Internetbeveiliging zonder herconfiguratie netwerk

Test: TrendMicro InterScan Gateway Security Appliance

TrendMicro brengt met de InterScan Gateway Security Appliance of kortweg IGSA een beveiligingsappliance op de markt die het internetverkeer beveiligt zonder dat een bedrijf iets in zijn interne netwerk hoeft te wijzigen. Genoeg reden om deze appliance aan een test te onderwerpen.

Bij het lezen van de informatiebrochure over de TrendMicro IGSA gaan onze wenkbrauwen omhoog. Een alles-in-één beveiligingsappliance die tussen het netwerk en de internetaansluiting geplaatst wordt en die vrijwel alles wat er gecontroleerd kan worden controleert: virussen, parasieten, spam, phishing, bots, et cetera. Bovendien zit er ook nog een inhouds- en url-filter in voor zowel e-mail als surfen.

De netwerkbeheerder heeft zo goed als geen configuratiewerk. Bij doorsnee beveiligingsappliances moeten allerlei internetdiensten specifiek door zo’n appliance heen geleid worden (bijvoorbeeld mailfilterappliances), of de adresconfiguratie van het netwerk moet aangepast worden (bijvoorbeeld implementatie van een firewall met of zonder DMZ). Naast het beheer van de appliance heeft een beheerder dan dus ook nog werk aan het herconfigureren van het hele of een deel van het bedrijfsnetwerk.

Bij IGSA van TrendMicro is dit niet het geval. Er hoeft slechts één ip-adres toegewezen te worden voor het subnet dat beveiligd moet worden (per subnet is er één appliance nodig) en dan kan hij ‘inline’ tussen dat subnet en de buitenwereld geplaatst worden. De IGSA beveiligt alles op protocolniveau zonder dat je diensten moet herleiden naar de appliance of andere configuraties moet aanpassen. Wat de TrendMicro IGSA doet, is het internetverkeer opvangen en dan alle bekende protocols (smtp, pop3, http en ftp) met hoge risicofactor analyseren op zoek naar kwaadaardigheden zoals we die eerder al hebben opgesomd. Het apparaat onderschept en onderzoekt alle transfers van bestanden. Hierbij worden de zestien populairste compressieformaten ondersteund en kan de appliance ze tot maar liefst twintig lagen diep onderzoeken.

Installatie

De TrendMicro IGSA is een 19-inchrekappliance met één externe en één interne netwerkaansluiting. Die externe aansluiting sluit je aan op de internetrouter of beter nog firewall en de interne aansluiting leidt naar het binnennetwerk. Belangrijk hierbij is, dat de twee aansluitingen binnen hetzelfde subnet moeten vallen. Een IGSA kan maar één subnet beschermen. Als er meerdere subnets in gebruik zijn die beveiligd moeten worden, dan moet je voor elk subnet een IGSA aanschaffen. Er is een consoleaansluiting voor een seriële terminal of een pc met terminalsoftware en die dient voor wat TrendMicro de pre-configuratieconsole noemt. In de praktijk stel je daarmee de eerste keer het ip-adres in en daarna kun je de appliance altijd via zijn webinterface bedienen en beheren.

Beheer

De webinterface van de IGSA zit vrij eenvoudig en rechtlijnig in elkaar. Initieel kom je terecht in een overzicht. Uiterst links zie je dan een hoofdmenu met uitklapbare links. Dat hoofdmenu splitst de beveiligingsinstellingen per protocol uit: smtp, http, ftp en pop3. Je kunt zo’n protocolbeveiliging aan- of uitzetten, op in- of uitgaand verkeer (of allebei) toepassen en ook nog specifieke beveiligingen tegen parasieten, phishing en pharming en inhoudsfilters parametriseren. Daarnaast is er een bescherming tegen uitbraken. Daarmee bedoelt TrendMicro het plotseling opduiken van virussen of andere kwaadaardigheden, waarvan nog niet precies vastgesteld is wat het is. De IGSA kan in zo’n geval toch beveiligen ook al zijn de juiste patronen en signaturen nog niet beschikbaar.

Verder zijn er nog menu-ingangen voor quarantaine, updates, logboeken en systeembeheer. In de meeste gevallen kun je opties aan of uitzetten door gewoon een vakje aan of uit te vinken. Als er meerdere opties zijn (zoals bijvoorbeeld zoektermen of adresspecificaties bij de inhoudsfilters), gaat het vaak om lijsten die je kunt in- of aanvullen. TrendMicro maakt verder gebruik van een ‘netwerkreputatiedienst’ voor het blokkeren van spam. Deze reputatiedienst identificeert bekende spambronnen. De appliance spam kan die bronnen op basis van hun afkomst blokkeren zonder dat de inhoud of administratieve informatie nog verder gecontroleerd hoeft te worden.

Prestaties

Wij hingen deze appliance in ons testnetwerk en schakelden de beveiliging van alle protocollen tegelijk in. We stelden al gauw vast dat de IGSA daar gewoon niet snel genoeg voor is. Dit valt het meest op tijdens het surfen. De vertragingen bij het laden van webpagina’s is onaanvaardbaar. De beveiliging zelf werkt wel goed. De appliance blokkeert netjes elke poging om naar ongeoorloofde sites te surfen. De beveiliging tegen malware konden we niet testen, omdat elke site die we kenden die malware in Windows probeert te sluizen in de adreslijst van de url-filter bleek voor te komen.

We hebben dit apparaat ook getest als pure spamfilter. Daarvoor schakelden we alle beveiligingsopties uit behalve die voor inkomend verkeer via smtp. De werksnelheid vormde in deze situatie geen probleem meer. De IGSA wist alle post naar onze mailserver toe te onderscheppen zonder dat we iets aan onze dns-configuratie (zoals het mx-record) hoefden te veranderen. Als spamfilter doet de IGSA het niet slecht, maar er zijn duidelijk heel wat betere spamfilters op de markt. Wij maten nog gemiddeld 36 spamberichten per dag en per mailbox (waarvan heel wat aan niet-bestaande adressen, zonder die zou het vier spamberichten per dag en per mailbox geweest zijn) met over de hele testperiode zeven berichten die geen spam bleken te zijn. Dat is wel heel wat meer dan de topscorer uit onze eerdere test van mail security appliances, namelijk de IronPort C100 die slechts vier spamberichten (in totaal!) per dag en per mailbox doorliet (en dit zonder berichten die geen spam bleken te zijn).