Betaalbare beveiliging voor het mkb

Een midden- of kleinbedrijf dat al een tijdje op internet aangesloten is, heeft een firewall draaien. Voor extra beveiliging, wat tegenwoordig geen overbodige luxe is, is extra functionaliteit nodig. Een geïntegreerde beveiligingsappliance biedt die. Zo’n appliance vervangt een firewall in plaats van die aan te vullen. Vaak is zo’n oplossing financieel niet haalbaar voor een wat kleiner bedrijf. Bovendien blijkt meer dan 80 procent van alle beveiliginginbreuken in een netwerk niet van buiten (van internet) te komen, maar van binnen. Interne gevaren zijn niet alleen kwaadwillende medewerkers, maar ook pc’s binnen het netwerk met kwaadaardige software aan boord die niet wordt tegengehouden door de aanwezige beveiliging.

Checkmarq biedt een oplossing met een serie appliances onder de naam BOS (Border Office Security, beveiliging van de kantoorgrens) die de firewall niet vervangen maar aanvullen. Bovendien werkt de BOS-appliance bidirectioneel: hij controleert niet alleen het verkeer van internet naar het binnennetwerk, maar ook dat van het interne netwerk naar buiten. Wij testen de BOS-1500. Checkmarq heeft meer modellen, zowel grotere als kleinere. Midden- en kleinbedrijven van elke omvang vinden iets van hun gading in dat aanbod.

Werking

De BOS-appliance fungeert als een transparante brug en gedraagt zich dus in essentie als een netwerkkabel. Je kunt hem zowel achter als voor de firewall plaatsen. Checkmarq raadt de tweede optie aan.

De appliance gebruikt standaard drie van zijn vier netwerkaansluitingen. De eerste twee dienen voor de brugfunctie. De eerste sluit je aan op de internetverbinding. De tweede gaat naar de wan-aansluiting van de firewall. De derde netwerkaansluiting krijgt een ip-adres. Die moet je aansluiten op het binnenwerk. De appliance gebruikt die aansluiting om contact te houden met de thuisbasis en informatie uit te wisselen (waaronder opwaarderingen).

De BOS-1500 is een ‘managed appliance’, wat betekent dat Checkmarq het beheer volledig voor zijn rekening neemt. De leverancier zorgt voor het automatisch bijwerken van alle beveiligingsregels en indien nodig de firmware. De appliance stuurt alle vastgestelde beveiligingsinbreuken en mededelingen over zijn functioneren naar de leverancier. Die verwerkt dat centraal en rapporteert aan de klant via mail. Je kunt ook een speciale portaalwebsite bij de leverancier gebruiken om realtime informatie over de werking van de BOS-1500 op te vragen. Bij Checkmarq kan het beherend personeel in een webinterface of via de mail een grafisch overzicht zien van alle beheerde appliances en de status van hun functioneren, opwaarderingen en algehele werking. Zodra dat overzicht de kleur rood laat zien voor een bepaalde appliance, onderzoekt de leverancier wat er aan de hand is en neemt hij zonodig contact op met de klant om het probleem op te lossen.

Functionaliteit

De BOS-appliance beveiligt de internetverbinding bidirectioneel. Hij gebruikt een set regels die volgens Checkmarq tot de omvangrijkste in de beveiligingsindustrie hoort en die vrijwel alles ontdekt wat fout kan zijn in een netwerkverbinding. Pogingen tot misbruik van bufferoverlopen, dos-aanvallen (distributed denial of service) en aanvallen via cgi (common gateway interface), http, netbios (network basic input/output system), onregelmatigheden bij authenticatie van telnetsessies, rpc-anomalieën (remote procedure calling), pogingen tot spoofing, typische signalen van pogingen tot hacking, aanvallen via netwerkachterdeurspullen enzovoort - de BOS-1500 controleert en blokkeert het allemaal.

Ook spyware wordt in veel gevallen geblokkeerd vanwege zijn netwerksignaturen, maar de appliance heeft geen echte virus- of parasietfilter aan boord. Dat kan wel, maar zou de netwerkprestaties ernstig verminderen. Klanten kunnen zich abonneren op de CVDF (Checkmarq Vulnerability Definitions Feed; kwetsbaarhedendefinities). Dat stelt de appliance in staat om de uitbuiting van alle nieuwe kwetsbaarheden vanaf dag nul te blokkeren, zonder dat je moet wachten op signaturen voor alle individuele aanvalspogingen.

Beheer

Omdat het om een ‘managed appliance’ gaat, beheert de klant hem nauwelijks zelf. Het Online Management Centre waar je naartoe kunt surfen (het beheerportaal van Checkmarq) dient dan ook vooral om informatie verschaffen. Je kunt de werkingstatus van de appliance bekijken, historische overzichten en statistieken opvragen, rapporten laten genereren en meer van dat fraais. Afhankelijk van je rechten kan je bepaalde beheeractiviteiten uitvoeren, bijvoorbeeld extra controles inplannen en opwaarderingen laten doen.

De online webinterface toont links een eenvoudig menu dat de keuze geeft tussen ‘live reporting’, ‘appliance statistics’, ‘reports generator’, ‘administration’ en ‘my profile’. Wie meerdere appliances gebruikt, kan die informatie voor al zijn apparaten samengevat zien of per individuele appliance bekijken. De bediening stelt niet meer voor dan dat: aanklikken en kijken. Onze enige kritiek is dat ‘live reporting’ kennelijk alleen informatie geeft over de laatste 24 uur. Dat is niet te verfijnen tot bijvoorbeeld het laatste uur of halfuur. De meest recente beveiligingsinformatie krijg je op deze manier dus niet apart te zien.

Blokkeren

Verhoogt het systeem de veiligheid? Daar moeten we beslist ‘ja’ op antwoorden. Al onze inbraakpogingen faalden. Ook vanuit het binnennetwerk surfen naar sites waarvan we zeker weten dat ze allerlei parasieten via Internet Explorer in Windows installeren, bleek veilig te zijn. Een controle nadat we tien van dergelijke sites bezocht hadden, toonde ons dat op één na (CoolWebSearch) geen enkele parasiet in ons systeem kon binnendringen.

De appliance beveiligt overigens niet tegen het downloaden van software die bij uitvoering parasieten op de systemen installeert. Alleen de infectiepogingen die via het netwerk binnenkomen kan hij blokkeren.