Appliances de Segurança

Ultimamente tenho pego muitos serviços para configurar servidores Linux. São eles servidores de proxy, de arquivos, firewalls, e etc. E o Linux definitivamente é a plataforma certa para utilizar para a montagem desses servidores. Distribuições maduras que apresentam cada vez menos bugs e uma facilidade de configuração crescente demonstram isso.

Mas como tecnologia é evolução constante, e quem fica parado fica pra trás em uma velocidade impressionante, sempre procuro testar novidades. Foi assim com a implantação de um servidor de páginas e dois servidores DNSs para a loja. E uma palavra a muito vinha me chamando a atenção, ela é “appliance“.

Mas o que é uma appliance?

Appliance – é um equipamento ou programa, com uma função específica. Ou seja, é como você criar um equipamento de rede para ele trabalhar como “guarda” da sua rede, ou então pegar um programa como o Linux, que tem uso genérico, podendo ser adaptado a várias funções e limitá-lo a certas funções, para com isso ganhar em produtividade, performance e facilidade de configuração.

Tenho testado algumas que realmente são uma grata surpresa, pois tornam o nosso trabalho como SysAdmin muito mais prático. Existem muitas appliances comerciais, mas a grande maioria disponibiliza pelo menos uma versão free ou open-source, mesmo que com alguma limitação. A limitação pode ser do suporte, ou até de algumas funções implementadas na versão comercial. Mas na grande maioria das vezes, a ver~soa open-source dá conta do recado.

E qual a vantagem de usar uma appliance em detrimento de uma versão completa do Linux? Já comentei acima, mas são três as grandes vantagens que podemos listar:

• facilidade de configuração – normalmente as appliances possuem uma interface de configuração facilidata e com tudo centralizado. Portanto, se você quiser fazer um servidor de firewall/proxy, não vai ter que mexer em 5, 10, 20 arquivos diferente. Basta apontar seu Mozilla Firefox para o endereço e a porta recomendada no manual de instalação, ajustar o computador para a suas necessidade.
• performance – como esses programas ou equipamentos normalmente fazem funções dedicadas, eles são menos maleáveis, mas também tem menos “gordura”. Se você quer um appliance para controlar a rede, não precisar instalar um servidor de arquivos por exemplo. Se quer uma máquina apenas para ser web server, e já possue um firewall na rede, para que novamente configurar no servidor web. E essa é a filosofia, tirar o excesso para fazer mais e melhor com menos equipamento.
• produtividade – antigamente, vamos supor que para implementar um servidor de firewall e proxy eu levava 8 horas. Da instalação do sistema até a atualização dos componentes e posterior configuração e adequação ao cenário do cliente. Agora eu posso fazer o mesmo serviço em quatro horas! Pois como ele normalmente é específico para aquilo, e a administração é centralizada, tudo fica mais fácil.
• testar antes de usar – algo que muitos fabricantes de appliances fazem, é disponibilizar um demo online, ou mesmo empacotar uma máquina virtual, seja via R-Path ou VMWare, para que os usuários possam baixar, testar e conhecer os produtos.

E quais são os contras?

Como todas as coisas nesse mundo, usar appliances também possue contras. Acredito que o mais relevante é o fato de muitas vezes você ficar “engessado” pelo formato do appliance. Com um servidor squid, você pode definir redes, horários, endereços, domínios, usuários, etc… ele é muito flexível para ser configurado. Já com a appliance, essa cofigurações muitas vezes são abandonadas, em prol de uma interface mais limpa e fácil de usar. Além disso, quando a appliance possue as funções desejadas, pode acontecer de haver algumas restrições no uso delas. Algo que não acontece quando você configura tudo na unha.

Mas agora vamos ao que interessa. Vamos listas apenas algumas appliances de uma lista realmente variada que existe hoje. Essas são as minhas preferidas! Se você quiser ver mais appliances visite o site da VMWare Appliances e o R-Path Appliances.

• Mikrotik – a MikroTikls foi fundada na Latvia em 1995 para criar sistemas para provedores wireless. Com uma experiência tão grande, e acostumada com ambientes hostis, eles criaram o RouterOS. Pense nessa plataforma como uma plataforma derivada do Linux/Unix, mas com um console totalmente diferente do que você está acostumado. É uma appliance completa para redes, podendo atuar desde routeadores, hotspot wireless, balanceamento de links, controle de tráfego, firewall, proxy web e socks, autenticados radius e etc. A grande vantagem do software Mikrotik, é a total customização para absolutamente toda necessidade de rede. Mas isto tem o custo da complexidade. Para facilitar, eles criaram um programa para windows chamado Winbox, para controle do programa, o The Dude, para monitoramento de redes, e vendem também as Routerboards, sistemas prontos para rede com o software deles embarcados. Realmente recomendo este programa/equipamento par aquem mexe com rede cabeadas e principalmente wireless.
• E-Box – appliance de segurança de rede. Também tem tudo que você quer para trabalhar com redes de forma integrada. Um diferença em relação aos outros pacotes, é que ela pode ser instalada sobre uma versão padrão de Linux, como o Ubuntu por exemplo. Com isso você tem todas as facilidades de uma interface de administração única, mas pode fazer um pequeno tunning na plataforma. Além disso, com isso o acesso aos arquivos de configuração e portanto o entendimento da plataforma crescem sobremaneira. Ótima opção se você que fazer controle de banda dos micros da rede, já que usa o CBQ.
• Endian – appliance de segurança da rede. Incorpora a administração dos serviços de rede, como firewall, tem um sevidor dns/dhcp integrado (dnsmasq), proxy (squid), controle de conteúdo (dansguardian), ids (snort), controle de banda (htb), controle de tráfego (ntop) e monitoramento de tráfego (mrtg-rrdtool), antivirus (clamav) e protetor contra spam (spam blocker). Apesar de algumas limitações de configuração é uma appliance ótima. E para ser sincero, nunca vi o Dansguardian funcionando tão rápido!
• Untangle – outra appliance de seguração de rede. Também tem todos as ferramentas necessárias que você precisa para ter uma rede segura. Adiminstração completamente centralizada, e um aplicativo muito bacana que simula um rack. Para acrescentar ou retirar funções, você acrescenta ou retirar “equipamentos” desse rack. Só achei a interface um pouco demorada.
• Free-NAS – appliance de storage. Se você tem necessidade de compartilhar espaço para armazenamento de forma segura e prática, essa é a dica.
• Zimbra – pacote de colaboração comprado pelo Yahoo. A maior vantagem de se optar por um pacote desse tipo, é a facilidade de instalação de instalação e manutenção. Servidores de emails são chatos e difíceis para implementação. Com esses pacotes você tem uma plataforma estável, integrada e segura para seus colaborados. Particularmente o pacote da Zimbra é muito bacana, mas tem um pequeno problema de performace por trabalhar em Java.
• Scalix – uma compania do grupo XandrOS. É uma plataforma de colaboração online, com agenda, mensagem e email integrados. Se você procura por uma plataforma de comunicação integrada, deve seriamente pensar nesta plataforma.

---