Depois de configurar manualmente diversos servidores linux para clientes com iptables, dhcp, dns, proxy, ntp, entre outros recursos, resolvi que era hora de buscar uma solução prática, rápida, segura, estável e confiável.
Os três principais objetivos desta minha busca foram:
* Pacote completo com tudo que se pode esperar de um firewall para um SMB / SoHo
* Praticidade e facilidade na hora de implementar, permitindo assim delegar a implantação de um firewall para outros técnicos.
* Filtro de conteúdo integrado baseado em Dansguardian
As opções que eu comparei foram:
* Endian
* pfSense
fork do m0n0wall, focado para ser instalado em computadores convencionais, muito bom, mas não tem Dansguardian, usa apenas sistema de blacklist. Baseado em FreeBSD.
* IPCop
Me pareceu uma ótima opção, mas levando em conta os meus objetivos, pecou pelo fato de ser muito “modular”, vem o básico, e para recursos adicionais, é preciso instalar outros módulos, tornando a instalação um pouco mais demorada e pouco complexa.
Até onde eu vi, o módulo do dansguardian é meio no estilo “gambiarra”.
* m0n0wall
Ver pfSense, mas basicamente a diferença é que este é feito para instalar em dispositivos menores.
* ClarkConnect
Não testei, apenas citei para ficar como referência futura. Apesar de possuir o Dansguardian, em um primeiro momento ele me pareceu que a versão free é reduzida perto da versão enterprise, limitando demais o seu uso.
Ok, o que é o Dansguardian?
Bem, para quem nunca ouviu falar, o Dansguardian é um sistema de filtragem web diferente da tradicional filtragem por blacklist, onde cria-se uma lista de sites que são bloqueados (considero meio ineficaz).
O DG, filtra o real conteúdo do site, grosseiramente falando, ao acessar uma página, ela primeiro passa pelo dg, que por sua vez lê todo o conteúdo buscando por palavras-chave, cada palavra encontrada, recebe um score, no final, o dg soma o score da página, e se esta ultrapassar o limite, o site passa a ser bloqueado.
Geralmente funciona bem, claro que ocorrem alguns “falso-positivos”, mas por este motivo que existe uma white list.
A beleza desta ferramenta é que ela faz os bloqueios dinamicamente. Por exemplo, com os ajustes do meu firewall, os meus users podem acessar o hi5 e ver diversos perfis “normais”, mas quando acessam um perfil mais “picante”, acabam tendo o acesso bloqueado.
Claro que não é a solução definitiva, alguma coisa ainda vai acabar passando, mas de uma forma geral, este método funciona bem.
Para maiores informações, visite o site do Dansguardian.
Voltando ao Review do Endian Firewall
Agora que um dos principais “features” do Endian Firewall foi explicado, posso retornar ao meu review.
Não tenho como começar o Review sem antes falar propriamente da solução “Endian”.
O Endian possuí diversos “sabores” entre Software e Hardware. De forma resumida:
Versões de Software:
Versão comunidade, gratuita, faltando alguns recursos interessantes como gerenciamento de hotspot, backups agendados e centralizados, etc.., estes recursos podem ficar de lado para um SoHo / SMB, pois é uma versão bem completa. Esta é a versão foco do review.
5-10 Users: Alguns recursos além da comunity mas ainda tem coisas cortadas.
25+ Users: todos os recursos disponíveis
Hardware: Possuí vários appliances, variando basicamente entre capacidade, tamanho, forma, cores e quantidade de portas. (Lembrando que a quantidade de portas não é o limite de quantos computadores podem ser ligados, e sim de quantas redes podemos ter ligadas ao appliance, bastando apenas “Cascatear” um switch em cada porta)
Um fator interessante das versões pagas é a questão de suporte do fabricante, garantindo assim uma solução mais rápida de problemas para empresas maiores que não podem parar, ou que sabiamente exigem este tipo de recurso em produtos adquiridos.
Uma grade com todos os features das versões:
Comparação completa aqui
Recursos interessantes e relevantes:
(Lembrando que a partir de agora, falarei somente sobre a versão community)
* Interface web limpa, rápida, e intuitiva
Firewall:
* Até 4 redes diferentes, separadas pelo sistema de cores Green (rede local), Red (WAN), Orange (DMZ), Blue (Wireless)
* Firewall baseado em iptables, gerenciamento simples e eficiente, tanto para saída, como entrada e entre redes diferentes, garantindo um plus na segurança.
* NAT, SNAT, DNAT, “port forward”, de forma intuitiva e simples
Segurança Web:
* proxy transparente para FTP
* Antivirus para sites e arquivos baixados
* bloqueios e filtros de arquivos
* blacklists prontas para diversas categorias
* Dansguardian para controle de conteúdo mais eficiente (pegando o que as blacklists não pegaram)
* Proxy transparente (squid)
* Proxy autenticado (squid) (local, ldap, radius, Active Directory)
* Controle de acesso por horário (bloqueia sites “não profissionais” durante o horário de trabalho e libera a noite)
* Controle de acesso por grupos
Segurança de E-mails:
* Anti-Spam com Bayes e registros SPF
* Proxy transparente para pop3, imap e smtp
* Black/White Lists
* Mail forward transparente (bcc). Exemplo, todos os emails enviados de ou para helpdesk@empresa.com passam a enviar uma cópia automagicamente para supervisor@empresa.com. ou todo o tráfego de emails da empresa, ser “copiado” de forma oculta para uma conta específica de backup ou auditoria.
VPN (virtual private network)
* OpenVPN e IPSec
* autenticação por usuário/senha e/ou por chaves.
* Simples e sem mistério, precisando apenas de 3 ou 4 cliques
* VPN entre duas redes remotas, interligando escritórios, ou entre um cliente (roadwarrior) e o servidor.
* “Push” de rotas e requests de dns.
Multi-Wan Com failover
* Suporta ligar dois ou mais links de operadoras diferentes, caso o link primário fique fora do ar, automagicamente passa para o link de reserva.
Logs, estatísticas, IDS e relatórios
* IDS (Snort) integrado
* ntop para estatísticas detalhadas de tráfego.
* estatísticas e gráficos de tráfego de cada interface (rede), sistema (cpu, memoria, etc), envio e recebimento de emails, pageviews e estatísticas obtidas do squid.
* logs via web do squid, dansguardian, firewall, postfix, clamAV
* Apesar da versão Community não ter relatórios detalhados de navegação(exclusivo para versão comercial), é possível instalar o SARG no Endian Community, O visitante Anderson Rosa enviou a dica com todos os passos. Confira aqui.
* Syslog local e remoto
Backup e gerenciamento
* Backup e restauração via web, em teoria possibilitando “clonar” rapidamente o servidor principal em caso de pane da máquina. (Ou em caso de “mancada administrativa” hehehe)
* Gerenciamento via SSH, Console e Web usando SSL.
Requisitos de Hardware:
Para uma rede pequena de aproximadamente 25 usuários:
# Processador 1GHZ
# 512MB RAM
# 20 GB Hard Disk
# 2 Placas de rede
Para uma rede de aproximadamente 50 usuários:
# Processador 2GHZ+ (preferência por 2 ou mais núcleos)
# 1GB RAM
# 20 GB Hard Disk
# 2 Placas de rede
Customizando Regras com Endian Firewall
A alguns dias atrás, precisei de umas regras específicas no firewall do Endian e não foi possível aplica-las através da Web Interface. Não que esta fique devendo, ela faz o proposto, mas o ambiente onde instalei meu endian é muito complexo e tem muitas particularidades. Como vi que já recebi alguns usuários vindos do Google, pesquisando exatamente sobre este assunto, resolvi escrever aqui a dica.
O Endian já vem preparado para estas situações, no seu firewall (baseado em iptables), ele tem cadeias reservadas para customizações nas tabelas filter e nat. São elas respectivamente:
filter:
Chain CUSTOMFORWARD (1 references)
Chain CUSTOMINPUT (1 references)
Chain CUSTOMOUTPUT (1 references)
nat:
Chain CUSTOMPOSTROUTING (1 references)
Chain CUSTOMPREROUTING (1 references)
Observei que as regras inseridas manualmente nestas cadeias não eram sobrescritas a cada reload do firewall, ou seja, basta inserir a regra que ela fica lá até o próximo reboot.
Desta forma a minha sugestão, é gerar um script que insira as regras durante o processo de boot, não sei se esta é a maneira correta e oficial do Endian, mas é a maneira que resolveu o meu problema. :)
Para gerar este script, vá ao diretório /etc/rc.d/start
# cd /etc/rc.d/start
(Neste diretório ficam uma série de scripts que são inicializados no boot)
Crie o arquivo 99customfirewall
# vi 99customfirewall
E insira em seu interior as regras customizadas.
#!/bin/sh
/sbin/iptables -A CUSTOMFORWARD -s 222.222.222.222 -d 172.16.10.0/24 -j ACCEPT
Após editar o arquivo, dê permissão de execução para ele:
# chmod +x 99customfirewall
Para testar você pode executa-lo
./99customfirewall
e listar a chain CUSTOMFORWARD para verificar se as suas regras foram aplicadas corretamente
# iptables -L CUSTOMFORWARD -nv
Na próxima vez que reiniciar o servidor, estas regras serão inseridas automagicamente!
objetivo deste artigo não foi o de convencer o meu leitor a adotar esta solução, apenas de expor o produto e a forma como ele atendeu as minhas necessidades. Claro que existem muitas outras opções “in a box” além das que eu citei no início do artigo, e todas elas possuem as suas vantagens e desvantagens. Se você está procurando uma solução do gênero, recomendo que teste pelo menos as que eu citei para ver qual atende melhor as suas necessidades.
Espero ter ajudado de alguma forma.
Site Endian: http://www.endian.com/en/community/efw-23/
Postagens
0 comentários:
Postar um comentário