Een firewall is al lang niet meer voldoende voor het tegenhouden van alle bedreigingen die vanuit internet op bedrijfsnetwerken afkomen. Dat zou wel moeten lukken met een universele beveiligingsappliance of UTM. Wij hebben er zeven getest.
Een UTM-appliance bevat een bundeling van beveiligingsfuncties. Een toestel met alleen firewall-functionaliteit noemen we dan ook een firewall appliance. Voordat wij een toestel een UTM-appliance noemen, moet het minstens zowel een firewall bevatten als inhoudsinspectie bieden. Bij voorkeur kan het toestel nog meer: inbraakdetectie en -preventie (IDS/IPS), antimalware, antiphishing, noem maar op.
We onderzochten zeven UTM-appliances van grotere fabrikanten. In alfabetische volgorde zijn dat CheckPoint UTM-1, Fortinet FortiGate 300A, IBM ISS Proventia MX3006, NetASQ F200, SecPoint Protector P1000-250, SonicWall Pro4100 en ZyXEL ZyWALL USG 1000. We bekeken de functionaliteit en de mogelijkheden van de appliance (wat krijgt u voor uw geld?) en het beheer.
Beveiligingsprestaties
Met behulp van de IBM ISS Internet Scanner hebben we voor elk van de appliances ook een intensieve scan uitgevoerd van 128 verschillende beveiligingsrisico's. Het goede nieuws is dat alle appliances perfect scoorden (behalve degenen die een ping vanaf het internet toestaan, maar dat is makkelijk genoeg uitschakelbaar) en geen enkele informatie vrijgaven over het interne netwerk.
CheckPoint UTM-1
Wij testten model 1050 van de CheckPoint UTM-1 reeks. De firmware van alle UTM-1-modellen is identiek, het verschil zit 'm in de netwerkprestaties. De basisfunctionaliteit werkt via vier vaste netwerkpoorten. Model 1050 heeft een Gigabit-switch met vier netwerkpoorten. CheckPoint levert een usb-sleutel mee waarmee je de appliance snel weer kunt terugzetten naar de fabrieksinstellingen.
Je kunt met één UTM-1 die voor lokaal beheer is ingesteld alle andere UTM-1's binnen de organisatie centraal beheren, via een webinterface. De CheckPoint UTM-1 is in essentie een opgevoerde firewall. Je definieert policy-pakketten en voor elk regelement definieer je de bijbehorende regels voor alle soorten netwerkobjecten, -groepen en -structuren met acties voor een of meerdere diensten tegelijk. Daarbij kun je rekening houden met VPN-verkeer, dus ook QoS-regels aanmaken en opleggen. Naast de bijzonder uitgebreide firewall-functionaliteit kun je regels aanmaken voor SmartDefense en voor inhoudsinspectie. SmartDefense is de verzamelnaam voor alles wat te maken heeft met aanvallen en signatures daarvan. Dit omvat dus zowel antivirus als antiparasiet en antihacker voor alle mogelijke protocollen en applicaties, maar ook IPS (inbraakpreventie). De inhoudsinspectie controleert bepaalde protocollen en applicaties (standaard smtp, pop3, ftp en http) op malware. Je kunt daar aanvullende instellingen voor opgeven. Deze UTM-1 mist echter een echt inhoudsfilter waarbij data uitgesloten of toegelaten wordt op basis van de inhoud (dit valt dus buiten de detectie van aanvalspatronen).
Praktijk
CheckPoint biedt een bijzonder veelzijdige en erg krachtige UTM-appliance. Buiten antimalware zit er geen echt inhoudsfilter in, maar al het andere doet het apparaat wel en zonder dat we er iets op aan te merken hebben. Met de UTM-1 kun je zeer ingewikkelde beveiligingsstructuren opzetten die toch overzichtelijk blijven via slimme objectkaarten met bijbehorende navigator. Als netwerkbeveiliging zwaarder doorweegt dan inhoudsbeveiliging (met uitzondering van malware), is deze appliance zeker het overwegen waard.
Fortinet FortiGate 300A
De FortiGate-security appliances van Fortinet gebruiken van klein naar groot in essentie dezelfde firmware. Het verschil zit 'm in de netwerkaansluitingen, de bandbreedte en de verwerkingssnelheid van het bijbehorende apparaat. De appliance kan als router of als transparante brug werken. Er zijn zes netwerkaansluitingen waarvan de allereerste standaard bestemd is als een poort voor het interne netwerk, en de vierde als een DMZ-aansluiting (demilitarized zone).
Je kunt elk FortiGate-apparaat beheren via een webinterface die alleen bereikbaar is in het interne netwerk. FortiManager is een apart verkrijgbaar centraal beheersysteem voor grote aantallen FortiGate-appliances.
Fortinet gebruikt een eigen antimalware-engine en uiteraard zorgt het systeem voor volautomatische frequente updates van die malware-signatures, maar ook van de andere signaturedatabases voor parasieten, aanvalspatronen voor de ingebouwde IDS/IPS en updates voor het spamfilter.
Alle beveiligingsfuncties activeer je via een firewall-regel of policy. De instellingen daarvoor lopen via een beschermingsprofiel dat je kunt wijzigen. Het is mogelijk uitzonderingen (overrides) te definiëren voor beheerders. Voor de verschillende ingebouwde inhoudsfilters kun je zelf zoektermen definiëren, specifieke URL's of ip-adressen blokkeren, en ongewenste elementen filteren zoals ActiveX, Java en andere scripts en cookies. Fortinet heeft ook eigen filterdiensten die de appliance kan gebruiken (zoals een FortiGuard webfilterdienst) en die dan volledig op afstand worden beheerd. Elk te controleren object wordt voorgelegd aan zo'n filterdienst en die geeft dan een 'OK' of 'niet OK' terug. Dit werkt op basis van objectcategorieën en je kunt van elke categorie aangeven of ze gewenst is of niet.
Praktijk
Dit is een erg fraaie, goed uitgewerkte en gebruiksvriendelijke appliance. De webfilter blijkt niet helemaal waterdicht te zijn en moet nog verbeterd worden. De andere beveiligingsfuncties zijn goed bruikbaar.
IBM ISS Proventia MX3006
ISS is overgenomen door IBM, maar tot dusver blijven de beveiligingsproducten ongewijzigd. De Proventia MX3006 is een compacte UTM-appliance, maar kan toch de wat grotere netwerken aan (tot 500 gebruikers). Het heeft zes netwerkaansluitingen aan de voorzijde. Ook ISS gebruikt een webinterface voor het beheer. Alleen vereist die Java 1.5: de modernere Java 1.6-versie blijkt problemen op te leveren.
Je kunt het beheer van de beveiliging eenvoudig houden of zo ingewikkeld en diepgravend maken als je maar wilt. Heel interessant is dat de inbraakpreventie protocollen herkent en dus niet aparte regels nodig heeft voor iedere niet-standaard tcp- of udp-poort. Dat is helaas wel het geval voor veel andere UTM-appliances. Deze appliance maakt trouwens volautomatisch zogenaamde "dynamische regels" aan om een gedetecteerde aanval af te weren. In de webinterface kun je altijd de op dat moment geldende dynamische regels bekijken en desgewenst verwijderen.
De ingebouwde antivirus-module is van Sophos, maar ISS heeft er een eigen engine omheen gebouwd en noemt dat nieuwe geheel 'ISS Virus Prevention System'. De virus-updates zijn wel volledig die van Sophos, maar de appliance haalt ze van de site van ISS. Dat geeft ISS de gelegenheid om alle beveiligingsupdates in één keer door te sturen, dus ook inbraakpatronen.
Voor IPS steunt ISS niet alleen op signatures van aanvalspatronen, maar ook en vooral op signatures van kwetsbaarheden. De inbraakpreventie van ISS probeert dus niet de aanvaller te identificeren, maar bekijkt de acties die hij (of zij) onderneemt op protocolniveau en vergelijkt dat met een database van kwetsbaarheden. Is er een overeenkomst, dan wordt de actie geblokkeerd. De inbraakpreventie van ISS kan zelfs rekening houden met pogingen om misbruik te maken van 'buffer overflow'-bugs in Windows. Ook herkent het pogingen om spyware, adware of andere soorten malware op uw netwerk te krijgen.
Praktijk
De MX3006 van IBM ISS werkt over het algemeen goed en heeft een gebruiksvriendelijke beheerinterface, al zijn we niet zo tevreden over de nogal specifieke Java-vereisten. De beveiliging is adequaat, maar er zijn gebieden die IBM ISS nog kan verbeteren. Zo is de webfilter niet denderend; die kent voornamelijk foute Amerikaanse sites, maar veel Europese niet. De beveiliging is bovendien gemakkelijk omzeilbaar door via de Google-cache te werken of door (indien toegestaan) een externe proxy-server te definiëren in een browser.
NetASQ F200
Het productgamma van de Franse firma NetASQ bestaat uit UTM- en mail security appliances. De UTM-appliances draaien in feite allemaal dezelfde firmware en hebben hetzelfde beheer. Alleen de hardwareprestaties verschillen. De UTM-productreeks loopt van het allerkleinste model F25 voor mkb's tot de machtige F5500 die dezelfde functionaliteit biedt maar tegen een continue doorvoersnelheid van 2 Gbps. De F200 is het kleinste van drie middenmootmodellen en heeft vier netwerkpoorten. In tegenstelling tot alle andere toestellen in deze test beheert u deze UTM niet via een webinterface, maar via een speciaal beheerprogramma. Die NetASQ Unified Manager draait helaas alleen op Windows. Je kunt er wel meerdere UTM's centraal mee beheren.
Bij het opgeven van filterregels kun je tien filterslots per policy definiëren, elk met hun eigen regels en tijdsinstellingen. Beheerders kunnen deze slots een prioriteit toewijzen.
Bij de IPS-configuratie kun je alle mogelijke acties en responses bekijken en zonodig wijzigen. De stateful inspectie van netwerkpakketten hoort hier ook bij. De inhoudsfilter verzorgt antispam, antivirus en URL-filtering. Het antispamgedeelte gebruikt zwarte lijst-servers op internet naast eigen zwarte en witte lijsten.
De antivirusfunctie werkt samen met de proxy-serverfuncties en controleert dus alles wat de appliance in cache opslaat ook op malware. Standaard is dat het geval voor pop3, smtp en nntp. Voor websurfen kun je dat ook aanzetten, maar dat vertraagt de surfervaring natuurlijk nogal. Standaard gebruikt NetASQ ClamAV als antivirusmodule, maar met een bijkomende licentie kun je ook kiezen voor Kaspersky.
De URL-filter werkt met categorieën en raadpleegt daarvoor een NetASQ url-databaseserver. Er is een voorziening in de beheerinterface ingebouwd om een alternatieve URL-filterdatabase te raadplegen, maar die was in ons testexemplaar niet actief.
Praktijk
Deze NetASQ UTM F200 demonstreert duidelijk dat alle heil inzake beveiliging zeker niet van over de oceaan hoeft te komen. Deze Franse UTM-appliance werkt prima en biedt een gebruikersvriendelijke en veelzijdige Windows-beheerapplicatie. Bovendien is ze nog erg aantrekkelijk geprijsd ook!
SecPoint Protector P1000-250
Ook in Denemarken maakt men beveiligingsappliances zoals deze SecPoint Protector P1000 (de toevoeging -250 slaat op het aantal aangekochte gebruikerslicenties). De eerste netwerkpoort 'A' heeft een vast ip-adres (10.10.10.100) en zo kom je dus altijd bij de beheerinterface, ook al weet je niet op welk ip-adres de appliance staat ingesteld. De andere netwerkpoorten kun je naar behoefte indelen. De webinterface van de SecPoint Protector zit vrij eenvoudig in elkaar. Een kind kan bij wijze van spreken de was doen.
De SecPoint Protector heeft naast antispam ook volledige antimalware-onderschepping voor bijna alle protocollen aan boord en ook inhoudsfilters voor post en webverkeer. Veel van de beveiligingsopties zijn eigenlijk niet zelf instelbaar, behalve dan dat je ze kunt aan- of uitzetten. Dat maakt het beheer kinderlijk eenvoudig. Eigenaardig genoeg zijn er geen gewone firewall-regels te vinden. De reden daarvoor is dat deze UTM zich specialiseert in inhoudsfiltering. Als je specifieke firewallregels wilt instellen, moet je een aparte firewall gebruiken. Er zitten natuurlijk wel firewall-functies in, maar die hangen samen met de inhoudsfilters en de IPS. Je kunt bijvoorbeeld niet zelf een DMZ en andere werkzones definiëren.
Een verrassing is dat SecPoint een eigen antimalware-engine gebruikt. Het is echter mogelijk een alternatieve engine te gebruiken: je kunt kiezen uit ClamAV, Kaspersky of Norman.
Praktijk
We begrijpen niet goed waarom SecPoint geen gewone firewall-functionaliteit aan deze UTM heeft toegevoegd. Dat zou niet meer gekost hebben en de inzetbaarheid van deze appliance enorm doen toenemen. De inhoudsfilters werken voorbeeldig en de spamfilter is zelfs uitstekend.
SonicWall Pro4100
De Pro4100 UTM van SonicWall is bedoeld voor wat grotere netwerken. Er zijn tien netwerkaansluitingen die je naar hartenlust kunt indelen. Lastenverdeling en uitvalovername worden eveneens ondersteund.
De webinterface van de Pro4100 heeft een vrij eenvoudige indeling. Bij de inhoudsfilter kun je kiezen tussen die van SonicWall zelf of een van een ondersteunde derde partij: N2H2 of Websense Enterprise. De inhoudsfilter van SonicWall werkt op basis van categorieën. Je kunt sites in een witte of zwarte lijst opnemen. Er is een standaard inhoudsfilter met 12 categorieën en een optionele 'Premium Business Edition' inhoudsfilter die 56 categorieën biedt.
De antiviruscontrole werkt op twee niveau's: op de gateway en op de clients. Voor beide kun je regels opgeven. De gateway-antivirus en de antiparasietcontrole werken op bepaalde protocollen die je kunt in- en uitschakelen: http, https, ftp, smtp, pop3 en imap4. Kortom alle hoofdtoepassingen van internet om bestanden te transporteren. Bij de gateway-antivirus kun je bovendien CIFS/NetBIOS en een tcp-stroom laten controleren. De e-mailfilter dient in feite voor het blokkeren van bepaalde extensies, ook in samenwerking met de antivirusmodule. Maar een echt spamfilter blijkt te ontbreken.
Praktijk
De Pro4100 heeft een vrij gebruiksvriendelijk beheer, werkt prima en biedt uitgebreide functionaliteit. De ingebouwde webfilter konden we wel weer omzeilen door naar pornosites te surfen via de cache van Google. En ook heeft het kennelijk moeite met het bestempelen van de NRA-website als eentje die te maken heeft met wapens: dat is typisch Amerikaans, heel wat Amerikaanse webfilters staan erop om www.nra.org als een politieke website te bestempelen en niet als een wapengerelateerde site.
ZyXEL ZyWALL USG 1000
De ZyWALL USG 1000 is een nieuw model in het gamma UTM's van ZyXEL. Het heeft vijf Gigabit Ethernet-netwerkaansluitingen en verder ook nog een aansluiting voor een serieel modem. Standaard zijn twee van de vijf netwerkaansluitingen bedoeld voor WAN1 en WAN2, twee andere zijn voor de DMZ en de overblijvende is voor uw LAN. De USG 1000 gebruikt verschillende algoritmes en instellingen om lastenverdeling te doen over de gekozen WAN- of DMZ-poorten. Die poorten zijn uiteraard ook te gebruiken voor overname bij uitval of storing. Zo zou je WAN1 en WAN2 kunnen toewijzen aan twee verschillende breedbandproviders, en de externe modemaansluiting dan gebruiken voor nog een derde oplossing, die in alleen in uiterste nood gebruikt zou worden.
De webinterface van de USG 1000 ondersteunt ook inloggen via een twee factor authenticiteitscontrole, met behulp van tokens. De appliance kan verder samenwerken met een externe server voor de authenticiteitscontrole.
Het 'Anti-X' filtermenu toont vier verschillende filters: antivirus, IDP (inbraakdetectie en -preventie) en ADP (anomaliedetectie en -preventie), plus een inhoudsfilter. Voor elk van deze filters is er een hernieuwbare licentie. De antivirusmodule is die van Kasperky. AppPatrol (ook met hernieuwbare licentie) stelt je in staat het bandbreedtegebruik te beperken voor specifieke Internetapplicaties, zoals IM (instant messaging) of P2P (peer-to-peer). Zo valt er een minimumkwaliteit van de netwerk- en internetdienstverlening te verzekeren.
De inhoudsfilter is die van BlueCoat. Zoals de meeste webfilters werkt die op basis van categorieën. Je kunt bij het beheer kiezen tussen een basisoverzicht van de belangrijkste categorieën of een totaaloverzicht van álle categorieën. De firewall stelt je in staat om regels op te geven voor het verkeer tussen alle mogelijke objecten, zones en poorten. Je kunt voor veel beveiligingsacties instellen dat het verkeer toegelaten of geblokkeerd wordt, maar vaak is het ook mogelijk te kiezen voor toelaten mét logboekvermelding.
Praktijk
De USG 1000 maakt een zeer goede en degelijke indruk op ons. Het beheer was erg eenvoudig. We hebben wel contact moeten opnemen met de maker van de webfilter, BlueCoat, omdat onze eigen site diskidee.nl onterecht bij de categorie 'Shopping' was ingedeeld (en dus vaak geblokkeerd zou worden). BlueCoat loste dit snel op. De webfilter werkt zeer goed en houdt ook pogingen tegen om verboden webpagina's op te roepen via de cache van Google of op andere slinkse manieren. Een spamfilter is helaas niet aanwezig in deze USG 1000.
Conclusie
De in onze ogen meest indrukwekkende UTM-appliances in de massatest zijn in volgorde: de Fortinet FortiGate 300A, de SecPoint Protector P1000 en de CheckPoint UTM-1 2050. Houden we ook rekening met de prijs, dan gaat de titel van beste koop naar het Franse product NetASQ F200 en de tweede plaats wordt dan gedeeld door Fortinet en SecPoint.
De Kern
* Een UTM-appliance (Unified Threat Management) combineert functies van een firewall, antivirus, inhoudscontrole inclusief mail- en webfiltering en eventueel ook een IDS/IPS.
* Zo'n bundeling bespaart behalve werkplaatsruimte ook nog geld.