Endian Firewall
Depois de configurar manualmente diversos servidores linux para clientes com iptables, dhcp, dns, proxy, ntp, entre outros recursos, resolvi que era hora de buscar uma solução prática, rápida, segura, estável e confiável.
Os três principais objetivos desta minha busca foram:
* Pacote completo com tudo que se pode esperar de um firewall para um SMB / SoHo
* Praticidade e facilidade na hora de implementar, permitindo assim delegar a implantação de um firewall para outros técnicos.
* Filtro de conteúdo integrado baseado em Dansguardian
* Pacote completo com tudo que se pode esperar de um firewall para um SMB / SoHo
* Praticidade e facilidade na hora de implementar, permitindo assim delegar a implantação de um firewall para outros técnicos.
* Filtro de conteúdo integrado baseado em Dansguardian
As opções que eu comparei foram:
* Endian
* pfSense
fork do m0n0wall, focado para ser instalado em computadores convencionais, muito bom, mas não tem Dansguardian, usa apenas sistema de blacklist. Baseado em FreeBSD.
* Endian
* pfSense
fork do m0n0wall, focado para ser instalado em computadores convencionais, muito bom, mas não tem Dansguardian, usa apenas sistema de blacklist. Baseado em FreeBSD.
* IPCop
Me pareceu uma ótima opção, mas levando em conta os meus objetivos, pecou pelo fato de ser muito “modular”, vem o básico, e para recursos adicionais, é preciso instalar outros módulos, tornando a instalação um pouco mais demorada e pouco complexa.
Até onde eu vi, o módulo do dansguardian é meio no estilo “gambiarra”.
* m0n0wall
Ver pfSense, mas basicamente a diferença é que este é feito para instalar em dispositivos menores.
* ClarkConnect
Não testei, apenas citei para ficar como referência futura. Apesar de possuir o Dansguardian, em um primeiro momento ele me pareceu que a versão free é reduzida perto da versão enterprise, limitando demais o seu uso.
Me pareceu uma ótima opção, mas levando em conta os meus objetivos, pecou pelo fato de ser muito “modular”, vem o básico, e para recursos adicionais, é preciso instalar outros módulos, tornando a instalação um pouco mais demorada e pouco complexa.
Até onde eu vi, o módulo do dansguardian é meio no estilo “gambiarra”.
* m0n0wall
Ver pfSense, mas basicamente a diferença é que este é feito para instalar em dispositivos menores.
* ClarkConnect
Não testei, apenas citei para ficar como referência futura. Apesar de possuir o Dansguardian, em um primeiro momento ele me pareceu que a versão free é reduzida perto da versão enterprise, limitando demais o seu uso.
Ok, o que é o Dansguardian?
Bem, para quem nunca ouviu falar, o Dansguardian é um sistema de filtragem web diferente da tradicional filtragem por blacklist, onde cria-se uma lista de sites que são bloqueados (considero meio ineficaz).
O DG, filtra o real conteúdo do site, grosseiramente falando, ao acessar uma página, ela primeiro passa pelo dg, que por sua vez lê todo o conteúdo buscando por palavras-chave, cada palavra encontrada, recebe um score, no final, o dg soma o score da página, e se esta ultrapassar o limite, o site passa a ser bloqueado.
Geralmente funciona bem, claro que ocorrem alguns “falso-positivos”, mas por este motivo que existe uma white list.
A beleza desta ferramenta é que ela faz os bloqueios dinamicamente. Por exemplo, com os ajustes do meu firewall, os meus users podem acessar o hi5 e ver diversos perfis “normais”, mas quando acessam um perfil mais “picante”, acabam tendo o acesso bloqueado.
Claro que não é a solução definitiva, alguma coisa ainda vai acabar passando, mas de uma forma geral, este método funciona bem.
Para maiores informações, visite o site do Dansguardian.
Bem, para quem nunca ouviu falar, o Dansguardian é um sistema de filtragem web diferente da tradicional filtragem por blacklist, onde cria-se uma lista de sites que são bloqueados (considero meio ineficaz).
O DG, filtra o real conteúdo do site, grosseiramente falando, ao acessar uma página, ela primeiro passa pelo dg, que por sua vez lê todo o conteúdo buscando por palavras-chave, cada palavra encontrada, recebe um score, no final, o dg soma o score da página, e se esta ultrapassar o limite, o site passa a ser bloqueado.
Geralmente funciona bem, claro que ocorrem alguns “falso-positivos”, mas por este motivo que existe uma white list.
A beleza desta ferramenta é que ela faz os bloqueios dinamicamente. Por exemplo, com os ajustes do meu firewall, os meus users podem acessar o hi5 e ver diversos perfis “normais”, mas quando acessam um perfil mais “picante”, acabam tendo o acesso bloqueado.
Claro que não é a solução definitiva, alguma coisa ainda vai acabar passando, mas de uma forma geral, este método funciona bem.
Para maiores informações, visite o site do Dansguardian.
Voltando ao Review do Endian Firewall
Agora que um dos principais “features” do Endian Firewall foi explicado, posso retornar ao meu review.
Agora que um dos principais “features” do Endian Firewall foi explicado, posso retornar ao meu review.
Não tenho como começar o Review sem antes falar propriamente da solução “Endian”.
O Endian possuí diversos “sabores” entre Software e Hardware. De forma resumida:
Versões de Software:
Versão comunidade, gratuita, faltando alguns recursos interessantes como gerenciamento de hotspot, backups agendados e centralizados, etc.., estes recursos podem ficar de lado para um SoHo / SMB, pois é uma versão bem completa. Esta é a versão foco do review.
5-10 Users: Alguns recursos além da comunity mas ainda tem coisas cortadas.
25+ Users: todos os recursos disponíveis
Versões de Software:
Versão comunidade, gratuita, faltando alguns recursos interessantes como gerenciamento de hotspot, backups agendados e centralizados, etc.., estes recursos podem ficar de lado para um SoHo / SMB, pois é uma versão bem completa. Esta é a versão foco do review.
5-10 Users: Alguns recursos além da comunity mas ainda tem coisas cortadas.
25+ Users: todos os recursos disponíveis
Hardware: Possuí vários appliances, variando basicamente entre capacidade, tamanho, forma, cores e quantidade de portas. (Lembrando que a quantidade de portas não é o limite de quantos computadores podem ser ligados, e sim de quantas redes podemos ter ligadas ao appliance, bastando apenas “Cascatear” um switch em cada porta)
Um fator interessante das versões pagas é a questão de suporte do fabricante, garantindo assim uma solução mais rápida de problemas para empresas maiores que não podem parar, ou que sabiamente exigem este tipo de recurso em produtos adquiridos.
Uma grade com todos os features das versões:
Comparação completa aqui
Comparação completa aqui
Recursos interessantes e relevantes:
(Lembrando que a partir de agora, falarei somente sobre a versão community)
(Lembrando que a partir de agora, falarei somente sobre a versão community)
* Interface web limpa, rápida, e intuitiva
Firewall:
* Até 4 redes diferentes, separadas pelo sistema de cores Green (rede local), Red (WAN), Orange (DMZ), Blue (Wireless)
* Firewall baseado em iptables, gerenciamento simples e eficiente, tanto para saída, como entrada e entre redes diferentes, garantindo um plus na segurança.
* NAT, SNAT, DNAT, “port forward”, de forma intuitiva e simples
* Até 4 redes diferentes, separadas pelo sistema de cores Green (rede local), Red (WAN), Orange (DMZ), Blue (Wireless)
* Firewall baseado em iptables, gerenciamento simples e eficiente, tanto para saída, como entrada e entre redes diferentes, garantindo um plus na segurança.
* NAT, SNAT, DNAT, “port forward”, de forma intuitiva e simples
Segurança Web:
* proxy transparente para FTP
* Antivirus para sites e arquivos baixados
* bloqueios e filtros de arquivos
* blacklists prontas para diversas categorias
* Dansguardian para controle de conteúdo mais eficiente (pegando o que as blacklists não pegaram)
* Proxy transparente (squid)
* Proxy autenticado (squid) (local, ldap, radius, Active Directory)
* Controle de acesso por horário (bloqueia sites “não profissionais” durante o horário de trabalho e libera a noite)
* Controle de acesso por grupos
* proxy transparente para FTP
* Antivirus para sites e arquivos baixados
* bloqueios e filtros de arquivos
* blacklists prontas para diversas categorias
* Dansguardian para controle de conteúdo mais eficiente (pegando o que as blacklists não pegaram)
* Proxy transparente (squid)
* Proxy autenticado (squid) (local, ldap, radius, Active Directory)
* Controle de acesso por horário (bloqueia sites “não profissionais” durante o horário de trabalho e libera a noite)
* Controle de acesso por grupos
Segurança de E-mails:
* Anti-Spam com Bayes e registros SPF
* Proxy transparente para pop3, imap e smtp
* Black/White Lists
* Mail forward transparente (bcc). Exemplo, todos os emails enviados de ou para helpdesk@empresa.com passam a enviar uma cópia automagicamente para supervisor@empresa.com. ou todo o tráfego de emails da empresa, ser “copiado” de forma oculta para uma conta específica de backup ou auditoria.
* Anti-Spam com Bayes e registros SPF
* Proxy transparente para pop3, imap e smtp
* Black/White Lists
* Mail forward transparente (bcc). Exemplo, todos os emails enviados de ou para helpdesk@empresa.com passam a enviar uma cópia automagicamente para supervisor@empresa.com. ou todo o tráfego de emails da empresa, ser “copiado” de forma oculta para uma conta específica de backup ou auditoria.
VPN (virtual private network)
* OpenVPN e IPSec
* autenticação por usuário/senha e/ou por chaves.
* Simples e sem mistério, precisando apenas de 3 ou 4 cliques
* VPN entre duas redes remotas, interligando escritórios, ou entre um cliente (roadwarrior) e o servidor.
* “Push” de rotas e requests de dns.
* OpenVPN e IPSec
* autenticação por usuário/senha e/ou por chaves.
* Simples e sem mistério, precisando apenas de 3 ou 4 cliques
* VPN entre duas redes remotas, interligando escritórios, ou entre um cliente (roadwarrior) e o servidor.
* “Push” de rotas e requests de dns.
Multi-Wan Com failover
* Suporta ligar dois ou mais links de operadoras diferentes, caso o link primário fique fora do ar, automagicamente passa para o link de reserva.
* Suporta ligar dois ou mais links de operadoras diferentes, caso o link primário fique fora do ar, automagicamente passa para o link de reserva.
Logs, estatísticas, IDS e relatórios
* IDS (Snort) integrado
* ntop para estatísticas detalhadas de tráfego.
* estatísticas e gráficos de tráfego de cada interface (rede), sistema (cpu, memoria, etc), envio e recebimento de emails, pageviews e estatísticas obtidas do squid.
* logs via web do squid, dansguardian, firewall, postfix, clamAV
* Apesar da versão Community não ter relatórios detalhados de navegação(exclusivo para versão comercial), é possível instalar o SARG no Endian Community, O visitante Anderson Rosa enviou a dica com todos os passos. Confira aqui.
* Syslog local e remoto
* IDS (Snort) integrado
* ntop para estatísticas detalhadas de tráfego.
* estatísticas e gráficos de tráfego de cada interface (rede), sistema (cpu, memoria, etc), envio e recebimento de emails, pageviews e estatísticas obtidas do squid.
* logs via web do squid, dansguardian, firewall, postfix, clamAV
* Apesar da versão Community não ter relatórios detalhados de navegação(exclusivo para versão comercial), é possível instalar o SARG no Endian Community, O visitante Anderson Rosa enviou a dica com todos os passos. Confira aqui.
* Syslog local e remoto
Backup e gerenciamento
* Backup e restauração via web, em teoria possibilitando “clonar” rapidamente o servidor principal em caso de pane da máquina. (Ou em caso de “mancada administrativa” hehehe)
* Gerenciamento via SSH, Console e Web usando SSL.
* Backup e restauração via web, em teoria possibilitando “clonar” rapidamente o servidor principal em caso de pane da máquina. (Ou em caso de “mancada administrativa” hehehe)
* Gerenciamento via SSH, Console e Web usando SSL.
Especificações de hardware
- CPU:
Intel x86 compatível (mínimo 500MHz, 1GHz recomendado), incluindo a VIA, AMD Athlon, Athlon 64, Opteron, Intel Core 2 Duo, Xeon, Pentium e Celeron - Multi-processador:
Symmetric multi-processador (SMP) apoio incluiu - RAM:
256MB mínimo (512MB recomendado) - Disco:
SCSI, SATA, SAS ou disco IDE é exigida (mínimo de 4 GB) - RAID de software:
Para o software RAID 1 (espelhamento), dois discos do mesmo tipo (a capacidade não precisam ser os mesmos) são obrigatórios - CDROM:
Uma IDE, SCSI ou USB drive de CDROM é necessário para a instalação (não é necessário após a instalação) - Placas de Rede:
Os mais comuns placas de rede são suportados, incluindo placas de rede Gigabit e fibras - Monitor / teclado:
Só é necessário para a instalação, mas não para a configuração e uso - Sistema Operacional:
Endian Firewall inclui um Endurecido sistema operacional baseado em Linux
O objetivo deste artigo não foi o de convencer o meu leitor a adotar esta solução, apenas de expor o produto e a forma como ele atendeu as minhas necessidades. Claro que existem muitas outras opções “in a box” além das que eu citei no início do artigo, e todas elas possuem as suas vantagens e desvantagens. Se você está procurando uma solução do gênero, recomendo que teste pelo menos as que eu citei para ver qual atende melhor as suas necessidades.
Espero ter ajudado de alguma forma.
