Ferramentas de gente grande para redes pequenas

Não importa o tamanho da rede que você administra, você precisa garantir que ela esteja segura. Se você tem uma rede grande, certamente vai ter diversos servidores, cada um com um atribuição que podem ser DNS, DHCP, Firewall, Proxy, VPN etc.

Para uma rede pequena é possível instalar um único “sistema” e ter todos estes mesmos recursos usando apenas um único servidor e o que é melhor, sem exigir do sysadmin o trabalho de se instalar e configurar todos os serviços manualmente.

O trabalho para garantir a segurança

A dificuldade para assegurar esta segurança é proporcional ao tamanho da rede e ao nível de segurança e controle que você queira ter.

Por exemplo você pode controlar o acesso web na sua rede instalando um proxy, como o Squid[1] por exemplo, mas se você precisa de relatórios vai precisar instalar o Sarg[2], ou outra ferramenta para este fim.

Caso precise autenticar os usuários e assim saber quem realmente está acessando o que, você já precisará instalar um servidor LDAP[3] que se integre ao Squid.

Se de uma hora pra outra decidirem que sua rede terá pontos wifi, você vai querer autenticar estes usuários para que ninguém use a sua rede sem autorização. Olha você quebrando a cabeça para aprender sobre servidores Radius[4] e Captive Portal!

Perceba que é preciso instalar uma ferramenta para cada atividade. Algumas vezes é preciso ter duas ou mais para que elas se complementem e assim você obtenha o nível de controle desejado.

Seja uma rede com 10 usuários, ou uma rede com 10.000 deles, os serviços serão sempre os mesmos e só mudarão – como eu disse – de acordo com o nível de segurança e controle que você espera ter.

Mas por outro lado, não é coerente você instalar e administrar um CPD altamente complexo, com dezenas de servidores, por conta de uma rede com apenas 10 computadores de fim administrativo e cujo uso mais impotante seja ler e-mails no Gmail comunicar com MSN e jogar paciência, enquanto o Orkut está fora do ar.

A incoerência é clara: custo elevado, muito espaço, muito tempo para criar e manter este ambiente etc.

Em certas situações também, não seria de bom alvitre instalar todos os serviços, individualmente, em um único servidor pois o chefe pode não estar disposto a pagar R$25.000 em um servidor de entrada e nem mesmo esperar 3 meses para que você possa planejar o que e como instalar (fora o tempo para você aprender a mexer em toda a parafernália via linha de comandos).

Appliances para serviços de rede

Para sanar estas incoerências existem os appliances[5]. De forma simplificada, um appliance é um equipamento já com software instalado e pronto para uso.

Você poderia por exemplo comprar um appliance de proxy que bastaria ligar na sua rede (elétrica e dados) e então, a partir de um painel de controle web, bastaria definir as regras de acesso. Claro que estou sendo superficial mas é (quase) fácil assim.

Resumindo, um appliance é tudo aquilo que você deseja sem ter o trabalho que você teme. Você pode ter um appliance de firewall, de VPN, de Proxy, WEB, antivírus… ou todos eles em uma caixinha só.

O problema do appliance é que ele costuma ser caro, visto que você estará adquirindo o hardware + software para dado propósito e seu chefe pode não estar disposto a investir nisso, mesmo sabendo que será mais rápido de implantar do que adquirir um servidor e esperar você instalar e configurar tudo.

Suítes de gerenciamento de rede

Se você está neste barco e precisando instalar vários serviços de infraestrutura de rede, mas não quer, ou não pode, investir pesado em hardware/software o jeito vai ser apelar para as suites de gerenciamento de rede.

Não sei ao certo se é este o nome que dão por ai, mas já ouvi algumas pessoas nomearem estas ferramentas até como Appliance em software, o que discordo, porque -em minha opinião- appliance faz alusão ao hardware com o software embutido e não a duas coisas distintas.

Para clarear o que me refiro estes softwares são distribuições Linux ou FreeBSD que já foram otimizadas para atender exclusivamente aos serviços elementares de rede, como os citados anteriormente.

Uma vez instalada e funcional, você poderá controlar todos aqueles serviços a partir de uma única interface web.

A lista que apresento a seguir não é tão grande, mas pode ser útil para muita gente que chegou até aqui.A medida do possível, caso encontre outras alternativas eu atualizo este texto e as acrescento no momento devido.

IPCop

Com tradução para cerca de 32 idiomas (inclusive português) você poderá oferecer e controlar os seguintes serviços na sua rede (considerando a versão 1.4.x):

  • cliente e servidor DHCP
  • DNS dinâmico
  • Lista de estações
  • Proxy HTTP / FTP (squid)
  • IDS (snort)
  • Log local ou remote
  • cliente e servidor NTP
  • servidor SSH
  • Traffic shaping
  • Statefull firewall
  • IPSEC VPN
  • DMZ

Para instalá-lo você precisa apenas do seguinte hardware:

  • Processador compatível com i386 ou alpha architecture
  • Memória RAM de 12 MB à 4 GB
  • HD IDE, SCSI, SATA ou RAID com pelo menos 250MB disponível
  • placas de rede

Para obtê-lo basta entrar na seção Download do site oficial em http://www.ipcop.org, onde também é possível encontrar diversos documentos com lista de compatibilidade de hardware, manual de instalação, uso e muito mais.

M0n0wall

Este camarada, que para ser excêntrico que usa 0’s ao invés de O’s, é um FreeBSD (não Linux) e ocupa menos de 12MB em disco e requer apenas 64MB de RAM.

Quem acha que tamanho não é documento está equivocado. A lista de recursos do Monowall é longa, como nota-se:

  • web interface (supports SSL)
  • interface console serialpara recuperação do sistema
  • suporte wireless
  • captive portal
  • 802.1Q VLAN support
  • stateful firewall
  • NAT/PAT
  • DHCP client, PPPoE, PPTP and Telstra BigPond Cable support on the WAN
  • interface
  • IPsec VPN tunnels
  • PPTP VPN (com suporte ao servidor RADIUS)
  • rotas estáticas
  • Servidor DHCP
  • DNS
  • DNS dinâmico
  • agente SNMP
  • traffic shaper
  • gráficos de tráfego baseado em SVG
  • Atualização de firmware através do navegador web
  • Wake on LAN client
  • configuration backup/restore
  • host/network aliases

Embora seja destinado ao uso em “embdded PCs”, ele funciona bem em qualquer hardware genérico.

O software pode ser adquirido na seção Download do site oficial (http://m0n0.ch/wall/), onde tambémhá uma boa quantidade informações e farta documentação.

Zeroshell

Com pouco mais 350MB este LiveCD permite configure a segurança da rede como quiser, via navegador web, e se gostar basta instalá-lo no HD.

Na lista de recursos temos:

  • Balanceamento de carga e Tolerâcia à falhas para multiplas conexões Internet
  • Suporte à conexão UMTS/HSDPA usando modems 3G
  • Servidor RADIUS com autenticação LDAP/NIS
  • Captive Portal
  • QoS
  • Proxy HTTP com antivirus (Clamav)
  • Acesso Wireless
  • L2TP/IPSec VPN
  • roteamento estático e dinâmico
  • bridge 802.1d
  • VLAN 802.1q
  • statefull firewall
  • Trafic shapping
  • NAT
  • port forwarding para criar virtual servers
  • DNS multizona
  • Servidor DHCP com várias subredes
  • DNS dinâmico
  • servidor NTP
  • Syslog
  • Kerberos 5
  • Interoperabilidade com Windows AD

Algum tempo atrás eu fiz uns testes com esta ferramenta e duas coisas que me desagradaram foram:

  1. A falta de integração entre alguns serviços (Uma máquina cadastrada no DHCP, por exemplo, não necessariamente estará no DNS, o mesmo ocorre com o cadastro de usuários para alguns serviços)
  2. Alguns recursos são acessíveis apenas, apos você solicitar uma chave de autorização que é concedida para aqueles quem colaborar com o projeto de alguma forma (banners e textos em blogs, tradução da documentação, doação, desenvolvimento de plugins, correção de bugs etc)

Uma centralização nos cadastros seria muito bem vinda. Quanto ao segundo item, não é totalmente ruim já que garante a divulgação do projeto, mas ainda assim é um pouco radical.

Para obtê-la basta entrar no site oficial (http://www.zeroshell.net/eng/), onde além do software em si será possível ver a documentação disponível.

Coyote Linux

Este é um projeto para criar uma distribuição Linux com a finalidade de ser um roteador, iniciado em 98. Por algum motivo o seu autor resolveu descontinuar o projeto em 2005 – quando nasceu o BrazilFW (vide abaixo sobre ele). Como o software embora obsoleto continuou sendo baixado e usado, em janeiro de 2009o autor reabriu o projeto, mas desta vez como uma ferramenta comercial, embora disponibilizando a ferramenta gratuitamente no site.

A última versão (versão 4) é cerca de 50 vezes maior que a versão anterior (versão 3) e 500 vezes maior que as anteriores (versões 1 e 2) [6]. Isso significa que não é mais uma distribuição que caiba em disquetes – mesmo porque eles não existem mais, então não haveria porque manter esta limitação no desenvolvimento.

A distribuição está disponível no site oficial (http://coyotelinux.com/downloads/), onde, pasmem, não há qualquer informação útil sobre ele. Se você quer saber o que há de bom no Coyote Linux, não espere encontrar no site oficial.

BrazilFW

Derivado do Coyote Linux, surgiu em 2005, quando o mantenedor daquele sistema resolveu jogar a toalha.

O site oficial é bastante amador (desculpe-me o autor mas não dá pra levar a sério um site baseado em uma ferramenta de fórum em que o admin tem que ficar pedindo pelo amor de Deus para os usuários escreverem no lugar que ele acha certo, ao invés de usarem o fórum como se espera que funcione).

Apesar disso o software é bastante maduro e estável. Com um pouco de trabalho você vai achar várias -mensagens no fórum-, ops, tutoriais explicando o funcionamento do sistema.

Na lista de recursos temos:

  • Servidor/cliente DHCP
  • cliente PPPoE
  • modem Dial-up
  • NAT
  • port forwarding
  • modo bridge
  • servidor SSH
  • QoS
  • proxy
  • stateful e stateless firewall (com suporte ao Layer 7)

O hardware necessário é tão modesto quanto aquele velho PC Pentium III com 256MB de RAM que você encontrou quando comprou o seu “maquinão” atual.

No mais, consulte o fórum (http://www.brazilfw.com.br) e principalmente o Google. Certamente você encontrará as informações desejadas em um ou no outro.

e-Box

O e-Box é uma ferramenta que vai além de apenas gerenciar a segurança da sua rede. Caso você não necessite de muita coisa, ele pode manter a sua infraestrutura completa, indo do Firewall e proxy HTTP até o servidor de arquivos PDC, serviço de webmail, Voip e messenger com o Jabber.

O sistema é baseado na distribuição Ubuntu Linux possui uma lista de recursos longa e sedutora, porém esta é a lista da versão 1.4, e a versão 2.0 já está para sair do forno (aguardando o lançamento do novo 10.04 LTS para que ela seja fechada) com mais novidades.

O software despertou tanto a atenção da Canonical – empresa por trás do ubuntu – que ele possui pacotes disponíveis para instalação já na versão atual do Ubuntu (9.10), de forma que você pode facilmente transformar uma instalação do Ubuntu Desktop em um poderoso servidor altamente gerenciável e amigável.

A lista de recursos é a que segue:

  • Networking
    • Firewall and routing
      • Filtering
      • NAT and port redirections
      • VLAN 802.1Q
      • Support for multiple PPPoE and DHCP gateways
      • Multi-gateway rules, load balancing and automatic failover
      • Traffic shaping (with application layer support)
      • Graphical traffic rate monitoring
      • Network intrusion detection system
      • Dynamic DNS client
    • Network infraestructure
      • DHCP server
      • NTP server
      • DNS server
        • Dynamic updates via DHCP
      • RADIUS server
    • VPN support
      • Dynamic routes autoconfiguration
    • HTTP proxy
      • Internet cache
      • User authentication
      • Content filtering (with categorized lists)
      • Transparent antivirus
    • Intrusion Detection System
    • Mail Server
      • Virtual domains
      • Quotas
      • SIEVE support
      • External account retrieval
      • POP3 and IMAP with SSL/TLS
      • Spam and antivirus filtering
        • Greylisting, blacklisting, whitelisting
      • Transparent POP3 proxy filter
      • Catch-all account
  • Webmail
  • Web server
    • Virtual hosts
  • Certification authority
  • Workgroup
    • Centralized users and groups management
      • Master/slave support
      • Windows Active Directory Synchronization
    • Windows PDC
      • Password policies
      • Support for Windows 7 clients
    • Network resource sharing
      • File server
        • Antivirus
        • Recycle bin
      • Print server
    • Groupware: calendar, address book, webmail, wiki, etc.
    • VoIP server
      • Voicemail
      • Conference rooms
      • Calls through an external provider
      • Call transfers
      • Call parking
      • Music on hold
      • Queues
      • Logs
  • Jabber/XMMP server
    • Conference rooms
  • eBox User Corner for self users info updating
  • Reporting and monitoring
    • Dashboard for centralized service information
    • Monitor CPU, load, disk space, thermal, memory
    • Disk usage and RAID status
    • Summarized and full system reports
    • Event notification via mail, RSS or Jabber
  • Backups (configuration and remote data backup)

O download pode ser feito a partir do site oficial (http://www.ebox-platform.com/), mas como já disse você pode instalar os pacotes do e-Box no seu Ubuntu atual, ao invés de instalar um novo sistema do zero.

Para tal procedimento um “aptitude install ebox” resolverá o problema, mas é sempre recomendável que em se tratando de servidores, não se comece pelas gambiarras. Se você já instalou um desktop, é provável que tenha entulhado de bugingangas que só servirão para abrir brechas de segurança e pesar o sistema, então a minah recomendação, para aqueles que quiserem testar o Ebox, é que instale o sistema do zero.

Untangle

Mais uma ferramenta ao estilo Zeroshell, mas muito mais poderosa, com uma interface melhor trabalhada e amigável e que inclusive pode ser adquirida sob a forma de appliance de verdade com hardware+software.

A página de requisitos induz a tentação de usar o software em qualquer situação apenas fazendo um upgrade no seu servidor. Por exemplo se você tem até 1500 computadores na rede, bastaria um servidor quad-core com 4GB de RAM e 80GB de HD, mas na prática mesmo, se você tem essa quantidade de computadores na rede, apenas um appliance destes poderá não ser suficiente.

Na lista de recursos temos:

  • Captive portal
  • Filtro web (proxy)
  • Filtro de Spyware
  • Filtro de spams
  • filtro de adware
  • filtro de phishing
  • roteamento e QoS
  • IPS
  • antivirus
  • firewall
  • openVPN
  • bloqueio de protocolos (p2p, messenger etc)
  • Relatórios

Na versão comercial além, destas ferramentas, é possível ainda contar com:

  • suporte online
  • filtro web atualizado
  • antivirus comercial Kaspersky
  • balanceamento de links e tolerância à falhas
  • entre outros

Para download, informações ou mesmo adquirir a versão comercial basta acessar o site oficial (http://www.untangle.com).

Endian

Outro Appliance opensource que pode ser adquirido sob a forma de dowload de um sistema à ser intalado bare-metal, ou adquirido como appliance.

Tal como o Untangle o Endian possui uma gigantesca lista de recursos onde se pode inclusive ver uma comparação entre os recursos disponíveis nas suas 10 versões.

Infelizmente a versão “community” não possui alguns recursos interessantes para o uso cotidiano como o Captive Portal e RADIUS que forçam o usuário a logar na rede Wifi e o gerenciamento centralizado para caso você tenha mais de um servidor destes instalado.

Mas nos demais este é um excelente software que não deve ser descartado caso você esteja testando ferramentas com a finalidade de facilitar o gerenciamento da sua rede.

Ao invés de apresentar uma lista como os demais eu deixo aqui o link para a tabela comparativa que citei e sugro que você dê uma olhada em [7].

Muito mais

Eu fiz este levantamento por necessidade de escolher uma ferramenta pque poupasse o meu trabalho de sysadmin na instutição onde trabalho, substituindo assim os vários scripts que fiz.

Nas indas e vindas ao Google eu acabei descobrindo também um artigo escrito pelo Guto Carvalho em 2008 [8], onde ele avaliou alguns destes projetos que listei aqui e outros que não vou cobrir para não reinventar a roda.

Se tivesse visto o artigo dele antes de ter começado o meu trabalho, certamente eu teria poupado um bocado de tempo avaliando o que ele já avaliou. mas de qualquer forma serve para atualizar a lista de recursos e sistemas que ele apresentou.

Na ordem, o artigo dele aborda os softwares a segui, dos quais apenas o 3º e o 7º eu não conferi:
– Zero Shell
– Endian
– Smoothwall
– IPcop
– eBox
– Monowall
– Pfsense

Tendo uma lista de ferramentas é mais fácil para começar os testes. Agora é só baixar, dar boot e avaliar na prática. Não deixem de sugerir outras opções e contar as experiências com estes e outros softwares.

Referências

[1] Proxy HTTP/FTP Squid. Disponível em <http://www.squid-cache.org/>.
[2] SARG Gerador de relatórios do Squid. Disponível em <http://www.zago.eti.br/squid/sarg.html>
[3] OpenLDAP. Disponível em <http://www.openldap.org/>
[4] Projeto FreeRADIUS. Disponível em <http://freeradius.org/>
[5] Wikipedia. Appliance. Disponível em <http://pt.wikipedia.org/wiki/Appliance>
[6] Josh. Coyote switching to Suse Studio for base OS. Disponível em <http://coyotelinux.com/2009/11/coyote-switching-to-suse-studio-for-base-os/>
[7] Endian. Feature Comparison. Disponível em <http://www.endian.com/en/community/feature-comparison/>
[8] Carvalho, Guto. Soluções integradas: livecd + firewall + router. Disponível em <http://gutocarvalho.net/wordpress/archives/247>.

12 comentários em “Ferramentas de gente grande para redes pequenas”

  1. Prezado Welington :

    Estou tentando a instalação do IPcop 1.4.10 e também a 1.4.20 em um computador com disco SATA , e no momento da instalação é solicitado drivers SCSI para continuar… e não consegui estes drivers ou versão que já os inclua, pode me ajudar neste contexto ??

    Agradeço a atenção.

    1. Rapaz, Isso é muito velho! a versão 1.4.10 foi lançada em nov/2005. Tente usar uma versão mais nova a última da séria 1.4 foi lançada em Jul/2009 (a versão 1.4.21), talvez seja por isso que não haja o driver para sua controladora SATA.

      Também há a possibilidade de testar uma versão ainda não estável da série 1.9 (futura série 2.0). A última versão disponível nesta série é a 1.9.16 lançada no início deste último mês de outubro.

      Ambas as versões estão disponíveis em http://sourceforge.net/projects/ipcop/files/ .

  2. Ok ! – Mas a versão 1.4.10 ou a 1.4.20 que já tenho instalada, funciona bem e já com os Addons que necessito, por isso a manutenção destas.

    Porém já baixei a versão 1.9.16 e a instalação em Sata ficou Ok , mas não consegui o acesso via Web para verificação se já comporta os Addons que necessito. – Já estou com ela instalada mas não consegui o acesso via Web, pode me ajudar ??

    Agradeço.

  3. Salve @Marco Túlio ,

    A versão 1.9.16 ainda é uma versão de desenvolvimento então bugs como este são esperados e até por isso não deve ser usada em ambiente de produção. Se você tem certeza que configurou tudo direitinho e ainda assim a interface web não inicia, infelizmente não há nada mais a fazer além de reportar o problema no site do sistema para que eles possam verificar o que está ocorrendo.

    1. Olá meu caro,

      Até onde procurei não há qualquer relação entre o M0n0wall e o Mikrotic, mas não garanto que tenha procurado o suficiente para afirmar que sim nem que não. De qualquer forma acredito que o serviço básico a qual eles se propõem a fazer sejam realmente similares. Quanto a ser mais amigável ou não, isso já passa a ser uma questão pessoal e qualquer opinião sobre este campo envolve um pouco de experiência individual.

      abç

  4. Caro amigo… Muito bom este artigo….

    Preciso de ajuda, estou com um problema aqui na instalação do ipcop.. Instalei a versão 2.0, porem não achei o addon URL FILTER para esta versão. Voce sabe se há este addon para esta versão? Bom, como não achei addon, decidi instalar uma versão anttiga. Tentei a 1.4.20, mas da erro na hora de instalação. Quando o boot esta iniciando, antes mesmo da tela de seleção de linguagem…aparece a seguinte mensagem: “Kernel panic: attempted to kill init”. Testei com varias imagens e varias versões da 1.4 e repitiu o erro. Voce sabe o que pode estar causando esse erro?
    Agradeço…..

    1. Olá meu caro,

      O addon url filter não é desenvolvido pela equipe do ipCop e por isso deve haver alguma defasagem entre ambos os projetos – e há. No site do UrlFilter[1] vemos que as últimas atualizações foram em 2008 então se você precisa deste recurso sugiro não usar um software tão antigo, pois como você mesmo constatou as coisas podem não sair como esperado. Quanto ao “kernel panic”, isso pode ter sido provocado por algum problema de hardware. Teste a memória, discos rígidos, verifique se não há oxidação, mal contatos etc e depois tente uma instalação limpa novamente.

      [1] http://www.urlfilter.net/

  5. Já testei a maioria deles, e até então venho trabalhando com o qual vocês não testou: PfSense, acredito que seja o software com o maior número de usuários em fóruns e certamente o mais utilizado.
    Minha opinião, o mais confiável.
    (testei todas as possibilidades possíveis com versões, restauração de backups, troca de placas de redes, etc) e foi o que teve uma maior estabilidade.

    1. Concordo com você Lucas. Trabalho com o PFSense há 5 anos e apesar da necessidade de conhecimento técnico intermediário o sistema, em minha opinião, tem sido uma ferramenta extremamente poderosa. Sou sysadmin em um colégio que possui uma rede utilizada por alunos e professores para pesquisas e trabalhos, a necessidade de controlar filtros e gerar relatórios me levou a uma verdadeira “saga” na internet, quando testei o BrazilFW é o PFSense. O BrazilFW é bem mais intuitivo, interface gráfica minimalista e pt-BR como idioma padrão. O PFSense é mais completo e complexo porém foi o que eu precisava para monitoramento, controle e geração de relatórios.

      Parabéns Welington pela matéria. Não conhecia o M0n0wall, vou experimentar.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.