De dreiging op het internet lijkt wel steeds groter te worden. Nu kun je ook al niet meer veilig surfen naar sites waarvan je dacht dat ze veilig waren. Vandalen slagen er immers steeds vaker in reclamebanners op ‘normale’ websites van malware te voorzien. Goede antimalwaresoftware op elke desktop is een mogelijke aanpak, maar misschien kan het ook centraal via een web security appliance of WSA? Wij hebben er drie getest.
In bedrijven speelt er natuurlijk meer mee dan alleen zorgen dat gebruikers niet door allerlei malware besmet raken tijdens het surfen. Er is immers ook een hoog risico op het lekken van allerlei informatie, gebruikers die het slachtoffer worden van phishing of die naar sites surfen waar ze tijdens de werkuren eigenlijk niet naar toe horen te surfen.
Het ligt dus voor de hand om webbeveiliging centraal aan te pakken. Vaak zijn webfilters een onderdeel van meer uitgebreide beveiligingsappliances (UTM’s). Dat mag, zolang dat geen nadelige invloed heeft op de werksnelheid en de functionaliteit van het webbeveiligingsonderdeel. In deze test van WSA’s doen dus ook enkele UTM’s mee. Wij behandelen die alsof ze alleen WSA-functionaliteit bieden, maar het kan geen kwaad als u er bij het bekijken van de tabel rekening mee houdt dat zo’n appliance voor de opgegeven prijs in feite een volledige UTM is en dus meer functionaliteit biedt dan alleen web security. We vermelden natuurlijk duidelijk voor iedere WSA of dat zo is.
Van een WSA verwachten we dus dat hij het surfen naar ‘slechte’ websites verhindert, maar van alle sites die niet in zijn zwarte lijst staan het http- en https-verkeer controleert op zoek naar malware en met name parasieten (spyware e.d.). Uiteraard mag dit geen negatieve impact hebben op de normale internetwerksnelheid van gebruikers, anders praten we al snel over een minder leuke ervaring. In deze test onderzoeken we WSA’s van IronPort, McAfee en Trend Micro.
IronPort S650
IronPort is natuurlijk vooral bekend als leverancier van uitstekende mail security appliances. Een web security appliance is nieuw voor IronPort, maar volgens het bedrijf een logische toevoeging. E-mail en het web groeien steeds meer naar elkaar toe, en vele legitieme mails bestaan al uit webpagina’s waarvan de inhoud vaak uit externe sites komt. Het is dan ook de bedoeling van IronPort om de mail security en web security technologieën te verenigen in één appliance. Maar voorlopig blijven het twee aparte producten, die nu al bepaalde gemeenschappelijke kenmerken hebben. De S650 is het topmodel en kan het surfen voor ettelijke tienduizenden gebruikers beveiligen. De S350 kan dat tot vijfduizend gebruikers en er komt ook nog een S1xx reeks model op de markt voor tot duizend of tweeduizend gebruikers. De IronPort S650 heeft twee netwerkaansluitingen voor L4-switchgebruik als single of dual tap, nog eens twee om als inline proxy te gebruiken en ook nog eens tot twee beheerinterfaces. Overigens kunt u er ook voor kiezen alles via één aansluiting te laten verlopen, al moet de appiance dan wel in de gebruikersbrowsers als proxy gedefinieerd worden om zijn werk te kunnen doen.
Beheer
U beheert de IronPort appliance via een webinterface. Die is eenvoudig, met een grote tabbladinterface met telkens helemaal links van ieder gekozen tabblad een menukolom en rechts daarvan de bij het gekozen onderdeel horende detailinformatie. Er zijn vijf tabbladen: Monitor (bewaking), Web Security Manager (webbeveiligingsbeheer), Security Services (beveiligingsdiensten), Network (netwerkinstellingen) en System Administration (systeembeheer). Onder ‘Monitor’ (bewaking) bekijkt u alleen statusinformatie en vraagt u allerlei statistieken en rapporten op. Bij Webbeveiligingsbeheer stelt u uw beveiligingsreglementen op. U kunt reglementen en inhoudsfilters definiëren voor het surfen. Die inhoudsfilters kunt u trouwens opgeven binnen een webreglement, want daarin legt u vast wat er onder welke voorwaarden moet gebeuren met websites in verband met antiparasiet, antivirus (nog niet aanwezig in de door ons getest appliance maar wel voorzien), inhoudsbeheer en virusuitbraakfilters (die bespreken we in de volgende paragraaf). De antivirusmotor zal die van Sophos zijn en IronPort zal net als bij zijn spamfilterappliance u de mogelijkheid geven ter vervanging of bijkomend te kiezen voor de antivirusmotor van McAfee.
Er zijn erg veel mogelijkheden en dat kan overdonderend werken, maar IronPort heeft rekening gehouden met beheerders die nog niet eerder met IronPort gewerkt hebben en dus vertrekt de appliance met een gemakkelijk te volgen vijfstappenwizard die alleen de hoogstnodige vragen stelt en dan standaardreglementen invoegt en toepast. Op deze manier bent u in een mum van tijd aan het draaien en kunt u later nog altijd de details van die instellingen en reglementen opvragen en desgewenst aanpassen aan uw wensen. Ook in die details kunt u kiezen voor voorgedefinieerde reglementen of inhoudsfilters, of uw eigen reglement of inhoudsfilter definiëren.
Het tabblad ‘Security Services’ toont een overzicht van alle beveiligingsdiensten waarop u geabonneerd bent – of juist niet – en u krijgt van elke dienst een statusoverzicht en de mogelijkheid om meteen de laatste nieuwe updates af te halen (dat kan natuurlijk ook volautomatisch). De diensten zijn: Web Proxy, L4 Traffic Monitor, IronPort URL Filters, Web Reputation Filters, Anti-Malware, End-User Notification en SenderBase. Het voorlaatste tabblad, ‘Network’, omvat alle netwerkspecifieke instellingen zoals de ip-adressen van elke interface en u kunt meerdere aliassen definiëren.
De appliance kan zich gedragen als een laag 4 – switch of een WCCP-router. Indien u dat toepast, zit de appliance verplicht in het internetpad en kunnen gebruikers die dus niet omzeilen. U kunt hem natuurlijk ook als proxyserver in de clientwebbrowsers opgeven, maar als de gebruiker de juiste rechten heeft kan hij dat natuurlijk uitschakelen.
Beveiliging
De echt kwaadaardige sites veranderen nogal eens van naam en domein en worden om die reden veelal aangesproken via speciale verwijssites die zelf niks verdachts doen of aan boord hebben (behalve die link dan). Daarom werkt IronPort met een zogenaamde reputatiescore. Die komt tot stand via een wereldwijd informatievergaringssysteem dat SenderBase heet. De bedoeling is dat alle IronPort-appliances informatie vergaren over welke systemen op internet te goeder trouw zijn dan wel malware verspreiden of eventueel tot dusver onbekend zijn. Op basis van zo’n 45 parameters voor websites en weblinks krijgt iedere website in de lijst een reputatiescore toegewezen. Die score wordt meermaals dagelijks volautomatisch bijgewerkt aan de hand van nieuw vergaarde informatie. Een reputatiescore kan lopen van -10 (heel slecht) over 0 (onbekende website) naar +10 (heel erg goed en absoluut betrouwbaar). Een zwarte lijst op internet werkt binair: ofwel sta je op de zwarte lijst, ofwel niet. Meer keuze is er niet. Met SenderBase kan elke website twintig verschillende waarden toegewezen krijgen en op die manier is de beoordeling niet meer zwart/wit, maar met heel wat grijs ertussen.
De ingebouwde URL-filter is overigens die van SurfControl, al zegt IronPort dat nergens en toont het ook niet op de webbeheerpagina’s. Maar wie vertrouwd is met SurfControl, herkent de URL-categoriëen meteen. De antivirusmodule is afkomstig van McAfee en de antiparasietmodule van WebRoot.
Praktijk
De werksnelheid van de IronPort S650 is erg goed: we stelden eigenlijk geen verschil in snelheid vast tussen het surfen met en zonder de appliance ertussen. De bewaking is prima, al konden we niet echt een malwaresite vinden om uit te proberen. Elke site die we konden verzinnen of ergens op internet vinden bleek al in de zwarte lijst van IronPort te zitten en werd dus onmiddellijk geblokkeerd. Een download van de nochtans met spam doorzeefde FreeMP3Player werd niet geblokkeerd en zoals we weten zou het starten hiervan ettelijke honderden parasieten in ons systeem installeren. Ook bepaalde Viagra-verkopende sites van spammails konden we probleemloos aanklikken en openen. De totaal onschuldige blog www.jaggle.nl werd dan wel weer geblokkeerd als porno (wat dus niet waar is), dat is daarmee dus een valse positieve. En zoals we wel meer zien bij Amerikaanse filters heeft de website van de machtige NRA (National Rifle Association, nationale geweervereniging) niets te maken met wapens maar gaat het om een ‘politieke’ site.
McAfee Secure Internet Gateway 3000
Net als veel andere antivirusproducenten heeft McAfee zijn gamma fors uitgebreid naar alles wat maar met beveiliging te maken heeft. De Secure Internet Gateway reeks van appliances heet eigenlijk voluit ‘Web and Messaging Secure Internet Gateway’ en moet zowel uw e-mail als uw surfen beschermen tegen hackers, vandalen en malware. In dit artikel richten we ons alleen op de webervaringsbeveiliging. McAfee kon het model 3000 helaas niet tijdig in ons testlab krijgen en stuurde ons dan de 3100. Die is functioneel identiek, maar presteert beter door krachtiger hardware. McAfee werkt niet met gebruikerslicenties maar met een aankoopprijs gevolgd door jaarlijkse onderhoudscontracten. Er is dus geen beperking of prijsverhoging voor het aantal gebruikers dat u met de appliance wil laten werken. Zoveel als de hardware aankan, zoveel mag u gebruiken zonder meerprijs. Er zijn wel licenties voor verschillende functies in de appliance. Zo zijn er aparte licenties voor de antivirusengine, de spamfilter en de webfilter. U kunt de appliance in uw netwerk integreren als een expliciete proxy, een transpante router of een transparante bridge. De transparante routermodus is bedoeld voor opstelling tussen uw internetrouter en uw firewall. Bij de transparante bridge of brug veranderen er geen ip-adressen en fungeert de appliance voor alles wat hij doorlaat als een netwerkkabel (die dan onderbroken wordt voor alles wat hij blokkeert). U moet hiervoor niets veranderen aan uw systeem- en netwerkconfiguratie. Dat is dan ook de meest populaire applianceconfiguratie.
Beheer
Net als bij de andere appliances gebruikt u de webinterface van de appliance om hem te beheren, al kunt u dat ook doen met een Windows-applicatie die u van de webinterface van de appliance kunt downloaden. Als u kiest voor de webinterface voor het beheer, dan wordt in feite een Java-applet gestart die hetzelfde doet als de voornoemde Windows-beheerapplicatie. Als u echter meerdere McAfee appliances in gebruik hebt, kunt u hen ook centraal beheren met behulp van de McAfee ePolicy Orchestrator. U begint met de appliance als proxy, router of brug te configureren en hem een ip-adres te geven, daarna kan u de webinterface gebruiken. Die begint met een setupwizard van acht stappen om de appliance volledig klaar te maken voor gebruik.
Het dagelijkse beheerscherm begint met een dashboard waarop u een overzicht krijgt van alle beveiligingssuccessen en -falingen. Uiterst links vindt u een boomstructuur van hoofdrubrieken die zich uitklappen in subrubrieken. De hoofdrubrieken zijn: Monitor (bewaking), Policy (reglement), Configure (configureer), Update, E-mail, System (systeem), Network (netwerk), Troubleshoot (problemen oplossen), Home (thuispagina) en ‘Show Quick Help’ (toon snelle hulp). De thuispagina brengt u in feite naar Monitor/Status (het dashboardoverzicht) en de hoofdrubriek ‘E-mail’ is natuurlijk alleen maar van belang als u deze appliance als spam- en malwarefilter voor e-mail wil inzetten, maar dat valt buiten het bestek van deze test.
De hoofdrubriek ‘Configure’ bevat de instellingen voor alle protocollen die deze appliance kan bewaken. Voor http kunt u de tcp-poorten waarover dat protocol zal lopen, configureren (normaal 80 en 443 voor https) en verder heeft McAfee ook gebruikersauthenticatie voor http daarin ondergebracht. Onder ‘Network’ vindt u de netwerkinstellingen, lastendeling en de setupwizard. De hoofdrubriek Systeem is bestemd voor het beheren van meerdere appliances, van componenten (uitbreidingspakketten, ook een agent voor ePolicy Orchestrator) en om de configuratie te back-uppen en te herstellen.
De meestgebruikte hoofdrubrieken zijn natuurlijk Policy en Bewaking. Het http-reglement splitst zich uit in inhoudsregels van buiten naar binnen en van binnen naar buiten, plus meer geavanceerde regels voor verbindingen en protocols. Bij het dagelijks gebruik vinden we zowel de webinterface als het Windows-beheerprogramma nogal traag. Bij het aanklikken van links kan het secondenlang duren voor er een reactie komt en dat werkt niet echt prettig.
Beveiliging
Inzake webbeveiliging biedt de appliance van McAfee uiteraard een virusfilter en die staat standaard op ‘hoge bescherming’ ingesteld. McAfee gaat er waarschijnlijk vanuit dat dat bij normaal desktopgebruik teveel valse positieven zou veroorzaken, maar dat je bij wat er van websites binnenkomt gewoon niet voorzichtig genoeg kan zijn. Verder zijn er regels voor de samenstelling en omvang van http-hoofdingen en of u uitvoerbare elementen (scripts, ActiveX, Java applets) wil toestaan of verwijderen. Dat laatste kan trouwens voor de drie uitvoerbare elementen apart worden ingesteld. U kunt ook aangeven welke streaminginhoud u wil toestaan en wat voor soort acties uw gebruikers wel of niet mogen ondernemen als ze browsen. Er is ook een categoriegebaseerde URL-filter, maar die vereist een aparte licentie. Die is niet van McAfee zelf, maar van een andere firma, en biedt zo’n 69 categorieën waarop u websites kunt laten blokkeren of toelaten.
Praktijk
De licentie voor de categoriefilter was bij ons testtoestel niet standaard aanwezig. Er was in de beheerinterface wel een optie om een evaluatielicentie aan te vragen, en dat hebben we dan gedaan. Deze URL-filter heeft 79 categorieën en standaard heeft hij er daar 13 van geblokkeerd. Die lijst kunt u natuurlijk zelf wijzigen. De filter kan sites blokkeren, toelaten, de toegang bewaken of ‘coachen’ (dan vraagt de filter of u dat wel zeker weet). De URL-filter werkt goed, maar net zoals bij de meeste Amerikaanse webfilters blijkt de website van de NRA geen wapenwebsite, maar een “politieke of opiniesite”. Als een site geblokkeerd wordt, heeft de appliance daar vrij lang voor nodig en moet u er dus op wachten. Toegelaten sites worden wel snel doorgelaten. U kunt geblokkeerde sites toch nog bekijken via de cache van Google, of als u een externe proxy definieert. Dat moet dus nog beter, McAfee! De virusfilter is natuurlijk de grote trots van McAfee en standaard staat die ook ingeschakeld. Andere malware wordt daarmee echter niet gedetecteerd en geblokkeerd, daar moet u expliciet bepaalde opties voor aankruisen in de beheerinterface. Dat helpt allemaal niet tegen het downloaden van met parasieten geïnfecteerde software, zoals onze beruchte gratis mp3-speler. Die komt probleemloos binnen en als u hem start, wordt uw systeem zwaar met parasieten besmet. Ook hier hebt u dus nog een desktopantimalwarepakket nodig.
Trend Micro IWSA 2500 Enterprise Edition
Het Amerikaanse Trend Micro is natuurlijk geen onbekende als het over antimalwaresoftware gaat, en ze maken ook al enkele jaren beveiligingsapplicances. De IWSA (voluit: InterScan Websecurity Security Appliance) is een gateway-of proxysysteem dat alle webverkeer van het internet naar uw bedrijfsnetwerk toe onderschept en analyseert op zoek naar op de zwarte lijst staande URL’s en kwaadaardige code. U kunt de IWSA configureren als een echte proxyserver, maar ook als een transparante bridge. Samenwerken met een ICAP-server (Internet Content Adaptation Protocol) is ook mogelijk. Volgens Trend Micro kan de IWSA 2500 tot zo’n 600 gelijktijdige verbindingen aan zonder noemenswaardige vertraging en is de oplossing schaalbaar tot bijna vijfduizend verbindingen in één appliance, ook weer met minimale vertraging.
Beheer
U beheert de IWSA met uw webbrowser. Als u meerdere van deze appliances samenbrengt in een serverfarm, kunt u gebruik maken van een beheer- en configuratieserver met bijbehorende applicatiesoftware. Trend Micro biedt een webinterface met een uitklapbare rubriekenboom uiterst links. Geen tabbladen dus, al hebben sommige detailschermen zelf wel tabbladen. De hoofdrubrieken zijn: http, ftp, rapporten, logs, updates, notificaties en beheer. De hoofdrubriek ‘http’ is uiteraard de meest uitgebreide, vermits de beveiliging van dat protocol de basisfunctie van deze appliance is en deze rubriek alle daarvoor benodigde configuraties, regels en instellingen bevat.
De onderverdeling van een hoofdrubriek in verschillende subrubrieken is door Trend Micro erg logisch aangepakt. Zo zijn de verschillende subrubrieken beveiligingshoofdstukken met onderdelen ‘policies’ (reglementen) en ‘settings’ (instellingen). HTTP kent als subrubrieken: http scan (malwarescan), applets en ActiveX, URL Filtering (op basis van categorieën), IntelliTunnel (beveiliging van Instant Messaging), gebruiksquota’s, URL-toegangsbeheer (witte en zwarte lijsten) en configuratie (proxyscaninstellingen, gebruikersindentificatie, toegangsbeheer- en ondervraagbeheerinstellingen, en URL-cache). De andere hoofdrubrieken hebben veel kleinere submenu’s (meestal maar drie of vier). Trend Micro heeft duidelijk goed nagedacht over het geheel en voor zover wij kunnen zien is dit heel erg volledig en treffen we geen lacunes aan.
Beveiliging
Bij de IWSA is de beveiliging uitgesplitst in malwarescans, witte en zwarte lijsten van URL’s, applets en uitvoerbare scripts, gebruikers en systemen (wat mag wel en wat mag zeker niet?). Voor de malwaredetectie gebruikt Trend Micro zijn eigen engine en er is geen mogelijkheid om er een van een andere producent in de plaats of aanvullend te gebruiken. Voor de pure webfiltering heeft Trend Micro een eigen systeem van webreputatiefiltering ontworpen dat zou moeten helpen om de sites met malware aan boord en die u dus effectief kwaad willen doen, zo effectief mogelijk te blokkeren. Als het u gewoon om ongewenste inhoud gaat (zoals porno), dan gebruikt u daarvoor natuurlijk de URL-categoriefiltering. Ook hier blijkt Trend Micro erg volledig en kunnen we niet direct iets bedenken dat ze vergeten zouden zijn.
Praktijk
De hamvraag is natuurlijk of het ook werkt. De malwaredetectie van Trend Micro werkt vrij goed, maar is niet in staat parasieten in gedownloade bestanden te detecteren. Daarmee bedoelen we zoiets als onze beruchte FreeMP3Player. Die is niet zelf geïnfecteerd met malware, maar installeert tijdens zijn eigen installatieprocedure honderden parasieten in uw pc. En dat detecteert deze appliance dus niet. Gewone besmette bestanden detecteert ie wel. De op categorieën gebaseerde websiteblokkering werkt prima, en zowat alle kwaadaardige sites die wij kenden zaten in de zwarte lijst. De website van de NRA wordt overigens niet geblokkeerd als u de categorie ‘wapens’ uitschakelt, en helaas ook niet als u ‘politieke en activistische groeperingen’ opgeeft.
Algemene Conclusie
Geen enkele web security appliance in deze test volstaat als desktopbeveiliging: op elke client blijft aparte desktopantimalwaresoftware nodig. De appliance van McAfee is het interessantst geprijsd en hoewel we niet helemaal tevreden zijn over de beveiliging, krijgt hij daarmee toch de titel van beste koop. IronPort en TrendMicro blokkeren wel goed, maar zijn verhoudingsgewijs duur.
Johan Zwiekhorst
Fout opgemerkt of meer nieuws? Meld het hier