Quero contar a experiência que tive com Linux como firewall e o que motivou a sua troca para outro tipo de firewall.
NO LINUX
Na rede que eu administro há diversos serviços, tais como: FTP, Email, Black Berry (BES) e outros softwares na área de petróleo. Em nosso ambiente, possuímos o Debian 3.2 com IP Tables para regras de firewall, Amavis como antivírus, e serviço de anti-spam. Todos estes serviços rodavam em um desktop Pentium 4, com 512 de memória RAM.
Todo o procedimento de atualização e de mudança de regras era feito na velha tela preta com letras brancas, com comando extensos e outros um pouco complicados. Apesar dessa pequena dificuldade, o sistema é muito estável e trouxe poucos problemas.
NO FORTIGATE
Com os sistemas acima, tive que transferir todas as regras que tinha no Linux para o novo equipamento. Com a interface gráfica, não tive problema algum, mesmo sendo uma pessoa leiga no produto.
A facilidade de configuração das regras e visualização de logs de forma clara e objetiva é muito eficiente, o que não existia no Linux. A sua interface pode ser acessada de duas formas, web e SSH, ou para pessoas que desejam digitar linhas de comando há uma parte só pra isso.
A criação de VPNs, SSL e PPTP é extremante fácil, com vários algoritmos de criptografia. Suas telas e a criação das regras são tão amigáveis que fornecem várias possibilidades na administração da rede com total segurança.
VANTAGENS E DESVANTAGENS ADQUIRIDAS
Hoje, as empresas não estão se importando se é software livre ou software pago. O que elas querem saber é: vai resolver meu problema de forma rápida e eficaz? Terei suporte durante e após instalação? Terei uma equipe com técnicos especializados no produto a ser comprado para me atender quando necessário?
Eu optei pela troca devido ao crescimento da empresa e pelas necessidades, tais como a VPN. Precisava conectar pessoas e escritórios em diversos lugares de forma rápida e simples; precisava de melhor administração dos eventos ocorridos no firewall; precisa de IDS, que por trás havia uma empresa responsável pela atualização do meu equipamento, e se ocorresse algum problema eu tinha com quem reclamar e exigir meus direitos.
O Fortigate é um tipo de appliance, que é um equipamento desenvolvido e configurado para executar uma função específica dentro de um sistema, bem diferente do Linux, que nasceu para controlar diferentes tipos de hardwares.
Resumindo: ganhei em novos recursos, em facilidade e melhor administração. Perdi na economia, pois no Fortigate é necessário pagar as licenças de uso para Antivírus, AntiSpam, Anti-Spyware, IDS e Web Filtering.
RECOMENDAÇÕES PARA LEITURA
Mais não deixo o Linux de lado, ele é o meu backup. Já escrevi vários assuntos sobre o Linux como backup. Leia:
Firewall com Linux de uma maneira fácil
Firewall Sobressalente? Plano de contingência
Software Livre e suas liberdades
Firewall uma questão de escolha
Até mais!
Comigo ocorreu justamente o inverso, utilizávamos uma solução semelhante ao FortiGate, o BRmultiaccess, que, embora fosse eficaz no que se propunha, era bastante limitada para outras utilizações. O que fizemos? Desenvolvemos nossas próprias soluções diretamente no Linux, claro que para isso tivemos todo o apoio da empresa, pois essa não é uma tarefa fácil nem rápida.
Hoje, executamos vários outros serviços que essas soluções fechadas não oferecem, ou seja, temos toda a flexibilidade que uma distribuição Linux comum oferece, além de um maior entendimento das ferramentas utilizadas, já que todo o desenvolvimento e configuração foram feitos por nós, e a vantagem de não precisar pagar nenhuma taxa de licença/manutenção.
Sem contar que tivemos a oportunidade impar de aprimorar bastante nossos conhecimentos na plataforma Linux e em seus serviços, o que não aconteceria se ainda estivéssemos utilizando o BRmultiaccess.
Não sou contra a utilização de soluções fechadas, em alguns casos acho até interessante, mas isso poda bastante a criatividade e o aprendizado do administrador da rede.
Ah! O FortiGate, assim como o BRmultiaccess, é executado sobre o Linux, ou seja, é uma distribuição Linux dedicada. Acho muito provável que deva utilizar as mesmas ferramentas livres que temos disponíveis em uma distribuição comum: iptables, squid, postfix, sendmail, apache, snort, openVpn, PHP, MySQL etc.
Oi Eduardo!
Tem um selo no Info-Macross esperando você!!
Um abraço!
Sandra
Eduardo, cai nesta pagina por acaso. Bom primeiro quero parabeniza-lo pela troca, o Fortigate e um otimo UTM, nao da para comparar com Linux, que filtra o pacote somente na camada 3. Outra coisa ele nao e um Linux como varias pessoas pessam. Sou um profissional Certificado Check Point e Fortinet, moro no Canada a quase 2 anos e aqui Fortinet esta dominando o mercado, pois tem um excelente custo beneficio. Bom vc tem meu e-mail se precisar de uma mao posso ajuda-lo.
Ah so um ultimo comentario, nao da para comparar um BRmultiaccess com um Fortigate.
Abs;
@Patrick Duglay,
Obrigado pelo comentario e parabens pelo seu blog….
Abraços
Eduardo, saudações!
Assim como o colega Patrick Duglay, também vim parar no seu blog por acaso… E parabenizo-o pela página.
Sou profissional de informática há 24 anos, e já implantei e administrei várias soluções de redes — inclusive segurança: ISS, Cisco, SonicWall, Barracuda, FortiGate, Astaro, CheckPoint, Juniper… além de soluções UTM em software, baseadas em Linux: Endian (também disponível em Appliance), Untangle, ClarkConnect, SecurePoint (também em Appliance) dentre outras — além, é claro, do nosso amigo ISA Server… E, por fim, sim!, eu já usei IPTables/Netfilter…
Depois de toda essa experiência tenho a dizer que os firewalls modernos não podem, simplesmente, abrir ou fechar portas. Não basta configurar comandos do tipo “iptables -A FORWARD -p tcp –dport PORTA-X -i eth1 -j DROP”… Isso, hoje, é pouco, face às ameaças cibernéticas! Como o colega Patrick afirmou o IPTables é filtro de pacotes; isto é, firewall de camada 3. Hoje os firewalls têm que suportar análises na Camada de Aplicação, de modo a verificar e filtrar o que estiver passando pelas portas abertas, e prevenir possíveis “exploitations” nos servidores. Ou seja, não basta abrir portas — há que se saber o que está passando por elas! Há que se ter IDS, IPS e (o novo conceito de) ADS – Anomaly-based Intrusion Detection System, um sistema baseado em heurísticas e/ou regras, que detecta comportamento anômalo no sistema ou na rede…
O equipamento que você adquiriu é um UTM. E UTM (Unified Threat Management – ou “gerenciamento unificado de ameaças”) é, como o nome já sugere,uma solução que unifica várias tecnologias de segurança, em conjunto com tecnologias de roteamento, gerenciamento de conexões, monitoramento de tráfego, análise de pacotes, e outras funções — incluindo suporte aos protocolo VoIP, e, claro, acessos VPN. Mas no horizonte já surge um NOVO conceito de segurança, o XTM (eXtensible Threat Management), que vem a ser uma evolução do UTM, com novas “features” necessárias à gerência de segurança/conexões de redes.
Recomendo que você leia o seguinte artigo sobre um teste feito com UTM’s em 2007 (incluindo o FortiGate; no caso, o modelo 3600A), e os resultados obtidos. Acesse: http://www.networkworld.com/reviews/2007/111207-utm-firewall-test.html
Que fique bastante claro que eu não tenho NADA contra o Linux! Mas como profissional de redes e segurança, considero que o IPTables, sozinho (sem a companhia de outras soluções mais eficientes, principalmente de Camada 7), não é mais sinônimo de segurança. E convido você a conhecer outras soluções UTM baseadas em Linux. Elas também têm interface simplificada de configuração e administração, e são gratuitas. Eu sei que, já que você fez o investimento no FortiGate, obviamente não vai trocá-lo por essas soluções, mas vale como conhecimento e curiosidade…
Sucesso e abraços.
@André
Tenho o mesmo pensamento…. Obrigado pelo comentário.
Eduardo
Uma duvida, é possível connectar pelo linux no VPN da Fortinet? Como posso fazer?
Sim, Qual protocolo que você vai usar?, IPSEC, se você tiver um client ele conectará.
Na verdade a pessoal responsavel só me passou um arquivoc.vpl e já esta tudo configurado.
É IPSec.
@Adriano,
Este aquivo VPL esta toda configuração necessaria, criptografada, no entando, você ira precisar do FortiClient e importa este arquivo, assim você conseguirar ver toda configuração, menos a senha.
Abraços
Eduardo
Eduardo, o firewall da minha empresa é Check-Point, mas em uma das filiais adquiriram o Fortigate 200. Estou tentando fechar uma VPN entre os dois, via IPSEC, sem sucesso. Alguns amigos me disseram que os dois não se falam. No UserCenter da CheckPoint encontrei material suficiente para executar o procedimento, no Fortigate é bem simples, porém não tive sucesso.
Voce já ouviu algo a respeito?
Obrigada.
@Luciene,
Tenho certeza que isto é possivel fazer, ampos falam IPSec, Server to server, Você habilitou a regra no Firewall? Policy!
Eduardo
Estou com um problema, quando uso a VNP (Win ou Linux) sem usar o FortiClient, não consigo navegar na internet, só da para usar a VPN, isso é normal? tem como resolver isso?
Conectei usando PPTP.
@Adriano,
Tive também este tipo de problema, você de colocar uma regra no seu Fortigate de Wan to Wan, permetindo a Internet. Ou configurar o gateway de saida da sua conexão VPN para sua internet local.
Eduardo