HLBR - Hogwash Light BR

Download Report

Transcript HLBR - Hogwash Light BR

HLBR - Hogwash Light BR
Um IPS Brasileiro e Invisível
Dailson Fernandes
[email protected]
Conteúdo
•Introdução ao HLBR
•IPS x IDS
•Sistemas Operacionais de Rede
•Sistema de Firewall
•Arquiteturas de Firewall
•Posicionamento do HLBR
•O HLBR em Ação!
•Instalação do HLBR
•Entendendo as Regras (S.D.T.)
•Agradecimentos
O QUE É O HLBR ?
O que é o HLBR?
• O HLBR é um IPS (Intrusion Prevention
System) capaz de filtrar pacotes diretamente
na camada 2 do modelo OSI (não necessita
de endereço IP na máquina). A detecção de
tráfego malicioso é baseada em regras
simples (o próprio usuário poderá
confeccionar novas regras).
O Que é o HLBR?
• É bastante eficiente e versátil, podendo ser
usado até mesmo como bridge para
honeypots e honeynets. Como não usa a
pilha TCP/IP do sistema operacional, ele é
"invisível" a outras máquinas na rede e
atacantes.
O que é o HLBR ?
• É um projeto que é um “fork” do Hogwash
que foi desenvolvido em 1996.
• Fizeram uma “lipoaspiração” no Hogwash e
retiraram cerca de 50% do código original.
• Daí surgiu o Hogwash LIGHT Brasil.
O Que é o HLBR?
• O Projeto teve início em 2005.
• Liderado por Eriberto Mota, André Bertelli
• Atualmente está na versão 1.1
O Histórico do Hogwash
• Criado por Jason Larsen em 1996 como
projeto universitário;
• Parou na versão 0.5 (em desenvolvimento);
• Pode ser utilizado em GNU/LINUX, Solaris,
e MacOS X;
• IPS que trabalha na camada 2,3,4 e 7 do
Modelo OSI
• Projeto disponível em
http://hogwash.sourceforge.net
IPS x IDS
IPS X IDS
• IPS (Intrusion Prevention System) é um
sistema, similar ao IDS (Intrusion Detection
System), voltado para a prevenção de
ataques a redes de computadores.
IPS X IDS
• A diferença básica entre um IPS e um IDS
é que o primeiro, além de detectar um
tráfego anômalo, é capaz de tratá-lo. Com
isso, é possível obter um maior grau de
segurança nas redes de computadores. Os
IPS compõem os sistemas de firewall.
SISTEMAS OPERACIONAIS DE
REDE / MODELO OSI
Introdução
• Camadas de Uso do Sistema
Computacional
USUÁRIO
USUÁRIO
SISTEMA
SISTEMA
OPERACIONAL
OPERACIONAL
DE
DEREDE
REDE
HARDWARE
HARDWARE
Introdução
• Modelo OSI (Open System Interconect)
►Http, Ftp, Dns, Irc...
APLICAÇÃO
APLICAÇÃO
►Conversão, compactação
APRESENTAÇÃO
APRESENTAÇÃO
►Controle, sincronia...
SESSÃO
SESSÃO
►Protocolos TCP e UDP
TRANSPORTE
TRANSPORTE
REDE
REDE
ENLACE
ENLACE
FÍSICA
FÍSICA
►Roteamento, Endereçamento...
►Endereço MAC, Switch, Bridge
►Fddi, Frame-Relay, Atm, Ethernet...
Introdução
USUÁRIO
USUÁRIO
SISTEMA
SISTEMA
OPERACIONAL
OPERACIONAL
DE
DEREDE
REDE
APLICAÇÃO
APLICAÇÃO
APRESENTAÇÃO
APRESENTAÇÃO
SESSÃO
SESSÃO
TRANSPORTE
TRANSPORTE
REDE
REDE
ENLACE
ENLACE
HARDWARE
HARDWARE
FÍSICA
FÍSICA
Introdução
APLICAÇÃO
APLICAÇÃO
APRESENTAÇÃO
APRESENTAÇÃO
APLICAÇÃO
APLICAÇÃO
APRESENTAÇÃO
APRESENTAÇÃO
SESSÃO
SESSÃO
TRANSPORTE
TRANSPORTE
SESSÃO
SESSÃO
TRANSPORTE
TRANSPORTE
REDE
REDE
ENLACE
ENLACE
REDE
REDE
ENLACE
ENLACE
FÍSICA
FÍSICA
FÍSICA
FÍSICA
Introdução
APLICAÇÃO
APLICAÇÃO
APRESENTAÇÃO
APRESENTAÇÃO
APLICAÇÃO
APLICAÇÃO
APRESENTAÇÃO
APRESENTAÇÃO
SESSÃO
SESSÃO
TRANSPORTE
TRANSPORTE
SESSÃO
SESSÃO
TRANSPORTE
TRANSPORTE
REDE
REDE
ENLACE
ENLACE
REDE
REDE
ENLACE
ENLACE
FÍSICA
FÍSICA
FÍSICA
FÍSICA
Atuação do HLBR
APLICAÇÃO
APLICAÇÃO
APRESENTAÇÃO
APRESENTAÇÃO
APLICAÇÃO
APLICAÇÃO
APRESENTAÇÃO
APRESENTAÇÃO
SESSÃO
SESSÃO
TRANSPORTE
TRANSPORTE
SESSÃO
SESSÃO
TRANSPORTE
TRANSPORTE
REDE
REDE
ENLACE
ENLACE
REDE
REDE
ENLACE
ENLACE
FÍSICA
FÍSICA
ENLACE
ENLACE
FÍSICA
FÍSICA
FÍSICA
FÍSICA
SISTEMA DE FIREWALL
Sistema de Firewall
• Sistema de Proteção
• Todo esforço envolvido com hardwares,
pessoas e ambiente para proteger
informações.
• Pode ser vários estágios.
• Não deve ser único!
Tipos de Firewall
•
•
•
•
Filtro de Pacotes
Filtro de Estados
Gateways de Circuitos
Gateways de Aplicação
Análise Realizadas
pelos Firewalls
• Filtro de Pacotes:
– Cabeçalho dos Pacotes
• Filtro de Estados:
– Estado das conexões
• Gateways de Circuitos:
– Tráfego passante (posicionado in-line)
• Gateways de Aplicação:
– Conteúdo dos pacotes
Exemplos de Firewall
• Filtro de Pacotes
– Iptables, Ebtables, ipchains, ipfw...
• Filtro de Estados
– Iptables, ipfw, hogwash
• Gateways de Circuitos
– Ipchains*, Iptables*, Hogwash*, Squid*
• Gateways de Aplicação
– Snort, Squid, L7-Filter
* Se estiver in-line
OSI X FIREWALL
►IPS, IDS e Filtros
APLICAÇÃO
APLICAÇÃO
APRESENTAÇÃO
APRESENTAÇÃO
SESSÃO
SESSÃO
TRANSPORTE
TRANSPORTE
REDE
REDE
ENLACE
ENLACE
FÍSICA
FÍSICA
►IPS, IDS e Filtros
►IPS, IDS, Filtros e Proxys
►IPS
ARQUITETURAS DE FIREWALL
Exemplo de Firewall
Exemplo de Firewall
ONDE POSICIONAR O HLBR?
Arquitetura 1
Arquitetura 2
Arquitetura 3
O HLBR EM AÇÃO
Vídeo de Demostração
• Primeiro Cenário
Atacante
Firewall
Servidor DNS
Vídeo Demonstração
• Segundo Cenário
Atacante
Firewall
Servidor DNS
INSTALAÇÃO DO HLBR
Instalação do HLBR
• Preparar Física do Ambiente HLBR
–
–
–
–
–
Máquina com pelo menos 64 de RAM
HD de 4 GB (2 GB serve)
Processador a partir de 200Mhz
Duas placas de Rede
Dois cabos de rede (um ou dois crossover)
Instalação do HLBR
• Preparação “Lógica”
– Instale uma distribuição mínima no pc que pelo
menos contenha os pacotes de compilação C
(gcc), C++ e g++.
– No Debian utilize o pacote
build-essential
• apt-get install build-essential
Distribuição...
• Debian Sarge Stable 4.0 Netinst que você
encontra em
http://cdimage.debian.org/debiancd/4.0_r0/i386/iso-cd/
– Essa distribuição tem apenas 180MB e é um
LINUX DE VERDADE!
Download...
Instalação do HLBR
• Preparação “Lógica”
– Alternativa 1: Retirar todo o controle de IP do
Kernel
– Alternativa 2: Colocar as Placas de Rede com IP
não roteáveis. Exemplo:
eth0 - 127.0.0.2
eth1 – 127.0.0.3
– Usar IP 127.0.0.0 é recomendado inclusive para
auditorias. E para poder usar ferramentas
Sniffers como IPTRAF e TCPDUMP
Instalação do HLBR
• Preparação Lógica
– Obtenha o código fonte do HLBR em
http://hlbr.sourceforge.net
– Descompacte
•
•
•
•
•
tar xzvf hlbr-1.1.tar.gz
cd hlbr-1.1
./configure
make
make install
Instalação do HLBR
• Demonstração da Instalação do HLBR
• Demonstração do arquivo hlbr.config
• Colocando o hlbr pra funcionar!
ENTENDENDO AS REGRAS
Entendendo as regras?
•
•
•
•
•
•
ip src/dst (endereço ip)
ip proto (protocolo utilizado)
tcp/udp src/dst (porta)
tcp/udp content (conteúdo com análise de caixa)
tcp/udp nocase (conteúdo sem análise de caixa)
tcp flags (estados da conexão)
Entendendo as Regras
• Demonstração do arquivo de regras.
AGRADECIMENTOS...
Agradecimentos
• João Eriberto Mota (Mantenedor HLBR)
– www.eriberto.pro.br
– [email protected]
• André Bertelli (Mantenedor HLBR)
– http://bertelli.name
– [email protected]
• Debian-PE
Referências
• http://hlbr.sourceforge.net
• Palestra e vídeos disponíveis em:
www.reconstrucao.org/palestra
[email protected]
Aguardo vocês...
II ENSL
Encontro Nordestino de Software Livre
I LIVRE-SE
Encontro Sergipano de Software Livre
28, 29 e 30 de
Setembro de 2007
Aracaju-SE