Post on 22-Apr-2015
HLBR - Hogwash Light BR
Um IPS Brasileiro e Invisível
Dailson Fernandes
O que é o HLBR?
• O HLBR é um IPS (Intrusion Prevention System) capaz de filtrar pacotes diretamente na camada 2 do modelo OSI (não necessita de endereço IP na máquina). A detecção de tráfego malicioso é baseada em regras simples (o próprio usuário poderá confeccionar novas regras). É bastante eficiente e versátil, podendo ser usado até mesmo como bridge para honeypots e honeynets. Como não usa a pilha TCP/IP do sistema operacional, ele é "invisível" a outras máquinas na rede e atacantes.
O que é o HLBR
• É um projeto que é um “fork” do Hogwash que foi desenvolvido em 1996.
• Fizeram uma “lipoaspiração” no Hogwash e retiraram cerca de 50% do código original.
• Daí surgiu o Hogwash LIGHT Brasil.
• O Projeto teve início em 2005.
• Liderado por Eriberto Mota, André Bertelli
• Atualmente está na versão 1.1
O Histórico do Hogwash
• Criado por Jason Larsen em 1996 como projeto universitário;
• Encontra-se na versão 0.5 (em desenvolvimento);
• Pode ser utilizado em GNU/LINUX, Solaris, e MacOS X;
• IPS que trabalha na camada 2,3,4 e 7 do Modelo OSI
• Projeto disponível em http://hogwash.sourceforge.net
IPS X IDS
• IPS (Intrusion Prevention System) é um sistema, similar ao IDS (Intrusion Detection System), voltado para a prevenção de ataques a redes de computadores. A diferença básica entre um IPS e um IDS é que o primeiro, além de detectar um tráfego anômalo, é capaz de tratá-lo. Com isso, é possível obter um maior grau de segurança nas redes de computadores. Os IPS compõem os sistemas de firewall.
Introdução
• Camadas de Uso do Sistema Computacional
USUÁRIOUSUÁRIO
SISTEMAOPERACIONAL
DE REDE
SISTEMAOPERACIONAL
DE REDE
HARDWAREHARDWARE
Introdução
• Protocolo TCP/IP
APLICAÇÃOAPLICAÇÃO
TRANSPORTETRANSPORTE
INTERNETINTERNET
REDEREDE Fddi, Frame-Relay, Atm...
IP, ARP, RARP
TCP e UDP
Http, Ftp, News, Irc, Dns...
Introdução
• Modelo OSI (Open System Interconect)
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA ►Fddi, Frame-Relay, Atm, Ethernet...
►Endereço MAC, Switch, Bridge
►Roteamento, Endereçamento...
►Protocolos TCP e UDP
►Controle, sincronia...
►Conversão, compactação
►Http, Ftp, Dns, Irc...
Introdução
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
Introdução
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
USUÁRIOUSUÁRIO
SISTEMAOPERACIONAL
DE REDE
SISTEMAOPERACIONAL
DE REDE
HARDWAREHARDWARE
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
Introdução
Introdução
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
APLICAÇÃOAPLICAÇÃO
TRANSPORTETRANSPORTE
INTERNETINTERNET
REDEREDE
Atuação do HLBR
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
ENLACEENLACE
FÍSICAFÍSICA
Sistema de Firewall
• Sistema de Proteção
• Todo esforço envolvido com hardwares, pessoas e ambiente para proteger informações.
• Pode ser vários estágios.
• Não deve ser único!
Tipos de Firewall
• Filtro de Pacotes
• Filtro de Estados
• Gateways de Circuitos
• Gateways de Aplicação
Análise Realizadas pelos Firewalls
• Filtro de Pacotes: – Cabeçalho dos Pacotes
• Filtro de Estados: – Estado das conexões
• Gateways de Circuitos: – Tráfego passante (posicionado in-line)
• Gateways de Aplicação: – Conteúdo dos pacotes
Exemplos de Firewall
• Filtro de Pacotes– Iptables, Ebtables, ipchains, ipfw...
• Filtro de Estados– Iptables, ipfw, hogwash
• Gateways de Circuitos– Ipchains*, Iptables*, Hogwash*, Squid*
• Gateways de Aplicação– Snort, Squid, L7-Filter
* Se estiver in-line
OSI X FIREWALL
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
►IPS
►IPS, IDS, Filtros e Proxys
►IPS, IDS e Filtros
►IPS, IDS e Filtros
Exemplo de Firewall
Exemplo de Firewall
Exemplo de Firewall
Como colocar o IPS HLBR na minha estrutura de Firewall?
Arquitetura 1
Arquitetura 2
Arquitetura 3
Arquitetura 3
Instalação do HLBR
• Preparar Física do Ambiente HLBR– Máquina com pelo menos 64 de RAM– HD de 4 GB (2 GB serve)– Processador a partir de 200Mhz– Duas placas de Rede– Dois cabos de rede (um crossover)– Um coca-cola bem gelada– Rock bem alto!!
Instalação do HLBR
• Preparação “Lógica”– Instale uma distribuição mínima no pc que pelo
menos contenha os pacotes de compilação C (gcc), C++ e g++.
– Aconselho o Debian Sarge Stable R3 Netinst que você encontra em http://cdimage.debian.org/debian-cd/3.1_r3/i386/iso-cd/debian-31r3-i386-netinst.iso
– Essa distribuição tem apenas 180MB e é um LINUX DE VERDADE!
Instalação do HLBR
• Preparação “Lógica”– Alternativa 1: Retirar todo o controle de IP do
Kernel– Alternativa 2: Colocar as Placas de Rede com IP
não roteáveis. Exemplo:eth0 - 127.0.0.2eth1 – 127.0.0.3
– Usar IP 127.0.0.0 é recomendado inclusive para auditorias.
Instalação do HLBR
• Preparação Lógica– Obtenha o código fonte do HLBR em
http://hlbr.sourcefouge.net– Descompacte
• tar xzvf hlbr-1.1.tar.gz• cd hlbr-1.1• make• Make install
Instalação do HLBR
• Demonstração da Instalação do Hogwash
• Demonstração do arquivo hlbr.config
• Colocando o hlbr pra funcionar!
Entendendo as regras?
• ip src/dst (endereço ip)
• ip proto (protocolo utilizado)
• tcp/udp src/dst (porta)
• tcp/udp content (conteúdo com análise de caixa)
• tcp/udp nocase (conteúdo sem análise de caixa)
• tcp flags (estados da conexão)
Entendendo as Regras
• Demonstração do arquivo de regras.
Vídeo de Demostração
• Primeira Situação
FirewallAtacante Servidor WEB
Vídeo Demonstração
• Segunda situação
FirewallAtacante Servidor WEB
Vídeo de Demostração
• Terceira Situação
FirewallAtacante Servidor DNS
Vídeo Demonstração
• Quarta situação
FirewallAtacante Servidor DNS
Agradecimentos
• João Eriberto Mota– www.eriberto.pro.br– eriberto@eriberto.pro.br
• André Bertelli– http://bertelli.name– lliberte@gmail.com
Referências
• http://hlbr.sourceforge.net
• http://hogwash.sourceforge.net