Een firewall is al lang niet meer voldoende om alle bedreigingen tegen te houden die via internet een bedrijfsnetwerk kunnen binnendringen. Je hebt een allesomvattend beveiligingsapparaat of UTM-appliance nodig. Wij hebben er drie getest die bedoeld zijn voor grotere netwerken.
In de test van drie ‘unified threat management’ of UTM-appliances voor grotere bedrijven werd gekeken naar de functionaliteit en de mogelijkheden van de appliance en het beheer. Wat krijg je voor je geld? Met behulp van de IBM ISS Internet Scanner hebben we voor elk van de appliances een scan uitgevoerd van zo’n 128 bekende kwetsbaarheden en dus beveiligingsrisico’s. Het goede nieuws is, dat ze allemaal perfect scoorden en totaal geen informatie vrijgaven over het binnennetwerk. Verder hebben we elke UTM ook een week lang in een live-omgeving getest als spamfilter. Daarbij hebben we zowel gekeken naar de doorgelaten spam als naar de onterecht tegengehouden e-mails of valse positieven.
Astaro Security Gateway 7.500
Het Amerikaans-Duitse bedrijf Astaro is gespecialiseerd in internetbeveiliging. Daar hoort ook een UTM bij: de Astaro Security Gateway. Interessant is dat je die ook in een software- en zelfs virtuele variant kunt krijgen, naast de gebruikelijke hardware appliance. Na het downloaden van bijvoorbeeld de VMWare virtual appliance kun je deze bijvoorbeeld bij wijze van test draaien in VMPlayer. Zonder licentie kun je de applicatie dertig dagen uitproberen.
Beheer
Eenmaal de installatiewizard achter de rug, herconfigureert de UTM zich met de opgegeven ip-adressen en is dan onmiddellijk en zonder herstarten beschikbaar. De webinterface toont nu na inlog een dashboard en een uitgebreid menu uiterst links. De menurubrieken zijn logisch, maar omdat het er veel zijn mochten ze van ons wel een onderverdeling krijgen. Astaro biedt ook twee softwareopties voor een meer globaal of centraal beheer van meerdere UTM’s.
Functionaliteit
De Astaro Security Gateway is een UTM met firewall, IDS/IPS, DoS (Denial of Service)-preventie, url-filter, webinhoudsfilter, antiphishing, spamfilter, witte en zwarte lijsten, reglementen voor routing en tijdgebaseerde pakketinspectieregels, kortom alles wat je van een rijk uitgeruste UTM mag verwachten.
Prestaties
De Astaro UTM hield al onze inbraakpogingen tegen. Tijdens onze spamtest noteerden we 1,1 spambericht per gebruiker per dag en 0,6 valse positieven per dag.
Oordeel
Dit is een erg interessante en functioneel zeer rijk uitgeruste UTM. Dat hij ook virtueel kan draaien vinden we een groot pluspunt. Ons enig punt van kritiek is, dat we gigapoorten toch wel graag bij de lagere licenties hadden gezien. De spamfiltertest leverde een uitstekend resultaat op.
Productinfo
Product: Astaro Security Gateway 7.500
Producent: Astaro; USA; www.astaro.com
Leverancier: Astaro Benelux; tel. +31 10 41 33 292; www.astaro.com
Adviesprijs: vanaf 695 euro/jaar (basislicentie hardware-appliance, rest niet vermeld)
Systeemvereisten: losse pc of VMWare VM met 1 GB RAM en 30 GB harde schijf en drie netwerkkaarten
SecPoint P1000
SecPoint is een Deens merk dat stevig aan de weg timmert en in opkomst is. De Protector P1000 heeft vier netwerkpoorten. De eerste netwerkpoort ‘A’ heeft een vast ip-adres en geeft toegang tot de beheerinterface. De andere netwerkpoorten kun je naar eigen inzicht indelen. Zoals de meeste andere appliances maakt SecPoint gebruik van een webinterface voor het beheer. Een opvallend verschil met andere UTM’s is dat deze appliance geen router en geen firewall is, maar wel een inline-filter.
Beheer
De webinterface van de SecPoint Protector zit vrij eenvoudig in elkaar. Bovenaan is er een balk met de hoofdmenurubrieken voor het dagelijks beheer. Helemaal rechts bovenaan kun je kiezen tussen dit hoofdmenu en een ‘geavanceerd menu’ met systeeminstellingen en activiteiten die bedoeld zijn voor het beheer van de appliance zelf.
Functionaliteit
De SecPoint Protector heeft naast antispam ook volledige antimalware-onderschepping voor zowat alle protocollen aan boord. Verder zijn er inhoudsfilters voor post en webverkeer. Standaard gebruikt SecPoint de antimalware-engine ClamAV. Je kunt ook kiezen voor alternatieve engines: BitDefender, Kaspersky of Norman.
Prestaties
De Protector P1000 presteert naar behoren en laat ons niet inbreken. De webfilter kan nog verbeterd worden door gecachte Google-pagina’s te filteren. De SecPoint-spamfilterfunctie functioneert minder goed dan bij testen van deze appliance die we voorgaande jaren uitvoerden. We noteerden bijna drie valse positieven per dag die we moesten redden en dat is niet zo fraai. Bovendien bleek de filter niet zoals verwacht te reageren op onze instructies om bepaalde tegengehouden mails als ‘ham’ (legitiem) te herkennen. De volgende keer werden berichten van dezelfde bron immers opnieuw tegengehouden. Onze testgebruikers kregen gemiddeld zo’n 1,67 spamberichten per dag en per gebruiker te verwerken. De filter leert wel bij en presteert beter naarmate hij in gebruik is. Omdat onze test maar een week duurde, hebben we dit effect niet kunnen meten.
Oordeel
SecPoint gaat ervan uit dat de meeste bedrijven al een firewall en router hebben. Daarom zitten deze functionaliteiten niet in de UTM. We begrijpen die redenering wel, maar het zou niet zoveel meer gekost hebben om dat toch toe te voegen. De inzetbaarheid van deze appliance kan daardoor fors toenemen. De beveiliging werkt voorbeeldig, maar dit jaar vonden we de spamfilter toch wat tegenvallen. De filter leert wel bij, dus de prestaties zouden moeten verbeteren naarmate je hem gebruikt.
Productinfo
Product: P1000
Producent: SecPoint, http://www.secpoint.com/
Adviesprijs: vanaf 899 euro; geteste unit kost 2890 euro (unit + 1 jaar Subscription). Een driejarige bundel kost 4730 euro
Dealerinfo: SecPoint Nederland, tel. +31 344 653 690, www;secpoint.nl
Vasco aXsGuard
Vasco is waarschijnlijk het bekendst van de authenticatie met tokens en de beroemde DigiPass. Niet zo heel lang geleden namen ze het Belgische bedrijf Able over en konden daardoor de onder de naam aXsGuard Gatekeeper Remote Access Solution Enterprise verzamelde security appliances als nieuw beveiligingsproductengamma aanbieden. Het aXsGuard gamma maakt gebruik van telkens dezelfde software en mogelijkheden, alleen de hardware verschilt en bepaalt hoeveel verkeer je kunt ondersteunen.
Beheer
Je beheert de Vasco aXsGuard appliance volledig via een webinterface. Uiterst links is er een uitklapbare boom met menuonderdelen en daaruit blijkt een indrukwekkend veelzijdige functionaliteit. Dat komt, omdat zo’n appliance zijn leven in feite start als authenticatieappliance. De beveiligingsfuncties zijn optioneel, maar die kun je via standaardpakketten direct bij een appliance meebestellen of naderhand individueel bijbestellen. Er zit heel wat internetserverfunctionaliteit in en die is standaard beschikbaar. Elke hoofdrubriek vertakt naar subrubrieken met allerlei instellingen en parameters.
Functionaliteit
De UTM-functionaliteit bestaat uit een geïntegreerde firewall, IDS en inhoudsinspectie voor e-mail (inclusief spamfilter) en opgevraagde webpagina’s. De firewall werkt met iptables-regels, de Linux-standaard. Vasco veronderstelt dat je mogelijk al een firewall in gebruik hebt en daarom vertrekt de basisbeveiliging bij een applicatiefirewall en ondersteuning voor VPN (ook via SSL). Daaromheen kan desgewenst een firewall en IPS dienst draaien als je die toch nog niet had, eventueel aangevuld met inhoudsscanning.
Prestaties
De aXsGuard appliance doet het erg goed en houdt al onze inbraakpogingen tegen. Als spamfilter noteerden we 1,77 spamberichten per dag en per gebruiker plus een gemiddelde van een valse positieve om de drie dagen die gered moest worden. Dat is een erg goed resultaat.
Oordeel
De Vasco aXsGuard oplossing werkt prima en je kunt kiezen uit verschillende prestatiecategorieen. Upgrades zijn mogelijk door alleen het prijsverschil bij te betalen. Qua beveiliging is dit een erg goede oplossing, dus warm aanbevolen.
Productinfo
Product: aXsGUARD Gatekeeper Remote Access Solution Enterpris
Producent: Vasco, www.vasco.com
Leverancier: Grid Consult, www.grid-consult.nl
Adviesprijs: niet tijdig meegedeeld (reken op 18 à 19000 euro)
Conclusie
Astaro krijgt van ons alvast een pluim voor de uitermate gebruiksvriendelijke webbeheerinterface met leuke wizards. Astaro en Vasco hebben de best presterende spamfilterdiensten. Bij SecPoint kan en moet dat nog heel wat beter. Rekening houdend met prijs en prestaties is de UTM van Astaro in onze ogen de beste aanbieding.
De kern
* Een UTM- of ‘Unified Threat Management’-appliance combineert functies van een firewall met IDS/IPS en met inhoudscontrole inclusief antimalware, mail- en webfiltering.
* Zo’n bundeling bespaart behalve werkplaatsruimte ook nog geld.
Johan Zwiekhorst, Datatestlab
