Endian Firewall - Soluo completa para um servidor de internet [Artigo]

1 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

ENDIAN FIREWALL - SOLUO COMPLETA PARA UM SERVIDOR DE INTERNET

Autor: Fbio Marcelo de Lima <fabio at bendit.com.br>
Data: 06/02/2007

APRESENTAO

Estava dias atrs lendo uma revista que apresentava o Endian Firewall como uma soluo para servidor de
internet, fiquei de certa forma curioso em conhecer mais esse sistema e fui atrs de informaes sobre o
mesmo.
Depois de alguns testes e por ter gostado bastante do mesmo, decidi escrever esse artigo e colaborar com a
comunidade, pois alm de ser uma excelente soluo tambm uma tima oportunidade de negcio.

Endian Firewall um projeto open source baseado no conhecido IPCop, desenvolvido pela ENDIAN
(http://www.endian.it), empresa italiana de gerenciamento e segurana de redes.
Com a instalao do Endian Firewall, suprimos basicamente todas as necessidades de uma rede, como
Firewall, IDS, Proxy, Servidor DHCP, Servidor NTP, Controle de Trfego, etc.

HARDWARE UTILIZADO
Para escrever este artigo utilizei:
AMD Sempron 2600+
HD IDE 80 GB
512 de RAM

FAZENDO O DOWNLOAD DA IMAGEM ISO

No

site

www.endian.it/en/community/download/iso/

(http://www.endian.it/en/community/download/iso/)

encontramos as ISOs para download, faa download (cerca de 100 MB) e queime em um CD a imagem ISO.

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

2 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

INSTALANDO O ENDIAN FIREWALL

Inicie o computador, certifique-se que a opo para BOOT no CD-ROM est habilitada na BIOS. Ser
apresentada a tela de BOOT do sistema, pressione ENTER para continuar a instalao.

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/img (1).jpg)
A prxima tela a ser apresentada deixa a voc a opo de escolher um idioma (Alemo, Ingls e Italiano),
infelizmente no tem a opo Portugus... :-(

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/img (2).jpg)

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

3 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

Continuando a instalao, tenha certeza que seu HD est vazio ou os dados que esto no HD no
interessam mais, pois o ENDIAN utiliza todo o HD, sendo assim todos os dados do seu HD sero
automaticamente apagados ao instalar o sistema.
Recomendo que se houver alguma dvida em relao a isso, cancelar a operao e verificar se ainda existe
algo de interesse no HD, caso exista gravar em cd ou similares. Se voc tem certeza da instalao,
selecione a opo YES e prossiga com ela.

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/img (3).jpg)
Nesta prxima opo o programa de instalao perguntar se desejamos disponibilizar um console de
comando, atravs da porta serial, por no ser til selecionamos a opo NO.

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/img (4).jpg)

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

4 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

Logo aps sero iniciados os procedimentos de instalao, nesta opo no precisamos fazer nada, o
programa de instalao ir criar as parties, format-las, instalar o sistema e configurar o BOOT (GRUB).
OBS: No h uma barra de progresso indicando o quanto falta para acabar a instalao, apenas uma barra
indicando em qual passo da instalao est.

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

5 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/img (5).jpg)

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/img (6).jpg)

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/img (7).jpg)

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

6 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

Aps a instalao deveremos configurar a rede, nesta tela digite o IP e mscara de rede que voc ir utilizar
em sua rede local e pressione OK, as demais configuraes sero feitas posteriormente j na interface web.
OBS. Fica convencionado neste artigo para entendimento de passos a frente que a interface local ser "Zona
Verde" e a Internet ser "Zona Vermelha".

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/img (8).jpg)
Breve descrio sobre o acesso remoto ao sistema.

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/img (9).jpg)
Configure nas prximas opes do layout do teclado e fuso horrio.

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

7 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/img (10).jpg)

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/img (11).jpg)
Em seguida configure o nome do computador e o domnio a qual pertence se for o caso.

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

8 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/img (12).jpg)

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/img (13).jpg)
Na prxima tela determine uma senha para o usurio ROOT e ADMIN pressione para finalizar o programa de
instalao.

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

9 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/img (14).jpg)
Reinicie o computador e a partir de agora seu sistema j esta instalado e iniciando diretamente do HD.
Guarde o cd em local seguro pois ele poder ser utilizado para eventuais manutenes no futuro.
Abaixo a tela do console do Endian Firewall.

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/img (15).jpg)

ACESSANDO O WEB ADMIN DO ENDIAN FIREWALL

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

10 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

Para acessar o Web Admin v at seu navegador preferido e acesse:

http://enderecoIPdoseuservidor
Entre com o usurio ADMIN e bem vindo ao Endian Firewall. :)

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/efw_home.jpg)

CONFIGURANDO O FIREWALL
Firewall
No quesito firewall o Endian apresenta poucas configuraes para firewall, entretanto so muito eficientes se
bem utilizadas.

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/f1.jpg)
Port Forwarding
O item Port forwarding extremamente bsico. Ele nos permite direcionar toda conexo que chegar a uma
determinada porta do firewall , diretamente para um dos computadores da zona verde.

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

11 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/f2.jpg)

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/f3.jpg)
No exemplo acima estamos fazendo um redirecionamento utilizando pacotes do icq, ou seja, tudo que
chegar (Source) nas portas 6660-6669 do server ser redirecionado para um micro da nossa zona verde.
Este exemplo bem simples e menos funcional, mas poderamos criar uma regra que redirecionasse tudo
que chegasse no server na porta 42 para a porta 22 (SSH) de um outro server da nossa rede.
External Access O External Access permite abrir portas do Endian para o mundo externo, ou seja, a zona
vermelha. Por exemplo: por padro voc pode acessar a interface WEB a partir de qualquer computador da
sua Zona Verde, mas no da Zona Vermelha. Para que isso seja possvel voc precisar abrir as portas
correspondentes neste menu.
As portas usadas para a administrao remota so a 80 e a 10443, portanto basta inclui-las na lista de
acessos externos para que possa acessar o Endian Firewall de qualquer lugar, mas lembre-se de usar uma
senha segura.

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

12 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/f4.jpg)

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/f5.jpg)
Recomendo tambm a porta 22 para acesso SSH, mas como sabemos, a porta 22 muito manjada e para
evitar que ela seja alvo de bots, o ideal seria alterar a porta ssh no arquivo /etc/ssh/sshd_config para outra
porta, por exemplo, a porta 2220 e incluir a mesma nas regras acima.
A porta 113 est aberta por padro pois se trata do protocolo IDENT. O ltimo item deste menu o "Outgoing
Firewall", que veremos a seguir.
Outgoing Firewall
Este item responsvel por liberar acessos vindos da rede interna apenas nas portas pr-determinadas.

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

13 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/f6.jpg)

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/f7.jpg)
H uma lista de protocolos pr-configurados, mas caso o seu no esteja na lista, basta digitar as portas
desejadas. Tambm possvel abrir a comunicao para penas um computador ao invs de todas a rede,
selecionando "use source IP address" ao invs de "Green", no campos "Source Net" e digitando ao lado o IP
da mquina que ir receber a regra.

CONFIGURAO DO SERVIDOR PROXY

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

14 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

Proxy
Ativar o proxy fcil, entre no meu "Proxy" e clique em "Enable on Green", para que ele passe a agir na
interface verde, ainda possvel o uso do proxy transparente que evita todo o trabalho de irmos em cada
estao e configurar o uso do proxy, desta forma todos da rede mesmo sem saber estaro sendo
monitorados pelo servidor.

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/proxy1.jpg)
Content Filter (Filtro de Contedo)
Neste item podemos escolher o tipo de contedo para bloquear, o software utilizado o DansGuardian, que
funciona por analise de contedo, nesta opo selecionamos as opes que desejamos bloquear dentre
varias que nos apresentada, tais como, pornografia, chat, games, etc.

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

15 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/proxy2.jpg)

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/proxy3.jpg)
Antivrus
Na item antivrus podemos definir em qual situao o antivrus executado, descrevendo o tamanho mximo
do arquivo e uma campo para lista branca.

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/proxy4.jpg)

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

16 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

Temos ainda a opo de habilitar o proxy para os protocolos POP, SMTP, SIP e FTP, neste artigo nos
basearemos somente nos protocolos HTTP e POP, mas, voc pode acessar a documentao do projeto e
obter outras informaes sobre a utilizao do proxy em outros protocolos.
Proxy no protocolo POP
No item POP3 habilite o proxy para o protocolo na interface verde, e marque tambm box Vrus Scanner e
Spam Filter para ter antivrus e antispam em seu protocolo POP, o software antispam utilizado o j
conhecido SPAMASSASSIN.

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/proxy5.jpg)
Com a opo Spam Filter habilitada possvel criar uma palavra para marcar no assunto das mensagens
consideradas como SPAM, criar uma black list, white list, etc.

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/proxy6.jpg)

SERVIDOR DHCP

O servidor DHCP vem por padro desabilitado, para habilit-lo acesse o menu "Services".

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

17 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/d1.jpg)
Clique em "Enable" para habilitar o Servidor DHCP, abaixo segue as opes de configurao do Servidor
DHCP de acordo com as suas preferncias, lembrando que alm de voc poder definir o range IP utilizado
voc tambm pode definir IP fixo para as mquinas, apenas digitando o Mac Address das mquinas e o IP
desejado.

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/d2.jpg)

SERVIDOR NTP

NTP (Network Time Protocol)

Habilitando o servidor NTP voc poder sincronizar todos os demais computadores da rede diretamente com
ele, de forma muito fcil.
Para configurar o sistema, marque o box enable e Synchronize with time servers e coloque o nome do
servidor que voc deseja obter o horrio (padro "pool.ntop.org"), voc pode tambm entrar com um servidor
secundrio, isso opcional.

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

18 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/ntp1.jpg)
Defina qual a sua "Timezone", voc pode definir um horrio para o sistema ou simplesmente clicar em
"Instant update" para atualizar o horrio de acordo com o servidor NTP.

CONTROLE DE TRFEGO

Quando compartilhamos um link com vrios computadores, bastante normal que um dos usurios "abuse"
do seu direito, consumindo toda a banda disponvel com os P2P. O item Traffic Shapping permite definir que
conexo tem prioridade e quais tem pouca importncia.
Para configurar acesse o item Traffic Shapping e a primeira coisa a fazer informar o tamanho do link de
internet que voc possui (Download e Upload) e habilitar o servio marcando o box na opo "Enable".

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/tp1.jpg)
Aps isso voc ir definir as propriedades dos servios, informando a porta usada pelo servio, escolher o
protocolo e sua prioridade.

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

19 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/tp2.jpg)
No exemplo acima a conexo que inclumos foi a porta 22 (SSH), protocolo TCP e prioridade alta (High).
Para os P2P poderia utilizar a porta 6881 (No caso do Bittoorent), protocolo TCP e prioridade baixa (Low).
OBS. No esquea de ativar a regra marcando o box "Enable" ou caso queira no executar a regra
desmarque o mesmo, para alterar clique no lpis e para excluir clique na lixeira.

DETECO DE INTRUSO

O Endian Firewall traz o Snort, o IDS (Intrusion Detection System) mais usado no mundo. Ele funciona com
um pacote de regras constantemente atualizado, e baseado nelas consegue detectar vrios tipos de ataque
nos servidores internos.

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/ids1.jpg)

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

20 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

Nas suas configuraes devemos informar qual interface queremos monitorar e informar de onde ser obtido
o pacote de regras.
Podemos acessar o site do Snort (http://www.snort.org) cadastrar-se e assim obter o Oink Code insira-o no
campo Oink Code e pressione "Download new ruleset" para baixar as novas regras do Snort, isso para a
primeira opo "Sourcefire VRT rules for registered users", mas podemos utilizar opo "Community Rules",
onde no precisa de de registro no site para baixar as regras da comunidade.

INTERFACE DE REDE (INTERNET)

Por ltimo neste artigo vamos configurar as interfaces de rede para iniciar o servio. Nossa interface internet
(Verde) ns j configuramos na instalao do Endian, bastando somente configurar a interface da internet
(Vermelha). A configurao bem simples e intuitiva.

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/iface1.jpg)
Neste caso escolhemos o modo "Ethernet Static", assim incluiremos o IP do nosso gateway para a conexo,
no esquecer de definir tambm quantas interfaces estamos utilizando.

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

21 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/iface2.jpg)
Aqui definimos o endereo IP da nossa interface vermelha e mais algumas informaes do nosso acesso.

(http://static.vivaolinux.com.br/imagens

/artigos/comunidade/iface3.jpg)
Aplicamos a configurao e reiniciamos o Endian para atualizar/iniciar os servios.

CONSIDERAES FINAIS

04/03/2015 00:28

Endian Firewall - Soluo completa para um servidor de internet [Artigo]

22 de 22

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6000

Sabemos o quanto a segurana essencial para a sade de qualquer rede de computadores e sabemos que
na falta dela muita "dor de cabea" possivelmente teremos.
Neste artigo espero ter mostrado o quanto o o sistema Endian Firewall pode estar nos auxiliando nessa
tarefa. Ainda existe muita opo nas configuraes do Endian, as quais no foram includas neste artigo, tais
como: VPN, Antivrus, proxy em protocolos SIP, FTP, e mais...mas espero em breve estar desenvolvendo
novos artigos sobre o mesmo.
Agradeo ao VOL pela ajuda que sempre consigo nos artigos, confs, etc e espero estar juntamente
colaborando com o portal e seus usurios.
Qualquer dvida me coloco a disposio no email.
fabio.lima at teleco dot com dot br
[]'s

Voltar (verArtigo.php?codigo=6000)

04/03/2015 00:28