O Endian Firewall
Após diversos testes de usabilidade, confiabilidade e stress (tanto do servidor quanto da minha pessoa) e algumas modificações na estrutura e no código (com a ajuda de um amigo)estou postando sobre o Endian Firewall. Obviamente que o incomodo de configurar manualmente servidores linux (sejam eles Debian, SLES, RedHat) para clientes com iptables, dhcp, dns, squid, openvpn, ntp, entre outros recursos também contribuiu bastante :P !!!
O Endian Firewall Community é uma distribuição linux, baseada na distribuição Red Hat e no antigo IPCOP, que tem como objetivo ser um dispositivo de proteção de perímetro e controle de borta. O software tem como características a usabilidade, fácil instalação, poder de gerenciamento e flexibilidade. O componentes incluem firewall de inspeção de pacotes, proxy no nível do aplicativo para vários
protocolos (HTTP, FTP, POP3, SMTP) com suporte a antivírus, verificação devírus e
spam para o tráfego de e-mail (POP e SMTP), controle de conteúdo da Web e solução de VPN (baseado no OpenVPN).
Optamos pelo Endian por ser o mais estável, ter facilidade de atualização, pelas features implementadas na última versão (com suporte a faillover), por ser baseado em GNU/Linux e ser bem completo, não havendo a necessidade de implementação de patch's e módulos auxiliares.
Fazendo um comparativo com outros temos:
pfSense: Fork do m0n0wall, baseado no FreeBSD o pfSense é um dos mais conhecidos e provavelmente mais rico, em recursos, entre os sistemas para appliance pré-configurado, amigável, intuitivo oferece inúmeros recursos, focado para ambiente de roteamento e firewall, bem como segurança de rede, com excelente solução para VPN, entre outros diversos recursos. Pesou ser baseado em FreeBSD, ter poucos pacotes auxiliares e nenhum recurso de atualização automática.
IPCop: É o "novo fusca", possui ótimos recursos, de onde se baseou o Endian Firewall , mas pecou pelo fato de ser muito “modular”, vem o básico e para recursos adicionais é preciso instalar outros módulos, tornando a instalação um pouco mais demorada e pouco complexa, fica meio gambiarrado. ¬¬ !!!
m0n0wall: Não testei por ter o pfSense que é baseado nele e é bem mais utilizado e difundido.
SmoothWall e ZeroShell: Não testado por terem releases bem antigos.
Sobre o Endian Firewall, segue abaixo mais algumas características:
Instalação e Interface:
- Instalação simples, suporte a Raid, particionamento automático, interface web limpa, rápida, intuitiva e customizável
- A página principal foi substituída por um dashboard com estatísticas sobre o sistema e serviços, também foram adicionados gráficos de tráfego em tempo real, uptime e status de serviços.
- Ambiente web todo em português.
- Até 4 redes diferentes, separadas pelo sistema de cores Green (rede local), Red (WAN), Orange (DMZ), Blue (Wireless)
- Firewall baseado em iptables, gerenciamento simples e eficiente, tanto para saída, como entrada e entre redes diferentes, garantindo um plus na segurança.
- NAT, SNAT, DNAT, “port forward”, de forma intuitiva e simples.
- Suporte a VLAN
- Failover com substituição automática do link principal e alerta em tempo real sobre o downtime do link principal.
- O módulo de Traffic Shapping foi substituído por um módulo completo de QoS.
- Proxy transparente ou por autenticação (local, ldap, radius, Active Directory).
- Antivirus para sites e arquivos baixados.
- Bloqueios e filtros de arquivos.
- Blacklists prontas para diversas categorias.
- Dansguardian para controle de conteúdo mais eficiente, fazendo bloqueio dinamicamente: A graça é ao acessar uma página, o dansguardian lê todo o conteúdo buscando por palavras-chave, cada palavra encontrada, recebe um score, no final ele soma o score da página e se esta ultrapassar o limite, o site passa a ser bloqueado.
Ocorreram alguns “falso-positivos”, mas nada que seja superado. - Controle de acesso por horário (bloqueia sites “não profissionais” durante o horário de trabalho e libera a noite).
- Controle de acesso por grupos
- Anti-Spam com Bayes e registros SPF.
- Proxy transparente para pop3, imap e smtp.
- Black/White Lists.
- Mail forward transparente (bcc). Exemplo, todos os emails enviados de ou para support@empresa.com.br, encaminha uma cópia automaticamente para gerencia@empresa.com.br. ou todo o tráfego de emails da empresa, pode ser copiado de forma oculta para uma conta específica de backup ou auditoria.
- OpenVPN e IPSec.
- Autenticação por usuário/senha e/ou por chaves.
- Configuração simples, precisando apenas de 3 ou 4 cliques.
- VPN entre duas redes remotas, interligando escritórios, ou entre um cliente (roadwarrior) e o servidor.
- “Push” de rotas e requests de dns.
- IDS (Snort) integrado, com funcionalidade também de IPS - trabalhando com assinaturas da Emerging Threats e com as assinaturas "default" do snort. As regras do snort agora podem ser configuradas, também é possível bloquear pacotes e logar tentativas de invasão. (Pode se configurar a atualização da assinaturas utomaticamente).
- Ntop para estatísticas detalhadas de tráfego.
- Estatísticas e gráficos de tráfego de cada interface (rede), sistema (cpu, memoria, disco, load, etc), envio e recebimento de emails (notificando alertas, utiliza o monit para isso), pageviews e estatísticas obtidas do squid.
- logs via web do squid, dansguardian, firewall, postfix, clamAV, snort, etc..
- Syslog local e remoto
- Backup e restauração via web, possibilitando “clonar” rapidamente o servidor, util para redundância e recuperação rápida do sistema.
- Gerenciamento via SSH, Console e Web usando SSL.
O projeto baseado no Endian já está em produção, implementado em máquina real e sob o vmware ESXi 4. Os resultados foram positivos e o retorno satisfatório. A apresentação das funcionalidade, junto com a interface de gerenciamento customizada e a demonstração dele em ambiente de produção real combinado a relação vantajosa do custo x benefício tem agradado. Soma-se a isso ainda o conhecimento dos analistas adquiridos em laboratório e a experiência em gnu/linux e das aplicações utilizadas em background pelo endian.
Quem está procurando por "appliance" open source rico em funcionalidades, de rápida implementação e que seja ao mesmo tempo confiável e seguro, aconselho testarem o Endian Firewall. Existem também outras alternativas além das mencionadas, basta escolher a que melhor atenda as suas necessidade.
Existe a comunidade brasileira de endian firewall, para que quiser tirar dúvidas e ou entender melhor sobre o projeto: http://endian.eth0.com.br/
Entretanto a documentação dele é muito bem detalhada, com screenshots de configuração e tudo o que for necessário para implementação em vários níveis.
Bom pessoal, é isso.
Meus 2 centavos de contribuição.
Próximo projeto que está sendo desenvolvido é sob o OSSIM, já comentado aqui no blog. A rede é de médio porte e o objetivo é utilizar todos os recursos para oferecer a equipe de TI do cliente uma central de segurança para análise e auditoria dos ativos, correlação de eventos e inventário de rede.
Att.
Victor Santos
Parabéns pelo artigo, estava precisando exatamente dessas informações.
Muito completo o seu artigo, mas gostaria de saber se tem como tirar algumas dúvidas de configuração do endian com você, pois não sou muito experiente em firewall , e gostaria de aprender um pouco mais para configurá-lo bem. ( guinter2008@gmail.com )
como quebrar essa proteção não sendo administrador da maquina
Muito bom,vale apena testar o Astaro security Gateway eu recomendo.