Após diversos testes de usabilidade, confiabilidade e stress (tanto do servidor quanto da minha pessoa) e algumas modificações na estrutura e no código (com a ajuda de um amigo)estou postando sobre o Endian Firewall. Obviamente que o incomodo de configurar manualmente servidores linux (sejam eles Debian, SLES, RedHat) para clientes com iptables, dhcp, dns, squid, openvpn, ntp, entre outros recursos também contribuiu bastante :P !!!

O Endian Firewall Community é uma distribuição linux, baseada na distribuição Red Hat e no antigo IPCOP, que tem como objetivo ser um dispositivo de proteção de perímetro e controle de borta. O software tem como características a usabilidade, fácil instalação, poder de gerenciamento e flexibilidade. O componentes incluem firewall de inspeção de pacotes, proxy no nível do aplicativo para vários
protocolos (HTTP, FTP, POP3, SMTP) com suporte a antivírus, verificação devírus e
spam para o tráfego de e-mail (POP e SMTP), controle de conteúdo da Web e solução de VPN (baseado no OpenVPN).

Optamos pelo Endian por ser o mais estável, ter facilidade de atualização, pelas features implementadas na última versão (com suporte a faillover), por ser baseado em GNU/Linux e ser bem completo, não havendo a necessidade de implementação de patch's e módulos auxiliares.

Fazendo um comparativo com outros temos:

pfSense: Fork do m0n0wall, baseado no FreeBSD o pfSense é um dos mais conhecidos e provavelmente mais rico, em recursos, entre os sistemas para appliance pré-configurado, amigável, intuitivo oferece inúmeros recursos, focado para ambiente de roteamento e firewall, bem como segurança de rede, com excelente solução para VPN, entre outros diversos recursos. Pesou ser baseado em FreeBSD, ter poucos pacotes auxiliares e nenhum recurso de atualização automática.
IPCop: É o "novo fusca", possui ótimos recursos, de onde se baseou o Endian Firewall , mas pecou pelo fato de ser muito “modular”, vem o básico e para recursos adicionais é preciso instalar outros módulos, tornando a instalação um pouco mais demorada e pouco complexa, fica meio gambiarrado. ¬¬ !!!
m0n0wall: Não testei por ter o pfSense que é baseado nele e é bem mais utilizado e difundido.
SmoothWall e ZeroShell: Não testado por terem releases bem antigos.


Sobre o Endian Firewall, segue abaixo mais algumas características:

Instalação e Interface:

• Instalação simples, suporte a Raid, particionamento automático, interface web limpa, rápida, intuitiva e customizável


• A página principal foi substituída por um dashboard com estatísticas sobre o sistema e serviços, também foram adicionados gráficos de tráfego em tempo real, uptime e status de serviços.


• Ambiente web todo em português.

Controle de Tráfego (Firewall):

• Até 4 redes diferentes, separadas pelo sistema de cores Green (rede local), Red (WAN), Orange (DMZ), Blue (Wireless)


• Firewall baseado em iptables, gerenciamento simples e eficiente, tanto para saída, como entrada e entre redes diferentes, garantindo um plus na segurança.


• NAT, SNAT, DNAT, “port forward”, de forma intuitiva e simples.


• Suporte a VLAN


• Failover com substituição automática do link principal e alerta em tempo real sobre o downtime do link principal.


• O módulo de Traffic Shapping foi substituído por um módulo completo de QoS.

Controle de conteúdo web (Proxy):

• Proxy transparente ou por autenticação (local, ldap, radius, Active Directory).


• Antivirus para sites e arquivos baixados.


• Bloqueios e filtros de arquivos.


• Blacklists prontas para diversas categorias.


• Dansguardian para controle de conteúdo mais eficiente, fazendo bloqueio dinamicamente: A graça é ao acessar uma página, o dansguardian lê todo o conteúdo buscando por palavras-chave, cada palavra encontrada, recebe um score, no final ele soma o score da página e se esta ultrapassar o limite, o site passa a ser bloqueado.
  Ocorreram alguns “falso-positivos”, mas nada que seja superado.


• Controle de acesso por horário (bloqueia sites “não profissionais” durante o horário de trabalho e libera a noite).


• Controle de acesso por grupos

Segurança de Correio Eletrônico:

• Anti-Spam com Bayes e registros SPF.


• Proxy transparente para pop3, imap e smtp.


• Black/White Lists.


• Mail forward transparente (bcc). Exemplo, todos os emails enviados de ou para support@empresa.com.br, encaminha uma cópia automaticamente para gerencia@empresa.com.br. ou todo o tráfego de emails da empresa, pode ser copiado de forma oculta para uma conta específica de backup ou auditoria.

VPN (virtual private network):

• OpenVPN e IPSec.


• Autenticação por usuário/senha e/ou por chaves.


• Configuração simples, precisando apenas de 3 ou 4 cliques.


• VPN entre duas redes remotas, interligando escritórios, ou entre um cliente (roadwarrior) e o servidor.


• “Push” de rotas e requests de dns.

Logs, estatísticas, IDS e relatórios

• IDS (Snort) integrado, com funcionalidade também de IPS - trabalhando com assinaturas da Emerging Threats e com as assinaturas "default" do snort. As regras do snort agora podem ser configuradas, também é possível bloquear pacotes e logar tentativas de invasão. (Pode se configurar a atualização da assinaturas utomaticamente).


• Ntop para estatísticas detalhadas de tráfego.


• Estatísticas e gráficos de tráfego de cada interface (rede), sistema (cpu, memoria, disco, load, etc), envio e recebimento de emails (notificando alertas, utiliza o monit para isso), pageviews e estatísticas obtidas do squid.


• logs via web do squid, dansguardian, firewall, postfix, clamAV, snort, etc..


• Syslog local e remoto

Backup e gerenciamento

• Backup e restauração via web, possibilitando “clonar” rapidamente o servidor, util para redundância e recuperação rápida do sistema.


• Gerenciamento via SSH, Console e Web usando SSL.

O projeto baseado no Endian já está em produção, implementado em máquina real e sob o vmware ESXi 4. Os resultados foram positivos e o retorno satisfatório. A apresentação das funcionalidade, junto com a interface de gerenciamento customizada e a demonstração dele em ambiente de produção real combinado a relação vantajosa do custo x benefício tem agradado. Soma-se a isso ainda o conhecimento dos analistas adquiridos em laboratório e a experiência em gnu/linux e das aplicações utilizadas em background pelo endian.

Quem está procurando por "appliance" open source rico em funcionalidades, de rápida implementação e que seja ao mesmo tempo confiável e seguro, aconselho testarem o Endian Firewall. Existem também outras alternativas além das mencionadas, basta escolher a que melhor atenda as suas necessidade.

Existe a comunidade brasileira de endian firewall, para que quiser tirar dúvidas e ou entender melhor sobre o projeto: http://endian.eth0.com.br/

Entretanto a documentação dele é muito bem detalhada, com screenshots de configuração e tudo o que for necessário para implementação em vários níveis.

Bom pessoal, é isso.
Meus 2 centavos de contribuição.

Próximo projeto que está sendo desenvolvido é sob o OSSIM, já comentado aqui no blog. A rede é de médio porte e o objetivo é utilizar todos os recursos para oferecer a equipe de TI do cliente uma central de segurança para análise e auditoria dos ativos, correlação de eventos e inventário de rede.

Att.

Victor Santos

Caros amigos, depois de assistir muitos reuniões do GTS on-line, este ano submeti uma proposta de trabalho e tive a felicidade de ser convidado a participar desta 15º encontro.

O GTS 15 aconteceu ontem (14/05/2010) no hotel blue three towers em são paulo e teve a participação de centenas de profissionais e entusiastas da área. Muito bem organizado, em hotel super luxuoso e com excelentes serviços de recepção e coffebreak, o evento não deixa a desejar em nada.

Lá,tive a oportunidade de reencontrar velhos colegas de profissão( Ricardo Kleber, Ivo peixinho, Alex, etc..) e de conhecer tantos outros novos, que até então só conhecia por nome em listas de discussão e blogs.

Todas as palestras foram muito bem elaboradas. A minha palestra foi sobre "Gerenciamento de segurança da informação com software livre", mas bem que poderia se chamar "técnicas e ferramentas para implementação de controles de segurança".

* Vocês pode conferir todas as apresentações neste link:
ftp://ftp.registro.br/pub/gts/gts15/

A palestra foi muito bem elogiada e após ministrá-la me abriu muitas portas, como convites para outros eventos e a oportunidade de conhecer e ouvir considerações de grandes nomes da área.

No ínicio me senti um pouco nervoso, auditório lotado, 2 noites sem durmir e por ser minha "estréia" em um evento tão conceituado e respeitado como o GTS. Depois de 5 minutos consegui controlar o ritmo da apresentação, desacelerando o slides e apresentando mais detalhes sobre cada aplicação. Me animou e me deu um novo gás vê muitas pessoas interessadas e focadas no que eu estava falando. Nos últimos 5 minutos tive que novamente acelerar a conclusão do trabalho devido ao estouro de tempo.

* cometi um erro grotesco de português "descobridos" não, por Deus... (o que eu estava pensando?)
descobertos pessoal, descobertos.... :P !!!

As perguntas feitas pelo público (tanto local, quanto da internet) foram muito bem elaboradas. Depois da minha apresentação ainda conversei com muitas pessoas sobre características de ferramentas, alternativas, topologias, implementação, testes....

Foi muito legal e uma baita experiência para mim, ouvir conselhos e orientações de profissionais já consagrados na área me faz crer que estou no caminho certo e que ainda tenho muito o que percorrer.

Então para mim e para vocês, deixo uma frase que escutei ontem:

"Agora o céu não é o limite, mas sim o caminho"

Att.

Victor

Durante esta semana me deparei com a seguinte situação ao visitar um cliente.
A aplicação web dele implementada em um servidor linux, exige que de tempos em tempos: Tenha o seu cache zerado, a manipulação de dados no Banco seja modificada, as pastas temporárias sejam deletadas, os dados de registro sejam copiados, e um email com o que foi feito seja enviado.

Seguindo as orientações dele, criei um shell script e coloquei no crontab para ser executado durante a madrugada. Pronto trabalho encerrado. \0> !!!

Entretanto o direto responsável por analisar os relatórios da aplicação não quer que ele seja executado periodicamente e sim quando ele pré-determinar.
Beleza? Seria muito tranquilo se ele soubesse alguma coisa de linux, mas ele não entende nada já que a aplicação foi desenvolvida por outra empresa e ele só gerencia.

Então pensei o seguinte: Vou ensinar ele a usar o putty, criar um usuário com privilégios restritos para executar o script e criar um passo-a-passo de como ele tem que fazer dentro do linux.
Só que pensei mais um pouco e chegue a seguinte conclusão: isso não vai dar certo, é muita coisa para um cara que não entende nada e que não quer ter trabalho. Ele quer só um botão para clicar e executar o script.

Daí pensei, será que o putty faz isso.
E faz.(com um pouco de jeitinho como veremos a seguir)

Então segue ai o que eu fiz no notebook do cliente para ele executar o backup. (Este exemplo tem caracter ilustrativo)

FASE 1 (PUTTY)

1º - Fiz o download do Putty em http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

2º - Para que ele possa executar o script de qualquer lugar que ele estiver, no servidor linux dele instalei o "ddclient" e associei a um dns dinâmico no dyndns.org. Exemplo: hbuster.homelinux.org.

OBS: Criar conta no dyndns é de graça e você pode associar até 5 dns diferentes.

3º - Abri o Putty e configurei uma sessão para acesso remoto da seguinte forma: "client@hbuster.homelinuxorg porta 6666" e Salvei esta sessão com o nome "hbuster".




4º - Pegue o executável do Putty e salvei no diretório C:\Windows\System32


FASE 2 (Criar script no Windows)

1º - Abri o notepad e adicionei a seguinte linha:

start putty -m C:\Windows\System32\Script_Server.txt -load "hbuster" -pw senha

Explicando:

start: chama o programa que será executado;
putty: programa que será executado;
-m: informa qual o caminho do arquivo que contem o comando linux;
-load: informa qual a sessão que será usada para conexão;
-pw: indica que será informada a senha;
senha: senha do usuário que está acessando o sistema.

2º - Salvei o arquivo com o nome "Script.bat" em C:\Windows\System32

3º - Dentro do arquivo C:\Windows\System32\Script_Server.txt está o seguinte comando:

Amigos, ontem participei de uma divertida e inteligente mesa redonda sobre o Mercado de Trabalho de TI no Encontro de Geotecnologia na Faculdades Simonsen.

A mesa, apresentada pelo grande Gustavo Guanabara, contou com os seguintes participantes: Bruno Dulcetti, Phillipe Cardoso, Gustavo Pereira, Carlos Eduardo (Cadunico) e eu.

O Auditório estava completamente lotado com um público bastante interessado. O debate foi intenso sobre carreira, mercado, a importância das certificações e da graduação, o futuro e principalmente na defesa de cada profissional sobre a sua área de atuação. Além disso houve grande interação dos alunos que podia socorrer ao Jack Bauer, na detecção de algum tema chato ou monótono. (Haviam 3 placas pelo auditório com o seguinte frase "Help-me Jack!", quando eram levantadas,Jack Bauer aparecia no projetor e a contagem regressiva de 15 segundo começava para que o debatedor terminasse de defender a sua tese).

Falei da importância da segurança da informação nas micro e pequenas empresas, no crescimento do desenvolvimento de ferramentas e infraestruturas de proteção corporativa e de perímetro em ambientes de software livre, diminuindo o custo no investimento e aumentando a relação custo x benefício. Falei também da crescente do mercado de segurança nos últimos anos e na projeção ainda mais animadora para os próximos anos.

Além disso Falei também da relação linux x windows, onde a microsoft teve um crescimento absurdo na preocupação com segurança nos últimos anos.

Fugindo um pouco da parte tecnológica, falei dos atributos para se tornar um bom profissional de Segurança, na relação que temos com o negócio da empresa e não só com o parque te TI. Dei dicas de que caminhos seguir e por onde começar a estudar.

No final disse que eu nunca quis ser bombeiro e médico, mas hoje em dia trabalho apagando incêndio e de plantonista semana sim - semana não.

Mas não foi só eu que falei, todos falaram muito bem, foi uma baita experiência.
Aprendi muitas coisas sobre outras áreas e sobre o ponto de vista de profissionais qualificados, entendidos e de visão aberta.

Parabéns para a Simonsen, por toda estrutura e organização do evento.
Já não é primeira vez que participo de um evento lá e espero também que não seja o último. (Já estou me convidando para os próximo) :) !!!!

Vlw Pessoal.
Quem perdeu o evento, perdeu muitas dicas interessantes de como se preparar e em que área optar por seguir carreira. E falando a verdade, perdeu um baita oportunidade de rir e se divertir....

Victor Santos