Vrijwel tegelijkertijd presenteerden zowel Cisco als Juniper hun nieuwste midrange routers. In eerste instantie lijken de twee modellenseries erg op elkaar: beide fabrikanten stoppen nu een groot deel van de beveiliging in de routers zelf. Is de tijd van ‘best of breed’ over?
In de ict zien we steeds weer die contante golfbeweging. In de ene periode stoppen fabrikanten zo veel mogelijk functies in één apparaat, terwijl we ons daarna laten overtuigen dat we voor elke functie moeten zoeken naar losse componenten die de beste in hun klasse zijn. Op het gebied van routing is de cyclus weer terug bij de eerste fase. Juniper verpakt in zijn SSG 520 en 550 een behoorlijke hoeveelheid kennis uit haar eerdere acquisitie van NetScreen en koppelt dat met licenties van andere leveranciers. Cisco daarentegen voorzag zijn nieuwe ASA 5500 Series CSC-SSM van een content security module die is ontwikkeld in nauwe samenwerking met TrendMicro.
“Dat we de beveiligingsmodule nu samen met de router bieden, heeft te maken met zijn plaats op de markt”, legt Dario Zamarian, senior director Security Management Products van Cisco, uit. “Deze serie richt zich meer op het mkb of op bijkantoren. Daar heeft men noch de ruimte, noch de kennis om ingewikkelde, losse beveiligingscomponenten te onderhouden. Dit soort klanten zoekt het liefst een enkele, eenvoudig te beheren appliance, maar dan wel een van een hoogstaand niveau.”
Zwakste schakel
Zamarian vertelt dat in dit soort omgevingen de mens meestal de zwakste schakel blijkt te zijn. “Daarom is de beste verdediging er één waar de menselijke factor zo klein mogelijk wordt gehouden en waar het netwerk in feite zichzelf verdedigt.”
Volgens hem kan dit door de Content Security and Control Security Services Module (CSC-SSM)-module in de nieuwe Cisco-routers in te bouwen. Daarnaast kent de module zogenaamde Anti-X services waarmee virussen, spyware, spam en phishing worden tegengehouden. Daarnaast zorgt Anti-X voor file blocking, URL blocking & filtering en content filtering. De benodigde techniek is in nauwe samenwerking met TrendMicro ontwikkeld. Volgens Zamarian worden de beheertaken rond beveiliging steeds complexer. “Om het allemaal goed te doen, zou je eigenlijk iemand aan moeten stellen om het netwerk steeds maar weer veilig te houden. Er komen steeds weer nieuwe gevaren op het netwerk af die onderschept moeten worden. Voor grote multinationals is dat geen probleem, maar bij de grote groep organisaties die zich daar net onder bevindt, is het lastig om daar bronnen voor vrij te maken. Daarom is het noodzakelijk dat veiligheidsmaatregelen niet alleen erg sterk zijn, maar ook eenvoudig zijn te beheren.”
Eén muisklik
Om aan die wens tegemoet te komen, introduceert het bedrijf verder de Cisco Security Management Suite, bestaande uit de nieuwe Cisco Security Manager (CSM) en versie 4.2 van het Cisco Security Monitoring, Analysis and Response System (MARS). Deze suite helpt de beheerder bij het centraal identificeren van bedreigingen. “Het grote voordeel van de Security Manager zoals deze er nu staat, is de eenvoud”, meent Zamarian. “Je hoeft geen zeer ervaren security-specialist te zijn om problemen op je netwerk te onderkennen. In het topologische niveau zie je grafisch precies in welk deel van het netwerk je moet zoeken. Met één muisklik kan je direct die ene problematische laptop uit het netwerk halen.”
Juniper presenteerde zijn SSG-series een week voordat Cisco publiek ging. “Bij Cisco heb je voor routing en beveiliging ten minste twee apparaten nodig”, aldus marketingdirecteur Peter Crowcombe van Juniper toen. “Vooral in brancheomgevingen is er behoefte aan eenvoudig te bedienen routers met ingebouwde beveiligingsopties. We zien steeds meer applicaties en servers gecentraliseerd worden op het hoofdkantoor. Met de huidige goedkope verbindingen gaat dat ook prima, maar het risico bestaat dat het bijkantoor onvoldoende aandacht schenkt aan informatiebeveiliging. Antivirus, antispam, webfiltering en inbraakpreventie zijn nu allemaal op licentiebasis toe te voegen aan de SSG 520 en zijn grotere broertje, de SSG 550. We hebben er bewust voor gekozen om het wiel niet zelf uit te vinden”, zegt Crowcombe. “De antivirus komt van Kaspersky Labs, Brightmail van Symantec zal de spam tegenhouden en SurfControl zorgt voor de webfiltering.”
Personaliseren
Juniper Networks heeft net als Cisco veel aandacht besteed aan de manier waarop de SSG-serie wordt beheerd. “Doordat informatiebeveiliging en routing nu in één apparaat zijn samengebracht, wordt deze vanuit meerdere functies bediend. De netwerkbeheerder vraagt om andere gegevens dan de man of vrouw die belast is met de beveiliging”, vertelt Crowcombe. “Toch is er maar één beheerconsole nodig omdat we ieder type gebruiker zijn eigen manier van bekijken geven. Iedere gebruikersgroep heeft zijn eigen view en we kunnen deze views zelfs per klant verschillend instellen. In zekere zin personaliseren we wat gebruikers zien, waardoor het beheer een stuk eenvoudiger wordt dan voorheen.”
Grote verschillen
Op het gebied van high-end routers zijn de twee geduchte concurrenten van elkaar. Hoewel het misschien lijkt of Juniper de aanval ook op dit deel van de markt heeft ingezet, laten beide partijen zich hier niet over uit. “Een groot deel van de markt is inderdaad in handen van Cisco”, geeft Crowcombe van Juniper toe. “Dat betekent dat zij alleen maar marktaandeel hebben te verliezen en wij te winnen. Natuurlijk is het zo dat we in dezelfde vijver vissen, maar ik denk dat onze klanten naar andere dingen kijken dan de klanten van Cisco.” Er zijn overeenkomsten, maar er blijven tevens grote verschillen tussen de twee fabrikanten. Cisco blijft voorop lopen als het gaat om routing en biedt standaard bijvoorbeeld VoIP op de meeste van haar modellen. Bij Juniper praat men nog niet echt mee over convergente netwerken, maar heeft men sinds de overname van NetScreen wel een van de betere firewalls onder de motorkap. Welke fabrikant straks als winnaar uit de bus komt voor wat betreft de rest van de beveiligingsopties zal de tijd leren. n
Juniper SSG 520/550
Firewall: 600Mbps / 1 Gbps
VPN: 300 Mbps / 500 Mbps
Aantal VPN-tunnels: 500 / 1000
Aantal sessies: 64.000 / 128.000
Cisco ASA 5510/5520
Firewall: 300 Mbps / 450 Mbps
VPN: 170 Mbps / 225 Mbps
Aantal VPN-tunnels: 250 / 750
Aantal sessies: 130.000 / 280.000