Test: Netwerkbeveiliging voor massale roll-outs

Centraal beheerde security appliances zijn niets nieuws meer, maar wat als je er in je onderneming vele honderden nodig hebt? Dan wordt het beheer daarvan al snel een nachtmerrie. Phion maakt zich sterk dat Netfence een krachtig antwoord biedt.

Een van de eerste dingen die een vertegenwoordiger van het Oostenrijkse bedrijf Phion tegen ons zei, was dat Phions beveiligingssystemen over het algemeen niet beter, functioneler of goedkoper zijn dan die van de concurrentie. Het echte sterke punt van de Phion Netfence appliances is het goed presterende beheer, vooral als er heel veel appliances in een organisatie actief zijn. Een behoefte aan vele honderden of zelfs duizenden beveiligingsappliances is niet voorbehouden aan grote Amerikaanse bedrijven, dat kan ook bij Nederlandse ondernemingen. Laat ons als voorbeeld een productiebedrijf nemen waarbij de productieprocessen gestuurd worden door specifiek voor dat doel geconfigureerde Windows NT of Windows 2000 servers. Vaak mogen die servers niet geüpgradet worden of voorzien van updates en patches van Microsoft. Als ze echter beheerd worden via het bedrijfs-LAN, dan vertegenwoordigt elk van die systemen een beveiligingsprobleem. Een hacker of een misnoegde ex-werknemer zou zo’n systeem moeiteloos kunnen platgooien en op zijn minst een deel van de productie daarmee in gevaar brengen, of op zijn rampzaligst de hele productie van het bedrijf doen stilvallen. Veel van die systemen staan vaak opgesteld op plaatsen waar ze niet gecentraliseerd beveiligd kunnen worden door slechts één appliance. Dus moet er een kleine efficiënte beveiligingsappliance komen, speciaal om één of twee servers mee te beveiligen. Voordat zo’n bedrijf al zijn netwerksegmenten en segmentjes beveiligd heeft, kan het totale aantal security appliances behoorlijk groot geworden zijn.

Hoewel de meeste merken van beveiligings-appliances centraal beheer bieden, is dat niet voorzien voor hele grote aantallen appliances. Phion gaat er prat op dat hun centraal beheer vele honderden appliances aankan, verspreid over veel locaties en filialen wereldwijd. Een van de eerste grote klanten van Phion was een van de grootste Oostenrijkse datacenters voor de banksector. Die wilden 650 firewalls plaatsen met een zo gemakkelijk mogelijke roll-out en met slechts twee beheerders. Phion kon met zijn Netfence en het centrale beheersysteem (zie verder) hieraan tegemoet komen. Volgens Phion maakt het voor hun beheersysteem geen verschil of het twee of tweeduizend appliances moet beheren.

BOB

De Netfence beveiligingsappliances van Phion bestaan uit twaalf modellen van piepkleine tafelmodelletjes tot grote reksystemen die een grote verwerkingscapaciteit moeten hebben. Al die modellen worden met dezelfde software centraal beheerd. De beveiliging van Netfence appliances is van een basisniveau: firewall en VPN. Standaard is er geen antivirus, antispam of inhoudsfiltering op de kleinere modellen, maar dat is wel mogelijk vanaf een bepaald hardwareniveau. Ook is uitbreiding met of geïntegreerde WAN-optimalisatie mogelijk. Dat is de Netfence BOB uitbreiding, waarbij BOB staat voor ‘Branch Office Box’ (letterlijk: filiaaldoos). Daarmee kunnen vooral de prestaties van VPN-verbindingen drastisch verhoogd worden. Je kunt een Netfence appliance ook configureren als smtp-relay, http-proxy of dns-server. De Netfence appliances draaien onder phionOS, een op maat gemaakte en op een geharde Linux-kernel gebaseerd besturingssysteem van Phion.

Phion leverde ons twee Netfence nf240-1000 appliances. Dit is het op twee na kleinste model en haalt een firewalldoorvoersnelheid van 172 Mbit/s en een VPN-AES256-snelheid van 39 Mbit/s of 98 Mbit/s met BOB. Ter vergelijking: het topmodel is de nf-850 en die haalt meer dan 4 Gbit/s in firewalldoorvoersnelheid en 233 Mbit/s in VPN-AES256.

Phiona

Het centraal beheer gebeurt met Phiona. Dat is een zogenaamde ‘distributed application’, dat wil zeggen één enkel uitvoerbaar bestand dat u niet hoeft te installeren. Deze beheerapplicatie Phiona is slechts zo’n 4 MB groot en past daardoor zelfs op een usb-stick. Je begrijpt dat die niet alle functionaliteit aan boord kan hebben die voor zo’n massief uitgestrekt centraal beheer nodig is. Phiona is dan ook slechts een beheerconsole. Deze GUI-console praat met een of meer Netfence-beheerservers. Die moet via het netwerk bij alle te beheren appliances kunnen, maar doet dat uiteraard met beveiligde tunnels.

De Phiona GUI geeft je twee soorten van beheerconsoles waarvoor je telkens moet inloggen: een ‘master control’ of globaal beheer en een ‘box control’ of appliancebeheer. Ondanks de complexiteit en de enorme verscheidenheid aan beveiligingsinstellingen slaagde Phion erin de GUI behoorlijk eenvoudig en gebruiksvriendelijk te houden.

Clusters

Phion deelde de appliances in in ‘ranges’, ‘clusters’ en ‘boxes’. Een ‘Range’ is het hoogste niveau en verzamelt bijvoorbeeld al je filialen en de door jou gebruikte externe datacenters. Een ‘cluster’ omvat alles binnen zo’n ‘range’ en binnen een cluster vinden we de boxes of individuele appliances.

Het beheer van een appliance is onderverdeeld in ‘box’, ‘services’ en ‘server’. Elke appliance draait immers onder het phionOS waarop diensten draaien en softwaremodules. Je krijgt van elk beheerniveau een grafisch overzicht waarmee met gekleurde blokjes aangegeven wordt of de entiteiten online zijn en optimaal functioneren. Zo kun je vlug doorklikken naar steeds meer details om een probleem op te sporen of om meer informatie op te vragen.

Door rechts te klikken op een appliance-regel kun je er meteen de firewall- en VPN-status van opvragen, een specifiek beheerscherm oproepen of inloggen met ssh, statistieken en journalen opvragen of een configuratiescherm openen.

In het boxconfiguratiemenu vind je alle mogelijke diensten en deelapparaten in een boomstructuur; dat omvat ook verkeersoptimalisatie en fijnregeling.

Voor het opzetten van VPN-tunnels biedt Phiona een klik-en-sleepsysteem waarmee je het VPN-netwerk als het ware kunt tekenen: dit is heel erg gebruikersvriendelijk!