18 maio 2010 ~ 4 Comentários

O Endian Firewall


Após diversos testes de usabilidade, confiabilidade e stress (tanto do servidor quanto da minha pessoa) e algumas modificações na estrutura e no código (com a ajuda de um amigo)estou postando sobre o Endian Firewall. Obviamente que o incomodo de configurar manualmente servidores linux (sejam eles Debian, SLES, RedHat) para clientes com iptables, dhcp, dns, squid, openvpn, ntp, entre outros recursos também contribuiu bastante :P !!!

O Endian Firewall Community é uma distribuição linux, baseada na distribuição Red Hat e no antigo IPCOP, que tem como objetivo ser um dispositivo de proteção de perímetro e controle de borta. O software tem como características a usabilidade, fácil instalação, poder de gerenciamento e flexibilidade. O componentes incluem firewall de inspeção de pacotes, proxy no nível do aplicativo para vários
protocolos (HTTP, FTP, POP3, SMTP) com suporte a antivírus, verificação devírus e
spam para o tráfego de e-mail (POP e SMTP), controle de conteúdo da Web e solução de VPN (baseado no OpenVPN).

Optamos pelo Endian por ser o mais estável, ter facilidade de atualização, pelas features implementadas na última versão (com suporte a faillover), por ser baseado em GNU/Linux e ser bem completo, não havendo a necessidade de implementação de patch's e módulos auxiliares.

Fazendo um comparativo com outros temos:

pfSense: Fork do m0n0wall, baseado no FreeBSD o pfSense é um dos mais conhecidos e provavelmente mais rico, em recursos, entre os sistemas para appliance pré-configurado, amigável, intuitivo oferece inúmeros recursos, focado para ambiente de roteamento e firewall, bem como segurança de rede, com excelente solução para VPN, entre outros diversos recursos. Pesou ser baseado em FreeBSD, ter poucos pacotes auxiliares e nenhum recurso de atualização automática.
IPCop: É o "novo fusca", possui ótimos recursos, de onde se baseou o Endian Firewall , mas pecou pelo fato de ser muito “modular”, vem o básico e para recursos adicionais é preciso instalar outros módulos, tornando a instalação um pouco mais demorada e pouco complexa, fica meio gambiarrado. ¬¬ !!!
m0n0wall: Não testei por ter o pfSense que é baseado nele e é bem mais utilizado e difundido.
SmoothWall e ZeroShell: Não testado por terem releases bem antigos.


Sobre o Endian Firewall, segue abaixo mais algumas características:

Instalação e Interface:

  • Instalação simples, suporte a Raid, particionamento automático, interface web limpa, rápida, intuitiva e customizável

  • A página principal foi substituída por um dashboard com estatísticas sobre o sistema e serviços, também foram adicionados gráficos de tráfego em tempo real, uptime e status de serviços.

  • Ambiente web todo em português.

Controle de Tráfego (Firewall):

  • Até 4 redes diferentes, separadas pelo sistema de cores Green (rede local), Red (WAN), Orange (DMZ), Blue (Wireless)

  • Firewall baseado em iptables, gerenciamento simples e eficiente, tanto para saída, como entrada e entre redes diferentes, garantindo um plus na segurança.

  • NAT, SNAT, DNAT, “port forward”, de forma intuitiva e simples.

  • Suporte a VLAN

  • Failover com substituição automática do link principal e alerta em tempo real sobre o downtime do link principal.

  • O módulo de Traffic Shapping foi substituído por um módulo completo de QoS.

Controle de conteúdo web (Proxy):

  • Proxy transparente ou por autenticação (local, ldap, radius, Active Directory).

  • Antivirus para sites e arquivos baixados.

  • Bloqueios e filtros de arquivos.

  • Blacklists prontas para diversas categorias.

  • Dansguardian para controle de conteúdo mais eficiente, fazendo bloqueio dinamicamente: A graça é ao acessar uma página, o dansguardian lê todo o conteúdo buscando por palavras-chave, cada palavra encontrada, recebe um score, no final ele soma o score da página e se esta ultrapassar o limite, o site passa a ser bloqueado.
    Ocorreram alguns “falso-positivos”, mas nada que seja superado.

  • Controle de acesso por horário (bloqueia sites “não profissionais” durante o horário de trabalho e libera a noite).

  • Controle de acesso por grupos

Segurança de Correio Eletrônico:

  • Anti-Spam com Bayes e registros SPF.

  • Proxy transparente para pop3, imap e smtp.

  • Black/White Lists.

  • Mail forward transparente (bcc). Exemplo, todos os emails enviados de ou para support@empresa.com.br, encaminha uma cópia automaticamente para gerencia@empresa.com.br. ou todo o tráfego de emails da empresa, pode ser copiado de forma oculta para uma conta específica de backup ou auditoria.

VPN (virtual private network):

  • OpenVPN e IPSec.

  • Autenticação por usuário/senha e/ou por chaves.

  • Configuração simples, precisando apenas de 3 ou 4 cliques.

  • VPN entre duas redes remotas, interligando escritórios, ou entre um cliente (roadwarrior) e o servidor.

  • “Push” de rotas e requests de dns.

Logs, estatísticas, IDS e relatórios

  • IDS (Snort) integrado, com funcionalidade também de IPS - trabalhando com assinaturas da Emerging Threats e com as assinaturas "default" do snort. As regras do snort agora podem ser configuradas, também é possível bloquear pacotes e logar tentativas de invasão. (Pode se configurar a atualização da assinaturas utomaticamente).

  • Ntop para estatísticas detalhadas de tráfego.

  • Estatísticas e gráficos de tráfego de cada interface (rede), sistema (cpu, memoria, disco, load, etc), envio e recebimento de emails (notificando alertas, utiliza o monit para isso), pageviews e estatísticas obtidas do squid.

  • logs via web do squid, dansguardian, firewall, postfix, clamAV, snort, etc..

  • Syslog local e remoto

Backup e gerenciamento

  • Backup e restauração via web, possibilitando “clonar” rapidamente o servidor, util para redundância e recuperação rápida do sistema.

  • Gerenciamento via SSH, Console e Web usando SSL.




O projeto baseado no Endian já está em produção, implementado em máquina real e sob o vmware ESXi 4. Os resultados foram positivos e o retorno satisfatório. A apresentação das funcionalidade, junto com a interface de gerenciamento customizada e a demonstração dele em ambiente de produção real combinado a relação vantajosa do custo x benefício tem agradado. Soma-se a isso ainda o conhecimento dos analistas adquiridos em laboratório e a experiência em gnu/linux e das aplicações utilizadas em background pelo endian.

Quem está procurando por "appliance" open source rico em funcionalidades, de rápida implementação e que seja ao mesmo tempo confiável e seguro, aconselho testarem o Endian Firewall. Existem também outras alternativas além das mencionadas, basta escolher a que melhor atenda as suas necessidade.

Existe a comunidade brasileira de endian firewall, para que quiser tirar dúvidas e ou entender melhor sobre o projeto: http://endian.eth0.com.br/

Entretanto a documentação dele é muito bem detalhada, com screenshots de configuração e tudo o que for necessário para implementação em vários níveis.

Bom pessoal, é isso.
Meus 2 centavos de contribuição.

Próximo projeto que está sendo desenvolvido é sob o OSSIM, já comentado aqui no blog. A rede é de médio porte e o objetivo é utilizar todos os recursos para oferecer a equipe de TI do cliente uma central de segurança para análise e auditoria dos ativos, correlação de eventos e inventário de rede.

Att.

Victor Santos

4 Respostas para "O Endian Firewall"

  1. gravatar
    Unknown 16 de julho de 2010 às 10:12 Permalink

    Parabéns pelo artigo, estava precisando exatamente dessas informações.

  2. gravatar
    Anônimo 24 de novembro de 2010 às 20:06 Permalink

    Muito completo o seu artigo, mas gostaria de saber se tem como tirar algumas dúvidas de configuração do endian com você, pois não sou muito experiente em firewall , e gostaria de aprender um pouco mais para configurá-lo bem. ( guinter2008@gmail.com )

  3. gravatar
    Anônimo 18 de maio de 2011 às 22:00 Permalink

    como quebrar essa proteção não sendo administrador da maquina

  4. gravatar
    André 18 de julho de 2012 às 23:58 Permalink

    Muito bom,vale apena testar o Astaro security Gateway eu recomendo.

Deixe seu Comentário