Endian Firewall Community

Пришла пора посмотреть на межсетевой экран Endian Firewall Community. Он имеет некоторую известность и даже популярность. "В чем разница между известностью и популярностью?" - спросите меня вы, а я отвечу: "Известный означает, что о нем многие знают, но не факт, что используют. Популярный означает, что многие используют". Тогда зачем оба этих слова? Так красивее фраза!

Итак, приступим к установке Endian Firewall Community.

Тут необходимо выбрать язык установщика. Язык веб-интерфейса будет выбираться в другом месте.

Вот это уведомление вообще зачем нужно? Если кто-то понял логику, напишите мне где-нибудь. Если нажмете Cancel, тогда компьютер перезагрузится. Следовало еще добавить, что установка будет прервана, и только после этого писать про перезагрузку. Конечно же это сарказм.

Вот знаете что больше всего меня бесит в сфере IT? Когда в таких установщиках задаётся формальный вопрос и по умолчанию кнопка нет выделена. Вы ведь уже предлагали отменить установку и логично предположить, что дойдя до этого момента человек понимает что происходит. Пусть эти уведомления остаются, просто сделайте по умолчанию да, и всё будет логично и удобно.

Далее будет несколько простых и логичных окон, которые я не стал фиксировать.

Установка завершена и теперь можно пытаться открыть веб-интерфейс из зеленой зоны. Зеленая зона - это внутренняя сеть. Из красной зоны открыть не получится.

Вот тут мне пришлось помучиться, так как он автоматически решил не определять настройки сетевых интерфейсов и на оба поставил этот несчастный IP-адрес 192.168.1.15.

Под блоком GREEN Zone должен быть блок Red zone, но у меня его нет! Без паники, если у вас то же самое, и вы не можете открыть веб-интерфейс. В данной консоли выбираем пункт 5, и на вопрос Y/N можно не отвечать, ему все равно на твой ответ. Настраиваем сетевые интерфейсы и после этого отправляем в ребут при помощи пункта 1. После перезагрузки должно работать.

Без комментариев, просто идём дальше.

Нам показывают лицензию - GNU GPL v2. Это очень приятно, так как она разрешает вам использовать данный программный продукт как угодно. Можно спокойно использовать в качестве сетевого шлюза в маленькой фирме - юридически! Технически он не самый совершенный, и как межсетевой экран очень слабый, и далее вы поймёте почему.

Утомительно комментировать то, что и так понятно из скриншота, но тем не менее - нужно. Тут можно выбрать режим работы и настройки внешнего интерфейса, то есть интерфейса красной зоны.

Спасибо, конечно, что спросил про настройки внешнего интерфейса, но ты должен был это определить автоматически еще на этапе установки дистрибутива, а сейчас только попросить подтвердить. Именно так делают коммерческие дистрибутивы. Именно так делается в pfSense (про него писал тут) и OPNsense (про него писал тут и тут).

Теперь необходимо выбрать оранжевую зону и синюю. Весьма правильное разделение! И такую схему используют в крупных организациях. Однако хочу отметить, что напрямую в это устройство нет смысла втыкать wi-fi - он это не поддерживает, в отличии от того же pfSense или OPNsense. Тут предполагается обычный eth интерфейс с проводным соединением до устройства, которое и будет раздавать wi-fi.

Наконец-то нам предложили включить DHCP во внутренней сети! Это должно было быть автоматически включено при завершении установки. Так делается во всех качественных межсетевых экранах. В общем, для первичного открытия веб-интерфейса настройки сети на компьютере пришлось задавать вручную. Ничего сложного в этом нет, но это показывает качество данного программного продукта.

Теперь предлагает задать дополнительные настройки интерфейса красной зоны, то есть WAN-интерфейса. MTU, кстати, очень важный параметр, и не в каждом качественном межсетевом экране его предлагается изменить.

Настройки DNS.

Я думаю, что далеко не все сразу поймут разницу между этими полями. Адрес электронной почты администратора нужен для уведомлений, а электронная почта отправителя - это та, с которой будут направляться уведомления. Адрес смартхоста - даже я не знаю, что это такое. Уведомления я не проверял, но подделка отправителя разрешается далеко не всеми почтовыми сервисами.

Если вы на полном серьёзе собираетесь использовать данный межсетевой экран, тогда откройте любой сервис по запросу "Временная почта" и вбейте в это поле адрес временной электронной почты. Подтверждать регистрацию всё равно не нужно, а обновления устраняют уязвимости. Будет обидно, если ваш межсетевой экран можно будет взломать простейшим python-скриптом, который просто будет отправлять на определенный порт запрос с неожиданным набором символов.

Полезность данного окна в команде, которую можно запустить именно через SSH. В веб-интерфейсе есть эмулятор SSH, но в нем выполнить эту команду нельзя. Это в целом логично, так как обновляются компоненты, которые могут отвечать и за веб-интерфейс. Однако, почему нельзя выполнить эту команду напрямую на межсетевом экране? Помните на черном экране мы нажимали 5 для настройки сетевых интерфейсов? Там есть пункт 0 для возможности ввода команд. И вот команду efw-upgrade нельзя в нем выполнить - появляется уведомление, что её можно выполнить только во внешней консоли. В чем логика? Такого гениального подхода к системе обновлений я еще нигде не видел. Пожалуй, данная концепция обновлений побеждает в номинации "Глупость года" (долго думал, какую номинацию выбрать - глупость квартала, месяца или недели).

Наконец-то закончились эти мучения с мастером настройки. Теперь пойду изучать его возможности, и начну с того, что мне интересно.

Система предотвращения вторжений. Честно говоря, она лучше, чем в той же ClearOS (о ней писал тут), но всё равно не сможет обеспечить серьезный уровень защиты. Развлечь хакера она конечно может, это да.

Плохо то, что обновить правила Snort из России не получится. Хорошо то, что эти правила можно где-то скачать и подгрузить вручную. Подойдёт именно правила Snort.

Мне очень интересно, почему после отработки процесса обновления правила, который был запущен нажатием кнопки "Обновить правила сейчас" снимает галочка об автоматическом обновлении правил? Логично, согласен.

Ручная подгрузка правила это очень хорошая штука, и если вам действительно понравился этот межсетевой экран, тогда следует скачать все возможные правила для Snort и подгрузить их тут.

Посмотрим правила IPS. Неопытный веб-мастер подумает, что тут 47 страниц. 

Не обманешь! Я эту глупую пагинацию хорошо знаю! Я много лет работал с CMS Joomla.

Хорошо, отодвинем сарказм в сторону и поговорим по делу. Всего 47 пунктов и это после обновления. Выбор наборов правил в pfSense и OPNsense гораздо лучше.

Из значительных преимуществ можно отметить возможность переключения действия по умолчанию сразу для всего набора правил. Это серьезное преимущество! 

Анализатор сетевого трафика ntop. Мне кажется, что я его видел во всех межсетевых экранах.

Его величество анализатор сетевого трафика ntop.

Это уже очень даже полезная штука! Именно сервер SNMP, не прокси, а сервер. Однако, как смотреть на нем статистику? Её ведь нигде нет. Во вкладке статус нет. Может она тут должна появиться? Ну, в общем, нарекаю неудобно реализованной функцией.

Возможность обрезать скорость.

Заголовок огонь! Где-то тут должна быть ссылка на соответствующий обучающий курс! А если серьезно, то очень даже полезная функция.

Очень мощная вкладка! Всего одна настройка. Как думаете, сколько пунктов в этом выпадающем меню? 3? 4? 2? И это всё неправильные ответы! Там всего один возможный пункт. Зачем эта вкладка нужна? Видимо для того, чтобы мы понимали, что данный функционал тут есть, и он работает, хотя, мне кажется, хватило бы галочки Enabled.

Как понимаете, с данными выпадающими менюшками такая же история. Понятно, что при выборе платного дистрибутива тут в этих выпадающих меню будет больше одного пункта, но это показывает качество кода.

Я тоже программист. Не считаю себя профессиональным разработчиком, но в отличие от ленивых разработчиков из Endian всегда стараюсь заменять такие объекты на другие. Зачем выпадающие меню с одним единственным пунктом? Они не нужны. Это ведь не веб-страница, которая формируется динамически. Нет никаких проблем реализовать простое условие и отображать либо один блок, либо другой. Не имею в виду Enabled и Disabled для html тегов, а вообще включение тех или иных объектов в динамически формируемую HTML страницу.

Настройки антивируса ClamAV. Понятное дело, что из России обновить базу сигнатур угроз не получится. И кнопка поиск онлайн ведёт на несуществующий сайт. Можно конечно посмотреть при помощи веб-архива, но какой в этом смысл, если нет возможности указать зеркало обновлений? Смысла нет.

Хочу отметить, что антивирус работает, и я его проверил при настройке прокси-сервера. И да, для настройки антивируса нужно, чтобы хотя бы одна использующая его служба была включена, например, прокси-сервер.

Настройки антиспама. Доступен всего один пункт.

Настройка NAT.

Перевод, конечно, очень качественный. Мне кажется слово файервол, которого в русском языке безусловно нет, должно писаться немного по другому. 

В целом, логичные разрешения.

Ух, межзональный сетевой экран. Это, конечно, очень интересная идея и, несмотря на то, что они этим пытались сделать управление сетевым экраном простым и эффективным. Однако они создали офигенную точку отказа в прослойке между рулём и сидением. Это всё нужно осмыслить, и даже прочтение документации не даст ясность в этом вопросе. Даже опытный специалист не сможет с ходу сесть и настроить правила.

Политика по умолчанию неплохая, но не идеальная!

Сетевой экран для виртуальных частных сетей - очень крутая идея! Очень удобно, очень креативно и очень эффективно.

Нужно вам поднять сервер виртуальных частных сетей для подключения из дома в рабочую сеть или наоборот, но при этом хочется ограничить хождение в сети, например, только до рабочего компьютера подключаться, то есть, определенному логину до определенного IP-адреса. Так делают везде, но обычными правилами, а тут прям удобная служба с удобным интерфейсом.

Настройка HTTP прокси-сервера. Сразу хочу отметить, что для возможности лазить по современной сети Интернет сразу нужно включить HTTPS-прокси, а также сгенерировать, скачать и установить именно в браузер корневой сертификат.

Кстати, слово "кешем" на русском языке тоже пишется по другому.

Настройка политики в HTTP прокси-сервере.

Любой специалист по информационной безопасности знает что такое eicar. В общем, не отходя от кассы решил проверить, работает ли антивирусная проверка сетевых пакетов в прокси-сервере. И оказывается, работает!

Эх... Хочется надеяться, что разработчики просто опечатались, и они реально знают разницу между авторизацией и аутентификацией. Если нет, тогда это очень грустно и опять же показывает качество кода. Ранее был именно кривой перевод, но тут проблема в изначальном слове.

Фильтр для урлов в прокси-сервере.

"Отлично!" - подумал я и пошел проверять. К сожалению, категория эротики не мешает открывать сайты с эротическим содержанием. Красивый, но бесполезный функционал прокси-сервера.

Мне не очень понятно, почему эта настройка в отдельной вкладке, а не на главной странице. Хотя, если смотреть на систему в целом, тогда этот вопрос сам отпадает.

Функционал расшифровки HTTPS траффика за счет подмены ssl сертификатов всех сайтов на свой. Этот сертификат необходимо создать при помощи кнопки внизу и скачать, а затем установить в качестве корневого в свой браузер. Именно в браузер! Сейчас в браузерах свои хранилища сертификатов.

В целом, прокси-сервер работает и даже успешно проверяет поток на вирусы, но сам по себе он очень медленный. Я сравниваю функциональность веб-прокси во всех межсетевых экранах, и в этом она самая медленная. Открываешь сайт и он прям думает.

Очень интересная идея! POP3-прокси - прослойка между почтовым сервером и почтовым клиентом, которая обеспечивает фильтрацию спама и проверку на вирусы.

При виде таких настроек антиспама хочется плакать и надеяться, что обучение, заявленное в отдельном компоненте, будет эффективным. Кстати, в заголовке написано SpamAssassin, а это довольно известное приложение для фильтрации спама. Правда, количество настроек убивает все надежды на качественную антиспам защиту.

По тому же принципу - SMTP-прокси. На самом деле правильно, так как раньше часто встречались сетевые черви, которые распространялись при помощи электронной почты. Они удаляли исходящее письмо после отправки.

Не знал, что такое существует - DNS-прокси. И не уверен, что оно необходимо.

Настройки сервера виртуальных частных сетей для возможности подключения из красной зоны.

Заголовок сразу раскрывает суть? Это такой аналог файла hosts.

Настройки маршрутизации.

Тут можно увидеть список работающих служб.

Сведения о текущих соединениях. Хочется перефразировать великого шефа Ивлева - когда удобно, тогда удобно.

Вывод

В завершение обзора хочу сказать, что это не самый плохой межсетевой экран. Когда я его протыкал и только начал писать статью, у меня было очень плохое мнение о нем. Однако по мере написания статьи понял, что он намного лучше, чем я думал.

В нем есть очень интересные и крутые функции, которые являются конкурентными преимуществами. Антивирус в прокси-сервере работает из коробки, даже без обновлений. Pop3-прокси, сетевой экран для виртуальных частных сетей, возможность назначения действия по умолчанию для всей группы правил в IPS и вот эта статистика текущих соединений. Это всё крутые конкурентные преимущества. Однако, тут чувствуется разница между айтишником и безопасником. Как в песне "Выводы сделаны верные, правда не те". Это очень тонкая история, которая чувствуется на всех этапах настройки межсетевого экрана Endian Firewall Community. Компонент реализован гениально, но концепция изначально была неправильная! Сама идея правильная, но изначальная концепция на корню неверная. В этом и чувствуется разница между безопасником и айтишником.

Это очень интересный межсетевой экран с довольно креативным функционалом, но для своих задач я бы такой не выбрал.