Internetverbinding onder curatele

12 mei 2005 - 22:004 minuten leestijdAchtergrondCloud & Infrastructuur
Johan Zwiekhorst
Johan Zwiekhorst

Eén toestel aan de internetverbinding koppelen en alle hackers en wormen worden keurig tegengehouden? Dat lijkt te mooi om waar te zijn, maar het is wel wat XSGuard voor zijn beveiligingsappliance belooft. Zoiets roept om een test.

XSGuard omschrijft zijn inline-appliance als een preventieve inbraakbeveiliging die geen onderhoud vereist. In feite hoeft de klant niet méér te doen dan het toestel aan de internetlijn te koppelen. Er is een in- en een uitgangsconnector: de connector ‘outside’ (buiten) gaat logischerwijze naar de WAN-aansluiting, ‘inside’ (binnen) naar het LAN. Men sluit de oorspronkelijke kabel die tot dusver naar de WAN-aansluiting ging aan op ‘inside’ (ongeacht of dat een gekruiste kabel is of niet). Een standaard UTP5-kabel (dus géén gekruiste!) dient dan om de ‘outside’ connector in de WAN-aansluiting te pluggen. Dat is alles.
De gebruiker krijgt ook nog een account die toegang geeft tot een webinterface waar hij logs kan raadplegen, statistische grafiekjes kan genereren en in kan stellen wie op welke manier wanneer gewaarschuwd moet worden. De overigens onder FreeBSD draaiende appliance wordt nog wel bijgewerkt en onderhouden, maar dat gebeurt centraal door XSGuard Systems zelf, niet door de gebruiker.

Updates

Zodra de XSGuard appliance aangesloten is, zoekt hij meteen contact met de beheerserver en downloadt hij de nieuwste patroonupdates. Die omvatten patronen voor alle bekende aanvallen, hack-pogingen en internetwormen. Dus zelfs als de gebruiker geen enkele van de door Microsoft aanbevolen beveiligingsupdates geïnstalleerd heeft, blokkeert deze appliance toch aanvallen die misbruik maken van allerlei beveiligingslekken in Windows. Overigens beschermt deze appliance natuurlijk ook tegen hack-pogingen die niet specifiek te maken hebben met zwaktes in Microsoft-software. De updates worden door de XSGuard-beheerserver naar de appliance gestuurd zodra ze beschikbaar zijn.

Productinfo
Product: XSGuard appliance en dienst
Producent en leverancier: XSGuard Systems, tel. 070-3020104; http://www.xsguard.com
Adviesprijs (euro excl. BTW): opmerking: appliance wordt uw eigendom
  • V-Series (5 Mbit/s)
    Eenmalig: 1.170
    Onderhoudscontract: 80/maand (12 maanden)
  • X-Series (10 Mbit/s)
    Eenmalig: 2.950
    Onderhoudscontract: 150/maand (12 maanden); 138/maand (24 maanden); 125/maand (36 maanden)
  • C-Series (100 Mbit/s)
    Eenmalig: 7.500
    Onderhoudscontract: 450/maand (12 maanden); 425/maand (24 maanden); 400/maand (36 maanden)
  • M-Series (1000 Mbit/s)
    Prijzen nog onbekend, apparaat komt eind juni op de markt.
XSGuard is een brugsysteem, geen router, en heeft dus geen eigen ip-adres. Hij heeft dus ook geen weet van tcp- of udp-poorten en de daarmee samenhangende gevaren. Hackers kunnen zonder ip-adres de appliance niet ‘zien’ of aanvallen. Het IPS-systeem zoekt naar aanvalspatronen in de rauwe netwerkdata (en bestrijkt daarmee alles van OSI-laag 3 tot en met 7), waardoor het niet uitmaakt langs welke slinkse weg een aanval probeert binnen te komen. Het betekent echter wel dat er nog steeds een firewall nodig is om regels op te leggen voor het gebruik van poorten. De XSGuard appliance blokkeert dan meteen ook aanvallen die zich richten op de firewall zelf.

Parasieten

XSGuard houdt geen virussen tegen: daarvoor zou een licentie op een virus engine vereist zijn en bovendien zou dat een duidelijke tol op de prestaties heffen.
Ook parasieten en trojans worden niet geblokkeerd. Wormen wel, omdat die erg vaak voorkomen en meestal puur prestatiebelemmerende doeleinden hebben. Te denken valt hierbij aan de ‘SQL Slammer’ die als doel heeft Microsoft SQL Servers plat te gooien.
De appliance laat de gebruiker niet in de steek bij falende werking (zoals bij stroomuitval): in dat geval worden de in- en uitgang gewoon intern doorverbonden en blijft het netwerk in de lucht. Uiteraard is er dan geen beveiliging meer.
Het centrale beheer van XSGuard in Nederland houdt de goede werking van de appliance in de gaten en neemt meteen contact met de klant op zodra er iets mis is. Zelf kan men via de webinterface ter controle de logs bekijken.
XSGuard geeft overigens een vertraging in de brugfunctie op van 0,5 ms voor niet-ip-pakketten en 1 ms voor ip-pakketten terwijl de beveiliging functioneert. Men kan overigens kiezen uit verschillende modellen, afhankelijk van de snelheid van de internetverbinding (zie productinformatie). De appliance blokkeert alleen netwerkpakketten waarin een compleet aanvalspatroon voorkomt: er wordt dus geen rekening gehouden met gedeeltelijke overeenkomsten. De bedoeling hiervan is uiteraard om valse positieven te vermijden.
De XSGuard kan geen versleutelde data (bijvoorbeeld van VPN-verbindingen) scannen, dus kan het nodig zijn nog een tweede appliance achter het VPN-eindpunt (dat kan een firewall zijn) te plaatsen, zodat ook VPN-data onderzocht kan worden. Overigens legt XSGuard momenteel de laatste hand aan een nieuwe lay-out van de webinterface: die kan er dus iets anders uitzien dan in de afbeeldingen bij dit artikel.

Conclusie

De XSGuard IPS-appliance wist alle aanvallen die wij en een aantal internet-hackers op ons testnetwerk uitprobeerden te blokkeren. Qua werksnelheid stelden we geen enkele vertraging vast op onze SDSL-internetverbinding. We vinden deze appliance met zuiveringsdienst niet bepaald goedkoop, maar hij zal de gebruiker wel helpen wat geruster te slapen.

Meer lezen

Geef een reactie

Footer