Netwerkbeveiliging tot op protocolniveau

Test Check Point InterSpect 210

Dit artikel delen:

Check Point InterSpect is een combinatie van een krachtige firewall met een intelligente analyser van netwerkprotocollen en een netwerksegmenteerder. Check Point spreekt van een security gateway appliance en maakt er verschillende modellen van, waarvan wij het kleinste bekeken. Hoe goed beschermt de InterSpect uw netwerk tegen van het internet afkomstig gespuis?

Een veiligheidslek is elke mogelijkheid die een onbevoegde toegang geeft tot bedrijfssystemen om er informatie uit te halen of om hun functionaliteit uit te buiten of in het gedrang te brengen. Het eerste heeft te maken met netwerkinbraken om bedrijfsgegevens te lezen om die dan uit te buiten. Het tweede heeft betrekking op het misbruiken van servers om ze bijvoorbeeld te besmetten met spam, met kwaadaardige software (malware) of met illegale bestanden.
Het in het gedrang brengen van functionaliteit is het gevolg van 'Denial of Service'- of kortweg DoS-aanvallen, maar het kan ook te maken hebben met bijvoorbeeld het verminken van uw website.
De beschreven problemen bedreigen het bedrijfsnetwerk niet altijd rechtstreeks vanaf het internet. Ze kunnen ook optreden doordat een werknemer een met allerlei 'malware' besmette notebook (al dan niet draadloos) aan het bedrijfsnetwerk hangt.
Een goede beveiligingsoplossing moet dus al het netwerkverkeer controleren, zowel het verkeer dat van het internet naar binnen komt, als het interne netwerkverkeer. De InterSpect security gateway appliances van CheckPoint zijn precies voor deze taak ontworpen. De InterSpect wordt in het netwerk geïntegreerd op de manier van een firewall. Naast de taken van een firewall neemt de appliance nog andere beveiligingstaken op zich. Zo zal hij netwerkprotocollen analyseren op zoek naar alles wat door de systeembeheerder als verboden opgegeven is.

Modellen

Standaard biedt de InterSpect ook netwerksegmentatie. Het kleinste model, de 210, heeft drie netwerkpoorten voor twee netwerksegmenten en de buitenwereld, maar er zijn grotere modellen met additionele netwerkpoorten voor nog meer segmenten.
De verschillen tussen de diverse modellen hebben te maken met de prestaties. Tussen de verschillende modellen bestaat er geen verschil in de verdedigingsmechanismen en in het beheer. Het basismodel 210 dat wij bekeken is bedoeld voor één werkgroep of beveiligingszone en heeft een bandbreedte van 200 Mbit/s. De 210 heeft één beheerpoort en twee inspectiepoorten met Gigabit Ethernet-ondersteuning en de mogelijkheid tot het aanleggen en beveiligen van maximaal acht VPN's.
Check Point levert gecentraliseerd beheer dat geschikt is voor het configureren en controleren van meerdere appliances tegelijk. Het beheer werkt op basis van de Check Point SMART-architectuur en kan dienen voor alle Check Point-producten, niet alleen de InterSpects. Ook de logs van de diverse appliances kan men geïntegreerd raadplegen en er rapporteren uit distilleren van alle processen van al die appliances.

Installatie en beheer

De ingebruikname van de InterSpect is van dezelfde moeilijkheidsgraad als die van een hardwarematige firewall. Het is dus specialistenwerk, waarbij Check Point desgewenst deskundig advies geeft. Het beheer gebeurt met een Windows-applicatie, SmartConsole. In het SmartDashboard kunt u alle instellingen van de InterSpect-appliance bekijken en wijzigen. Er zijn vier tabbladen: overzicht, segmentatie, SmartDefense I en dynamische lijst.
Standaard ziet u het overzicht. Dat vertelt u hoeveel verbindingen er in de laatste 24 uur geweest zijn, hoeveel pakketten er daarvan geblokkeerd zijn en hoeveel aanvallen afgeweerd zijn. Bij segmentatie kunt u de InterSpect vertellen hoe uw netwerk gesegmenteerd is en aangesloten op de diverse netwerkpoorten van de appliance, en u kunt regels vastleggen voor de communicatie tussen deze segmenten.
Het echte beveiligingswerk gebeurt echter onder het tabblad

Productinfo
Product: InterSpect 210
Producent: Check Point Software Technologies, Ltd.; IL/USA; http://www.checkpoint.com
Leverancier NL: Check Point Software Technologies B.V., 's Hertogenbosch; tel. 073 6900 800; http://www.checkpoint.com
Adviesprijs (excl. BTW): vanaf $9.000,= plus jaarlijkse licentie per gebruiker (afhankelijk van bandbreedte)
Systeemvereisten: Ethernet / Fast Ethernet / Giga Ethernet netwerk
SmartDefense I: hier kunt u een compleet beveiligingsreglement opstellen tot op het protocolniveau. U kunt DoS-controles aan- of uitzetten, pings en poortscans blokkeren, maar het echte genie van dit apparaat zit 'm in de applicatie-intelligentie. Zo kunt u specifieke protocollen blokkeren, bijvoorbeeld die van peer-to-peerapplicaties als KaZaA. Verder zoekt InterSpect op applicatieniveau naar wormen of aanvallen. Zo kan de appliance aanvallen op bijvoorbeeld de Microsoft SQL-server herkennen en blokkeren, maar ook specifieke spyware blokkeren. De bescherming tegen malware werkt gelukkig ook als een applicatie niet met standaardpoorten zou werken. Dat is uitermate nuttig om malware te blokkeren die poort 80 (http) gebruikt.
Als een beveiligingsinbreuk ontdekt wordt, zet InterSpect het betrokken netwerksegment in quarantaine totdat de noodzakelijke patches aangebracht zijn.
De dynamische lijst in het SmartDashboard toont een overzicht van alle lopende beveiligingsreglementen, georganiseerd volgens naam en verkeerstype. Ook interessant: u kunt een beveiligingsreglement voorzien van een vervaldatum. Nu moet u niet denken dat het samenstellen van zo'n beveiligingsreglement ingewikkeld is: vaak stelt het niet meer voor dan een paar opties aanklikken. U mag rekenen op een uurtje werk per netwerkinterface om de InterSpect zover te krijgen dat hij nuttig werk verricht, met hooguit tien minuten extra per virtueel netwerk (VPN) dat u wenst te configureren.

Informatie

De bijkomende SmartView-modules Tracker, Monitor en Reporter geven u statistische, grafische en in overzichtsrapporten gegoten informatie. De Tracker toont in essentie de gedetailleerde informatie die rechtstreeks uit de logbestanden komt, maar presenteert dat in een betere vorm: per aanvalsvorm gebruikt Tracker een andere tekstkleur. Zo kunt u in één oogopslag uit een enorme massa gegevens toch die zaken halen die u interesseren. De SmartView Monitor toont een chronologisch overzicht van aanvallen, verkeer of prestaties in grafiekvorm voor een door u gekozen periode. De SmartView Reporter ten slotte doet eigenlijk hetzelfde, maar presenteert het in de vorm van een echt rapport, dat u desgewenst kunt afdrukken.

Conclusie

De Check Point InterSpect security gateway appliance biedt een duidelijke meerwaarde tegenover concurrerende security appliances. We waren vooral onder de indruk van de intelligente blokkering van kwaadaardige applicaties, zelfs via poort 80 en de erg gebruiksvriendelijke methode voor het aanpassen van beveiligingsreglementen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2005-04-22T00:00:00.000Z Johan Zwiekhorst
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.