Firewall Appliance - Recomendação básico para URL

SimPos · 2 de dezembro de 2019

Boa noite,

O mercado dos firewalls são bem variados pelos preços, estou tendo a oportunidade de inserir num ambiente de 20 desktops mais ou menos, fora alguns Wi-Fi, então não tenho noção até onde vai o controle do Firewall, vou inserir num ambiente que só possui um DHCP principal.

A ideia é substituir um servidor desktop dedicado com pfSense, e por um Firewall no lugar, que é menor e acredito que seja completo pra controle de URL e tenha gerenciamento remoto.

Alguém recomenda ou desrecomenda?

ciro-mota · 2 de dezembro de 2019

Boa tarde.

O pfSense já é um firewall:

"pfSense® software is a free, open source customized distribution of FreeBSD specifically tailored for use as a firewall and router that is entirely managed via web interface. In addition to being a powerful, flexible firewalling and routing platform, it includes a long list of related features and a package system allowing further expandability without adding bloat and potential security vulnerabilities to the base distribution."

https://www.pfsense.org/about-pfsense/

Outra opção seria o Endian:

https://www.endian.com/de/community/

Ambos Open Source.

Eu não migraria o cenário que tem, mas estudaria para tentar mudar para virtualização ao invés do PC exclusivo para a função.

SimPos · 2 de dezembro de 2019

@ciro-mota Acho que não me expressei bem, me referiria a um Appliance da pfSense, ele custa uns R$1.500, tem GUI, é do tamanho de um roteador de 5 portas, ele parece ser melhor que um servidor trambolhudo não?

ciro-mota · 3 de dezembro de 2019

Deve servir, mas observe que é um hardware bem modesto e em um aumento de infraestrutura ele talvez não consiga dar conta. Por esse motivo que citei acima, caso o problema seja espaço, estude a migração para virtualização. Assim um servidor menos estratégico poderia desempenhar mais funções.

SimPos · 11 de dezembro de 2019

Bom levantei alguns Firewall a preços módicos, se alguém puder informar qual devo me distanciar e qual recomenda, claro que nenhum bate um appliance da Cisco mas não disponho de tanto, mas fico a vontade com roteador firewall pfSense.

1 - Juniper Firewall SSG 500m: R$699,00

2 - TP-Link TL-R600N: R$429,00

3 - Astaro Security Gateway 110/120: R$890

4 - Mikrotik Routerboard RB 760igs Hex: R$429

5 - Firewall pfSense Micro Appliance BM4C: R$1500,00

SimPos · 17 de dezembro de 2019

up

FabioLourenco · 21 de dezembro de 2019

@SimPos Boa tarde, te recomendo o BM4C da Baremetal, é uma marca nova que esta entrando no Brasil, equipamento muito robusto e flexível, onde é possível expandir tanto a memória quanto o HD dele que é SSD caso seja necessário. Você encontra ele nesse site www.idtecnologia.com.br.

Sem contar que se você quiser trocar o sistema operacional e colocar outra distro você consegue!

SimPos · 22 de dezembro de 2019

@FabioLourenco Olá, obrigado pelo retorno, eu estive vendo o BM4C é o modelo, mas ele existe múltiplas marcas, é bem confuso porque o código é livre e cada um revende com uma configuração diferente entretanto com carcaças identicas, o BM4C só vi vendido como marca Intel, o que eu descobri que é digamos o vendedor canônico da pfSense (pois a organização não produz) é a empresa Netgate, mas além de caro não encontrei no Brasil.

Aí entra estas distribuições derivadas, tem um monte, agora qual seria boa e qual xingling.

FabioLourenco · 22 de dezembro de 2019

@SimPos Sim existe dele em várias configurações, pois você mesmo consegue montar conforme a sua necessidade. Mas se você analisar quase 100% dos nossos produtos eletrônicos são da China, memória, hd, placa, e quando não é os derivados são. A diferença é que na China é que nem o Braz, tem lugar que vende produto de qualidade e outros não. Eu uso em todos os clientes e são muito bons, carcaça de metal, compactos e tem baixo consumo de energia que pra nobreak é fundamental. Eu gostei bastante e não travam, coloco no rack e só passo um paninho de vez quando pra tirar a poeira. Pra mim valeu muito a pena é esse não é xingling, pelo contrário bate de frente com marcas conhecidas e com pfSense embarcado que é o melhor.

SimPos · 23 de dezembro de 2019

@FabioLourenco Estou mais atraído por este BM4C, os demais estou com pé atrás.

Já que você opera, o que me interessa mais é restrição profunda de sites (URL, conteúdos etc...), ele é de boa pra aplicar estas configurações? Eu preciso inserir uma dezena delas e preciso acessar remotamente.

FabioLourenco · 23 de dezembro de 2019

@SimPos Sim, dentro dele é o pfSense normal. Faz updates, formata, tem até BIOS pra mexer. Geralmente eu uso o backup do outro e restauro nele pra economizar tempo.

SimPos · 23 de dezembro de 2019

@FabioLourenco Parece bem bom obrigado, vou aplicar pra em torno de 40 clientes simultâneos, muito raramente talvez 100, pra um plano de 10Mbps pra talvez 50Mbps.

Cadu Campos · 25 de dezembro de 2019

@SimPos Olá amigo tudo bem?

Pelo que vi nos equipamentos que você postou ai, alguns são firewalls utm e outros roteadores, você precisa saber exatamente qual seria a sua necessidade, visto que, firewall utm trabalha até a camada 7, roteadores só vai até a camada 3 do modelo OSI. Sua necessidade é para prover segurança em uma empresa ou fornecimento de internet para clientes com dois links ?

att;

SimPos · 30 de dezembro de 2019

@Cadu Campos Olá amigo, é para prover segurança, internet, e o principal controle de conteúdo, que os roteadores em geral tem limitações curtas pra regras, até uns 10 sites eles bloqueiam (considerando que não vou inserir as derivações de URL), mas quando se trata de umas 500 URL já se torna mais constante a gerência remota.

Respondendo sua outra questão, é um lugar pedagógico, tem crianças adultos, o link de internet é fibra contratado.

Cadu Campos · 31 de dezembro de 2019

@SimPos Não existe um valor especifico de sites bloqueados para um roteador ou firewall de camada 3, o que ocorre é que a maioria dos sites estão migrando para https (443), onde o pacote é criptografado, os roteadores e firewall de camada 3 fazem a leitura do pacote e se estiver em bloqueio o mesmo bloqueia, mas isto só para http (80), quando o pacote está criptografado o mesmo não consegue ler e deixa passar, por este motivo que foi desenvolvido os firewalls utm, que vão até a camada 7, fazendo bloqueio em qualquer tipo de camada. Vale lembrar que para bloquear pacotes criptografados você tem que utilizar o certificado digital que o firewall gera e inserir no roteador ou em cada máquina (eu recomendo em um roteador abaixo do firewall que aceite certificados, assim você não terá a necessidade de inserir o certificado em cada dispositivo), com isto, você vai ter total controle de conteúdo em cima de registro do site (adulto, stream, educacional, armamento,etc).

Neste caso, sua necessidade é firewall utm, procure os fabricantes f5 networks, pfsense, fortinet.

Eu recomendo o fortinet por já trabalhar com o mesmo e ter um controle tanto de conteúdo como de ant virus atualizado quase que diariamente, dependendo da caixa tem você vai ter outras funções como sandbox, controlador de wifi (utilizando os AP fortinet), ipsec, entre outras.

att;

SimPos · 2 de janeiro de 2020

@Cadu Campos Eu dei uma garimpada, os valores infelizmente são estratosféricos, vou ter que ficar pelo appliance por enquanto, é o valor que infelizmente dispõe. Mas sobre o valor específico de sites, os roteadores híbridos pelo menos com wi-fi a maioria bloqueia umas 20 a 10 URL ou por tag descrito, quanto mais antigo menos quantidade de regras ele permite, meu em casa é tão antigo que deixa no máximo uns 5 e não pode ser https.

Vou dar mais uma procurada nestes firewall que citou com preço melhor.

Cadu Campos · 3 de janeiro de 2020

@SimPos Entendo bem, este tipo de caixa não é barata. Caso o orçamento seja apertado, recomendo você utilizar um core i3 com placa de rede broadcom e virtualizar o pfsense, pois o mesmo faz esses tipos de filtros e afins!