Quero contar a experiência que tive com Linux como firewall e o que motivou a sua troca para outro tipo de firewall.
NO LINUX
Na rede que eu administro há diversos serviços, tais como: FTP, Email, Black Berry (BES) e outros softwares na área de petróleo. Em nosso ambiente, possuímos o Debian 3.2 com IP Tables para regras de firewall, Amavis como antivírus, e serviço de anti-spam. Todos estes serviços rodavam em um desktop Pentium 4, com 512 de memória RAM.
Todo o procedimento de atualização e de mudança de regras era feito na velha tela preta com letras brancas, com comando extensos e outros um pouco complicados. Apesar dessa pequena dificuldade, o sistema é muito estável e trouxe poucos problemas.
NO FORTIGATE
Com os sistemas acima, tive que transferir todas as regras que tinha no Linux para o novo equipamento. Com a interface gráfica, não tive problema algum, mesmo sendo uma pessoa leiga no produto.
A facilidade de configuração das regras e visualização de logs de forma clara e objetiva é muito eficiente, o que não existia no Linux. A sua interface pode ser acessada de duas formas, web e SSH, ou para pessoas que desejam digitar linhas de comando há uma parte só pra isso.
A criação de VPNs, SSL e PPTP é extremante fácil, com vários algoritmos de criptografia. Suas telas e a criação das regras são tão amigáveis que fornecem várias possibilidades na administração da rede com total segurança.
VANTAGENS E DESVANTAGENS ADQUIRIDAS
Hoje, as empresas não estão se importando se é software livre ou software pago. O que elas querem saber é: vai resolver meu problema de forma rápida e eficaz? Terei suporte durante e após instalação? Terei uma equipe com técnicos especializados no produto a ser comprado para me atender quando necessário?
Eu optei pela troca devido ao crescimento da empresa e pelas necessidades, tais como a VPN. Precisava conectar pessoas e escritórios em diversos lugares de forma rápida e simples; precisava de melhor administração dos eventos ocorridos no firewall; precisa de IDS, que por trás havia uma empresa responsável pela atualização do meu equipamento, e se ocorresse algum problema eu tinha com quem reclamar e exigir meus direitos.
O Fortigate é um tipo de appliance, que é um equipamento desenvolvido e configurado para executar uma função específica dentro de um sistema, bem diferente do Linux, que nasceu para controlar diferentes tipos de hardwares.
Resumindo: ganhei em novos recursos, em facilidade e melhor administração. Perdi na economia, pois no Fortigate é necessário pagar as licenças de uso para Antivírus, AntiSpam, Anti-Spyware, IDS e Web Filtering.
RECOMENDAÇÕES PARA LEITURA
Mais não deixo o Linux de lado, ele é o meu backup. Já escrevi vários assuntos sobre o Linux como backup. Leia:
Firewall com Linux de uma maneira fácil
Firewall Sobressalente? Plano de contingência
Software Livre e suas liberdades
Firewall uma questão de escolha
Até mais!
Comigo ocorreu justamente o inverso, utilizávamos uma solução semelhante ao FortiGate, o BRmultiaccess, que, embora fosse eficaz no que se propunha, era bastante limitada para outras utilizações. O que fizemos? Desenvolvemos nossas próprias soluções diretamente no Linux, claro que para isso tivemos todo o apoio da empresa, pois essa não é uma tarefa fácil nem rápida.
Hoje, executamos vários outros serviços que essas soluções fechadas não oferecem, ou seja, temos toda a flexibilidade que uma distribuição Linux comum oferece, além de um maior entendimento das ferramentas utilizadas, já que todo o desenvolvimento e configuração foram feitos por nós, e a vantagem de não precisar pagar nenhuma taxa de licença/manutenção.
Sem contar que tivemos a oportunidade impar de aprimorar bastante nossos conhecimentos na plataforma Linux e em seus serviços, o que não aconteceria se ainda estivéssemos utilizando o BRmultiaccess.
Não sou contra a utilização de soluções fechadas, em alguns casos acho até interessante, mas isso poda bastante a criatividade e o aprendizado do administrador da rede.
Ah! O FortiGate, assim como o BRmultiaccess, é executado sobre o Linux, ou seja, é uma distribuição Linux dedicada. Acho muito provável que deva utilizar as mesmas ferramentas livres que temos disponíveis em uma distribuição comum: iptables, squid, postfix, sendmail, apache, snort, openVpn, PHP, MySQL etc.
Oi Eduardo!
Tem um selo no Info-Macross esperando você!!
Um abraço!
Sandra
Eduardo, cai nesta pagina por acaso. Bom primeiro quero parabeniza-lo pela troca, o Fortigate e um otimo UTM, nao da para comparar com Linux, que filtra o pacote somente na camada 3. Outra coisa ele nao e um Linux como varias pessoas pessam. Sou um profissional Certificado Check Point e Fortinet, moro no Canada a quase 2 anos e aqui Fortinet esta dominando o mercado, pois tem um excelente custo beneficio. Bom vc tem meu e-mail se precisar de uma mao posso ajuda-lo.
Ah so um ultimo comentario, nao da para comparar um BRmultiaccess com um Fortigate.
Abs;
@Patrick Duglay,
Obrigado pelo comentario e parabens pelo seu blog….
Abraços
Eduardo, saudações!
Assim como o colega Patrick Duglay, também vim parar no seu blog por acaso… E parabenizo-o pela página.
Sou profissional de informática há 24 anos, e já implantei e administrei várias soluções de redes — inclusive segurança: ISS, Cisco, SonicWall, Barracuda, FortiGate, Astaro, CheckPoint, Juniper… além de soluções UTM em software, baseadas em Linux: Endian (também disponível em Appliance), Untangle, ClarkConnect, SecurePoint (também em Appliance) dentre outras — além, é claro, do nosso amigo ISA Server… E, por fim, sim!, eu já usei IPTables/Netfilter…
Depois de toda essa experiência tenho a dizer que os firewalls modernos não podem, simplesmente, abrir ou fechar portas. Não basta configurar comandos do tipo “iptables -A FORWARD -p tcp –dport PORTA-X -i eth1 -j DROP”… Isso, hoje, é pouco, face às ameaças cibernéticas! Como o colega Patrick afirmou o IPTables é filtro de pacotes; isto é, firewall de camada 3. Hoje os firewalls têm que suportar análises na Camada de Aplicação, de modo a verificar e filtrar o que estiver passando pelas portas abertas, e prevenir possíveis “exploitations” nos servidores. Ou seja, não basta abrir portas — há que se saber o que está passando por elas! Há que se ter IDS, IPS e (o novo conceito de) ADS – Anomaly-based Intrusion Detection System, um sistema baseado em heurísticas e/ou regras, que detecta comportamento anômalo no sistema ou na rede…
O equipamento que você adquiriu é um UTM. E UTM (Unified Threat Management – ou “gerenciamento unificado de ameaças”) é, como o nome já sugere,uma solução que unifica várias tecnologias de segurança, em conjunto com tecnologias de roteamento, gerenciamento de conexões, monitoramento de tráfego, análise de pacotes, e outras funções — incluindo suporte aos protocolo VoIP, e, claro, acessos VPN. Mas no horizonte já surge um NOVO conceito de segurança, o XTM (eXtensible Threat Management), que vem a ser uma evolução do UTM, com novas “features” necessárias à gerência de segurança/conexões de redes.
Recomendo que você leia o seguinte artigo sobre um teste feito com UTM’s em 2007 (incluindo o FortiGate; no caso, o modelo 3600A), e os resultados obtidos. Acesse: http://www.networkworld.com/reviews/2007/111207-utm-firewall-test.html
Que fique bastante claro que eu não tenho NADA contra o Linux! Mas como profissional de redes e segurança, considero que o IPTables, sozinho (sem a companhia de outras soluções mais eficientes, principalmente de Camada 7), não é mais sinônimo de segurança. E convido você a conhecer outras soluções UTM baseadas em Linux. Elas também têm interface simplificada de configuração e administração, e são gratuitas. Eu sei que, já que você fez o investimento no FortiGate, obviamente não vai trocá-lo por essas soluções, mas vale como conhecimento e curiosidade…
Sucesso e abraços.
@André
Tenho o mesmo pensamento…. Obrigado pelo comentário.
Eduardo
Uma duvida, é possível connectar pelo linux no VPN da Fortinet? Como posso fazer?
Sim, Qual protocolo que você vai usar?, IPSEC, se você tiver um client ele conectará.
Na verdade a pessoal responsavel só me passou um arquivoc.vpl e já esta tudo configurado.
É IPSec.
@Adriano,
Este aquivo VPL esta toda configuração necessaria, criptografada, no entando, você ira precisar do FortiClient e importa este arquivo, assim você conseguirar ver toda configuração, menos a senha.
Abraços
Eduardo
Eduardo, o firewall da minha empresa é Check-Point, mas em uma das filiais adquiriram o Fortigate 200. Estou tentando fechar uma VPN entre os dois, via IPSEC, sem sucesso. Alguns amigos me disseram que os dois não se falam. No UserCenter da CheckPoint encontrei material suficiente para executar o procedimento, no Fortigate é bem simples, porém não tive sucesso.
Voce já ouviu algo a respeito?
Obrigada.
@Luciene,
Tenho certeza que isto é possivel fazer, ampos falam IPSec, Server to server, Você habilitou a regra no Firewall? Policy!
Eduardo
Estou com um problema, quando uso a VNP (Win ou Linux) sem usar o FortiClient, não consigo navegar na internet, só da para usar a VPN, isso é normal? tem como resolver isso?
Conectei usando PPTP.
@Adriano,
Tive também este tipo de problema, você de colocar uma regra no seu Fortigate de Wan to Wan, permetindo a Internet. Ou configurar o gateway de saida da sua conexão VPN para sua internet local.
Eduardo
Eduardo,
Também vim parar no seu Blog por acaso, sou analista de segurança e trabalho com várias soluções para este segmento. Sou certificado Fortinet e trabalho com implantações do produto. A solução é muito boa e está crescendo bastante no Brasil, parabéns pela aquisição e pelo modo de pensar na comparação Linux x UTM. Boa sorte e sucesso!
Abs,
Celso
@Celso
Estou numa empresa que utiliza o UTM Fortinet, e com isso, estou querendo estudar um pouco esse produto. Entao lhe pergunto se voce tem material de configuração e afins, livro, alguma coisa que de para estudar essa ferramenta. ex_mar@hotmail.com
Sds
Tudo isso porque vc ainda não uso Mikrotik!!!
Experimente e vera.
Ola passei ai por acaso…
Não defendendo o linux ou qualquer um, e sim para tentar deixar um pouco mais claro.
Praticamente todos UTM roda um SO dentro dele o qual é responsável por uma boa parte da sua capacidade e desempenho,
Comparar a troca de um linux com iptable com um UTM e como querer comparar Laranja com maça, iptables é uma função realizada por um UTM.
Agora se vc quer segurança uma solução baseada em BSD é muito melhor ( lembrando BSD e baseado em unix e não linux).
No caso da solução Fortinet, e obvio que um equipamento e um software configurado projetado para uma operação especifica seja melhor que uma solução genérica.
MAS DEIXANDO BEM CLARO Fortinet usa um S.O. Chamado de FORTIOS o qual não é um Linux mesmo é um desentende del baseado nele usa seu núcleo ou kernel, antes que falem que não e tudo mais alguns especialistas a empresas da Fortinet foi processada por quebra GPL por usa linux e não divulgar isso ou pior falar que não tem nada de linux.
DAR o Mérito da qualidade e eficiência do equipamento e valido mais não por desmérito de outro como o Linux, que compõe o próprio equipamento.
USe um linux com interface web fica bonitinho, configure e recopile um kernel especifico para o que vc quer com as devidas ferramentas de IPS e tudo mais como bem lembrado hoje um sistema de segurança não é mais controla porta (Qual quer SO faz mais que isso, lembrando um SO trabalha da camada 2 a 7 tranquilamente),
lembrando não instale ele naque PC velho montado com nao sei que peças o qual não foi feito para isso, placa de rede com buffer baixo, isso torna o sistema ruim
Novamente só para deixar um pouco mais claro e nao tirar os mérito e nao comparar laranja com maça.
Para quem quiser pode ver o termo de violação no link abaixo, lembrando a GPL é umas das maiores certificação que existe
http://gpl-violations.org/news/20050414-fortinet-injunction.html
abracos