Apresentação
Estava dias atrás lendo uma revista que apresentava o Endian Firewall como uma solução para servidor de internet, fiquei de certa forma curioso em conhecer mais esse sistema e fui atrás de informações sobre o mesmo.
Depois de alguns testes e por ter gostado bastante do mesmo, decidi escrever esse artigo e colaborar com a comunidade, pois além de ser uma excelente solução é também uma ótima oportunidade de negócio. Endian Firewall é um projeto open source baseado no conhecido IPCop, desenvolvido pela ENDIAN, empresa italiana de gerenciamento e segurança de redes.
Com a instalação do Endian Firewall, suprimos basicamente todas as necessidades de uma rede, como Firewall, IDS, Proxy, Servidor DHCP, Servidor NTP, Controle de Tráfego, etc.
Hardware utilizado
Para escrever este artigo utilizei:
- VM com 1 núcleo Core 2 Duo 2.8Ghz (um PIII 800 tá de bom tamanho)
- HD IDE 8 GB
- 512 de RAM
Fazendo o download da imagem ISO
No site www.endian.it/en/community/download/iso/ encontramos as ISOs para download, faça download (cerca de 100 MB) e queime em um CD a imagem ISO.
Instalando o Endian Firewall
Inicie o computador, certifique-se que a opção para BOOT no CD-ROM está habilitada na BIOS. Será apresentada a tela de BOOT do sistema, pressione ENTER para continuar a instalação.
A próxima tela a ser apresentada deixa a você a opção de escolher um idioma (Alemão, Inglês e Italiano), infelizmente não tem a opção Português... :-(
Continuando a instalação, tenha certeza que seu HD está vazio ou os dados que estão no HD não interessam mais, pois o ENDIAN utiliza todo o HD, sendo assim todos os dados do seu HD serão automaticamente apagados ao instalar o sistema.
Recomendo que se houver alguma dúvida em relação a isso, cancelar a operação e verificar se ainda existe algo de interesse no HD, caso exista gravar em cd ou similares. Se você tem certeza da instalação, selecione a opção YES e prossiga com ela.
Nesta próxima opção o programa de instalação perguntará se desejamos disponibilizar um console de comando, através da porta serial, por não ser útil selecionamos a opção NO.
Logo após serão iniciados os procedimentos de instalação, nesta opção não precisamos fazer nada, o programa de instalação irá criar as partições, formatá-las, instalar o sistema e configurar o BOOT (GRUB).
OBS: Não há uma barra de progresso indicando o quanto falta para acabar a instalação, apenas uma barra indicando em qual passo da instalação está.
Após a instalação deveremos configurar a rede, nesta tela digite o IP e máscara de rede que você irá utilizar em sua rede local e pressione OK, as demais configurações serão feitas posteriormente já na interface web.
OBS. Fica convencionado neste artigo para entendimento de passos a frente que a interface local será "Zona Verde" e a Internet será "Zona Vermelha".
Breve descrição sobre o acesso remoto ao sistema.
Configure nas próximas opções do layout do teclado e fuso horário.
Em seguida configure o nome do computador e o domínio a qual pertence se for o caso.
Na próxima tela determine uma senha para o usuário ROOT e ADMIN pressione para finalizar o programa de instalação.
Reinicie o computador e a partir de agora seu sistema já esta instalado e iniciando diretamente do HD. Guarde o cd em local seguro pois ele poderá ser utilizado para eventuais manutenções no futuro.
Abaixo a tela do console do Endian Firewall.
Acessando o Web Admin do Endian Firewall
Para acessar o Web Admin vá até seu navegador preferido e acesse:
http://enderecoIPdoseuservidor
Entre com o usuário ADMIN e bem vindo ao Endian Firewall. :)
Configurando o Firewall
Firewall
No quesito firewall o Endian apresenta poucas configurações para firewall, entretanto são muito eficientes se bem utilizadas.
Port Forwarding
O item Port forwarding é extremamente básico. Ele nos permite direcionar toda conexão que chegar a uma determinada porta do firewall , diretamente para um dos computadores da zona verde.
No exemplo acima estamos fazendo um redirecionamento utilizando pacotes do icq, ou seja, tudo que chegar (Source) nas portas 6660-6669 do server será redirecionado para um micro da nossa zona verde.
Este exemplo é bem simples e menos funcional, mas poderíamos criar uma regra que redirecionasse tudo que chegasse no server na porta 42 para a porta 22 (SSH) de um outro server da nossa rede.
External Access O External Access permite abrir portas do Endian para o mundo externo, ou seja, a zona vermelha. Por exemplo: por padrão você pode acessar a interface WEB a partir de qualquer computador da sua Zona Verde, mas não da Zona Vermelha. Para que isso seja possível você precisará abrir as portas correspondentes neste menu.
As portas usadas para a administração remota são a 80 e a 10443, portanto basta inclui-las na lista de acessos externos para que possa acessar o Endian Firewall de qualquer lugar, mas lembre-se de usar uma senha segura.
Recomendo também a porta 22 para acesso SSH, mas como sabemos, a porta 22 é muito manjada e para evitar que ela seja alvo de bots, o ideal seria alterar a porta ssh no arquivo /etc/ssh/sshd_config para outra porta, por exemplo, a porta 2220 e incluir a mesma nas regras acima.
A porta 113 está aberta por padrão pois se trata do protocolo IDENT. O último item deste menu é o "Outgoing Firewall", que veremos a seguir.
Outgoing Firewall
Este item é responsável por liberar acessos vindos da rede interna apenas nas portas pré-determinadas.
Há uma lista de protocolos pré-configurados, mas caso o seu não esteja na lista, basta digitar as portas desejadas. Também é possível abrir a comunicação para penas um computador ao invés de todas a rede, selecionando "use source IP address" ao invés de "Green", no campos "Source Net" e digitando ao lado o IP da máquina que irá receber a regra.
Configuração do servidor proxy
Proxy
Ativar o proxy é fácil, entre no meu "Proxy" e clique em "Enable on Green", para que ele passe a agir na interface verde, ainda é possível o uso do proxy transparente que evita todo o trabalho de irmos em cada estação e configurar o uso do proxy, desta forma todos da rede mesmo sem saber estarão sendo monitorados pelo servidor.
Content Filter (Filtro de Conteúdo)
Neste item podemos escolher o tipo de conteúdo para bloquear, o software utilizado é o DansGuardian, que funciona por analise de conteúdo, nesta opção selecionamos as opções que desejamos bloquear dentre varias que nos é apresentada, tais como, pornografia, chat, games, etc.
Antivírus
Na item antivírus podemos definir em qual situação o antivírus é executado, descrevendo o tamanho máximo do arquivo e uma campo para lista branca.
Temos ainda a opção de habilitar o proxy para os protocolos POP, SMTP, SIP e FTP, neste artigo nos basearemos somente nos protocolos HTTP e POP, mas, você pode acessar a documentação do projeto e obter outras informações sobre a utilização do proxy em outros protocolos.
Proxy no protocolo POP
No item POP3 habilite o proxy para o protocolo na interface verde, e marque também box Vírus Scanner e Spam Filter para ter antivírus e antispam em seu protocolo POP, o software antispam utilizado é o já conhecido SPAMASSASSIN.
Com a opção Spam Filter habilitada é possível criar uma palavra para marcar no assunto das mensagens consideradas como SPAM, criar uma black list, white list, etc.
Servidor DHCP
O servidor DHCP vem por padrão desabilitado, para habilitá-lo acesse o menu "Services".
Clique em "Enable" para habilitar o Servidor DHCP, abaixo segue as opções de configuração do Servidor DHCP de acordo com as suas preferências, lembrando que além de você poder definir o range IP utilizado você também pode definir IP fixo para as máquinas, apenas digitando o Mac Address das máquinas e o IP desejado.
Servidor NTP
NTP (Network Time Protocol)
Habilitando o servidor NTP você poderá sincronizar todos os demais computadores da rede diretamente com ele, de forma muito fácil.
Para configurar o sistema, marque o box enable e Synchronize with time servers e coloque o nome do servidor que você deseja obter o horário (padrão "pool.ntop.org"), você pode também entrar com um servidor secundário, isso é opcional.
Defina qual a sua "Timezone", você pode definir um horário para o sistema ou simplesmente clicar em "Instant update" para atualizar o horário de acordo com o servidor NTP.
Controle de tráfego
Quando compartilhamos um link com vários computadores, é bastante normal que um dos usuários "abuse" do seu direito, consumindo toda a banda disponível com os P2P. O item Traffic Shapping permite definir que conexão tem prioridade e quais tem pouca importância.
Para configurar acesse o item Traffic Shapping e a primeira coisa a fazer é informar o tamanho do link de internet que você possui (Download e Upload) e habilitar o serviço marcando o box na opção "Enable".
Após isso você irá definir as propriedades dos serviços, informando a porta usada pelo serviço, escolher o protocolo e sua prioridade.
No exemplo acima a conexão que incluímos foi a porta 22 (SSH), protocolo TCP e prioridade alta (High). Para os P2P poderia utilizar a porta 6881 (No caso do Bittoorent), protocolo TCP e prioridade baixa (Low).
OBS. Não esqueça de ativar a regra marcando o box "Enable" ou caso queira não executar a regra desmarque o mesmo, para alterar clique no lápis e para excluir clique na lixeira.
Detecção de intrusão
O Endian Firewall traz o Snort, o IDS (Intrusion Detection System) mais usado no mundo. Ele funciona com um pacote de regras constantemente atualizado, e baseado nelas consegue detectar vários tipos de ataque nos servidores internos.
Nas suas configurações devemos informar qual interface queremos monitorar e informar de onde será obtido o pacote de regras.
Podemos acessar o site do Snort (http://www.snort.org) cadastrar-se e assim obter o Oink Code insira-o no campo Oink Code e pressione "Download new ruleset" para baixar as novas regras do Snort, isso para a primeira opção "Sourcefire VRT rules for registered users", mas podemos utilizar opção "Community Rules", onde não precisa de de registro no site para baixar as regras da comunidade.
Interface de rede (Internet)
Por último neste artigo vamos configurar as interfaces de rede para iniciar o serviço. Nossa interface internet (Verde) nós já configuramos na instalação do Endian, bastando somente configurar a interface da internet (Vermelha). A configuração é bem simples e intuitiva.
Neste caso escolhemos o modo "Ethernet Static", assim incluiremos o IP do nosso gateway para a conexão, não esquecer de definir também quantas interfaces estamos utilizando.
Aqui definimos o endereço IP da nossa interface vermelha e mais algumas informações do nosso acesso.
Aplicamos a configuração e reiniciamos o Endian para atualizar/iniciar os serviços.
20 comentários:
Vou testar este, já que instalei BrazilFW e não deu certo.
No quesito facilidade de instalação e detecção do hardware, simplesmente FANTÁSTICO. Adorei. Continuarei o testes.
A grende vantagem do Endian é a facilidade, além de ser leve e prático.Qualquer dúvida é só postar aqui.
instalei mas estou com problemas , qdo a instalacao apresenta um resumo , dou ok .. e ele nao vai para a configuracao de teclado e definicao da senha do root .
ele rebbot e cai na console com 3 opcoes .
Alguem pode me ajudar ?
Cara, essa é a tela padrão do Endian após a inicialização.Agora basta acessa-lo utiliando o navegador.Para isso basta informar o IP definido na instalação.
Isso aí, fiz o restante da configuração através de um outro micro na rede. E quanto a senha de root tem que utilizar a padrão que é "endian". Também fiquei com essa dúvida mas encontrei essa informação na página do sistema. Também tem essa informação no VOL: http://www.vivaolinux.com.br/artigo/Endian-Firewall-Solucao-completa-para-um-servidor-de-internet/?pagina=3
É claro que depois tem que trocar a senha. :)
Bom, estou testando o Endian h alguns dias, no entanto, estou com a sensação deu que ele não está armazendando em cache, o filtro de conteúdo está funcionando normalmente, bom no BrazilFW, quando eu fazia um download de um arquivo, se eu fizesse o download do mesmo arquivo em outra máquina, a outra máquina fazia o download com aproximadamente 1MB por segundo, já no Endian a outra máquina demora o mesmo tempo que a primeira demorou.
Essa é a configuração do Gerenciamento de cache
Tamanho do cache em disco (MB): 5000
Tamanho do cache em memória(mb) 247
Tamanho máximo do objeto 1024
Tamanho mínimo o
Habilitar modo offline: está desativado, mas também já tentei com ele ativo.
O que posso estar fazendo errado, já até pensei em voltar para o BrazilFW.
Instalei o Endian e achei fantástico!!!!! Só não encontrei como acessa-lo de fora da empresa.
O numero do ip da empresa é 200.x.y.z e o speedy está ligado direto no endian, da minha casa eu tento acessar pelo endereço https://200.x.y.z:10443 mas não abre alguem sabe me dizer como faço esse acesso.?????? Lembrando que internamente está tudo funcionando pelo ip https://192.168.0.1:/10443 acessa normal todas as funções
desde já...vlww...
Bom cara, eu perticularmente não recomendo deixá-lo aberto a acesso externo.Configure o servidor de VPN dele, faça a VPN e acesse pelo IP 192, acho mais recomendado esse procedimento.
Cara,
Já tenho o Endian instalado e funcionando certinho em alguns clientes.
em alguns Casos não consigo fazer funcionar. não sei exatemente o motivo. mas em 2 lugares que instalei a interface RED não sobe de forma alguma.
*Obs. os endereços estão corretos fiz testes em outro PC (WindowsXP) e roda sem problemas.
Já viu esse problema?
Cara,
Já tenho o Endian instalado e funcionando certinho em alguns clientes.
em alguns Casos não consigo fazer funcionar. não sei exatemente o motivo. mas em 2 lugares que instalei a interface RED não sobe de forma alguma.
*Obs. os endereços estão corretos fiz testes em outro PC (WindowsXP) e roda sem problemas.
Já viu esse problema?
É bom testar com outra placa de rede, de preferência NOVA, mesmo já tendo testado no WinXp. Parece que o linux é mais exigente com as interfaces de rede.
Bom dia...apos a instalação o Endian cai em uma tela com tres opçoes...o que fazer...obrigado...
Amigo, essa pergunta já foi respondida acima.
Cara está parece ser a solução para os meus problemas...
Firewall,proxy e controle de trafego. vou fazer uns testes e ver se esta solução me atende.
Valew pela dica!
Como crio uma regra para liberar o torrent??
Fala Daniel, uso este firewall a um pouco mais de 2 meses aqui na empresa, acho simplesmente fantástico, além de prático e seguro.
Porém, estou com uma situação que não consegui resolver ainda. Tenho umas portas NAT configuradas no servidor para o pessoal que faz acesso TS de outros locais. Elas utilizam IPs fixos que temos disponiveis pela operadora. Porem quanto eu tenho acessar de dentro da minha rede usando este ip fixo, nao consigo acessar. Consegui uma vez fazer funcionar porem estava no inicio da configuracao e perdi. Ex. a rede interna da empresa é 192.168.x.x e o ip da operadora é 186.19.x.x, tem alguma dica do que devo fazer para acessar da 192.168.x.x a 186.19.x.x ?
Olá
Segue um link com vários tutorias sobre as muitas funcionalidades do Endian Firewall.
http://hernaneac.wordpress.com/tag/endian/
Abraços
oi eu começei a instalar o ediam mais chega em uma parte logo apos onde poe o ip e mascara logo apos ele reinicia e ao voltar entra em uma tela com o seguinte nome grub .apartir daí como faço para configurar?
Postar um comentário