Após diversos testes de usabilidade, confiabilidade e stress (tanto do servidor quanto da minha pessoa) e algumas modificações na estrutura e no código (com a ajuda de um amigo)estou postando sobre o Endian Firewall. Obviamente que o incomodo de configurar manualmente servidores linux (sejam eles Debian, SLES, RedHat) para clientes com iptables, dhcp, dns, squid, openvpn, ntp, entre outros recursos também contribuiu bastante :P !!!

O Endian Firewall Community é uma distribuição linux, baseada na distribuição Red Hat e no antigo IPCOP, que tem como objetivo ser um dispositivo de proteção de perímetro e controle de borta. O software tem como características a usabilidade, fácil instalação, poder de gerenciamento e flexibilidade. O componentes incluem firewall de inspeção de pacotes, proxy no nível do aplicativo para vários
protocolos (HTTP, FTP, POP3, SMTP) com suporte a antivírus, verificação devírus e
spam para o tráfego de e-mail (POP e SMTP), controle de conteúdo da Web e solução de VPN (baseado no OpenVPN).

Optamos pelo Endian por ser o mais estável, ter facilidade de atualização, pelas features implementadas na última versão (com suporte a faillover), por ser baseado em GNU/Linux e ser bem completo, não havendo a necessidade de implementação de patch's e módulos auxiliares.

Fazendo um comparativo com outros temos:

pfSense: Fork do m0n0wall, baseado no FreeBSD o pfSense é um dos mais conhecidos e provavelmente mais rico, em recursos, entre os sistemas para appliance pré-configurado, amigável, intuitivo oferece inúmeros recursos, focado para ambiente de roteamento e firewall, bem como segurança de rede, com excelente solução para VPN, entre outros diversos recursos. Pesou ser baseado em FreeBSD, ter poucos pacotes auxiliares e nenhum recurso de atualização automática.
IPCop: É o "novo fusca", possui ótimos recursos, de onde se baseou o Endian Firewall , mas pecou pelo fato de ser muito “modular”, vem o básico e para recursos adicionais é preciso instalar outros módulos, tornando a instalação um pouco mais demorada e pouco complexa, fica meio gambiarrado. ¬¬ !!!
m0n0wall: Não testei por ter o pfSense que é baseado nele e é bem mais utilizado e difundido.
SmoothWall e ZeroShell: Não testado por terem releases bem antigos.


Sobre o Endian Firewall, segue abaixo mais algumas características:

Instalação e Interface:

• Instalação simples, suporte a Raid, particionamento automático, interface web limpa, rápida, intuitiva e customizável


• A página principal foi substituída por um dashboard com estatísticas sobre o sistema e serviços, também foram adicionados gráficos de tráfego em tempo real, uptime e status de serviços.


• Ambiente web todo em português.

Controle de Tráfego (Firewall):

• Até 4 redes diferentes, separadas pelo sistema de cores Green (rede local), Red (WAN), Orange (DMZ), Blue (Wireless)


• Firewall baseado em iptables, gerenciamento simples e eficiente, tanto para saída, como entrada e entre redes diferentes, garantindo um plus na segurança.


• NAT, SNAT, DNAT, “port forward”, de forma intuitiva e simples.


• Suporte a VLAN


• Failover com substituição automática do link principal e alerta em tempo real sobre o downtime do link principal.


• O módulo de Traffic Shapping foi substituído por um módulo completo de QoS.

Controle de conteúdo web (Proxy):

• Proxy transparente ou por autenticação (local, ldap, radius, Active Directory).


• Antivirus para sites e arquivos baixados.


• Bloqueios e filtros de arquivos.


• Blacklists prontas para diversas categorias.


• Dansguardian para controle de conteúdo mais eficiente, fazendo bloqueio dinamicamente: A graça é ao acessar uma página, o dansguardian lê todo o conteúdo buscando por palavras-chave, cada palavra encontrada, recebe um score, no final ele soma o score da página e se esta ultrapassar o limite, o site passa a ser bloqueado.
  Ocorreram alguns “falso-positivos”, mas nada que seja superado.


• Controle de acesso por horário (bloqueia sites “não profissionais” durante o horário de trabalho e libera a noite).


• Controle de acesso por grupos

Segurança de Correio Eletrônico:

• Anti-Spam com Bayes e registros SPF.


• Proxy transparente para pop3, imap e smtp.


• Black/White Lists.


• Mail forward transparente (bcc). Exemplo, todos os emails enviados de ou para support@empresa.com.br, encaminha uma cópia automaticamente para gerencia@empresa.com.br. ou todo o tráfego de emails da empresa, pode ser copiado de forma oculta para uma conta específica de backup ou auditoria.

VPN (virtual private network):

• OpenVPN e IPSec.


• Autenticação por usuário/senha e/ou por chaves.


• Configuração simples, precisando apenas de 3 ou 4 cliques.


• VPN entre duas redes remotas, interligando escritórios, ou entre um cliente (roadwarrior) e o servidor.


• “Push” de rotas e requests de dns.

Logs, estatísticas, IDS e relatórios

• IDS (Snort) integrado, com funcionalidade também de IPS - trabalhando com assinaturas da Emerging Threats e com as assinaturas "default" do snort. As regras do snort agora podem ser configuradas, também é possível bloquear pacotes e logar tentativas de invasão. (Pode se configurar a atualização da assinaturas utomaticamente).


• Ntop para estatísticas detalhadas de tráfego.


• Estatísticas e gráficos de tráfego de cada interface (rede), sistema (cpu, memoria, disco, load, etc), envio e recebimento de emails (notificando alertas, utiliza o monit para isso), pageviews e estatísticas obtidas do squid.


• logs via web do squid, dansguardian, firewall, postfix, clamAV, snort, etc..


• Syslog local e remoto

Backup e gerenciamento

• Backup e restauração via web, possibilitando “clonar” rapidamente o servidor, util para redundância e recuperação rápida do sistema.


• Gerenciamento via SSH, Console e Web usando SSL.

O projeto baseado no Endian já está em produção, implementado em máquina real e sob o vmware ESXi 4. Os resultados foram positivos e o retorno satisfatório. A apresentação das funcionalidade, junto com a interface de gerenciamento customizada e a demonstração dele em ambiente de produção real combinado a relação vantajosa do custo x benefício tem agradado. Soma-se a isso ainda o conhecimento dos analistas adquiridos em laboratório e a experiência em gnu/linux e das aplicações utilizadas em background pelo endian.

Quem está procurando por "appliance" open source rico em funcionalidades, de rápida implementação e que seja ao mesmo tempo confiável e seguro, aconselho testarem o Endian Firewall. Existem também outras alternativas além das mencionadas, basta escolher a que melhor atenda as suas necessidade.

Existe a comunidade brasileira de endian firewall, para que quiser tirar dúvidas e ou entender melhor sobre o projeto: http://endian.eth0.com.br/

Entretanto a documentação dele é muito bem detalhada, com screenshots de configuração e tudo o que for necessário para implementação em vários níveis.

Bom pessoal, é isso.
Meus 2 centavos de contribuição.

Próximo projeto que está sendo desenvolvido é sob o OSSIM, já comentado aqui no blog. A rede é de médio porte e o objetivo é utilizar todos os recursos para oferecer a equipe de TI do cliente uma central de segurança para análise e auditoria dos ativos, correlação de eventos e inventário de rede.

Att.

Victor Santos