Costruire un potente firewall con Endian Community
A distanza di tempo dall’articolo “Firewall professionale riutilizzando vecchio hardware“, con qualche esperienza in piu’ voglio sottolineare la potenza e la flessibilita’ di questo prodotto Open Source che davvero rende la vita piu’ semplice a chi deve amministrare e proteggere una rete.
Endian Firewall anche nella versione Community ha tutte le funzionalita’ di un UTM di fascia professionale, l’unica cosa di un certo spessore che manca e’ la gestione degli Hotspot che merita un plauso a parte ma e’ presente solo nella versione a pagamento.
E’ inutile che mi dilungo piu’ di tanto nell’elencare nelle varie specifiche del prodotto che potete trovare in modo dettagliato sul sito, voglio soffermarmi invece su alcuni punti che mi stanno a cuore in questo periodo.
La problematica.
Mi riferisco alla gestione del traffico dati inteso come contenuti ed alla protezione della rete. Diversi clienti mi lamentano il fatto che i propri dipendenti stanno piu’ tempo a spulciare Facebook che a lavorare. In base al decreto sulla privacy il titolare non puo’ permettersi di andare dal dipendente e dire che la deve smettere di usare questo o quel sito perche’ appunto e’ violazione della privacy.
Un altro punto scottante per esempio e’ che se un dipendente va su un sito pedopornografico e la polizia postale intercetta il traffico e prosegue con una indagine fara’ sicuramente capo alla linea da cui sono transitati i dati. Visto che la linea e’ aziendale, a chi secondo voi verra’ fatta la denuncia?
Il titolare ovviamente dovra’ rispondere del comportamento di un dipendente senza sapere chi come e dove e questa non e’ una cosa simpatica.
Come la risolviamo?
Parto dal fatto che l’uso di internet in ambiente aziendale sia da considerare come una manna a livello lavorativo ma dobbiamo in un qualche modo proteggerci da questi comportamenti scorretti e l’adozione del content filter e’ la soluzione piu’ immediata e vincente.
Per dare una risposta, prima cosa mi sono assemblato un bel serverino adatto all’uso utilizzando il seguente hardware.
- Super Micro SuperServer 5015A-H
- HDD 40GB SATA 2.5″ 5400 rpm * riciclato da un notebook rotto
- Scheda di rete Gigabit PCI * riciclato da un vecchio pc
- DDR2 1gb * riciclato da un vecchio pc
- Super Micro Riser Card PCI32 CSE-RR32-1U
Assemblata la macchina ho ottenuto un bel giocattolino da poter inserire in un rack con dignitosa potenza, dissipazione e robustezza con un costo di poco piu’ di € 400,00.
n.b. Endian Firewall Community puo’ lavorare dignitosamente su uno qualsiasi dei vecchi catorci presenti in ufficio. La configurazione indicata e’ stata fatta solo per avere una macchina da inserire in un RACK.
Per intenderci, Facebook non e’ mai navigabile ad eccezione dalle 13.00 alle 15.00 come da regole … Il risultato e’ +/- questo “caro dipendente, se vuoi andare su Facebook ci vai durante la pausa pranzo, sui siti porno ci vai da casa tua”.
n.b. Qualche dipendente furbetto potrebbe aggirare il content filter utilizzando proxy esterni, per ovviare questa tecnica basta inibire l’accesso a proxy.
Dopo aver usato per oltre 2 mesi questo prodotto e dopo aver ottenuto risultati eccezionali sono diventato Endian Partner e sto’ proponendo ai miei clienti la versione commerciale (che offre un supporto migliore sia dal punto di vista degli aggiornamenti che in caso di problematiche).
Endian Community rimane comunque un eccellente prodotto, se avete problematiche simili e/o avete utilizzato altri prodotti vi prego di commentare questo articolo …
Pingback: Quale antivirus gratis installare su Windows 2003 server ?
Ciao :-)
Complimenti per il post. Ho appena provato ad installare Endian su una macchina di prova con 3 schede di rete.
Sai come connettersi da remoto per la configurazione nella zona RED ?
Sul router ho girato tutte le porte verso il firewall, ma connettendomi sulla https://indirizzo:10443 , non mi fa accedere. Devo cambiare qualche impostazione ?
Grazie per l’eventuale risposta !
Allora fai cosi :
FIREWALL > SYSTEM ACCESS > ADD NEW SYSTEM RULE
e fai una regola di questo tipo :
Source Interface : Uplink Main Uplink
Service : TCP/10443
Deve funzionare … se hai problemi fammi sapere! Io comunque utilizzo un altro sistema per entrare e mi trovo piu’ comodo. Accedo via SSH ed eventualmente creo un tunnel per accedere alla GUI. Vale quanto sopra in piu’ devi abilitare SSH da SYSTEM > SSH ACCESS … poi configuri un client tipo Putty e sei il padrone del firewall …
Pingback: DefaultUser
Pingback: Come costruire un potente appliance basato su piattaforma Alix 2d13 « DefaultUser
Come accennato sopra e sempre alla ricerca di una buona soluzione hw/sw ho comprato la m/b alix 2d13 e installato Endian Community 2.4.1.
In sintesi, funziona ma non brilla come performances. Non credo tanto per l’accoppiata cpu/ram ma per la velocita’ della CF 4Gb 133x nel mio caso
L’adozione di CF con maggiore velocita’ o meglio ancora con HDD 2.5″ IDE comporterebbe l’aumento del prezzo complessivo fino a circa 200€ mantenendo delle performances comunque di fascia bassa 1-5 pc a mio avviso.
Continuo a trovare soluzioni ma al momento la migliore accoppiata hw e’ quella con Supermicro.
Anche se con Endian Community non credo possa andare molto bene come piattaforma hardware, non tanto come potenza ma come memoria e tipo di supporto (CF) questo prodotto merita un plauso particolare perche’ con pochi soldi (circa 100€) avete un appliance su cui potete metterci sopra IPCop, fpSense o Monowall che sono delle eccellenti soluzioni per la sicurezza :
m/b http://pcengines.ch/alix2d13.htm
case http://pcengines.ch/case1c2redu.htm
alimentatore http://pcengines.ch/ac18veur.htm
Ho scoperto che anche ASTARO (diretto concorrente di Endian) ha rilasciato una versione gratuita utilizzabile anche a livello aziendale.
Astaro Security Gateway Essential Firewall Edition ha le caratteristiche per essere una robusta soluzione di protezione perimetrale, peccato manchi il content filter che sta’ diventando particolarmente importante.
Potete scaricare e testare questo prodotto ai seguenti indirizzi
Sophos UTM Essential Firewall : http://www.astaro.com/landingpages/en-worldwide-essential-firewall
Sophos UTM Home Edition : http://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx
@gimmy
da quanto mi sembra di capire in questa pagina non potrebbe essere utilizzato : http://www.endian.com/us/community/feature-comparison/
tuttavia, essendo distribuito in modalita’ GPL credo sia fattibile : http://www.endian.com/us/community/feature-comparison/
Sinceramente non mi sono soffermato su questa problematica perche’ ho utilizzato la versione community per testare il prodotto e poi adottare quella ufficiale. Resta il fatto che il software e’ rilasciato in modalita’ GPL quindi utilizzabile.
salve, interessante articolo, ho subito provato a virtualizzarlo, vorrei sapere pero’ se in base alla licenza e’ possibile utilizzarlo per un ufficio pubblico, un comune, oppure ci sono restrizioni commerciali?
Bella questa cosa del content filter … ho letto l’articolo e segnalato il prodotto a chi si occupa della parte informatica in azienda. Spero di avere presto qualche risultato perche’ la problematica che hai accennato e’ molto sentita qui da me.