Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties

Netgear heeft de UTM 150-firewall uitgebracht, die tussen het interne en externe netwerk wordt geplaatst en het verkeer scant op gevaren zoals virussen. De UTM 150 is bedoeld voor het midden- en kleinbedrijf, en zou weinig latency hebben.

De UTM 150-firewall van Netgear biedt een gemiddelde doorvoersnelheid van 130Mbps als er op virussen wordt gecontroleerd en 900Mbps als er een lichtere beveiliging wordt gebruikt. Doordat de firewall niet wacht totdat packets volledig binnen zijn, maar deze al ladende scant, zou er minder latency optreden. Hierdoor kan op meer signatures worden gecontroleerd, claimt Netgear.

De firewall kan onder meer http, ftp-, smtp, imap- en pop3-verkeer controleren. Ook https-verkeer kan worden gecontroleerd, waarbij de UTM 150 zich voordoet als de website waarmee verbinding wordt gemaakt en zo het verkeer kan scannen. Daartoe moeten gebruikers wel een certificaat van de UTM 150 installeren. Verkeer wordt gematcht tegen 1,2 miljoen signatures, afkomstig van Netgear zelf en van Sophos.

Bedrijven kunnen met het apparaat ook toegang tot bepaalde netwerkdiensten of -locaties blokkeren. Ook kan bepaalde content, zoals Java of Flash, worden geweerd en kunnen bedrijven hun bandbreedte beheren. Het maximale aantal gelijktijdige connecties bedraagt 65.000. Tot slot is het mogelijk om vanuit de beheerinterface een vpn-server met maximaal 75 connecties op te zetten.

UTM 150

Moderatie-faq Wijzig weergave

Reacties (38)

Ook https-verkeer kan worden gecontroleerd, waarbij de UTM 150 zich voordoet als de website waarmee verbinding wordt gemaakt en zo het verkeer kan scannen. Daartoe moeten gebruikers wel een certificaat van de UTM 150 installeren
Als je deze feature activeert, ben je toch het nut van https kwijt?
De gegevens gaan alsnog versleutelt het internet op alleen het laatste stukje tussen deze firewall en de client is anders.

Ik vraag me af of dat ook versleutelt is.

Alleen ben ik wel bang dat ze met dit soort frastsen je wachtwoord kunnen stelen.
Lijkt me dat het wel versleuteld is, anders hoef je geen certificaat te instaleren van deze firewall :-)
Je moet het certificaat van de firewall installeren omdat deze zich gaat voordoen als de website waar je mee connect.

Normaal gesproken als je connect naar https://rabobank.nl/ (om maar wat te noemen) dan krijg je een certificaat van de Rabobank dat ondertekend is door Verisign (bijvoorbeeld). De browser controleert de handtekening van Verisign en weet dan dat het certificaat van de Rabobank niet vervalst is.

Deze firewall gaat er tussen zitten. Effectief is het een man-in-the-middle attack, maar dan een goedaardige. Jij connect met de firewall en die stuurt je aanvragen op de achtergrond door naar de Rabobank. In feite wordt het verkeer tussen jouw browser en de firewall encrypted en daarna het verkeer tussen de firewall en de doelsite. Normaal gesproken kan dit niet zomaar want de firewall kan zelf niet het certificaat van de Rabobank aanbieden aan je browser. De firewall heeft namelijk niet de key van Verisign om dit certificaat te ondertekenen. Hierdoor zou je in je browser waarschuwingen krijgen dat er iemand tussen zit.

Om er nu voor te zorgen dat jij in je browser geen waarschuwingen krijgt en gewoon een normaal certificaat ziet moet je je firewall accepteren als een trusted third party oftewel een zogenaamde 'root authority'. Je firewall kan dan het certificaat van de Rabobank zelf ondertekenen en je browser accepteert deze handtekening.
Zoals ik het voor me zie fungeert de firewall dan als 'tussenstop' waar uitgaand en inkomend verkeer decrypted, gecheckt en opnieuw encrypted wordt.. veranderd in dat geval niks aan de veiligheid van je https verbinding.
Tenzij iemand erin slaagt de datastroom op de firewall af te tappen en een man in the middle attack kan uitvoeren. Denk hierbij bijvoorbeeld aan je eigen systeembeheerder. Ik weet dus niet of je dit wel moet willen.
Je eigen systeembeheerder kan zonder decryptie van https-verkeer op de firewall ook prima een man-in-the-middle-attack uitvoeren. Ook een niet systeembeheerder die op het LAN zit kan dat. ARP-poisoning stelt geek r^k voor.
Met goede switches werkt ARP-poisoning en ook IP spoofing niet. Zoek maar eens op Dynamic Arp Inspection (DAI) en DHCP snooping. Dat soort aanvallen zijn nu zo oud dat alle zichzelf respecterende apparatuur daar bescherming tegen biedt.

Wat betreft SSL inspection, dat werkt prima. Het is zeg maar een legitieme man in the middle die scant op mallware. Je loopt alleen risico als een kwaadwillende de controle krijgt over de firewall. Maar als dat gebeurt heb je veel meer zorgen dan dat je SSL verkeer niet meer veilig is. Immers die persoon heeft dan ook de controle over je DNS, routing en nog veel meer. Daarmee zou hij ook zelf eenvoudig een SSL man in the middle op kunnen zetten als dat niet standaard in de firewall zit.
een beetje systeembeheerder weet anders vast wel hoe je een antivir whitlisting kunt installeren in het basis image. (doe dat gedurende ťťn update ronde en verweider het bij de volgende, geen haan die daar ooit achter komt (totdat het te laat is ). maar dan ben je al lang gejobhopt,
Een beetje nutteloze reactie als ik eerlijk moet zijn.


Een systeembeheerder neem je aan om je systemen te beheren en beveiligen TEGEN aanvallen.

Er van uit gaan dat je ook tegen je systeembeheerder beveiligd moet kunnen zijn is het zelfde als eisen dat je tegen je willekeurige particuliere firewall beveiligd moet zijn want tja.. de makers van die firewall kunnen voor het zelfde geld ook je systeem willen aanvallen. :+
Dit is gewoon SSL terminatie, niks boeiends aan. Ipv het certificaat op je server te installeren doe je dat op je firewall. Intern in je eigen data centrum / hosting locatie gaat het dus via HTTP, over het internet is het HTTPS en het is transparant voor de gebruiker. Het is een veel toegepaste techniek, ook voor bijvoorbeeld IDS / IPS systemen. Die kunnen ook niet magisch HTTPS verkeer scannen. Het moet toch echt gewoon plain-text zijn voordat die systemen wat kunnen doen.

[Reactie gewijzigd door silentsnake op 29 maart 2011 18:01]

Maar het gaat hier om een device dat uitgaand browseverkeer door clients verwerkt en niet inkomend webverkeer naar een webserver toe.

En in dat geval spelen er andere zaken, zoals bv heb ik wel daadwerkelijk een verbinding met de ABN-Amro? en dergelijke overwegingen.

Er staat overigens ook niet of deze appliance het type certificaat on the fly emuleert.
Want veel grotere instellingen gebruiken steeds vaker E(xtended)V(alidation) SSL certificaten waardoor je browserbalk groen kleurt.
Ik vraag me af of deze appliance dit ook verzorgt of dat je balk niet groen kleurt.
Nee, de systeembeheerder (of Security Officer bv) legt hiermee het vertrouwen in Netgear en de door heb ngebouwde controle op certificaten.
Gezien het feit dat menig gebruiker blindelings op "OK" klikt bij een certificaat waarschuwing is dit helemaal niet zo'n verkeerde keuze.
Maar het klopt, je haalt een gedeelt van de controle bij de eindgebruiker weg.
Dat dacht ik eerst ook, maar het idee is natuurlijk dat dit apparaat zelf de verbinding met de betreffende site controleert. Als het beheer van certificaten goed geregeld is, dwz als de admin makkelijk de lijst met vertrouwde certs kan aanpassen, hoeven gebruikers enkel nog het bedrijfs certificaat in hun browser te kennen. Alle externe data wordt door dit apparaat versleutels met de juiste certs, dus het enige risico zit hem in hoe goed verschillende sessies (gebruikers) van elkaar afgeschermd zijn.
Doordat de firewall niet wacht totdat packets volledig binnen zijn, maar deze al ladende scant, zou er minder latency optreden. Hierdoor kan op meer signatures worden gecontroleerd, claimt Netgear.
Wauw! Pre-emptive IP packet scanning!
Dat is sinds de uitvinding van packet switching wel de grootste doorbraak. ;)

Deze appliance scant (bv) http requests al vanaf het moment dat er slechts een gedeelte van l de totale data binnen is en stuurt bijna direct de output verder naar de client toe.
Dit levert inderdaad een snelheidswinst op ten opzichte van veel gebruikte store-and-forward technieken.

Dit houdt echter wel in dat een gedeelte van de data waarin iets gedetecteerd wordt al bij de client is aangekomen voordat deze appliance met zekerheid de inhoud heeft kunnen scannen.
Ik ben benieuwd of dat geen vervelende gevolgen kan hebben.

(edit: smiley geplaatst ter verduidelijking)

[Reactie gewijzigd door flabber op 29 maart 2011 17:29]

Dat is sinds de uitvinding van packet switching wel de grootste doorbraak.
Onzin.

Als je een linux basis gebruikt kun je gewoon IP filter drivers schrijven om pakketjes te kunnen inzien voordat de routing plaats vind. Geef die data aan een virus scanner (die dus bij de kernel mode data moet kunnen) en vervolgens kun je precies doen wat NetGear hier ook heeft gedaan.

Ik weet dat meerdere netwerk apparatuur en router software dit soort technieken gebruikt.

Dat het goed voor de latency en responsiveness is geloof ik graag en het is dan ook een mooie oplossing. "Doorbraak" zou ik het niet willen noemen :)

Edit: @paulus83 - dat soort filters werkt per pakketje, anders zou je Ubuntu DVD iso eerst op je router opgeslagen worden voordat jij het krijgt, over latency gesproken :) Tevens is er een verschil tussen per pakket scannen en eerst de hele data stream binnenhengelen voor het scannen. Overigens kan scannen voordat je iets binnenkrijgt niet, dat wordt nogal moeilijk...

[Reactie gewijzigd door Cyberwizzard op 29 maart 2011 20:22]

dat is toch echt iets anders dan in het artikel staat. Er wordt gesproken over het scannen voor het pakket volledig (fysiek) binnen is. Jij hebt het over scannen voordat het routen gebeurt; dan is het dus al in zijn geheel ergens in een buffer, best een verschil.
Ik denk niet dat dat is wat er hier bedoelt wordt: waarschijnlijk begint de scan van een pakketje wel voor deze compleet binnen is, maar wordt deze pas doorgestuurd als hij compleet binnen en gescand is. Dus weinig extra latency ten gevolge van de scan, niet minder latency dan als er een hop minder was. Desondanks een mooie techniek!
Ik denk dat er weinig software is die goed werkt zonder de laatste x aantal bytes/bits aan code ;-)
"Tot slot is het mogelijk om vanuit de beheerinterface een vpn-server met maximaal 75 connecties op te zetten."
Ik ben op zoek naar een oplossing met dhcp over SSL-VPN.
Maar dat zal deze wel niet ondersteunen...
Hij ondersteund 75 SSL VPN tunnels, zie http://www.prosecure.netg...ure-utm-series/models.php en dan Compare All UTM models.

Of hier: http://www.prosecure.netg...hnology/remote-access.php

Maar wat ik wel mis en dat zou er nu toch eigenlijk wel in moeten zitten als je zoiets koopt en dat is ondersteuning voor IPv6.
Wel sexy, zo'n full-hardware firewall.

Grote nadeel is alleen dat je er geen interne beveiliging mee maakt. Je kunt niet per applicatie (lees: process, executable, programma, service) filteren, en je kunt ook niet filteren tussen twee werkbakken.

Software-firewalls blijven dus nog steeds "nodig".

[Reactie gewijzigd door _Thanatos_ op 30 maart 2011 01:10]

Waarom niet? Mijn firewall (SonicWALL NSA 240) doet application firewalling, kan het op keywords doen, etc. Precies wat je wilt. Filteren? Ligt aan de access rules.
Zonder aanvullende software op de clients en servers heb je nauwelijks application control op die manier. Geen bescherming tegen processen, leaks etc of aanvallen van binnen de firewall (een dooddoener maar wel zeer belangrijk). Je kunt het dus maar gedeeltelijk vergelijken. Je kunt hooguit deep packet inspection aan de rand doen maar dat is omstreden in diverse omgevingen.

[Reactie gewijzigd door Bor op 30 maart 2011 08:16]

Als ik bijv chrome.exe totaal wil afsluiten van het internet en iexplore.exe volledig wil toelaten... veel succes met een firewall dan, want de twee applicaties zijn op TCP/IP niveau niet te onderscheiden (en nee, de user agent header is niet betrouwbaar genoeg daarvoor).

Dat lukt gewoon niet. Dan heb je dus software nodig op de clients, zodat je feitelijk weer een software-firewall hebt.

[Reactie gewijzigd door _Thanatos_ op 30 maart 2011 23:28]

Bah! Ik blijf het fout vinden om mensen hun HTTPS-verkeer te kunnen bekijken... Een gewone huis-tuin-keuken-gebruiker die gaat er van uit dat het verkeer tussen hem en zijn bank bv versleuteld is als hij het slotje ziet... Dan gaan ze daar even een firewall tussen zetten om HTTPS verkeer te kunnen onderscheppen... bah bah...

Ja ja, ik weet het, het is niet geweldig dat een netop niet het verkeer kan monitoren, maar vanaf het moment dat er zo een vieze dingen gaan gebeuren stap ik toch mooi over op mijn SSH of VPN-tunnel...
erg jammer dat er niets bijstaat van de kosten van het apparaatje :) heb er wel interesse in :)
de prijzen zijn vanaf
$1635 zonder ondersteuning
$2555 met 1-jaar ondersteuning
$4202 met 3-jaar ondersteuning

momenteel lopen er wel openings acties, hierdoor kunnen de prijzen lager liggen

[Reactie gewijzigd door Petry op 29 maart 2011 17:28]

Ik denk ook niet dat dit voor thuis gebruik bedoelt is :P eerder voor klein en misschien nog midden grote bedrijven.
Er staat ook letterlijk in de tekst:
De UTM 150 is bedoeld voor het midden- en kleinbedrijf, en zou weinig latency hebben.
Ik snap dat ook niet dat sommige mensen denken dat dit voor thuisgebruik is. Voor een bedrijf zijn de genoemde prijzen volgens mij wel redelijk te noemen (beveiliging vooraf voor duizend euro kan kosten achteraf van duizenden euro's voorkomen).
Wat een geld! Doe mij dan maar een Watchguard XTM 2 of 5 series...
Amen!
Ook vrij prijzig maar zeer uitgebreid en ook volledige UTM functionaliteit. Helemaal bij gebruik van 11.4 OS.
Ik dacht precies hetzelfde.

Even zoeken laat zien dat NetGear al wel UTM oplossing had zoals deze van 900 euro: NetGear UTM 25EW3

Ze lijken kwa specs op elkaar maar voor dat geld hoef ik hem niet meer :)
Ik zie nergens in het pdf iets staan over IPv6, dus dat zal dit apparaat wel niet ondersteunen. Ik zou nu geen netwerkapparatuur meer kopen die geen IPv6 ondersteund.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True