Instalando a nova versão do HLBR - IPS invisível

O HLBR é um projeto brasileiro destinado à segurança em redes de computadores. O HLBR é um IPS (Intrusion Prevention System) bastante eficiente e versátil, podendo ser usado até mesmo como bridge para honeypots e honeynets. Como não usa a pilha TCP/IP do sistema operacional, ele é "invisível" a outras máquinas na rede e atacantes, pois não possui número de IP.

[ Hits: 80.530 ]

Por: Dailson Fernandes (fofão) - http://www.dailson.com.br em 14/07/2008


Testando: Provocando uma reação do HLBR



Depois de todo o ambiente instalado, precisamos saber se o HLBR está no ar. Como o HLBR é o responsável em fazer a ponte entre as máquinas, o fato de você executar um ping entre máquinas que tem o HLBR no meio já é suficiente para saber que ele está no ar e funcionando.

Porém vamos testar com um ataque. Para vermos a ação do HLBR em tempo real, vá em um console onde o HLBR está instalado e faça:

# tail -f /var/log/hlbr/hlbr.log

Vamos fazer um ataque simulando o vírus CODRED que atacava uma vulnerabilidade de um servidor IIS causando um Buffer Overflow. Supondo que seu servidor Web seja 192.168.10.100, digite no browser:

http://192.168.0.100/GET/default.ida?

Veja no HLBR que o log começa a aparecer com a mensagem:

22/09/2007 13:20:27 XXX.1.249.50:50019->200.XXX.XXX.XXX:80 (codered-nimda-1) default.ida request

Outro ataque, seria a mudança de diretório em um servidor Web. Este ataque permitia ao invasor navegar na estrutura de disco do servidor Web.

http://192.168.10.100/../..
ou
http://192.168.10.100/../../etc/passwd

Veja no HLBR que o log começa a aparecer com a mensagem:

03/07/2007 17:08:12 XXX.1.249.50:50019->200.XXX.XXX.XXX:80 (webattacks-1-re) directory change attempt (unicode,asc,plain)

Ou ainda, um ataque para explorar o Shell das máquinas Windows (ataque que caracterizava o vírus NIMDA):

http://192.168.10.100/system/cmd.exe?dir+c:

Veja no HLBR que o log começa a aparecer com a mensagem:

22/09/2007 13:30:07 XXX.1.249.50:50019->200.XXX.XXX.XXX:80 (codered-nimda-2-re) (root|cmd|explorer) request

Página anterior     Próxima página

Páginas do artigo
   1. A nova versão do HLBR 1.5RC2
   2. O que é o HLBR?
   3. Hardware e softwares necessários
   4. Preparando o ambiente para o HLBR
   5. Instalando o HLBR
   6. Configurando o HLBR
   7. As regras de detecção de ataque
   8. Onde posicionar o HLBR?
   9. Colocando para funcionar!
   10. Auditoria: Visualizando LOGS e arquivos de DUMP
   11. Testando: Provocando uma reação do HLBR
   12. Vídeos do HLBR em ação
   13. Conclusão, créditos e links
Outros artigos deste autor

NTFS-3g: Leitura e gravação em NTFS com segurança? Ainda não!

Enrolado para configurar o Samba? Chame o SWAT

Blindando sua rede com o HLBR - Um IPS invisível e brasileiro

Personalizando o HLBR - IPS invisível

Glances - Monitoramento de Processos e Perfomance

Leitura recomendada

Integrando ModSecurity ao NGINX e Apache

Ultimate Nmap

Honeypot Kippo 0.8 - Instalação e utilização

Carnivore e Altivore: Os predadores do FBI

Certificação CISSP

  
Comentários
[1] Comentário enviado por jeferson_roseira em 14/07/2008 - 23:16h

ótima dica

ja esta nos favoritos


Jeferson Roseira

[2] Comentário enviado por grandmaster em 15/07/2008 - 00:39h

Tb adicionado, não conhecia.

Vou tentar testar em uma maquina virtual.

[3] Comentário enviado por fmpfmp em 15/07/2008 - 10:00h

Artigo muito bem escrito. Só ficou faltando dizer como as regras são atualizadas. No Snort isso é possível, nesse HLBR não? Se sim, como?

[4] Comentário enviado por dailson em 15/07/2008 - 12:27h

Bom

As regras tem sido atualizadas a cada versão e nos fóruns.
Estamos providenciando um repositório de regras para que vc possa atualiza-las. Porém ainda nao está pronto.
Em breve vou postar no meu site e aqui um artigo sobre novas regras.

[5] Comentário enviado por Andre_A_Ferreira em 15/07/2008 - 15:40h

Rapaz, é um ótimo artigo.

Nota 10 em tudo! Principalmente na divulgação de uma ferramenta tão espetacular e ao mesmo tempo tão necessária.

sds
André.


[6] Comentário enviado por rootkit em 23/07/2008 - 12:19h

Dailson,

Não seria uma boa idéia, adicionar uma terceira placa de rede á máquina, e subir uma ligação entre ela e o servidor de logs, rodando syslog-ng ? Desta forma, seria mais fácil a visualização remota dos logs.

Excelente artigo, estou pondo em produção hoje para testar, parabéns :)

[7] Comentário enviado por dailson em 23/07/2008 - 14:29h

Rootkit

Isso é uma idéia excelente, porém considerada extremamente perigosa pela equipe Mantenedora do HLBR. Se for para laboratório, a idéia é excelente. Se for para ambiente de produção, não é recomendado por eles.
Testa e posta os resultados pra gente!
Um grande abraço


[8] Comentário enviado por ricardolongatto em 09/01/2012 - 23:26h

excelente
abraço


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts