2010 09-22 infra rn security meeting - palestra firewalls opensource
TRANSCRIPT
Eduardo Coelho
http://coelho.ithub.com.br
Eduardo Coelho
Porque isso muda tudo BSD license x GPL
Firewall Opensource
Linux
FreeBSD
OpenBSD
Netfilter/Iptables (+IProute2+HTB/CBQ)
IPFW
PF
Absurdamente rápidos
Processam tráfego de rede
By default já rodam no kernel
Features incluem:
Statefull inspection
QoS/Priorization
Static Routing
Dynamic Routing*
Fwbuilder
Shorewall
Instalação no Debian:
#aptitude install shorewall
Quick Start Guide:
http://www.shorewall.net/
shorewall_quickstart_guide.htm
Instalação no Debian:
#aptitude install fwbuilder
OBS: requer X instalado
Instalação Windows (comercial)
http://www.fwbuilder.com
17 MB download
Next->Next->Finish
Quick Start Guide:
http://www.fwbuilder.org/
4.0/docs/users_guide/
gettingstarted.html
Licença dupla GPL+Comercial
Versão Windows empacotada somente na comercial
Suporte diversos firewalls, incluindo Netfilter, IPFW, PF
GUI
Squid
Dansguardian
Instalação no Debian:
#aptitude install squid
É um Proxy HTTP (Acelerador)
Possibilidade de Gerar Relatórios (SARG)
Config Examples:
http://wiki.squid-cache.org/
ConfigExamples/
Faz uso intenso de RAM, HD e CPU e na maioria dos casos requerer um hardware de PC/Server
Possui uma grande comunidade de usuários
Curva de aprendizado lenta
Permite controle de banda simples via delay_pools (controle de taxa de transferência para download)
Pode ser usado como Reverse Proxy (Acelerador de Aplicação)
Instalação no Debian:
#aptitude install dansguardian
Processa 100% do conteúdo via String Match
Ubuntu Config Example:
http://www.pilpi.net/journal/
2006/03/setting-up-
dansguardian-on-a-single-home-
pc-running-ubuntu/
Não faz cache
É usado normalmente em conjunto com o squid
Possui uma grande comunidade de usuários
É usado em milhares de escolas, bibliotecas e faculdades para filtragem de conteúdo web
Vyatta
Pfsense
Untangle
Monowall
Smoothwall
Zentyal
IPCop
Endian
ClearOS
Zeroshell
Proxmox
Pfsense
Monowall
IPCop
Zeroshell
Administração Web
Principais features
Statefull firewall
VPN
Traffic Shapping
DHCP
DNS
ISO = 18MB (!)
Administração Web
Principais features
Statefull firewall
VPN
Traffic Shapping
DHCP
DNS
ISO = 65MB
Administração Web Principais features Statefull firewall VPN Traffic Shapping DHCP DNS HTTP Proxy + Web antivirus LDAP SSL CA
VMware friendly ISO = 148MB
Administração Web
Principais features
Statefull firewall
VPN
Traffic Shapping
DHCP
DNS
ISO = 51MB
Vyatta
Untangle
Smoothwall
Zentyal
Endian
ClearOS
Proxmox
Antigo E-BOX Principais features
Statefull firewall VPN Traffic Shapping DHCP DNS LDAP HTTP Proxy IDS SSL CA Zarafa (groupware) Samba Duplicity (backup) Jabber Asterisk Postfix
ISO = 470MB Install Only
Principais features
Statefull firewall
VPN
Traffic Shapping
DHCP
DNS
LDAP
HTTP Proxy
SSL CA
Postfix
ISO = 700MB
Mail Gateway
Principais features Statefull firewall VPN Traffic Shapping DHCP DNS LDAP SQL SSH
VMware friendly Suporte embutido para Kaspersky e
Avira
ISO = 345MB
CLI e WebGUI Opção para gateway de alto desempenho Posiciona-se como alternativa opensource a
Cisco e Juniper Principais features Statefull firewall VPN Traffic Shapping DHCP DNS LDAP QoS Bonding Load balancing Dynamic Routing
ISO = 164MB Boot CD
Estrutura de pacotes grátis e pagos facilita o licenciamento
Principais features Statefull firewall VPN Traffic Shapping DHCP DNS LDAP HTTP Proxy IDS SSL CA Samba
ISO = 456MB
Principais features Statefull firewall VPN Traffic Shapping DHCP DNS LDAP HTTP Proxy IDS SSL CA Samba Asterisk Postfix
ISO = 78MB Install Only (No Live)
Principais features Statefull firewall VPN Traffic Shapping DHCP DNS LDAP HTTP Proxy IDS Samba Postfix
High availability NTLM SSO Hotspot
Hardware e Software Appliance
ISO = 130MB
OSSEC
Snort
SELinux
AppArmor
Tripwire
Fakeroot
Virtualização
http://coelho.ithub.com.br
