Internet is niet veilig, maar wel goedkoop. Om een veilige verbinding tot stand te brengen tussen twee punten op internet is een vpn (virtual private network) ofwel een beveiligde communicatietunnel nodig. Vpn’s zijn bijvoorbeeld bruikbaar om telewerkers veilig met het bedrijfsnetwerk te verbinden. We testen enkele vpn-appliances.
Wie een werknemer op afstand wil laten werken met de servers alsof hij in het bedrijf aanwezig is, of een andere site met de eigen wil koppelen alsof de servers van de ander in de eigen serverruimte staan, kan dat doen met een speciaal daarvoor gereserveerde verbinding: een huurlijn of inbelverbinding. Op die manier creëer je een één-op-éénverbinding tussen het systeem of de systemen op afstand en het eigen netwerk. Dat is veilig zolang niemand fysiek kan inbreken op die gereserveerde verbinding.
Dergelijke verbindingen zijn echter duur, traag en niet flexibel. De goedkoopste verbinding tussen twee punten is tegenwoordig internet. Helaas is dat ook extreem onveilig. Niettemin is de lage kostprijs van de punt-naar-puntverbinding via internet niet te versmaden. De oplossing die is bedacht voor het beveiligingsprobleem heet vpn (virtual private network).
Virtueel en privé
Virtuele privé-netwerken bieden een systeem om een beveiligde en dus voor onbevoegden ontoegankelijke netwerkverbinding op te bouwen over een onveilig publiek netwerk. Vpn werkt via een client-serversysteem. Er is een aanvrager van het virtuele netwerk: de client. Die neemt contact op met een via internet toegankelijke vpn-dienst: de vpn-server. De vpn-client neemt contact op met een vpn-dienst in het bedrijf. De vpn-dienst zal normaal in de dmz (demilitarized zone) van het bedrijf geplaatst worden. Op die manier kan de vpn-dienst zowel met internet als met het interne bedrijfsnetwerk communiceren.
Bij het tot stand brengen van het virtuele netwerk hoort een authenticatieprocedure. De meeste vpn-systemen bieden daar veel voorzieningen voor. Ze kunnen bijvoorbeeld samenwerken met radius-servers (remote authentication dial-in user service) voor authenticatie via Kerberos en met ldap-servers (lightweight directory access protocol).
De basis voor het tot stand brengen van een veilige privé-netwerkverbinding is encryptie. Alle communicatie binnen het vpn-netwerk is versleuteld. Daarvoor zijn veel mogelijkheden beschikbaar: ipsec (internet protocol security) om ip-pakketten te versleutelen en ssl/tls (secure sockets layer, transport layer security) voor tunneling over applicatieprotocollen als http. Daarnaast bestaan er specifieke tunnelprotocollen met ingebouwde encryptie, zoals pptp (point to point tunneling protocol) en l2tp (layer 2 tunneling protocol).
Kwetsbaarheidonderzoek
Voor deze test gaan we ervan uit dat de vpn-aanvrager een gebruiker op afstand is met een pc of notebook, bijvoorbeeld een telewerker, en dat hij met de in Windows XP SP2 geïntegreerde vpn-client van Microsoft contact opneemt met de te testen vpn-appliance in het bedrijfsnetwerk. Het scenario waarbij twee sites met elkaar verbonden moeten worden en er dus een compatibiliteitstest van vpn-appliances onderling plaatsvindt, behandelen we een andere keer. In deze test bekijken we hoe de vpn-appliance beheerd wordt, welke functionaliteit hij biedt en hoe veilig het opgebouwde privé-netwerk is. Wat betreft de functionaliteit interesseert ons veel, maar de specifieke vpn-functies die we bekijken zijn: het mogelijke aantal gelijktijdige vpn-tunnels, het aanbod aan authenticatiesystemen, wat voor soort encryptie mogelijk is (aes, 3des enzovoort) en eventuele andere beveiligingsfuncties. Een firewall is meestal een gegeven. Andere mogelijkheden zijn ids/ips (inbraakdetectiesysteem, internet protocol security), antivirus, antiparasiet en inhoudsfilters.
Onze testprocedure van een vpn-appliance bestaat voornamelijk uit een kwetsbaarheidonderzoek. Hoe zit het met de beveiliging? Kunnen we inbreken in de vpn-tunnel? Daarvoor doen we een veiligheidstest op de publieke interface van de vpn-appliance met een kwetsbaarheidscanner, de ISS Internet Vulnerability Scanner 7.0 SP2.
De appliance verliest punten voor elke kwetsbaarheid die de ISS-scanner meldt. Deze veiligheidsscore combineren we met de functionaliteitscore tot een prestatiescore. Voor de prijs-prestatiescore wegen we de prestatiescore tegen de aanschafprijs en de jaarlijkse gebruikskostenprijs.
Het aanbod aan specifieke vpn-appliances is klein. We kregen er maar twee, van Bintec/Funkwerk en Citrix. Alle andere fabrikanten leveren geïntegreerde beveiligingappliances met vpn-functionaliteit aan boord. Die hebben we ook getest, maar we hebben alleen de vpn-functionaliteit en -prestaties onderzocht. Ze krijgen wel meer testpunten voor alle extra functionaliteit die ze aan boord hebben. Wel zetten we dat ook af tegen de prijs.
aXs Guard Enterprise+
aXs Guard is de verzamelnaam voor een uitgebreide serie beveiligingappliances van de Belgische firma Able. De serie gebruikt telkens dezelfde software en mogelijkheden, alleen de hardware verschilt. Die bepaalt hoeveel verkeer je kunt ondersteunen. De Office-producten zijn bestemd voor omgevingen met minder dan twintig gebruikers. Voor meer dan twintig gebruikers is er de Enterprise-reeks. Aan de top zijn er eigenschappen als hoge beschikbaarheid, raid-1, tapebackup en een redundante voeding. Je betaalt alleen het toestel met bijbehorende software; er zijn geen bijkomende kosten. De enige uitzondering is dat sommige diensten die op de appliance mogelijk zijn en door een andere producent geleverd worden clientlicenties vereisen. Een voorbeeld is de antivirusmodule: die gebruikt een antivirusengine van Trend Micro en daarvoor is een clientlicentie nodig.
Dit is overigens geen gewone vpn-appliance en zelfs geen doorsnee beveiligingappliance. Het toestel kan desgewenst ook als mail-, web- en faxserver fungeren. Je kunt de aXs Guard uitrusten met een ingebouwd analoog, isdn- of adsl- modem. Het aantal netwerkkaarten kan variëren van twee tot zestien, afhankelijk van de ruimte in de behuizing. De modules voor antivirus, fax en vpn zijn optioneel, al het andere zit standaard bij de appliance. Omdat deze test over vpn-appliances gaat, hebben we de vpn-module erbij genomen en de rest (voor zover niet standaard aanwezig) uitgesloten. De beveiliging bestaat uit een geïntegreerde firewall, ids/ips en inhoudsinspectie voor mail (inclusief spamfilter) en http. Deze appliance is ook als breedband- of gewone router te gebruiken. Hij kan meerdere interfaces en communicatiepoorten verzorgen.
Gebruik
aXs Guard bemoeit zich niet met de clientzijde van het vpn-verkeer, tenzij je aan de clientkant een Personal aXs Guard gebruikt. Dan spreken we van een appliance-naar-applianceoplossing. Wie een software-vpn-client gebruikt, moet er een van een derde partij of degene die standaard ingebouwd zit bij besturingssystemen als Linux en Windows XP inzetten. Bij aXs Guard zit tegenwoordig standaard wel één Vasco-authenticatietoken (met de bedoeling dat je er meer koopt), waarmee streng beveiligde authenticatie mogelijk is. Dat werkt met de DigiPass-code, die bij banken populair is als authenticatiesysteem.
Prestaties
Bij ons kwetsbaarheidonderzoek kwamen we twee risico’s van de laagste graad tegen. Die hadden allebei te maken met de ingebouwde mailserver. Als je de aXs Guard puur als vpn-appliance gebruikt en dus de mailserver uitschakelt, zijn er geen kwetsbaarheden die we konden vaststellen met onze kwetsbaarheidscanner.
Bintec VPN Access 250
Het Duitse bedrijf Bintec heet tegenwoordig Funkwerk EC. De merknaam Bintec blijft wellicht in gebruik voor de routers en vpn-appliances. Funkwerk EC leverde de VPN Access 250 voor onze test. Het is een 19-inch rektoestel dat zonder beugels ook niet misstaat als desktopmodel. Er zijn drie ‘fast ethernet’-aansluitingen en één isdn-aansluiting. De laatste kan ook als wan-aansluiting (wide area network) fungeren.
Bintec moet nog werken aan het beschrijven van de installatieprocedure. De handleiding voor een snelle installatie verwijst naar een installatiewizard die via een webinterface op te roepen zou zijn. In model 250 zit dat klaarblijkelijk niet. Een tweede probleem is dat, als je in plaats van de wizard kiest voor de setup, je een inlogvenster gepresenteerd krijgt. Een gebruikersnaam en wachtwoord zijn nergens te vinden. Bij het doorspitten van de vele pdf-handleidingen op de meegeleverde cd-rom vonden we uiteindelijk een beschrijving van de webconfiguratie met de standaardlogin.
Gebruik
Funkwerk EC levert geen clientsoftware mee. Aan de gebruikerskant moet je dus de vpn-client van Windows XP gebruiken en alle noodzakelijke wachtwoorden of sleutels ingeven. De meeste gebruikers zullen zo’n vpn-clientconfiguratie niet zelf tot een goed einde kunnen brengen. Op de website van Bintec kan je wel een ‘ipsec secure client’ downloaden, maar dat is een evaluatieversie. Wie de Bintec-client wil gebruiken, moet daar extra voor betalen. Die client hebben we niet bekeken.
Prestaties
De vpn-tunnels zijn volgens onze kwetsbaarheidscanner veilig, maar de beheerinterface van de appliance via snmp (simple network management protocol) vertoonde tien kwetsbaarheden. Twee daarvan leverden een ernstig risico op, en twee een middelmatig, vier een laag en twee een zeer laag risico. De laatste twee hadden te maken met het ter beschikking stellen van mogelijkheden om op de appliance te pingen en een traceroute uit te voeren. Zoiets is uit te schakelen als je ook de kleinste risico’s wilt elimineren. Voor de snmp-kwetsbaarheden gaat dat niet, want dat zou een firmwareopwaardering vereisen.
Citrix Access Gateway
De Citrix AG (Access Gateway) is bestemd voor wat meer eisende omgevingen. Het toestel is dan ook bedoeld voor inbouw in een 19-inch rek. Het gaat om een compact systeem van SuperMicro. Hij is één rekeenheid hoog, maar oogt erg compact omdat hij niet lang is. De Citrix Access Gateway heeft een webinterface, maar die dient voornamelijk voor het downloaden van beheer- en bewakingssoftware, en voor het raadplegen van documentatie.
Gebruik
Het vpn-systeem van Citrix werkt met een beveiligde client (software) die je van een portaalsite van de AG downloadt. Je kunt overigens in het beheer een eigen portaal aanmaken en onderhouden. Dat mag op de AG zelf, maar je kunt ook een externe webserver opgeven. Nadat de gebruiker inlogt, moet hij opgeven wat voor soort verbinding hij wil: met zijn eigen pc (waarover hij volledig controle heeft) of met een publieke pc (waarover hij geen of weinig controle heeft). Bij een eigen pc krijgt de gebruiker een download van een programma dat hij kan installeren. Dan heeft hij de vpn-clientsoftware altijd in zijn computer beschikbaar. Bij een publieke pc gebruikt de portaalsite een Java-applet en een ActiveX-control die na gebruik verwijderd wordt. De beheerder kan voor dit laatste specifieke ‘kiosk resources’ toewijzen als hij niet wil dat een gebruiker vanaf een publieke plaats bij alle bedrijfsnetwerkbronnen kan komen.
Prestaties
Onze kwetsbaarheidscanner vond drie kwetsbaarheden. Twee daarvan hebben te maken met de webinterface van de appliance. De derde heeft te maken met de mogelijkheid om met traceroute een beeld te krijgen van de netwerktopologie, maar dat is een erg laag risico. De webserver van de appliance heeft één ernstige kwetsbaarheid. Misbruik van bufferoverloop is mogelijk via de gebruikte PHP-scripttaalversie op de webserver. Dit betekent dat het mogelijk is de appliance op afstand lam te leggen zodat hij niet meer bruikbaar is voor vpn-toegang.
Gate Protect Box Professional
Gate Protect is een Duits bedrijf dat zich bezighoudt met beveiligingssoftware en -appliances. Het is ook de naam van de firewallsoftware. Die is zowel los als gebundeld in een appliance verkrijgbaar. Het bedrijf biedt een Small Box voor soho-gebruik (small office home office), een Box in verschillende edities voor grotere bedrijven en een 4U-Box voor de grootste behoeften. Wie de software zelf wil installeren op een pc, heeft een Pentium III of equivalent nodig met 512 MB ram en minstens 20 GB ruimte op de harde schijf, plus zoveel netwerkkaarten als je beveiligingszones wilt hebben met een minimum van twee. Voor deze test kregen we een Gate Protect Box Professional, een twee rekeenheden hoge appliance met in totaal zes netwerkaansluitingen die al volledig geïnstalleerd en gebruiksklaar is.
Bij de Box en 4U-Box kan je kiezen uit drie edities: Business, Professional en Enterprise. Een zwaardere editie heeft meer functionaliteit en betere ondersteuning voor nog meer gebruikers. De Gate Protect-software draait onder Linux. Wie de softwarevariant koopt, hoeft die niet zelf te installeren. De Gate Protect-software-cd bevat alles, vanaf het besturingssysteem tot en met de firewallsoftware. Nadat de inhoud van die cd geïnstalleerd is, is de pc volledig klaar voor gebruik als firewall.
Gate Protect biedt naast de firewall met vpn-ondersteuning via zowel pptp als ipsec een ids met een database van drieduizend herkende aanvalspatronen, blokkering van webpagina’s op basis van hun inhoud en een (rudimentaire) spamfilter.
Gebruik
Gate Protect levert geen vpn-clientsoftware. Aan de gebruikerskant moet je de ingebouwde vpn-client van Windows XP of Linux gebruiken en alle noodzakelijke wachtwoorden of sleutels ingeven.
Prestaties
Onze kwetsbaarheidscanner vond geen vpn-specifieke kwetsbaarheden. Er zijn wel twee kwetsbaarheden in verband met de Bind dns-server (Berkeley internet name domain, domain name system), een middelmatig ernstige en een met een laag risico. Daarnaast is er een laag risico in verband met het pingbaar en traceroutebaar zijn van de wan-interface, maar dat kan je uitschakelen. De twee Bind-specifieke kwetsbaarheden zijn niet van belang als je de Gate Protect alleen als vpn-appliance gebruikt en dus andere functies, zoals dns, uitschakelt.
Symantec Gateway Security 360R
De Symantec Gateway Security 360R is een klein desktopmodel met een ingebouwde achtpoortenswitch voor het interne netwerk en twee wan-aansluitingen. We praten dus over het formaat van een doorsnee breedbandrouter. Alle aansluitingen zitten achteraan. Langs de rechterzijkant is er een pcmcia-aansluiting waarin een draadloze netwerkkaart past. Je kunt zelf bepalen waarvoor de twee wan-aansluitingen moeten dienen: lastenverdeling tussen meerdere internetlinks of terugvallen op de tweede wan-aansluiting als de eerste internetverbinding verbroken wordt. Via het webbeheer is dat allemaal in te stellen.
Deze appliance is duidelijk bedoeld voor de onderkant van de zakelijke markt. Symantec heeft ook appliances voor grotere bedrijven. Die zouden beter in deze test gepast hebben, maar zijn ons niet geleverd. Bij navraag laat Symantec overigens weten dat het model Gateway Security 1620 meer overeenkomt met de andere producten in deze test, maar dat hebben we dus niet kunnen uitproberen.
Gebruik
Aan de clientkant biedt Symantec geen gespecialiseerde vpn-clientsoftware. Het is de bedoeling dat je met een platform met ingebouwde vpn-client, zoals Linux of Windows XP, of met vpn-clientsoftware van derden werkt.
Prestaties
Onze kwetsbaarheidscanner vond geen enkele kwetsbaarheid. Dit apparaat blijkt volkomen veilig te zijn. Gecombineerd met het zeer brede scala aan functionaliteiten in dit toestel maakt dat van dit apparaat een toppresteerder. Houd wel in gedachten dat dit een van de kleinste communicatiepoorten van Symantec is. Voor grotere bedrijven met een behoefte aan meer prestaties heeft deze leverancier ook grotere appliances.
Conclusie
De goedkoopste geteste vpn-appliance is de Symantec Gateway Security 360R. Deze appliance is echter gericht op de onderkant van de zakelijke markt en daardoor niet goed vergelijkbaar met de andere geteste apparaten. Symantec levert zwaardere modellen, maar die konden we niet testen. Wat betreft functionaliteit staat Symantec zeker op hetzelfde niveau als bijvoorbeeld Citrix. Het is de enige appliance die geen enkele kwetsbaarheid heeft. Als we rekening houden met de testresultaten en de geboden functionaliteit, is de aXs Guard met voorsprong de toppresteerder. Wat betreft aanschaf- en gebruiksprijs is hij ook nog eens de goedkoopste van de professionele appliances voor grotere bedrijven. Daarom komt aXs Guard Enterprise+ als beste uit deze test.
