Gebruik maken van datacenters en op afstand werken leidt vaak tot ergernis vanwege de traagheid van internet. Daar bestaan oplossingen voor zoals de hier geteste BlueCoat ProxySG & Proxy Client appliance.
Blue Coat werd opgericht in 1996. Het specialiseert zich in het optimaliseren en versnellen van trage netwerkverbindingen, met name die via het internet. Zo zijn er natuurlijk meer spelers op de markt. Interessant is echter dat Blue Coat beveiligingsmaatregelen integreert in deze optimalisatieoplossingen. Zo combineert het een webapplicatieprestatieverbeteraar met een webfilter. Overigens is dat geen verplichting: je kunt altijd de gewenste functionaliteit kiezen.
Appliance
De prestatieverbeteraars van Blue Coat komen in de vorm van appliances. ProxySG (Proxy Security Gateway) is een familie van appliances die zowel applicaties versnellen als beveiligingstaken uitvoeren. Dat laatste is niet heel uitgebreid. Blue Coat veronderstelt terecht dat bedrijven al allerlei beveiligingsoplossingen hebben geïnstalleerd. Het beperkt zich dus tot webfiltering voor ongewenste websites en het blokkeren van pogingen tot phishing en malwareinfecties. Die beveiligingsmaatregelen zijn in de appliance gecombineerd met een versnellingsfunctie voor internettoegang. Het heeft in elk geval het voordeel dat je maar een appliance nodig hebt waar er vroeger drie of vier vereist waren. Vooral voor kleinere bedrijven is dit toch wel interessant.
De ProxySG appliances delen allemaal dezelfde firmware, alleen de hardware verschilt naargelang de gewenste prestaties. De appliances werkt onder SGOS, een eigen objectgebaseerd besturingssysteem van Blue Coat. Dat zorgt voor een flexibele reglementtoepassing voor inhoud, gebruikers, applicaties en protocollen.
De ProxySG appliance beschermt interne en externe gebruikers tegen parasieten, phishing en andere aanvallen. Verder versnelt het de internettoegang met behulp van compressie, bytecaching en objectcaching. Dat bespaart ook nog eens op de bandbreedte en kan dus eventueel een bijkomende besparing opleveren, afhankelijk van het type internetaansluiting. Applicaties die ProxySG versnelt zijn: Windows filesharing, FTP, e-mail, web-, SSL- en 'rich media'-applicaties.
Clients
Op de desktoppc's en notebooks installeer je de gratis Blue Coat Proxy Client. Die uitrol kan gebeuren met de standaard softwaredistributiegereedschappen die je ter beschikking hebt. Eenmaal geïnstalleerd, zal de Client zichzelf up-to-date houden. De Proxy Client past de reglementen toe inzake beveiliging en versnelling die je in de ProxySG appliance instelde.
Het beheer van zowel deze appliance als de Proxy Client gebeurt met de ProxySG Management Console. Je kunt gebruikers een proxyserver in hun webbrowser laten instellen die dan wijst naar de ProxySG appliance. Dat is evenwel niet nodig als je de ProxySG appliance als een transparante filter in je netwerk installeerde. Bij lokale gebruikers is het netwerk natuurlijk perfect en zal de Proxy Client nauwelijks acceleratietaken uitvoeren. De beveiligingsmaatregelen zijn dan natuurlijk wel van toepassing. De Proxy Client is vooral interessant voor medewerkers op afstand of voor lokale gebruikers die voornamelijk met een datacenter moeten werken waarin een ProxySG appliance staat. Dan treedt zowel de acceleratie als de beveiliging in werking. Daardoor kan zo'n op afstand werkende gebruiker toch een ervaring krijgen alsof hij in het hoofdkantoor zelf aan het werk is. Blue Coat beweert zelfs dat toegang tot en downloads van bestanden tot 35 keer sneller kunnen werken met de Client dan zonder.
De Proxy Client kan niet door de gebruiker zelf beheerd worden, tenzij die gebruiker natuurlijk beheerrechten zou hebben. De gebruiker kan wel statusinformatie opvragen en een grafiekje bekijken van de besparing inzake netwerkverkeer die hij bereikt via de acceleratie van Blue Coat.
Webbeheer
Je beheert zowel de ProxySG appiance als de Proxy Clients met behulp van een webinterface in de appliance. Als je regels verandert, kunnen de Proxy Clients zichzelf bijwerken met een instelbaar interval. Clients kunnen de Proxy Client downloaden via een speciale URL vanaf de appliance.
Het webbeheer bestaat uit een vrij eenvoudig vormgegeven webpagina met drie tabbladen: Statistieken, Configuratie en Onderhoud. Elk gekozen tabblad toont links een menu van aanklikbare rubrieken en rechts daarvan een groot detailpaneel dat opgebouwd wordt met behulp van Java. Blue Coat werkt momenteel aan een nieuwe versie van deze webinterface: die zal er heel wat moderner uitzien en met Ajax in plaats van met Java werken. Dat zal deze webinterface ook behoorlijk wat sneller maken, zeker vanaf Windows pc's. Het is immers een publiek geheim dat de Java-client van Sun voor Windows een van de traagste op deze planeet is!
Het tabblad Statistieken toont allerlei grafieken over het netwerkverkeer met een overzicht van de besparingen die bereikt werden via acceleratie, over protocolprestaties en over het systeem, lopende sessies en de gezondheid van het hele systeem. Onder Configuratie tref je alle mogelijke instellingen aan. Deze omvatten naast de te verwachten algemene en netwerkinstellingen specifieke configuraties voor ADN's (Application Delivery Networks of te versnellen netwerken voor applicatie-uitvoering), diensten, de Proxy Client, SSL, proxy-instellingen, bandbreedtebeheer, inhoudsfilters, authenticatie, externe diensten (zoals Websense), forwarding (systemen die inhoud doorsluizen), systeemgezondheidscontroles, logboeken voor netwerktoegang en reglementbeheer.
De laatste tab, Onderhoud, bevat alle rubrieken die met systeemonderhoud te maken hebben waaronder licentiebeheer, bewaking, systeem- en schijfbeheer, upgrades en zo meer.
Versnelling
Naast de beveiligingsmaatregelen is de netwerkacceleratie natuurlijk een van de meest belangrijke kenmerken van deze BlueCoat oplossing. BlueCoat voorziet byte caching, object caching, protocoloptimalisatie en compressie. Byte caching verwijdert redundatie en cachet repeterende patronen in datastromen. Object caching zorgt voor een locale cache van de bestanden die het vaakst worden gebruikt. Het werkt een beetje zoals een browsercache, maar dan voor algemene bestanden. Protocoloptimalisatie elimineert de vertragingen in tcp/ip-verbindingen door systeemresponses te cachen of zelfs voor te schieten, zodat een client veel minder moet zitten wachten op die antwoorden. Dat verhoogt de werksnelheid aanzienlijk bij zogenaamde 'lossy' netwerken zoals het internet. Voor de data die dan effectief over de WAN-verbinding gestuurd moet worden, kunnen we ook nog compressie toepassen. Het spreekt vanzelf dat dit alleen kan voor goed comprimeerbare data: bij reeds gecomprimeerde plaatjes, video- en audiofragmenten of ZIP- en andere archieven bereik je hiermee uiteraard geen winst.
Prestaties
We gebruikten een WAN-simulator om een 512 kbit/s verbinding met een vertraging van 50 ms in beide richtingen te bekomen. Dat is ons inziens een realistische gemiddelde WAN-verbinding tussen een bedrijf en een afstandswerker. Zonder applicatieversnelling blijken fileshares en ook bedrijfswebsites niet bepaald van de snelste. Dat is niet echt prettig werken. Maar met de applicatieversnelling krijgen we een indruk die echt niet veel verschilt van lokaal werken. En dan is onze werkervaring heel wat prettiger.
Het ingebouwde webfilter is typisch Amerikaans en beschouwt de wapenpromotende NRA-website (National Rifle Association) bijgevolg niet als een wapengerelateerde of militair getinte website, maar als een politieke of activistensite. Daar zijn wij het absoluut niet mee eens. Wij vinden dat de NRA ook geblokkeerd moet als we vragen om alles met wapens te blokkeren. Ook minder fraai is dat de wel geblokkeerde sites toch opvraagbaar blijken via de cache van Google. Die vergetelheid zien we ook (te) vaak bij andere internetbeveiligingsoplossingen. Het is nochtans niet zo moeilijk om ook dat te blokkeren.
Conclusie
De ProxySG appliance met Proxy Client bewijst goede diensten als applicatieversneller om een medewerker op afstand met het bedrijfsnetwerk via VPN te laten werken alsof hij op kantoor zit. Dat er een webfilter aanwezig is, is mooi meegenomen (al moet daarvoor wel bijbetaald worden). Dat die omzeild kan worden via de cache van Google is wat minder. Hij past ook typisch Amerikaanse blokkeringsredeneringen toe waar Europeanen wat meer moeite mee hebben.
Productinfo
Product: ProxySG appliance met Proxy Client
Producent: Blue Coat Benelux, Utrecht; www.bluecoat.com
Leverancier: Westcon Security, http://www.westconsecurity.nl/
Adviesprijs (excl. BTW): SG510-10: $14.000. Proxyclient zit er gratis bij. Remote URL filtering optie: 100-249 gebruikers $23.50 per gebruiker + $3.29 jaarlijkse supportbijdrage.
Systeemvereisten: Proxy Client vereist Windows; webfilter werkt ook voor andere platformen.
De kern
* Blue Coat produceert applicatieversnellende producten voor gebruik over trage netwerkverbindingen.
* ProxySG en Proxy Client maakt vanop afstand werken bijna even snel als lokaal werken.
Graag wil ik dit interessante artikel aanvullen met enkele opmerkingen. Onder aan de evaluatie schrijft de tester dat Google cache het categoriseren kan omzeilen. Hij uit ook zijn verbazing over het feit dat http://www.nra.org niet opgenomen is in de categorie ‘wapens’ van WebFilter. Blue Coat WebFilter kan individuele webpagina’s classificeren in maximaal vier categorieen. Dat is belangrijk zodat beleidsregels opgesteld kunnen worden door onze klanten die de juiste balans waarborgen tussen het blokkeren en toestaan van gebruikers. En die hen helpen bij verantwoord internetgebruik. Een klant kan bijvoorbeeld verschillende regels hanteren voor de term ?bloot?. Als de tweede categorie ‘medisch’ is, kan toegang gegeven worden. Wanneer de tweede categorie echter ‘pornografische content’ is, wordt de toegang geblokkeerd. Andere oplossingen kunnen webpagina’s maar in 1 categorie onderbrengen, wat het bepalen van de beleidsregels moeilijker maakt. Bovendien neemt hierdoor de kans toe dat webpagina’s teveel of te weinig geblokkeerd worden.
Het webadres http://www.nra.org leidt naar de website van de Amerikaanse National Rifle Association (NRA), de lobbyorganisatie die naar eigen zeggen de rechten van wapeneigenaren in de VS behartigt. We hebben het bovenste niveau van dit domein (de homepage) gecategoriseerd als ‘politieke of activistengroepering’. De beschrijving voor onze categorie ‘wapens’ is: ‘websites die wapens, zoals pistolen, geweren, messen of vechtsportattributen, verkopen, beoordelen of beschrijven, of die informatie verstrekken over het gebruik, de accessoires of andere aanpassingen hiervan’. Het hoogste niveau van de website van de NRA verkoopt, beoordeelt of beschrijft geen wapens. Echter, binnen de website bestaat de mogelijkheid om door te klikken naar de webshop: http://www.nrastore.com. Deze webwinkel verkoopt wel degelijk messen. Toegang tot de webwinkel wordt wel geblokkeerd omdat we deze website hebben ingedeeld in twee categorieen: ‘shopping’ en ‘wapens’.
Tot besluit wordt internetgebruik via Google cache door WebFilter behandeld alsof de gebruiker naar de originele website gaat. Wie http://www.bluecoat.com via Google cache benadert krijgt te maken met de categorie ‘computers’. Dit zou namelijk ook het geval zijn wanneer men de website direct bezoekt. In tegenstelling tot mindere oplossingen, die alle Google website classificeren als ‘zoekmachine’, maken we gebruiken van regex om de echte webbestemming naar boven te halen. Overigens zijn er ook slimmeriken die Google Afbeeldingen gebruiken in een poging de blokkade tegen naaktheid te omzeilen. Zij vullen dan een algemene zoekterm in die ook pornografische afbeeldingen kan oproepen. Dit is mogelijk omdat sommige oplossingen de volledige pagina classificeren als een pagina van Google. Blue Coat WebFilter beoordeelt echter iedere afbeelding afzonderlijk. Als er bijvoorbeeld een regel is ingesteld om ‘bloot’ en ‘porno’ te blokkeren, en iemand vult de zoekterm ‘poes’ in, zullen er alleen foto’s van katten verschijnen en geen pornografische afbeeldingen.