Personalizando o HLBR - IPS invisível
A versão 1.5-RC2 do HLBR vem com 144 regras pré-definidas, porém se você apenas instalar e não ativar alguns tipos de regras, nem todas irão para a execução. Aqui você aprenderá a liberar novas regras e a escrever regras personalizadas para seu ambiente. De bônus você ganha 5 novas regras para o seu HLBR, incluindo regras contra IP SPOOFING e SQL INJECTION.
[ Hits: 44.429 ]
Por: Dailson Fernandes (fofão) - http://www.dailson.com.br em 22/07/2008
Como começar a escrever regras para o HLBR?
Este é um passo que requer atenção, pesquisa e alguns testes. Em primeiro lugar você deve ler o README que vem no diretório do HLBR. Lá existem dicas preciosas de como começar a construí-las. Lá também você consulta os parâmetros possíveis e as ações que o HLBR pode tomar.
Em segundo lugar, ler LOGs, lá você vai encontrar o que estão tentando fazer com seus servidores, quais são os erros comuns e os strings que estão sendo "injetadas" nos seu servidor.
Neste passo aconselho a instalação de programas que auxiliam na leitura de logs como o LOGWATCH, SWATCH e AWSTATS.
Um bom exemplo é aqui na empresa. Constatei vários acessos a uma dll em meu servidor. Esta dll é a owssvr.dll e vi que é um ataque as expressões do frontpage.
Ao longo do artigo, vou ensinar a escrever algumas regras inéditas. Esta regra, será uma delas.
Em terceiro lugar, é bom você conhecer um pouco de expressões regulares, não é obrigatório, porém importante.
Expressões regulares definem um padrão a ser usado para procurar ou substituir palavras ou grupos de palavras. É um meio preciso de se fazer buscas de determinadas porções de texto.
Por exemplo, se o conjunto de palavras for {asa, carro, jardim, ovos, terra} e a expressão regular buscar por um padrão rr, obterá as palavras carro e terra.
Existem vários caracteres especiais chamados metacaracteres nas Expressões Regulares para fazer uma busca avançada de palavras dentro de uma frase. (Fonte: wikipedia)
Por exemplo:
Existe um ataque básico a um servidor HTTP que pode ser visto neste vídeo:
que é a tentativa do atacante passear no hd do servidor, tentando descer na árvore de diretórios chamando os caracteres ../.
Exemplo:
http://www.vivaolinux.com.br/../../
Se o servidor do Viva o Linux tivesse esta vulnerabilidade eu conseguiria ver a raiz do disco do servidor (caso as páginas dele esteja hospedada em /var/www).
Ou ainda posso tentar ver os arquivos de senha do servidor:
http://www.vivaolinux.com.br/../../etc/passwd
http://www.vivaolinux.com.br/../../etc/shadow
Com o HLBR, basta eu ter a seguinte regra:
Veja a expressão regular:
http regex(\.+(/|\\)+)
Ou seja, se na URL vier . (ponto) seguido de barras sejam elas normais (/) ou invertidas (\), o hlbr toma a ação action1, que é bloquear e colocar em log.
Quem quiser enveredar ou se especializar em Expressões Regulares, aconselho o site do Aurelio Marinho Jargas:
Em segundo lugar, ler LOGs, lá você vai encontrar o que estão tentando fazer com seus servidores, quais são os erros comuns e os strings que estão sendo "injetadas" nos seu servidor.
Neste passo aconselho a instalação de programas que auxiliam na leitura de logs como o LOGWATCH, SWATCH e AWSTATS.
Um bom exemplo é aqui na empresa. Constatei vários acessos a uma dll em meu servidor. Esta dll é a owssvr.dll e vi que é um ataque as expressões do frontpage.
Ao longo do artigo, vou ensinar a escrever algumas regras inéditas. Esta regra, será uma delas.
Em terceiro lugar, é bom você conhecer um pouco de expressões regulares, não é obrigatório, porém importante.
Expressões regulares definem um padrão a ser usado para procurar ou substituir palavras ou grupos de palavras. É um meio preciso de se fazer buscas de determinadas porções de texto.
Por exemplo, se o conjunto de palavras for {asa, carro, jardim, ovos, terra} e a expressão regular buscar por um padrão rr, obterá as palavras carro e terra.
Existem vários caracteres especiais chamados metacaracteres nas Expressões Regulares para fazer uma busca avançada de palavras dentro de uma frase. (Fonte: wikipedia)
Por exemplo:
Existe um ataque básico a um servidor HTTP que pode ser visto neste vídeo:
que é a tentativa do atacante passear no hd do servidor, tentando descer na árvore de diretórios chamando os caracteres ../.
Exemplo:
http://www.vivaolinux.com.br/../../
Se o servidor do Viva o Linux tivesse esta vulnerabilidade eu conseguiria ver a raiz do disco do servidor (caso as páginas dele esteja hospedada em /var/www).
Ou ainda posso tentar ver os arquivos de senha do servidor:
http://www.vivaolinux.com.br/../../etc/passwd
http://www.vivaolinux.com.br/../../etc/shadow
Com o HLBR, basta eu ter a seguinte regra:
<rule>
ip dst(www)
tcp dst(80)
http regex(\.+(/|\\)+)
message=(webattacks-1-re) directory change attempt (unicode,asc,plain)
action=action1
</rule>
ip dst(www)
tcp dst(80)
http regex(\.+(/|\\)+)
message=(webattacks-1-re) directory change attempt (unicode,asc,plain)
action=action1
</rule>
Veja a expressão regular:
http regex(\.+(/|\\)+)
Ou seja, se na URL vier . (ponto) seguido de barras sejam elas normais (/) ou invertidas (\), o hlbr toma a ação action1, que é bloquear e colocar em log.
Quem quiser enveredar ou se especializar em Expressões Regulares, aconselho o site do Aurelio Marinho Jargas:
Páginas do artigo
1. Introdução2. As regras a serem analisadas
3. Analisando o www.rules
4. Analisando o http.rules
5. Como começar a escrever regras para o HLBR?
6. Escrevendo regras pra valer
7. Escrevendo regras contra ataques a extensões do frontpage
8. Bônus: Escrevendo uma regra contra SQL Injections
9. Conclusão
Outros artigos deste autor
Utilizando o RSYNC para fazer backups de servidores e estações Windows
Blindando sua rede com o HLBR - Um IPS invisível e brasileiro
Glances - Monitoramento de Processos e Perfomance
Eu cavo, tu cavas, ele cava... tutorial de DIG
Gerenciando logs do Linux pela WEB com o PHPSYSLOG-NG (parte 1)
Leitura recomendada
Resetando senha de usuário root em sistemas Debian e Red Hat
Como forçar alteração de senha de usuário no próximo login no Linux
Bind: Explorando e evitando falhas
Enviando e recebendo e-mails criptografados através do Thunderbird
Bootando CDROM com o grub / lilo
Comentários
[1] Comentário enviado por drakula em 24/07/2008 - 14:03h
Parabéns muito bom esse artigo, estou tendo contato com o HLBR a poucos dias ainda nao coloquei pra funcionar mas parece ser bem interessante esse artigo esclarece muito bem a forma como ele trabalha, a propósito parabens pelo artigo da instalacao tb esta muito bem explicado, continue assim a comunidade agradece
Abraço
Parabéns muito bom esse artigo, estou tendo contato com o HLBR a poucos dias ainda nao coloquei pra funcionar mas parece ser bem interessante esse artigo esclarece muito bem a forma como ele trabalha, a propósito parabens pelo artigo da instalacao tb esta muito bem explicado, continue assim a comunidade agradece
Abraço
[2] Comentário enviado por dailson em 24/07/2008 - 14:51h
Blz Drakula
Quando testar, posta os resultados pra gente.
Um abraço
Dailson
Blz Drakula
Quando testar, posta os resultados pra gente.
Um abraço
Dailson
[3] Comentário enviado por rndasi em 25/07/2008 - 15:15h
Realmente parabéns pelo artigo ...
Fiz a implantação do HLBR-1.6-RC1 em ambiente de produção para conhecer todo o potencial da ferramenta. A parte que mais me interessa é realmente a regra sobre o SQL INJECTION que vc montou ...
Embora o site da empresa esteja livre desse tipo de ataque as tentativas não param. Então a primeira prova de fogo do HLBR será bloquear essa tentativa de ataque antes que ela chegue no servidor.
Agora sobre outras regras: habilitei a regra que bloqueia ASP mas alterei ela pra TXT só pra eu fazer um teste e joguei um arquivo TXT no servidor. Com a regra tcp nocase(.txt) se eu digito www.meudominio.com.br/teste.txt, o arquivo é aberto ... Tive que alterar a regra para http nocase(.txt) e ai a regra começou a funcionar. Realmente isso está certo ou estou fazendo alguma coisa de errado ?
Uma outra dúvida é: as minhas duas placas nessa máquina estão com IP 127.0.0.2 e 3 conforme sugestão. Mas o servidor fica em um outro prédio. Toda vez que eu quero ver como está o LOG eu tenho que ir até o prédio onde estar o servidor, entrar no depto de TI e ter acesso físico ao servidor. Qual seria a sugestão para eu ver esse log "remotamente" claro que levando em conta a segurança ?
Obrigado pela ajuda
Ronaldo
Realmente parabéns pelo artigo ...
Fiz a implantação do HLBR-1.6-RC1 em ambiente de produção para conhecer todo o potencial da ferramenta. A parte que mais me interessa é realmente a regra sobre o SQL INJECTION que vc montou ...
Embora o site da empresa esteja livre desse tipo de ataque as tentativas não param. Então a primeira prova de fogo do HLBR será bloquear essa tentativa de ataque antes que ela chegue no servidor.
Agora sobre outras regras: habilitei a regra que bloqueia ASP mas alterei ela pra TXT só pra eu fazer um teste e joguei um arquivo TXT no servidor. Com a regra tcp nocase(.txt) se eu digito www.meudominio.com.br/teste.txt, o arquivo é aberto ... Tive que alterar a regra para http nocase(.txt) e ai a regra começou a funcionar. Realmente isso está certo ou estou fazendo alguma coisa de errado ?
Uma outra dúvida é: as minhas duas placas nessa máquina estão com IP 127.0.0.2 e 3 conforme sugestão. Mas o servidor fica em um outro prédio. Toda vez que eu quero ver como está o LOG eu tenho que ir até o prédio onde estar o servidor, entrar no depto de TI e ter acesso físico ao servidor. Qual seria a sugestão para eu ver esse log "remotamente" claro que levando em conta a segurança ?
Obrigado pela ajuda
Ronaldo
[4] Comentário enviado por dailson em 28/07/2008 - 15:52h
Oi Rndasi
Em relação a regra do txt, isto foi um bug que detectamos na versão 1.5RC2 e anteriores, ficamos surpreso em vc dizer que aconteceu novamente na versão 1.6, pois isto já foi corrigido. Se vc puder, posta a regra que vc fez aqui para a gente testar também.
Em relação a mudar para http nocase, não há erro nisso, vc tá certo, mas era pra funcionar com o tcp também.
Em relação a sua pergunta sobre analisar remotamenteé uma idéia excelente, porém considerada extremamente perigosa pela equipe Mantenedora do HLBR. Se for para laboratório, a idéia é excelente. Se for para ambiente de produção, não é recomendado por eles colocar placas com IP acessíveis e roteáveis.
Ou seja, vc tem que ir na máquina mesmo. Mas se serve de consolo, aqui também eu faço isso e meu HLBR fica longe pra caramba de onde fico normalmente.
Isto é uma característica que deve ser implantada nas novas versões.
Um grande abraço
Oi Rndasi
Em relação a regra do txt, isto foi um bug que detectamos na versão 1.5RC2 e anteriores, ficamos surpreso em vc dizer que aconteceu novamente na versão 1.6, pois isto já foi corrigido. Se vc puder, posta a regra que vc fez aqui para a gente testar também.
Em relação a mudar para http nocase, não há erro nisso, vc tá certo, mas era pra funcionar com o tcp também.
Em relação a sua pergunta sobre analisar remotamenteé uma idéia excelente, porém considerada extremamente perigosa pela equipe Mantenedora do HLBR. Se for para laboratório, a idéia é excelente. Se for para ambiente de produção, não é recomendado por eles colocar placas com IP acessíveis e roteáveis.
Ou seja, vc tem que ir na máquina mesmo. Mas se serve de consolo, aqui também eu faço isso e meu HLBR fica longe pra caramba de onde fico normalmente.
Isto é uma característica que deve ser implantada nas novas versões.
Um grande abraço
[5] Comentário enviado por rndasi em 28/07/2008 - 17:17h
Obrigado pelo retorno.
Tentei as seguintes regras:
tcp regex(GET[ -~]+\.txt($|/|\&|\?)) e tcp nocase(.txt) .... Ambas se eu trocar tcp por http funcionando. Com tcp não ... A primeira regra eu pequei do próprio www.rules e copiei a regra do ASP.
Bom, pelo menos manterei a forma indo de um prédio ao outro. risos
Quanto ao SQL Injection tem outra forma de invadir utilizando DECLARE e CAST (no caso do SQL SERVER) .. Vou tentar entender a sua regra e montar uma por aqui e funcionando eu te mando.
Abraço
Obrigado pelo retorno.
Tentei as seguintes regras:
tcp regex(GET[ -~]+\.txt($|/|\&|\?)) e tcp nocase(.txt) .... Ambas se eu trocar tcp por http funcionando. Com tcp não ... A primeira regra eu pequei do próprio www.rules e copiei a regra do ASP.
Bom, pelo menos manterei a forma indo de um prédio ao outro. risos
Quanto ao SQL Injection tem outra forma de invadir utilizando DECLARE e CAST (no caso do SQL SERVER) .. Vou tentar entender a sua regra e montar uma por aqui e funcionando eu te mando.
Abraço
[6] Comentário enviado por dailson em 29/07/2008 - 10:29h
Ok Rndasi
Estaremos publicando em breve um artigo com 70 novas regras.
Uma delas, foi a que coloquei neste artigo.
Manda brasa em novas regras, pois é o que mais o HLBR precisa.
Em relação a este BUG, já foi passada a equipe e eles estão verificando novamente.
Um abraço
Ok Rndasi
Estaremos publicando em breve um artigo com 70 novas regras.
Uma delas, foi a que coloquei neste artigo.
Manda brasa em novas regras, pois é o que mais o HLBR precisa.
Em relação a este BUG, já foi passada a equipe e eles estão verificando novamente.
Um abraço
[7] Comentário enviado por drakula em 30/07/2008 - 22:39h
Ansiosissimo por esse artigo com as 70 novas regras!!
eeheheh
abraço
Ansiosissimo por esse artigo com as 70 novas regras!!
eeheheh
abraço
[8] Comentário enviado por thiagopagani em 30/07/2008 - 22:48h
Parabens pelo Artigo
e drakula vamos colocar em pratica
abraço
Parabens pelo Artigo
e drakula vamos colocar em pratica
abraço
[9] Comentário enviado por dailson em 31/07/2008 - 09:40h
Beleza!!!
O artigo está em andamento. E os testes também. Algumas regras apresentaram problemas com o HLBR, mas a equipe é eficaz demais, mandei os erros e a galera já corrigiu...
Já está em ambiente de produção...
Estamos refinando para liberar para a comunidade!
Parabéns a nós que fazemos o SL crescer!!!!!!!!
Gostaria de pedir a quem tivesse erros, mandasse para mim em listas em dailson.com.br se possível com os arquivos de dump (/var/log/hlbr/hlbr.log e hlbr.dump)
A Equipe HLBR agradece!
Beleza!!!
O artigo está em andamento. E os testes também. Algumas regras apresentaram problemas com o HLBR, mas a equipe é eficaz demais, mandei os erros e a galera já corrigiu...
Já está em ambiente de produção...
Estamos refinando para liberar para a comunidade!
Parabéns a nós que fazemos o SL crescer!!!!!!!!
Gostaria de pedir a quem tivesse erros, mandasse para mim em listas em dailson.com.br se possível com os arquivos de dump (/var/log/hlbr/hlbr.log e hlbr.dump)
A Equipe HLBR agradece!
[10] Comentário enviado por drakula em 24/08/2008 - 22:52h
HLBR Colocado em produção fantastico muito bom uma otima ferramenta parabens aos desenvolvedores e ao dailson que tem facilitado muito as coisas com seus tutorias otimos e didaticos
Abraço
HLBR Colocado em produção fantastico muito bom uma otima ferramenta parabens aos desenvolvedores e ao dailson que tem facilitado muito as coisas com seus tutorias otimos e didaticos
Abraço
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Fscrypt: protegendo arquivos do seu usuário sem a lentidão padrão de criptograr o disco
Faça suas próprias atualizações de pacotes/programas no Void Linux e torne-se um Contribuidor
Como rodar o Folding@home no Linux
Criando um painel de controle (Dashboard) para seu servidor com o Homepage
O Abismo entre o Código e o Chão: Saltos Tecnológicos e a Exclusão Estrutural no Brasil
Dicas
Pisando no acelerador do Linux Mint: Kernel XanMod, zRAM e Ajustes de Swap
Como compilar kernel no Linux Mint
Lançamento do Brutal DOOM test 6
Consertando o erro no Brave de webgl
Solução para ter de volta as bordas e barra de títulos das janelas em zenity no Debian 13.x
Tópicos
Abrir um arquivo URL pelo Clipper (8)
Seno, Coseno, Tangente em CLIPPER (1)
Inserir uma URL num arquvo pelo Ubuntu (CLIPPER) (0)
VMWare Player não conecta na rede nem consigo intercambiar arquivos (1)
Top 10 do mês
-
Xerxes
1° lugar - 142.618 pts -
Fábio Berbert de Paula
2° lugar - 66.512 pts -
Buckminster
3° lugar - 45.952 pts -
Alberto Federman Neto.
4° lugar - 36.313 pts -
Sidnei Serra
5° lugar - 24.637 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 23.715 pts -
edps
7° lugar - 23.515 pts -
Daniel Lara Souza
8° lugar - 21.398 pts -
Mauricio Ferrari (LinuxProativo)
9° lugar - 20.641 pts -
Andre (pinduvoz)
10° lugar - 17.100 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
