand te beheren en daarin geïntegreerd zit de mogelijkheid om nieuwe software of updates in uw netwerk te verspreiden. Daarmee hebben we dus een gecentraliseerd beheer, centrale software- en updatesdistributie en ook centrale rapportering. De gebruikersinterface van de Administration Kit is duidelijk niet voor novices ontworpen, maar als u al enige ervaring hebt met het beheren van Windows-servers en -werkstations zou u ook hiermee weinig moeite mogen hebben. De Administration Kit geeft u de mogelijkheid te werken met ofwel een Microsoft SQL Server ofwel een MySQL databaseserver, maar dat laatste blijkt niet goed te werken. Na ruggespraak met de support van Kaspersky bleek de oorzaak te zijn, dat de versie van onze MySQL-server niet hoog genoeg was. Die foutmelding is dan wat ons betreft behoorlijk onduidelijk, want als gebruiker weet je niet of de databaseserver offline is, of je wellicht een tikfout hebt gemaakt in gebruikersnaam of -wachtwoord. Of, zoals in ons geval, een te lage versie van de server.

Het dagelijkse beheer van de eigenlijke antimalwaresoftware gaat uiteraard via die Administration Kit. Dat is een MMC-applicatie die aan de linkerkant een boomstructuur laat zien van netwerkobjecten en taakobjecten. U kunt er alle update-, scan- en andere taken mee coördineren, zowel lokaal als vanop afstand. Viruswaarschuwingen kunnen via de gebruikelijke pop-ups, maar ook via e-mail (SMTP of MAPI) verstuurd worden. Andere waarschuwingsmethodes zijn niet voorzien.

De antivirusengine van Kasperky detecteert tegenwoordig naast virussen ook parasieten. Natuurlijk hebben andere platformen lang niet zoveel of zelfs helemaal geen last van malware in vergelijking met Windows, maar het is wel handig als non-Windows servers voor Windows werkstations bestemde bestanden en datastromen kunnen controleren op malware.

In onze test haalt Kasperky een goed maar niet uitstekend resultaat bij de antivirustest; bovendien laat het product naar onze mening wat teveel parasieten door de mazen van het net glippen. Maar vergis u niet: dit is ondanks deze kritiek een erg degelijk beveiligingsproduct. Gecombineerd met een werkelijk zeer uitgebreide functionaliteit en de laagste prijs per gebruiker van iedereen, is dit product bijgevolg onze beste koop.

Panda Business Secure EnterpriSecure 2007

Panda is van Spaanse afkomst en staat al enkele jaren bekend als een uitstekende producent van pc-beveiligingssoftware. Naast de standaard desktopvirusbestrijder, die ook parasieten bestrijdt, biedt de producent netwerkondersteuning in de vorm van Panda AdminSecure. Dit is in feite software om servers en werkstation in een netwerk (ook in meerdere domeinen en zowel Windows als Linux als NetWare) op te sporen en daarvan dan de antimalware-administratie te doen. Met deze antimalware-administratie kunt u op afstand zorgen voor installatie van het antimalwareproduct en de complete configuratie daarvan. Het AdminSecure-beheer van Panda is een Windows-programma en kan dus niet op andere platformen gebruikt worden. Daarom zijn wij over het algemeen voorstanders van webinterfaces voor centraal beheer: dat laat wel vrije plaformkeuze toe. We moeten wel zeggen dat AdminSecure ook dit jaar een van de meest gebruikersvriendelijkste en fraaist ogende beheercentrales is die we tot dusver onder ogen kregen. Er is een stappenplan dat start elke keer als u AdminSecure opent – u kunt dat uitzetten als u het niet meer nodig hebt – en de meeste taken die u als beheerder uitvoert zijn voorzien van een duidelijke wizard.

De software van Panda kan met computers communiceren zodra ze een agent aan boord hebben, en voor die agentdistributie krijgt u verschillende mogelijkheden aangereikt die bijna garanderen dat het lukt om die agent vanop afstand op een pc of server te krijgen. Zo gemakkelijk hebben we het bij geen enkel ander product gehad. Net zoals bij andere producten in deze test kan de clientantimalwaresoftware automatisch geïnstalleerd en geactiveerd worden op een werkstation als de gebruiker inlogt. U kunt ook bepaalde gebruikers uitsluiten van het antimalwarebeheer, bijvoorbeeld omdat ze een besturingssysteem draaien dat niet door Panda wordt ondersteund. Veel zullen er dat overigens niet zijn: Panda ondersteunt namelijk alles van Windows, Linux en DOS plus extra ondersteuning voor Outlook/Exchange-postsystemen.

Panda blijkt volgens onze testen enorm goed in het stoppen van zowel virussen als parasieten en het is een van onze twee topscorers.

Sophos Endpoint Security and Control

Het Britse Sophos spreekt niet meer over antivirus of antispyware of anti-wat-dan-ook. Beveiliging moet een geïntegreerd geheel zijn en over het hele bedrijf tegelijk aangepakt worden, vindt Sophos. Dat is terecht en veel van haar concurrenten delen die mening. Sophos Endpoint Security and Control is een systeem van totaalbeveiliging voor alle netwerkeindpunten (computers en mobiele toestellen): dus zowel antimalware als firewall als reglementnalevings- en netwerktoegangscontrole.

Het beheer bestaat uit twee delen: de Enterprise Manager (een MMC-console) die in feite voor het downloaden en ter beschikking stellen van de software- en updatespakketten zorgt en de Enterprise Console waarmee u de beveiligingsreglementen voor uw netwerk en de daarin aangesloten eindpunten centraal beheert en aan software- en updatesdistributie doet. De persoonlijke firewall is overigens alleen beschikbaar voor Windows 2000 en hoger, terwijl de antivirusmodule werkt vanaf Windows 98 en hoger, Linux en MacOS.

Het geïntegreerde beveiligingsbeleid zorgt voor bescherming tegen malware, ongewenste applicaties en specifieke ongewenst diensten of software-installaties zoals chatten, VoIP, P2P en spelletjes. Het beheer doet u met één centrale console voor het uitrollen van software en updates, het definiëren van uw beleidsregels en uiteraard de rapportage van en over dit alles. Daarover hebben we maar één klacht. Wij gebruikten een Active Directory testdomein en hoewel de Enterprise Console de antimalwaresoftware kon installeren op andere computers (servers en werkstations), verschenen die niet of niet meteen als beheerde en beveiligde systemen in de Console terwijl dat wel zou moeten. Het duurde ruim een kwartier tot twintig minuten vooraleer de reeds beveiligde systemen als dusdanig gemeld werden in de Console.

Sophos heeft zijn antimalwareproduct voorzien van twee nieuwigheden: HIPS (Host Intrusion Prevention System, een inbraakpreventiesysteem) en BGP (Behavorial Genotype Protection, een bescherming via gedragsanalyse. Deze zorgen voor bescherming tegen malware waarvoor nog geen signaturen bestaan door in de achtergrond het gedrag van alle gestarte applicaties te analyseren en zodra er verdacht gedrag wordt gedetecteerd, dat onmiddellijk te verhinderen. De malwarescanner kan op deze manier dus optreden voordat u iets start maar ook nadat software al gestart is.

Sophos levert geen slechte malwaredetector, maar hij is helemaal niet goed in het schoonmaken van virussen uit programmabestanden en doet dat ook slechter dan de concurentie bij besmette Office-documenten. Ook bij de parasietentest laat hij helaas een aantal steekjes vallen. Bovendien blijkt hij Registry Mechanic van PCTools (een bijzonder goed registerschoonmaakproduct) als iets verdachts te herkennen, wat natuurlijk niet juist is.

Symantec Endpoint Protection 11.0

Symantec had al jaren antimalwarebestrijdingssoftware, ook voor netwerken, en die hebben wij ook elk jaar getest. De oplossingen van Symantec hadden echter enkele lacunes. Zo ontbrak een echte netwerktoegangscontrole en waren er ook geen voorzieningen om echte beveiligingsreglementen toe te passen en voor heel het bedrijf af te dwingen. In 2005 nam Symantec echter Sygate over, een firma die bij particulieren vooral bekend was omwille van hun goede firewallsoftware, maar bij bedrijven omwille van hun reglement- en netwerktoegangscontrolesoftware. Zoals gebruikelijk heeft Symantec de aldus overgenomen software al vlug onder eigen naam verkocht, maar een echt geïntegreerd geheel van beveiligingsproducten inclusief reglementafdwinging en netwerktoegangscontrole had Symantec niet. Dat verandert nu. Het nieuwe Endpoint Protection r11.0 (dat gewoon het volgende versienummer van AntiVirus Corporate Edition na r10 krijgt) is zo’n geïntegreerd geheel. Het beschermt alle eindpunten (servers, werkstations en mobiele stations) tegen malware, beveiligt ze met een afdwingbaar reglement met inbegrip van regels voor wie toegang krijgt tot het netwerk en de daarin aangesloten machines en via welke methodes. Maar ook wat gebruikers mogen en wat niet.

Overigens laat Symantec de vroegere aparte licenties voor alle individuele onderdelen van deze suite vervallen: u betaalt nog één licentie voor de hele beveiliging, dat is alles. Daar zit nogal wat in: personal firewall, apparaat- en applicatiecontrole, antimalware, antirootkit (VxD-sturingen), gedragsanalyse, inbraakbescherming voor netwerk en eindpunten. Symantec maakt het zelfs heel erg interessant voor bestaande klanten, want zij die een geldig onderhoudscontract hebben voor Symantec Antivirus 9 en 10 kunnen volledig en zonder meerprijs overstappen naar Endpoint Protection r11.0.

Het centraal beheer werkt vanuit een ‘Management Server’ (beheerserver), die niet langer zoals vroeger bij Symantec MMC- maar webgebaseerd is. Als u EP11 voor de eerste keer installeert, krijgt u wizards die u helpen alles te installeren en de software uit te rollen naar eindpunten toe. Het is ook meteen duidelijk dat u best performante hardware hebt, want bij onze Windows 2003 testserver (een Pentium IV 2,4 GHz met 2 GiB RAM) werd de starttijd maar liefst verdrievoudigd, en ook het werken met de desktops (ook Pentium IV systemen) bleek daarna erg traag. De clients kunt u veel of heel weinig controle geven, en ook de installatie kan zichtbaar of helemaal onzichtbaar gedaan worden. Symantec EP11 blijkt vrij goed in pure virusdetectie, maar kan slechts ongeveer één derde van de besmette bestanden ook weer schoonmaken. Bij het blokkeren van parasieten gaat het wat beter. Hij hield al onze testparasieten tegen, al moest dat bij sommige in meerdere scanbeurten. Dat is net niet goed genoeg voor de topprestaties in deze test, maar het komt er wel dicht bij in de buurt. Symantec zou wel iets moeten doen aan de werksnelheid, want op ons maakte alles een beretrage indruk.

TrendMicro OfficeScan 8

TrendMicro levert verschillende combinaties van zijn antimalware-oplossingen. Degene die wij voor u kozen heet Enterprise Protection en bevat alles wat u maar nodig heeft om zowel clients als servers en alle communicatie tussen hen en met het internet te beschermen. De bundel bestaat uit OfficeScan serveredities voor Windows, Linux en NetWare servers en uit OfficeScan desktopedities voor Windows desktops en notebooks. Dat werkt voor OfficeScan 8 met slechts één binair bestand: de licentie die u aankocht bepaalt voor welke omgevingen de software bedoeld is en of het om client- of serversoftware gaat. De OfficeScan server kan zo’n vijftigduizend clients bedienen volgens TrendMicro en de documentatie raadt dan ook aan een tweede OfficeScan server te installeren als u er meer dan dat aantal wil beveiligen.

De OfficeScan server werkt samen met een webserver om clients (ook remote clients) toegang te geven tot het beveiligingsproduct. Die webserver kan zowel IIS als Apache zijn. Als u voor Apache kiest terwijl die niet aanwezig is, installeert de OfficeScan-installatieprocedure de Apache webserver voor u. OfficeScan ondersteunt meerdere methodes om clients aan hun beveiliging te helpen, maar de meest gebruikte zullen de webtoegang (waarbij een gebruiker de software dus zelf actief moet installeren) en het vanaf een server op afstand op de client installeren van software. Het hele beheer werkt met een webinterface die omwille van de gebruikte ActiveX controles IE vereist.

Op de clients draait niet gewoon een agent, maar een volwaardige antivirusclient. Gebruikers kunnen dus zelf ook scans laten uitvoeren als ze dat willen. Het opruimen van parasieten vergt overigens een optionele licentie ‘Damage Cleanup Services’. Bij deze test, omdat die immers over antimalware gaat, bekijken we het product dus inclusief deze licentie. OfficeScan 8 biedt zonder deze extra licentie wel een webreputatiefilter, die u verhindert naar kwaadaardige sites te surfen en zo dus allerlei parasietbesmettingen kan voorkomen. Leuk om te weten: OfficeScan beschermt ook draadloze toestellen en in het bijzonder PDA’s. Op servers biedt OfficeScan buiten de actieve malwarebestrijding nog een ‘enterprise firewall’-beveiliging.

OfficeScan kent vrij unieke functies voor virusuitbraakpreventie (bedoeld om bij een uitgebroken virus in uw netwerk de machines die nog schoon zijn meteen af te schermen), een virusuitbraakmonitor (een bewakingssysteem dat elke overtreding van de firewallregels meldt), en ondersteuning voor Cisco NAC (Cisco Network Admissions Control, een systeem met strikte toegangsreglementen voor eindnodes in netwerken.

TrendMicro geeft een vrij goed resultaat bij de virusdetectietesten, maar laat toch enige steekjes vallen bij het schoonmaken van virussen en parasieten.

Conclusie

U krijgt met alle geteste netwerkoplossingen een goede, zeer goede of uitstekende beveiliging tegen malware. Er zitten zeker geen slechte producten bij. De allerbeste presteerder inzake functionaliteit, virus- en parasietbestrijding is F-Secure Anti-Virus Corporate Suite 2007 en Panda Business Secure EnterpriSecure 2007. Die zijn echter niet bepaald goedkoop en dus helaas geen beste koop. Dat etiket kennen we toe aan Kaspersky Open Space Security. Die suite biedt een prima functionaliteit en levert een goede maar niet uitstekende prestatie voor de malwarebestrijding. Dat levert samen een puike prestatiescore op. Gecombineerd met de laagste prijs per gebruiker van iedereen betekent dat voor Kaspersky het etiket ‘beste koop’. De producten van Symantec en TrendMicro krijgen van ons nog een eervolle vermelding. En CA kan met Threat Manager r8.1 niet echt op tegen de rest en eindigt in deze test op de laatste plaats. z

Uitgebreide tabellen met testresultaten en productinfo vindt u op datanews.be/specials

Johan Zwiekhorst

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content