Iniciando com o Endian Firewall

Home Comunidade Brasileira Endian Firewall Endian Firewall Cases de Sucesso Iniciando com o Endian Firewall

Visualizando 14 respostas da discussão
  • Autor
    Posts
    • #1753
      Renato Alves
      Participante

      Bom Pessoal, estou acompanhando alguns cases e outros tópicos de vocês, e essa é a primeira vez que vou usar o Endian. Vou explicá-los meu cenário e sugerir um case diferente, quero implantar e vou postar em tempo real os resultados. Meu cenário é o seguinte: Fui contratado por um escritório de contabilidade. São aproximadamento 60 usuários. Eu já tenho algum conhecimento em ISA 2006 e TMG 2010, e aqui na contabilidade o firewall usado atualmente é o BRFirewal, outra distribuição open. Só que esse firewall está todo desconfigurado, com regras redundantes, configurações mal-feitas e outras por fazer. Eu preciso instalar um firewall novo e verificar se “conversa” com conectividade, e outros sites do governo, se bloqueia, se autentica com AD essas coisas que todos nós queremos né. E fiquei em dúvida entre a nova versão do BrazilFirewall ou o Endian, e acabei optando por ele. Vou usar a versão mais nova que eu tenho, a 2.5.1. Ela está sendo o meu gateway secundário, o firewall antigo está sendo o gateway primário da rede, assim eu posso configurar esse firewall aqui dentro da mesma rede como se fosse uma situação real, só que as máquinas que vão passar por ele são escolhidas a dedo para os testes. Estou usando o link de backup. A ideia é que após a configuração do firewall estar concluída, que ele tenha dual-link, e possivelmente algumas comunicações exclusivas só em um link. Vamos começar então.

    • #11043
      Renato Alves
      Participante

      Meu primeiro problema hoje foi com a definição das senhas. Eu configurei as senhas e apertei enter. Ele pulou para a próxima etapada da configuração mas não salvou as senhas. Depois que eu apliquei as configurações pediu senha para acessar o web e a senha que eu coloquei não funcionou. Assim eu cheguei à conclusão de que há senhas default, e que ao apertar a tecla enter na tela de configuração de senhas ele não configura as senhas que digitou. Como eu não sei as senhas default eu reinstalei e comecei denovo.

    • #11044
      Renato Alves
      Participante

      Acabei de conseguir configurar o DNS Dinâmico. Na parte da manhã tentei configurar o DNS usando o no-ip. Tentei de todas as formas (Pela interface apenas) e não consegui fazer o no-ip funcionar. Resolvi usar o Dyndns, porém quando criei a conta no dyndns ele me pediu dados de cartão de crédito e blá e blá e blá e como eu vi que não ia dar em nada…. conectei nele com uma conta antiga que eu tenho, e com essa conta eu consegui criar a conta dyndns e na configuração do firewall funcionou de primeira. Só um detalhe do dyndns que pode servir para alguns. Quando eu fui escolher o domínio no dyndns, eu escolhi dyndns-office.com e passou numa boa, mas na segunda tentativa eu escolhi dyndns.org e ele pediu os dados do cartão do mesmo jeito, aí eu apaguei essa solicitação e fiquei com a primeira mesmo.

    • #11045
      Renato Alves
      Participante

      Eu esqueci de falar aqui, antes de configurar o DNS eu já havia configurado a conexão PPPoE para discagem pelo Oi Velox. Meu modem é daqueles modens Thompson da GVT. Na primeira vez que eu fui configurar o firewall para discar por PPPoE (há algumas semanas atrás) ele não discava, para resolver isso eu precisei primeiro acessar a interface desse modem da GVT que por padrão é roteado e desativar o roteamento dela, configurando o modem como Bridge PPPoE, dessa forma a discagem do firewall pôde passar por ele sem problema e estabelecer a conexão.

    • #11046
      Renato Alves
      Participante

      Me desculpem por escrever alguns posts fora de ordem, eu vou colocando na medida que eu vou lembrando. Nesse caso aqui eu esqueci de falar sobre o hardware do meu firewall. É uma máquina montada com processador Dual Core 2160 (se não me engano) HD sata de 80 GB e 2 GB de memória ram. Por hora ela tem 2 NIC, mas quando eu terminar isso tudo vou adicionar mais uma.

    • #11047
      Renato Alves
      Participante

      Sobre os servidores NTP, eu optei por não usar os servidores padrão do Endian, e adicionei 5 servidores manuais para sincronizar a hora. Os servidores estão na seguinte ordem: Meu DC Primário, Meu DC Secundário, a.ntp.br, b.ntp.br, c.ntp.br.

    • #11048
      Renato Alves
      Participante

      Monitoramento de tráfego foi ativado.

      Dessa forma minha configuração de serviços está feita. Agora vou para a configuração de Firewall e Proxy. Meu objetivo é criar um proxy autenticado. Quero autenticar esse proxy no meu active directory, e não pretendo usar as blacklists pré-definida do dansguardian.

    • #11049
      Renato Alves
      Participante

      Com um pouco de dificuldade eu consegui compreender a ordem das regras e fazer funcionar. Não vou ter muito trabalho para fazê-las funcionar porque o meu ambiente é simples, mas se eu tiver, eu sei que é nó cego meu, porque funcionar funciona. Sobre a Autenticação integrada ao AD, eu fiz da seguinte forma.

      Fui lá no nome do host e configurei ele com o nome de minha preferência .nomedomeudominio (Netbios). Fui na rede e adicionei os hosts que são os meus servidores AD. No proxy eu configurei a autenticação da seguinte maneira:

      Domíno de autenticação:meudomino.com.br

      número de processos, número de IP´s e os TTL´s eu deixei como está.

      nome de domínio do servidor AD: meudominio.com.br

      Nome do servidor primario do AD: meuservidor

      IP do servidor primario do AD: IP do meu servidor

      Nome do servidor secundario do AD: meuservidor

      IP do servidor secundario do AD: ip do servdidor

      Salvei e fui adicionar no AD. Usei usuário e senha de uma conta de administrador do AD e funcionou beleza… Só que, eu tive problemas, muitos, e preciso informar que eu estou tentando adicionar no AD desde quarta-feira passada. Eu tenho um tópico pronto, que eu discuti todos os meus problemas relacionado ao ingredo no AD com outro usuário, os problemas a soluções foram relatados nesse tópico. http://endian.eth0.com.br/topic/erro-ao-tentar-entrar-no-dominio-no-windows-server-2008-nao-e-r2

    • #11050
      Eduardo Jonck
      Participante

      Cara, segue meu blog que la explico em um video de como integrar com o AD e Autenticação local do Proxy

      http://eduardojonck.blogspot.com.br/

      Qualquer duvida estamos ai, abraço!!!

    • #11051
      Renato Alves
      Participante

      Pois é Eduardo, eu já consegui fazer a integração, e eu também já havia visitado o seu blog ontem. Só que pelo jeito que você fez no seu vídeo é bem fácil. O meu foi um pouco mais trabalhoso, como eu disse no link acima, meu domínio não é “padrão” foi aí que pegou toda a dor de cabeça. Mas já está resolvido, obrigado pela atenção.

    • #11052
      Renato Alves
      Participante

      Ontem eu fechei as portas 80 e 443 do firewall, e fiz a liberação do conectividade social, foi mais fácil do que eu pensei. Como eu havia falado antes e se não falei tô falando agora, eu uso o IE e o Firefox, o IE eu uso para fazer a navegação pelo proxy, o Firefox eu uso para fazer a navegação fora dele, assim eu consigo fazer testes mais consistentes. Para acessar o conectividade social eu precisava fazer pelo IE, então eu desativei o proxy dele e tentei fazer os acessos ao site cmt.caixa.gov.br e não funcionou (já era esperado), depois eu tentei fazer o acesso ao cmt.caixa.gov.br/cse e não funcionou (já era esperado), aí então eu tentei no cmt.caixa.gov.br/nova (Tinha uma esperança de que funcionasse mas não funcionou), tudo isso com o navegador IE sem proxy e as portas 80 e 443 do firewall liberadas. Fiz um nslookup no cmt.caixa.gov.br e recebi de volta o IP 200.201.173.68, mas não era esse que eu queria. Eu tenho aqui um programa chamado Cports da nirsoft que mostra as portas que estão abertas e qual aplicação que está usando a porta (a mesma coisa que o netstat só que em interface). Eu abri então esse programa, e, sabendo que o Conectividade usa o Java e o navegador que eu estava usando era o IE eu criei um filtro para mostrar apenas as conexões feitas pelo Java e pelo IE. Aí eu acessei o cmt.caixa.gov.br e vi que o IE chama o java e o java tenta abrir a porta 2631.

      Oque eu fiz foi ir no firewall e criar uma regra no tráfego de saída que permite o acesso se origem “qualquer” para destino “qualquer” utilizando o protocolo “TCP” na porta 2631. Apliquei, fechei o navegador e acessei o endereço cmt.caixa.gov.br/cse. Nesse endereço funcionou de primeira. Eu vi que após autenticar o java faz 2 conexões com a porta 2631 e uma com uma outra porta do IE que eu não sei se é Aleatória ou não. A ordem parece ser a seguinte:

      – O IE acessa o Conectividade e chama o java. Os dois ficam de quebradinha esperando o usuário autenticar;

      – Autenticou! O java cria uma comunicação pela 2631 no IP 200.201.174.207 (esse cara eu não descobri quem é);

      – Em seguida parece que o java abre a porta 2631 para conexão local e fica escutando nela. O IE estabelece uma comunicação localhost com essa porta 2631 do java. Dessa forma, o IE manda as informações para o Java (que é tipo um “proxy” do conectividade) que envia as informações para o 200.201.174.207 e ao receber as informações ele envia para o IE e chega na tela pra gente. Meio louco isso tudo, mas acho que é assim.

      Bom, funcinou! Depois disso configurei o IE para passar pelo proxy, refiz os testes e funcionou do mesmo jeito. testei, retestei e testei de novo para não ter dúvidas. Depois que eu fiz vários testes com o proxy ativo e vi que não daria problema eu fui lá no firewall e fechei fechei as portas 80 e 443. Eu estava com receio de fechar essas portas e o conectividade parar de funcionar mas não aconteceu, ele continuou funcionando sem problemas. Eu usei mais um bocado, e depois eu refinei a regra. Refinei de duas maneiras. Uma delas deu erro a outra não. Antes o Destino era “qualquer” e a origem também era “qualquer”. Meu ajuste foi aqui. Eu defini a origem como zona verde e o destino como o IP 200.201.173.68 a porta é a mesma. NÃO FUNCIONOU. Não funcionou porque o o java conecta nessa porta no IP 200.201.174.207. Eu adicionei esse IP na regra também e FUNCIONOU. Aí eu removi o IP 200.201.173.68 da regra e CONTINUOU FUNCIONANDO. E cheguei a seguinte conclusão sobre o conectividade social, que sempre me assutou muito, mas agora que entendi como funciona, ficou parecendo um bebê: Não importa se você usa proxy transparente ou proxy autenticado, nenhum dos dois vai impedi-lo de acessar o conectividade social, Porque o site cmt.caixa.gov.br é apenas uma tela de autenticação que usa HTTP comum, basta que o proxy tenha acesso a essa página e pronto. E a porta 2631 também não deve estar aberta apontando para o ip 200.201.173.68 ou para o cmt.caixa.gov.br, ela deve estar aberta apontando para o IP 200.201.174.207, pois esse é o IP que o java faz conexão e todo o trabalho, o navegador não faz nada a não ser se comunicar com o java em localhost, então ele nem passa pelo firewall, uma vez autenticado o java faz todo o resto sozinho e precisa dessa porta 2631 pra comunicar com o servidor de lá. Acho que é isso

    • #11053
      Renato Alves
      Participante

      Quanto as portas 80 e 443 do firewall, vou mantê-las fechadas a partir de agora e vou utilizar exclusivamente o meu proxy na porta 3128 que já está autenticando no AD (Não tenho regras de bloqueio ainda). Se surgir alguma necessidade de liberação das portas no futuro eu não sei, mas acho que o proxy vai dar conta do recado numa boa, pelo menos assim eu espero. Eu já ia me esquecendo, ontem também eu configurei o PING externo e o acesso externo à interface web do firewall, e também configurei o acesso RDP a dois servidores utilizando as portas externas 3389 e 3390, ambas encaminhand para as portas 3389 dos servidores internos. Ahhh, ativei também o acesso externo ao servidor de câmeras da Geovision. Funcinou, só não deu vídeo. Como isso não é prioridade não vou olhar agora, mesmo por que parece que o servidor não tá legal e talvez seja necessário refazê-lo.

    • #11054
      Renato Alves
      Participante

      Pois é pessoal. Está instalado e funcionando perfeitamente. Até hoje não deu um problema sequer que eu não pudesse ou não tenha conseguido resolver de forma rápida. Está do jeito que eu queria, na medida do possível. É isso aí.

    • #11055
      MBard
      Participante

      Renato, tem alguma dica para bloqueio do HTTPS do facebook por exemplo, sem interferir nos sites bancários que usam a 443, temos ela liberada hoje.

    • #11056
      silvaneto75
      Participante

      Mbard consegui bloquear aqui na empresa o acesso ao facebook e youtube pelo https. é facil… vc precisa user o commando nslookup ex no prompt digite nslookup facebook.com, ai aparecerá as redes usadas pelo facebook. crie uma regra na firewall saida apontando estes ip´s de rede seguido da mascara xxx.xxx.xxx.xxx/16 por ex. Aqui ta funcionando perfeito. abs

Visualizando 14 respostas da discussão
  • O tópico ‘Iniciando com o Endian Firewall’ está fechado para novas respostas.