Als we ISS mogen geloven, is de Proventia M10 een ware alleskunner. Het gaat om een geïntegreerde ‘security appliance’ met een firewall, inbraakpreventie, antivirus, web- en mailfiltering. In een test mag de Proventia M10 bewijzen hoe goed hij zijn beveiligingswerk doet.
ISS of voluit Internet Security Systems is bekend vanwege zijn RealSecure inbraakdetectiesystemen. De Proventia-serie van beveiligingstoestellen is bedoeld om proactief te werken en bevat dus onder meer een inbraakpreventiesysteem. Per definitie holt detectie achter de feiten aan. Proactief betekent dat een beveiligingsinbraak wordt voorkomen en niet achteraf vastgesteld moet worden. De M10 bevat een router en firewall, maar ook inhoudscontrole op protocol- en pakketniveau. Die inhoudscontrole omvat antivirus, webcensuur en een spamfilter voor e-mail.
De Proventia M10 zit in een compacte desktopkast met de omvang van een forse breedbandrouter. Aan de achterzijde zitten vier netwerkaansluitingen, een consoleconnector en de stroomknop en -aansluiting. De eerste netwerkaansluiting heet INT0 en daarop wordt het interne netwerk aangesloten, het lan dus. EXT1 is de externe aansluiting voor verbinding met de internetaansluiting. De twee andere netwerkaansluitingen met aanduiding ‘2’ en ‘3’ kan de gebruiker zelf configureren voor bijvoorbeeld een dmz (gedemilitariseerde zone) of een tweede lan.
Beheer
De console-interface dient eigenlijk alleen maar om het toestel zijn basisconfiguratie mee te geven. Als deze is ingesteld kan met behulp van de Java-webinterface de gewenste cofiguratie worden gecreëerd. De interface is helder en duidelijk, maar helaas vrij traag.
De ‘home’-pagina toont statusinformatie. De rest is eigenlijk vanzelfsprekend.
De pagina voor ‘firewall/vpn’ is waarschijnlijk de meest ingewikkelde omdat er het grootste aantal subtabs aanwezig is. ISS is er echter in geslaagd om de eigenlijke informatiepanelen eenvoudig en overzichtelijk te houden. Voor alle beveiligingspolicy’s kiest de gebruiker bijvoorbeeld eerst voor welk bereik de policy bedoeld is (zoals intern, dmz of voor de appliance zelf). Daarna toont het systeem een venster ‘inbound’ en een venster ‘outbound’ waarin de regels te zien zijn voor respectievelijk inkomend en uitgaand verkeer.
Die regels zitten op de standaardmanier in elkaar: elke regel geeft op wat toegestaan of verboden is voor welk netwerk, welk protocol, welke zenders en welke bestemmingen (zowel adressen als poorten). Voor het bewerken of toevoegen van een regel verschijnt er een pop-upvenster met de dialoog die nodig is om de regel samen te stellen. ISS hield ook dit zeer eenvoudig en biedt afrolkeuzemenuutjes overal waar dat waar mogelijk is. Het is op deze manier zelden of nooit nodig de documentatie te raadplegen om de machine te configureren.
ISS is overal van deze premisse uitgegaan en dat is vooral goed te zien bij de inbraakpreventiepagina. In de praktijk gaan de meeste beheerders zich heus niet vermaken met het bewerken van inbraakpreventieregels, vooral niet omdat dat er ettelijke duizenden kunnen zijn. Standaard krijgt hij dus alleen een scherm te zien waarbij het afweren van aanvallen en het auditeren van alle verkeer kan worden ge activeerd dan wel gedeactiveerd.
Inbraakpreventie
Wilt de gebruiker meer, dan moet hij een pagina ‘Advanced’ openen. Heel interessant is dat deze inbraakpreventie protocollen herkent en dus niet aparte regels voor iedere niet-standaard tcp- of udp-poort moet hebben, zoals het geval is voor andere appliances. Een bekend ‘Trojaans paard’ (trojan) wordt dus herkend als deze via de normale http-poort 80 het netwerk binnenkomt, maar ook als dat zou gebeuren via bijvoorbeeld poort 9000.
De appliance maakt trouwens volautomatisch zogenaamde ‘dynamische regels’ aan om een gedetecteerde aanval af te weren. Na detectie van een trojan, die een specifieke poort gebruikt, blokkeert het systeem via zo’n dynamische regel een half uur lang al het via deze poort lopende verkeer van en naar het netwerk. Uiteraard kan de gebruiker dit verhinderen als hij dat niet wil. In de webinterface kunnen te allen tijde de op het moment geldende dynamische regels worden bekeken en desgewenst verwijderd.
De ingebouwde antivirusmodule is van Sophos, maar ISS heeft er een eigen engine omheen gebouwd. De virusupdates zijn wel conform die van Sophos, maar de appliance haalt ze van de site van ISS. Dat geeft ISS de gelegenheid om alle beveiligingsupdates in één keer door te sturen, dus ook inbraakpatronen. Standaard staat de machine ingesteld om een keer per dag te gaan kijken naar nieuwe updates.
Nadeel
De allerbelangrijkste functie van een beveiligingsapparaat is natuurlijk dat het ons moet beschermen tegen allerlei kwaadaardige acties van derden. Dat is het primaire doel van firewalls en inbraakpreventie- en -detectiesystemen. Preventie- en detectiesystemen werken met een database van herkenningspatronen of signaturen. Het nadeel daarvan is, dat de hacker gemakkelijk een wijziging kan aanbrengen in de identificatiestring die het detectiesysteem gebruikt, waarna de kwaadaardige actie niet meer herkend wordt. De distributie van patronen loopt altijd achter en er is dus een zekere onveilige tijdspanne tussen het bekend raken van een nieuw aanvalstype en het distribueren van de nodige detectiepatronen.
ISS probeert dat op te lossen met een andere aanpak: de kwetsbaarheidssignatuur. In plaats van te proberen de aanvaller te identificeren, bekijkt de inbraakpreventie van ISS de acties die hij onderneemt op protocolniveau en vergelijkt die met een database van kwetsbaarheden. Is er een overeenkomst, dan wordt de actie geblokkeerd.
Het voordeel van dit systeem is, dat er een signatuurdistributie kan plaatsvinden zodra een kwetsbaarheid ontdekt of gepubliceerd wordt, zelfs voordat er voor de betroffen applicatie een patch uitgebracht is en voordat de aanvallers bekend zijn. De inbraakpreventie van ISS kan zelfs rekening houden met pogingen om misbruik te maken van ‘buffer overflow’-bugs in Windows. Ook herkent het pogingen om spyware, adware of bepaalde andere soorten malware op het ‘aangevallen’ netwerk te krijgen.
Webfilters
Het webfilter toont direct na inschakeling een waarschuwing als een gebruiker surft naar een in de zwarte lijst geplaatste
| Productinfo Product: Proventia M10 Producent: ISS Inc., USA; http://www.iss.net Leverancier: Internet Security Systems BV. Tel.: +31 10 286 26 00; http://www.iss.net/emea/netherlands.php Adviesprijs (excl. BTW): 1546 euro (5 nodes), jaarlijkse licentie 340 euro (bij aanschaf eerste jaar gratis) Systeemvereisten: Ethernet netwerk, internetaansluiting via Ethernet. |
Antispam
De antispammodule van de Proventia M10 werkt via een ingebouwde smtp-proxy. Ook de antivirusmodule op basis van de eerder genoemde Sophos-engine gebruikt deze smtp-proxy. Het komt erop neer, dat e-mails via smtp binnenkomen op de externe aansluiting van de Proventia M10. Het toestel controleert de mails op spam en virussen en blokkeert ze dan of stuurt ze door naar de interne mailserver. Helaas voorziet ISS hier niet in een poortomleiding: het smtp-verkeer moet verplicht gebruik maken van poort 25.
De antispammodule werkt met zoektermen. Net zoals bij de andere modules wordt een database met spampatronen bijgehouden en regelmatig bijgewerkt. De antispammodule gebruikt ook meerdere beveiligingslagen. De eerste fase is het onderzoeken van wie de mail afkomt en van de kop van de e-mail: de administratieve informatie. Daarmee kan al meer dan 90 procent van alle spam geweerd worden. Pas als de administratieve informatie geen aanleiding tot blokkeren geeft, komen de spampatronen en de zoekfunctie in actie om de inhoud van de berichttekst te onderzoeken. Op zoektermen gebaseerde spamfilters zijn gewoonlijk niet zo effectief als Bayesiaanse filters, maar als er een goede en liefst dagelijkse bijwerking van de zoekpatronen gebeurt kan het wel. DataTest Lab heeft de standaardtest met het LingSpam Corpus losgelaten op de Proventia M10 en daarmee behaalde de antispammodule een precisiescore van 81 procent en een verwerpingsscore van 27 procent. Dat betekent dat de antispammodule niet zo goed functioneerde in het effectief blokkeren van spam. Als de M10 echter in een echt smtp-pad vanaf het internet wordt plaatst, zal hij wel degelijk succesvol blijken in het weren van spam.
Conclusie
De ISS Proventia M10 biedt een redelijke tot goede internetbeveiliging. Vooral de preventieve aanpak scoort hoog. Het webfilter is echter voor verbetering vatbaar en ook de antispammodule kan wel enkele aanpassingen gebruiken. Niettemin biedt het apparaat veel beveiliging voor een alleszins redelijke prijs.
