Anúncios

Arquivo

Posts Tagged ‘Instalação’

Tutorial! Instalando e fazendo as configurações iniciais no Endian Firewall


TUTORIAIS AGORA ATUALIZADOS EM http://www.infrasecurity.com.br/blog/?tag=endian-firewall

 

Olá a todos, este tem tutorial tem como objetivo mostrar os passos necessários para a instalação do Endian Firewall, no tutorial usei uma VM rodando no Virtual Box, os mesmos procedimentos de instalação podem ser usados para um servidor físico que vai ficar em produção. Quanto ao virtual box se você usar Windows as telas podem ser um pouco diferentes pois usei um MAC, mas o conceito é mesmo para ambos.

Segue abaixo os passos para criação da VM usando o Virtual Box

Abrindo o Virtual Box e cliacando em Nova podemos definir um nome que no caso será Endian

Aqui definimos o quanto de memória queremos podemos colocar 512MB ou mais se estiver disponível e clique em Continue

Nesta tela podemos criar um novo disco virtual com as configurações padrão lembrando que é apenas para fins de teste, clique em Continuar

Podemos selecionar o padrão e clicar em Continuar

Nesta tela podemos definir o tamanho do disco e o nome do arquivo que será o arquivo do disco, no nosso caso criei com 8GB mesmo.

Antes de iniciar a VM tenha vá nas definições de Rede e deixe ativado pelo menos 2 Adaptadores de rede, no meu caso deixei Adaptador1 e Adaptador2 ligados e em modo Bridged, ou seja com acesso a placa física podendo ser acessado pela rede.

No nosso caso usei placa rede com fio e Wi-FI pois usei em um notebook se não tiver 2 placas no apatador 2 você habilitar mas usar a opção Host Only

Agora antes de começar tenha em mãos o CD ou ISO do Endian Firewall, a versão mais nova pode ser baixada aqui. A partir deste ponto podemos usar os passos descritos para instalação num servidor físico.

Ao iniciar a VM e dar o boot pelo CD será exibida a seguinte tela, basta dar ENTER

Nesta tela selecione o idioma inglês, mas se for fluente em Alemão ou Italiano nada impede…. rsrs. De OK

De OK novamente

Esta tela lhe informa que qualquer dado existente no disco será DESTRUIDO. Selecione Yes e de OK

Nesta tela selecione Não e de OK

Após a instalação dos pacotes você deve definir o IP do Endian Firewall para sua rede local, no caso usamos o abaixo mesmo, mas na sua instalação você pode usar o que melhor se enquadra em seu ambiente

De OK para finalizar a instalação e reiniciar o Servidor

Feito isso o servidor vai reiniciar e vai parar nesta tela

Neste ponto devemos fazer as configurações iniciais para que possamos começar a usar nosso Servidor Firewall.

Para isso vá até o Browser e acesse o Endian pela seguinte URL https://IP_DO_Endian:10443

Aceite qualquer mensagem relacionada a certificado e será exibido a seguinte tela, clique no botão para Avançar:

Selecione a linguagem da Interface desejada (Português do Brasil Disponível) e o TimeZone no caso America/São Paulo, clique para Avançar

Aceite o contrato e Avançe

Nesta tela caso já tenha um backup de uma instalação anterior do Endian você pode selecionar Yes e Restaurar todas as configurações, mas como no nosso caso é primeira instalação selecionamos NAO e clicamos para avançar.

Nesta tela definimos a senha do usuário Admin (Usado para acessar a console Web) e root (Usado para acessar via SSH), feito isso clique para Avançar.

Este passo é fundamental para o bom funcionamento do Endian, você deve saber de antemão qual a forma de acesso a internet junto ao seu provedor. Se for você tiver um IP Fixo deverá usar Ethernet Static, se seu IP é dinâmico deve usar Ethernet DHCP. Se for Speedy deverá usar PPOE independente de ser fixo ou dinamico onde será solicitado na próxima fase o login e senha do provedor. No caso de IP Fixo você deve ter em mãos o IP a mascara de rede, gateway e DNS Servers fornecido pelo provedor pois será solicitado a frete.

Selecione de acordo com sua forma de acessar a Internet e clique para Avançar, no nosso caso vamos de Ethernet DHCP.

Clique para Avançar, este cenário é simples e não tem DMZ apenas duas Redes

Neste ponto precisamos entender um conceito usado no Endian, ele diferencia as redes por cores a GREEN é usada pela Rede local, RED a que está conectada a Internet e BLUE para clientes Wi-fi e ORANGE para DMZ, no caso, para ter BLUE ou ORANGE é necessário placas adicionais

Na tela Abaixo vamos configurar a interface GREEN onde devemos definir um IP, pode ser o mesmo já configurado na instalação ou colocar outro, devemos selecionar na lista a máscara de rede correta, em interface, devemos selecionar a placa de rede que vai estar ligada a rede local (geralmente eth0), em Hostname podemos definir o nome do servidor e em Domainame o domínio usado na rede local se aplicável, clique para avançar.

Nesta tela devemos configurar a interface RED

Se você usou Ethernet DHCP será exibida tela semelhante e abaixo e vc deve selecionar qual placa será usada para essa função (geralmente eth1)

Se você usou Static Ethernet será exibida uma tela de configuração semelhante a da GREEN onde você deverá colocar seu IP Fixo fornecido por sua Operadora, selecionar a mascara correta, colocar o Default Gateway e selecionar a interface a a ser usada

Se você usou PPOE será exibido a tela para colocar login e senha do provedor de acesso.

Caso tenha usado Static Ethernet aqui você colocar o DNS da sua operadora, no caso caso apenas avançamos

Nesta tela podemos definir o endereço de email para o envio de notificações, é necessário informar um servidor SMTP que aceite relay sem autenticação, caso não tenha não há problemas não é obrigatório preencher esta informação. Avance

Nesta tela clique em OK para aplicar todas as configurações que foram feitas

Aguarde alguns instantes e pronto, se você recarregar a página será solicitado login e senha o login é admin e a senha é que foi definida anteriormente.

O primeiro passo que podemos dar para começar usar é habilitar o acesso via SSH para isso clique em System depois em SSH Access, clique no botão Enable e depois em SAVE.

Para podermos começar a usar nosso servidor como proxy devemos clicar em Proxy selecione HTTP e Configuration clique em Enable HTTP Proxy e selecione a opção transparent (Esse modo faz com que todas as solicitações sejam automaticamente redirecionadas para o proxy e você não precisa configurar o proxy em todas as estações)

Será exibido a tela para Aplicar semelhante a abaixo, sempre a use quando solicitado para que alterações passem a valer

Outra informação importante é que o Endian 2.4 já vem com o Sarg instalado e pode ser acessado pelo endereço

https://IP_DO_ENDIAN:10443/sarg

Será exibida tela abaixo com os relatórios de acesso dos clientes, esse relatório é gerado diariamente.

Espero que tenha ajudado e qualquer dúvida deixe seu comentário, não esqueça de votar também, mais informações e tutoriais sobre o endian podem ser obtidos aqui

Não se esqueça de compartilhar também

Anúncios

Instalando e configurando o WSUS


Um dos grandes desafios para se manter o ambiente funcionando de modo seguro e estável é a preocupação que devemos ter com as atualizações. O Microsoft Windows Server Update Services 3.0 (WSUS 3.0) permite que administradores de TI distribuam as últimas atualizações de praticamente todos os produtos Microsoft, para computadores executando os sistemas operacionais Windows 2000 Professional com Service Pack 4, Windows XP com Service Pack 2, Windows Vista, Windows 7, Windows Defender, Windows 2000 Server com Service Pack 4, Windows Small Business Server 2003/2008 e Windows Server 2003/2008.

Para instalar o WSUS 3.0, o sistema de arquivos do servidor deve atender aos seguintes requisitos:

· Tanto a partição do sistema quanto a partição em que você instala o WSUS 3.0 devem ser formatas com o sistema de arquivos NTFS.

· É necessário ter no mínimo, 1 GB de espaço livre para a partição do sistema.

· É necessário ter no mínimo, 20 GB de espaço livre para o volume no qual o WSUS irá armazenar o conteúdo; o recomendável são 30 GB.

· É necessário ter no mínimo, 2 GB de espaço livre para o volume no qual o WSUS irá instalar o Windows Internal Database.

Instalando o WSUS 3.0

1 – Após verificar os requisitos de software e hardware para instalar o WSUS 3.0, conforme mencionado anteriormente, o próximo passo é fazer o download do WSUS 3.0, o qual está disponível na url abaixo:

http://go.microsoft.com/fwlink/?LinkId=89379

2 – Após o download ter sido concluído, dê um clique duplo no arquivo WSUS3Setupx86.exe para iniciar a instalação. Será carregado o assistente de instalação conforme mostra a figura 1.1.

 

image001

3 – Dê um clique no botão Next para continuar. Será carrega a página conforme mostra a figura 1.2.

image002

4 – Na página Installation Mode Selection, clique em Full server installation including Administration Console se você quer instalar WSUS 3.0 Server sobre este servidor, ou clique em Administration Console only se você quer instalar somente a console de administração. Em nosso exemplo iremos instalar o WSUS 3.0 Server. Selecione a opção Full server installation including Administration Console e clique em Next. Será carrega a página conforme mostra a figura 1.3.

image003

5 – Na página License Agreement, selecione a opção I accept the terms of the License agreement, e clique no botão Next para continuar. Será carrega a página conforme mostra a figura 1.4.

image004

6 – Na página Select Update Source, você pode especificar onde os clientes obtêm as atualizações. Se você marcar a caixa de seleção Store updates locally, as atualizações serão armazenadas no servidor do WSUS 3.0 onde você selecionará um local no sistema de arquivos para armazenar as atualizações. Se você não armazenar as atualizações localmente, os computadores clientes se conectarão ao Microsoft Update para obter as atualizações aprovadas. Selecione a opção Store updates locally e clique no botão Next para continuar. Será carrega a página conforme mostra a figura 1.5.

image005

7– Na página Database Options, selecione o software usado para gerenciar o banco de dados do WSUS 3.0. Por default, o Setup do WSUS 3.0 oferece para instalar o Windows Internal Database se o computador no qual você está instalando o WSUS 3.0 estiver executando o Windows Server 2003. Se você não pretende usar o Windows Internal Database, você deve fornecer uma instância do SQL Server para o WSUS usar, clicando em Using an existing database server on this computer e digitando o nome da instância na caixa de texto. O nome da instância deve aparecer como <serverName><instanceName>, onde serverName é o nome do servidor e instanceName é o nome da instância do SQL. Em nosso exemplo, como estamos utilizando o Windows Server 2003, iremos utilizar o Windows Internal Database para gerenciar o banco de dados do WSUS 3.0. Clique no botão Next para continuar. Será carrega a página conforme mostra a figura 1.6.

image006

8 – Na página Web Site Selection, especifique o site a ser usado pelo WSUS 3.0. Se você deseja usar o Web site default do IIS na porta 80, selecione a primeira opção. Se você já tem um Web site na porta 80, você pode criar um site alternativo sobre a porta 8530 selecionando a segunda opção. Em nosso exemplo, iremos utilizar a opção Use the existing IIS Default Web site (recommended). Clique no botão Next para continuar. Será carrega a página conforme mostra a figura 1.7.

image007

9 – Na página Ready to Install Windows Server Update Services 3.0, revise as opções selecionadas e clique no botão Next. Será carrega a página conforme mostra a figura 1.8.

image008

10 – Clique no botão Finish para concluir a instalação. Após você clicar no botão Finish o assistente de configuração será carregado, conforme mostra a figura 1.9.

Configurando o WSUS 3.0

Antes de iniciar o processo de configuração, assegure-se que você saiba responder as seguintes questões:

1. O firewall está configurado para permitir que os clientes acessem o servidor?

2. Este servidor pode conectar-se para servidores upstream, como por exemplo, o Microsoft Update?

3. Você tem o nome e as credencias de usuário do servidor de Proxy, se necessário?

image009

 

1 – Na página Before You Begin Clique em Next, para continuar. Será carrega a página conforme mostra a figura 1.10.

image010

2 – Na página Join the Microsoft Update Improvement Program, você pode optar em ajudar a Microsoft a melhorar o próximo produto do WSUS. Selecione o check box Yes, I would like to join the Microsoft Update Improvement Program e clique em Next para contiinuar. Será carrega a página conforme mostra a figura 1.11.

image011

3 – Na página Choose Upstream Server, você configura se o WSUS irá sincronizar com Microsoft Update ou com outro WSUS Server. Se você escolher sincronizar com outro WSUS Server, você precisará especificar o nome do servidor e a porta, no qual este servidor se comunicará com o servidor upstream. Como esse é o primeiro WSUS Server iremos escolher a opção Synchronize from Microsoft Update. Clique em Next para continuar. Será carrega a página conforme mostra a figura 1.12

image012

Nota

Se este servidor requer um servidor Proxy para acessar um servidor upstream, você pode configurar um servidor Proxy aqui. Caso o seu servidor WSUS tenha acesso direto para a Internet sem a necessidade de passar por um servidor Proxy você pode pular os passos abaixo e seguir com o assistente.

4 – Na página Specify Proxy Server, selecione o check box Use a Proxy server when synchronizing, e digite o nome do servidor Proxy e número da porta (a porta 80 é default) nas caixas correspondentes.

5 – Se você quer se conectar para um servidor Proxy usando uma credencial de um usuário específico, selecione o check box Use user credentials to connect to the Proxy server, e digite o nome do usuário, domínio e a senha do usuário nas caixas correspondentes. Se você quer permitir autenticação básica para usuários conectados para o servidor Proxy, selecione o check box  Allow basic authentication (password is sent in cleartext). Escolha as opções desejadas e clique em Next para continuar.  Será carrega a página conforme mostra a figura 1.13.

image013

6 – Na página Connect to Upstream Server, clique no botão Start Connecting para salvar as informações do servidor de Proxy e fazer o download do servidor upstream. Após o download ter sido concluído com sucesso, clique no botão Next para continuar. Será carrega a página conforme mostra a figura 1.14.

Nota

Enquanto a conexão está sendo feita, o botão Stop Connecting estará disponível. Se existir qualquer problema com a conexão, clique no botão Stop Connecting, resolva o problema, e restart a conexão.

 

image014

 

7 – Na página Choose Languages, permite você fazer o download de todas as linguagens ou de um subconjunto de linguagens. Selecione somente as linguagens que corresponde aos seus clientes WSUS para economizar espaço em disco no servidor WSUS. Selecione as linguagens desejadas e clique no botão Next para continuar. Será carrega a página conforme mostra a figura 1.15.

image015

8 – Na página Choose Products, permite você especificar os produtos para os quais você deseja distribuir as atualizações. Você pode selecionar os produtos por categorias, como por exemplo, Windows, ou por um produto específico, como por exemplo, Exchange Server 2003. Selecione todos os produtos que você pretende distribuir as atualizações e clique no botão Next para continuar. Será carrega a página conforme mostra a figura 1.16.

image016

9 – Na página Choose Classifications, permite você escolher a classificação das atualizações que você deseja obter. Você pode escolher todas as classificações ou um subconjunto delas. Selecione as opções desejas e clique no botão Next para continuar. Será carrega a página conforme mostra a figura 1.17.

image017

10 – Na página Set Sync Schedule, permite você configurar a sincronização para ocorrer de forma manual ou automática. Se você escolher a sincronização manual sobre este servidor, você terá que iniciar o processo de sincronização através da console de administração do WSUS toda vez que você desejar consultar o Windows Update para verificar se existem novas atualizações disponíveis. Se você escolher a sincronização automática, o WSUS irá sincronizar no intervalo especificado. No campo First synchronization você define o horário que irá ocorrer à primeira sincronização. No campo Synchoronization per day você define quantas vezes por dia a sincronização irá ocorrer. Por exemplo, se você especificar que devem ocorrer quatro sincronizações por dia, sendo que a primeira sincronização ocorrerá às 3:00 AM, as sincronizações irão ocorrer às 3:00 AM, 9:00 AM, 3:00 PM, 9:00 PM. Selecione as opções desejas e clique no botão Next para continuar. Será carrega a página conforme mostra a figura 1.18.

image018

11 – Após você ter completado todos os passos de configuração acima, na página Finished, você pode executar a console de administração do WSUS deixando o check box Launch the Windows Server Update Services Administrations Console selecionado e você pode iniciar a primeira sincronização deixando o check box Begin initial synchronization selecione. Selecione as opções desejas e clique no botão Next para continuar. Será carrega a página conforme mostra a figura 1.19.

image019

 

12 – Na página What´s Next, explore os tópicos listados acima para integrar o servidor WSUS em seu ambiente. Clique no botão Finish para concluir a configuração.

NOTA: Dependendo da sua conexão, ou do tanto de produto ou idioma selecionados o WSUS vai demorar talvez até uns 2 dias até fazer todos os downloads e começar a disponibilizar para os clientes.

 

Configurando as estações para usar o WSUS

1 – Clique em Start, Programs, Administrative Tools, Active Directory Users and Computers. Será carregada a janela como mostra a figura.

image034

2 – Selecione o local onde as contas dos computadores clientes estão localizadas, para que você possa configurar uma GPO, o qual irá configurar os clientes do WSUS. Em nosso exemplo, foi criada uma OU com o nome Laboratório e a abaixo dela foram criadas outras duas OUs, uma com o nome Clientes, o qual contém contas de computadores Clientes Windows 2000 Professional e Windows XP Professional, e a outra com o nome Servidores, o qual contém contas de computadores Windows 2000 Server e Windows Server 2003. Existem várias formas para configurar os clientes WSUS, escolha a que melhor se adapte ao seu ambiente. No exemplo acima, estou separando computadores clientes de servidores para criar políticas diferentes de distribuição dos patches, atualizações de segurança e horário de instalação.

3 – Selecione a OU Clientes, e clique com o botão direito do mouse e escolha a opção Properties. Será carrega a caixa de diálogo como mostra a figura

image035 .

4 – Selecione a guia Group Policy. Será carrega a caixa de diálogo como mostra a figura.

image036

5- Clique em new para criar uma GPO que pode ser chamada de “Clientes WSUS”. e clique em Editar.

image042

 

Esta configuração de política permite você configurar a atualização automática, definir o tipo da atualização, e qual o dia e hora que serão executadas às atualizações.

Se esta configuração de política for ativada você poderá escolher entre os quatro tipos de atualizações disponíveis nesta política. As opções são as seguintes:

  • 2 – Notify for download and notify for install – Se você selecionar essa opção, o cliente deve ser notificado antes do download de qualquer atualização e notificado antes da instalação.
  • 3 – Auto download and notify for install – Se você selecionar essa opção, irá permite a atualização automaticamente para os computadores clientes, sendo notificado somente antes da instalação.

  • 4 – Auto download and schedule the install – Se você selecionar essa opção, o download de todas as atualizações aprovadas será executado e instalado nos computadores clientes sem intervenção do usuário.
  • 5 – Allow local admin to choose setting – Se você selecionar essa opção, os administradores locais poderão usar o Automatic Updates através do Control Painel para selecionar a opção de configuração de sua escolha.

Na opção Schedule install day, você define o dia da semana que a instalação das atualizações será agendada para ser instalada.

Na opção Scheduled install time, você define a hora que a instalação das atualizações será agendada para ser instalada.

11 – Em nosso exemplo, iremos selecionar a oção 4 – Auto download and schedule the install, que será executada todos os dias às 12:00 AM, porém você poderá escolher entre qualquer uma das outras opções para atender melhor as suas necessidades. Clique no botão Apply, e em seguida clique no botão Next Setting, para ir para próxima política. Será carrega a caixa de diálogo como mostra a figura 1.43.

image043

Esta configuração de política permite que você especifique o nome do servidor WSUS do seu Domínio, o qual os clientes irão fazer o download das atualizações de segurança e patches.

12 – Selecione a opção Enabled para ativar a política, e em seguida no campo Set the intranet update service for detecting updates, digite o nome do servidor WSUS, como por exemplo, http://srv090. Esse é o nome NETBIOS do meu servidor, digite o nome NETBIOS do seu servidor. No campo Set the intranet statistics server, digite o nome do servidor no qual as estações irão atualizar as estatísticas das instalações, como por exemplo, http://srv0090.

 

Pronto em pouco tempo você estará com seu ambiente atualizado.

Lembre-se de seguir as recomendação de sempre rodar o “cleanup” utilizar a aprovação automática para atualizações de segurança.

Categorias:Infra Tags:,