Aladdin was net te laat om de eSafe HellGate appliance in te sturen voor onze massatest van Mail Security Appliances. Afhankelijk van de licentie kan de HellGate dienst doen als beveiligingsappliance voor e-mail, web of internet-toegang.
Ruim tweederde van alle e-mails die wereldwijd verzonden worden, zijn ongewenst. Dat is een gemiddelde: het kan dus nog veel erger zijn! De eenvoudigste en hopelijk ook meest effectieve oplossing om e-mails succesvol te filteren, is een 'mail security appliance' of kortweg MSA. Computable heeft eind vorig jaar een massatest van deze beveiligingsapparaten gebracht.
Ook bij het surfen op het web kun je heel wat rommel en gespuis tegenkomen. Een 'web security appliance' of kortweg WSA is dan een populaire oplossing. Wil je één manusje-van-alles dat tussen het internet en je binnennetwerk zit en zoveel mogelijk (zoniet alles) wat van het internet komt, controleert en zonodig blokkeert, dan spreken we over een internet gateway security appliance of kortweg IGSA.
Demonen
Als het internet de hel is van waaruit allerlei demonen, gespuis en kwaad ons netwerk binnendringt, dan hebben we een of meer wachters nodig aan de hellepoort om het kwaad af te weren. De reeks eSafe HellGate appliances van Aladdin kan dus voor drie rollen geconfigureerd worden: als mailfilter, als webfilter en als globale internet gateway.
De appliance is telkens dezelfde, de rol die je kiest hangt af van de functionaliteit die je wenst en de daarbij passende licenties. Voor dit artikel bekijken we de rollen mailfilter en webfilter. De IGSA-rol hebben we niet uitgeprobeerd. Let wel: dit is nog geen UTM, daarvoor zou firewall-functionaliteit nodig zijn en dat biedt de eSafe HellGate niet.
De HellGate-appliances zijn gebaseerd op een geharde Red Hat Enterprise Linux (versie 3); daarbovenop draait de eSafe beveiligingssoftware. Wij testten het grootste model van deze serie, de HG-200.
Beheer
Het beheer van het systeem is in twee grote modules gekapt. Er is een webinterface, maar daarmee beheer je alleen de hardware zelf. Je kunt de netwerkconfiguratie van de appliance bekijken en wijzigen, updates uitvoeren of de appliance uitschakelen of herstarten. Het slechte nieuws is, dat deze webinterface eigenaardig genoeg alleen met Internet Explorer werkt en dus niet met browser als Firefox, Opera of Safari. Dit is verrassend voor een machine die op Linux draait. Het is wat ons betreft niet meer van deze tijd.
Het eigenlijke beheer van de beveiligingsregels gebeurt met een speciale Windows-applicatie die eSafe eConsole heet. Die kun je downloaden van de webinterface, en je krijgt dan de eConsole-variant die hoort bij de door jou gekozen appliance-rol. Je kunt met deze applicatie meerdere appliances beheren, maar we troffen geen globaal beheer voor meerdere appliances aan. Het geheel werkt in een boomstructuur en is vrij gebruiksvriendelijk. Aladdin vertelt ons dat eraan gewerkt wordt om de losse beheerapplicatie af te schaffen en onder te brengen in een webinterface. Hopelijk werkt die dan wel met Firefox.
Beveiliging
Aladdin heeft in het verleden ooit antivirussoftware op de markt gebracht, en ook een internet gateway die virussen tegen moest houden. De leverancier had daarvoor een eigen antivirus-engine ontwikkeld. Die zelfbouw is al die tijd onderhouden. De malwarebestrijding in de HellGate appliance is dus die van Aladdin zelf.
Voor het spamfilter bestaat de bestrijding uit een basisfilter met verificatie van e-mail headers, geldigheid van mailservers, en controle van de DNS-informatie van de afzender. Daarmee hou je niet veel spam tegen. Er is ook nog een geavanceerd spamfilter, maar voor die dienst moet je bijbetalen. Omdat wij vinden dat je die echt nodig hebt, hebben we in de prijsinformatie onder dit artikel deze optionele licentie bij de adviesprijs geteld. Deze optionele geavanceerde spamfilter bestaat uit twee delen: één voor reputatie en één voor inhoudsanalyse. De eerste is van Commtouch en de tweede van Cobion (overgenomen door ISS, dat op zijn beurt overgenomen is door IBM).
Bij de webbeveiligingsrol van de appliance kun je wel een beroep doen op een zeer uitgebreide URL-filter met categorieën, maar het meest interessante is waarschijnlijk die optionele applicatiefilter. De meeste filterregels zijn immers behoorlijk zwart-wit: als iets er zó uitziet, blokkeer dat dan. De applicatiefilter stelt je in staat webinhoud te beoordelen op basis van wat het werkelijk wil doen op de desktop van een surfende eindgebruiker. En dan blokkeer je alleen wat echt onveilig is.
Prestaties als spamfilter
Aladdin gebruikt voor de spamfilter de gebruikelijke populaire zwarte lijstservers op internet, maar zet er een stuk of zeven achter elkaar. Alleen al daardoor krijgen we een flink aantal onterecht geblokkeerde berichten. We hebben voor onze eigen spamfilter zelf ook allerlei gratis zwarte lijstservers uitgeprobeerd. Uiteindelijk zijn we terechtgekomen bij één server die ons perfect blijkt te bedienen: zen.spamhaus.org. We hebben dus de hele waslijst zwarte lijstservers van de eSafe-appliance gewist en alleen zen.spamhaus.org ingevuld. Daarna liep het heel wat beter.
De appliance zelf blijkt zelf ook nogal grof tekeer te gaan bij het detecteren van kwaadaardige code (malware). Zozeer zelfs, dat het aantal valse positieven dat we moesten redden tijdens de testperiode het hoogste was van alle appliances die we dit en vorig jaar getest hebben. Meer dan 25! Dat is wat ons betreft onaanvaardbaar hoog. Volgens Aladdin komt dit voornamelijk, omdat de appliance zo'n twee weken tijd nodig heeft om een leerfase te doorlopen en af te ronden en pas na die twee weken initialisatie zouden we het aantal valse positieven sterk zien dalen. We hebben de appliance in totaal drie weken in test gehouden en na twee weken daalde het aantal valse positieven inderdaad, maar ze verdwenen toch niet helemaal.
Wij kwamen tijdens onze testperiode uit op een zeer goed gemiddelde van iets minder dan één spambericht om de twee dagen per mailbox. Daar hingen dus wel wat valse positieven aan vast, ook na een initialisatie-fase van twee weken.
Prestaties als webfilter
Als webfilter zijn we bij de eSafe HellGate zeer te spreken over de configuratie-interface van eConsole: die laat een zeer doordachte fijninstelling toe. Je kunt ook als regel instellen dat gebruikers niet mogen surfen via andere proxy's dan degene die je toelaat. Dit voorkomt dan dat ze op slinkse wegen toch nog bij webpagina's en websites komen die je wilt blokkeren. En we zijn altijd in de wolken als we eens een webfilter tegenkomen dat de website van de dominante N.R.A. (National Rifle Association) in Amerika indeelt bij 'wapens en militair' en die dus ook blokkeert zodra we beslissen om die categorie uit te sluiten. Een zeldzaam webfilter dus.
Helaas laat de HellGate ons wel toe om verboden sites op te roepen via de cache van Google. Afbeeldingen ontbreken dan vaak wel. Dit ontneemt gebruikers die naar pornosites willen surfen nogal de pointe. Tekstinformatie en de bijbehorende lay-out van geblokkeerde sites verschijnt echter wel degelijk in beeld. Dat hoort niet!
Al onze pogingen om geïnfecteerd te raken met malware werden wel netjes opgevangen. De blokkering van vele categorieën blijkt minder perfect dan bij andere WSA's die we getest hebben: zo konden we nog verrassend veel porno bekijken door er gewoon naar te Googlen en dat hoort dus ook niet.
Conclusie
Aladdin heeft wat ons betreft nog wat werk aan het beter afstemmen van hun beveiligingsregels in de HellGate appliance. Die gaat nu die veel te grof te werk en heeft daardoor een torenhoog aantal valse positieven. Dat ging wel veel beter na een initialisatie-fase, maar ook dan nog liet de appliance te veel steken vallen. Ook als webfilter presteert de HellGate redelijk, maar niet zo goed als concurrenten die we in het verleden al eens getest hebben.
Productinfo
Product: eSafe HellGate HG-200
Producent: Aladdin, IL; www.aladdin.com
Leverancier: Aladdin Europe bv, NL; www.aladdin.nl
Adviesprijs (excl. BTW): 6500 euro (1ste jaar, daarna 3250 euro/jaar) voor een Appliance, een licentie voor 250 gebruikers eSafe Mail plus een licentie voor 250 gebruikers Advanced Anti-Spam.
Als je meteen voor meerdere jaren tegelijk een licentie neemt, is de totaalprijs 9450 euro voor de eerste twee jaar of 12350 euro voor de eerste drie jaar, daarna ook weer 3250 euro per jaarverlenging. Voor de webfilterrol zijn de licenties hetzelfde, voor de internet gateway-rol zal het iets duurder zijn. Meer informatie hierover is bij Aladdin te verkrijgen.
De Kern
- MSA's halen alle ongewenste mails en gevaren weg uit de tsunami van post die elke dag je mailserver bereikt. WSA's doen dat voor je tijdens het surfen.
- Deze eSafe HellGate presteert niet zo goed als andere appliances die we getest hebben.
