Instalando a nova versão do HLBR - IPS invisível

O HLBR é um projeto brasileiro destinado à segurança em redes de computadores. O HLBR é um IPS (Intrusion Prevention System) bastante eficiente e versátil, podendo ser usado até mesmo como bridge para honeypots e honeynets. Como não usa a pilha TCP/IP do sistema operacional, ele é "invisível" a outras máquinas na rede e atacantes, pois não possui número de IP.

[ Hits: 80.529 ]

Por: Dailson Fernandes (fofão) - http://www.dailson.com.br em 14/07/2008


Auditoria: Visualizando LOGS e arquivos de DUMP



Todos os logs do HLBR estão em /var/log/hlbr (local padrão). Lá você encontrará um arquivos textos com extensão .log e arquivos de dump do tcpdump com extensão dump.

Para visualizar os arquivo de log em modo texto basta usar o vi. Ex: vi hlbr.log. Para visualizar os dumps do tcpdump, utilize a seguinte sintaxe:

# tcpdump -s 1500 -vvv -tttt -X -r hlbr.dump

Onde:
  • -s: Tamanho máximo do segmento (mtu)
  • -vvv: Em modo detalhado
  • -tttt: Modo de tempo detalhado (hora e data)
  • -X: Exibe os valores em Hexadecimal
  • -r: Especifica o arquivo de entrada.

Nota:

1) para visualizar com o TCPDUMP, este aplicativo deve estar instalado no sistema. Para isso utilize "apt-get install tcpdump" (caso você use Debian e derivados).

Página anterior     Próxima página

Páginas do artigo
   1. A nova versão do HLBR 1.5RC2
   2. O que é o HLBR?
   3. Hardware e softwares necessários
   4. Preparando o ambiente para o HLBR
   5. Instalando o HLBR
   6. Configurando o HLBR
   7. As regras de detecção de ataque
   8. Onde posicionar o HLBR?
   9. Colocando para funcionar!
   10. Auditoria: Visualizando LOGS e arquivos de DUMP
   11. Testando: Provocando uma reação do HLBR
   12. Vídeos do HLBR em ação
   13. Conclusão, créditos e links
Outros artigos deste autor

Gerenciando logs do Linux pela WEB com o PHPSYSLOG-NG (parte 1)

Blindando sua rede com o HLBR - Um IPS invisível e brasileiro

Personalizando o HLBR - IPS invisível

NTFS-3g: Leitura e gravação em NTFS com segurança? Ainda não!

Eu cavo, tu cavas, ele cava... tutorial de DIG

Leitura recomendada

VPN com openVPN no Slackware 11

Introdução a criptografia

Vault: SSH com OneTimePassword

Política de Segurança para Dispositivos Móveis

Burlando "MSN Sniffers" com TOR e Gaim

  
Comentários
[1] Comentário enviado por jeferson_roseira em 14/07/2008 - 23:16h

ótima dica

ja esta nos favoritos


Jeferson Roseira

[2] Comentário enviado por grandmaster em 15/07/2008 - 00:39h

Tb adicionado, não conhecia.

Vou tentar testar em uma maquina virtual.

[3] Comentário enviado por fmpfmp em 15/07/2008 - 10:00h

Artigo muito bem escrito. Só ficou faltando dizer como as regras são atualizadas. No Snort isso é possível, nesse HLBR não? Se sim, como?

[4] Comentário enviado por dailson em 15/07/2008 - 12:27h

Bom

As regras tem sido atualizadas a cada versão e nos fóruns.
Estamos providenciando um repositório de regras para que vc possa atualiza-las. Porém ainda nao está pronto.
Em breve vou postar no meu site e aqui um artigo sobre novas regras.

[5] Comentário enviado por Andre_A_Ferreira em 15/07/2008 - 15:40h

Rapaz, é um ótimo artigo.

Nota 10 em tudo! Principalmente na divulgação de uma ferramenta tão espetacular e ao mesmo tempo tão necessária.

sds
André.


[6] Comentário enviado por rootkit em 23/07/2008 - 12:19h

Dailson,

Não seria uma boa idéia, adicionar uma terceira placa de rede á máquina, e subir uma ligação entre ela e o servidor de logs, rodando syslog-ng ? Desta forma, seria mais fácil a visualização remota dos logs.

Excelente artigo, estou pondo em produção hoje para testar, parabéns :)

[7] Comentário enviado por dailson em 23/07/2008 - 14:29h

Rootkit

Isso é uma idéia excelente, porém considerada extremamente perigosa pela equipe Mantenedora do HLBR. Se for para laboratório, a idéia é excelente. Se for para ambiente de produção, não é recomendado por eles.
Testa e posta os resultados pra gente!
Um grande abraço


[8] Comentário enviado por ricardolongatto em 09/01/2012 - 23:26h

excelente
abraço


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts