hlbr - hogwash light br um ips brasileiro e invisível dailson fernandes [email protected]
TRANSCRIPT
Conteúdo–Introdução e Conceitos–IPS x IDS–O HLBR–Sistemas Operacionais de Rede–Sistema de Firewall–Arquiteturas de Firewall–Posicionamento do HLBR–O HLBR em Ação!–Instalação do HLBR–Performance do HLBR–Entendendo as Regras
Conceitos de Invasão
Invasão
• "Um ataque corresponde a um comprometimento em nível de sistema de segurança através de um ato inteligente ou deliberado, afetando serviços e violando política de um sistema.” (Robert W. Shirey, 1995).
•
Invasão
“A intrusão ou ataque podem ser definidos como qualquer conjunto de ações que tentam comprometer a integridade, confidencialidade ou disponibilidade de um recurso computacional, independente do sucesso ou não destas ações” (Marcelo Souza, 2002).
Tipos de Invasão
Tipos de Invasão / Ataque
• Intrusivo
• Não Intrusivo
IPS x IDS
IPS X IDS
• IPS (Intrusion Prevention System) é um sistema, similar ao IDS (Intrusion Detection System), voltado para a prevenção de ataques a redes de computadores.
IPS X IDS
• A diferença básica entre um IPS e um IDS é que o primeiro, além de detectar um tráfego anômalo, é capaz de tratá-lo. Com isso, é possível obter um maior grau de segurança nas redes de computadores. Os IPS compõem os sistemas de firewall.
O QUE É O HLBR ?
O que é o HLBR?
• O HLBR é um IPS (Intrusion Prevention System) capaz de filtrar pacotes diretamente na camada 2 do modelo OSI (não necessita de endereço IP na máquina). A detecção de tráfego malicioso é baseada em regras simples (o próprio usuário poderá confeccionar novas regras).
O Que é o HLBR?
• É bastante eficiente e versátil, podendo ser usado até mesmo como bridge para honeypots e honeynets. Como não usa a pilha TCP/IP do sistema operacional, ele é "invisível" a outras máquinas na rede e atacantes.
O que é o HLBR ?
• É um projeto que é um “fork” do Hogwash que foi desenvolvido em 1996.
• Fizeram uma “lipoaspiração” no Hogwash e
retiraram cerca de 50% do código original.
• Daí surgiu o Hogwash LIGHT Brasil.
O Que é o HLBR?
• O Projeto teve início em 2005.
• Liderado por Eriberto Mota, André Bertelli
• Atualmente está na versão 1.1
O Histórico do Hogwash
• Criado por Jason Larsen em 1996 como projeto universitário;
• Parou na versão 0.5 (em desenvolvimento);• Pode ser utilizado em GNU/LINUX, Solaris,
e MacOS X;• IPS que trabalha na camada 2,3,4 e 7 do
Modelo OSI• Projeto disponível em
http://hogwash.sourceforge.net
SISTEMAS OPERACIONAIS DE REDE / MODELO OSI
Introdução
• Camadas de Uso do Sistema Computacional
USUÁRIOUSUÁRIO
SISTEMAOPERACIONAL
DE REDE
SISTEMAOPERACIONAL
DE REDE
HARDWAREHARDWARE
Introdução
• Modelo OSI (Open System Interconect)
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA ►Fddi, Frame-Relay, Atm, Ethernet...
►Endereço MAC, Switch, Bridge
►Roteamento, Endereçamento...
►Protocolos TCP e UDP
►Controle, sincronia...
►Conversão, compactação
►Http, Ftp, Dns, Irc...
USUÁRIOUSUÁRIO
SISTEMAOPERACIONAL
DE REDE
SISTEMAOPERACIONAL
DE REDE
HARDWAREHARDWARE
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
Introdução
Introdução
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
Introdução
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
Atuação do HLBR
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
ENLACEENLACE
FÍSICAFÍSICA
Invisibilidade do HLBR
Endereço MAC da placa eth0 do HLBR: 00:30:CD:81:57:A3Endereço MAC da placa eth1 do HLBR: 00:30:CD:81:56:82Endereço MAC da placa eth0 do Cliente: 00:40:A7:05:8E:1CEndereço MAC da placa eth0 do Servidor: 00:40:A7:05:8D:7F
SISTEMA DE FIREWALL
Sistema de Firewall
• Sistema de Proteção• Todo esforço envolvido com hardwares,
pessoas e ambiente para proteger informações.
• Pode ser vários estágios.• Não deve ser único!
Tipos de Firewall
• Filtro de Pacotes• Filtro de Estados• Gateways de Circuitos• Gateways de Aplicação
Análise Realizadas pelos Firewalls
• Filtro de Pacotes: – Cabeçalho dos Pacotes
• Filtro de Estados: – Estado das conexões
• Gateways de Circuitos: – Tráfego passante (posicionado in-line)
• Gateways de Aplicação: – Conteúdo dos pacotes
Exemplos de Firewall
• Filtro de Pacotes– Iptables, Ebtables, ipchains, ipfw...
• Filtro de Estados– Iptables, ipfw, hogwash
• Gateways de Circuitos– Ipchains*, Iptables*, Hogwash*, Squid*
• Gateways de Aplicação– Snort, Squid, L7-Filter
* Se estiver in-line
OSI X FIREWALL
APLICAÇÃOAPLICAÇÃO
APRESENTAÇÃOAPRESENTAÇÃO
SESSÃOSESSÃO
TRANSPORTETRANSPORTE
REDEREDE
ENLACEENLACE
FÍSICAFÍSICA
►IPS
►IPS, IDS, Filtros e Proxys
►IPS, IDS e Filtros
►IPS, IDS e Filtros
ARQUITETURAS DE FIREWALL
Exemplo de Firewall
Exemplo de Firewall
ONDE POSICIONAR O HLBR?
Arquitetura 1
Arquitetura 2
Arquitetura 3
O HLBR EM AÇÃO
Vídeo de Demostração
• Primeiro Cenário
FirewallAtacante Servidor DNS
Vídeo Demonstração
• Segundo Cenário
FirewallAtacante Servidor DNS
INSTALAÇÃO DO HLBR
Instalação do HLBR
• Preparar Física do Ambiente HLBR– Máquina com pelo menos 64 de RAM– HD de 4 GB (2 GB serve)– Processador a partir de 200Mhz– Duas placas de Rede– Dois cabos de rede (um ou dois crossover)
Instalação do HLBR
• Preparação “Lógica”– Instale uma distribuição mínima no pc que pelo
menos contenha os pacotes de compilação C (gcc), C++ e g++.
– No Debian utilize o pacotebuild-essential
• apt-get install build-essential
Distribuição...
• Debian Sarge Stable 4.0 Netinst que você encontra em http://cdimage.debian.org/debian-cd/4.0_r0/i386/iso-cd/– Essa distribuição tem apenas 180MB e é um
LINUX DE VERDADE!
Download...
Instalação do HLBR
• Preparação “Lógica”– Alternativa 1: Retirar todo o controle de IP do
Kernel– Alternativa 2: Colocar as Placas de Rede com IP
não roteáveis. Exemplo:eth0 - 127.0.0.2eth1 – 127.0.0.3
– Usar IP 127.0.0.0 é recomendado inclusive para auditorias. E para poder usar ferramentas Sniffers como IPTRAF e TCPDUMP
Instalação do HLBR
• Preparação Lógica– Obtenha o código fonte do HLBR em
http://hlbr.sourceforge.net – Descompacte
• tar xzvf hlbr-1.1.tar.gz• cd hlbr-1.1• ./configure• make• make install
Instalação do HLBR
• Demonstração da Instalação do HLBR• Demonstração do arquivo hlbr.config• Colocando o hlbr pra funcionar!
Performance do HLBR
Análise em Ambiente de Produção
Em um período de 22 dias conseguiu barrar 25.510 ataques apenas com as regras padrão.
Performance com Arquivos Pequenos
Performance com Arquivos Grandes
ENTENDENDO AS REGRAS
Entendendo as regras?
• ip src/dst (endereço ip)• ip proto (protocolo utilizado)• tcp/udp src/dst (porta)• tcp/udp content (conteúdo com análise de caixa)• tcp/udp nocase (conteúdo sem análise de caixa)• tcp flags (estados da conexão)
Entendendo as Regras
• Demonstração do arquivo de regras.
AGRADECIMENTOS...
Agradecimentos
• João Eriberto Mota (Mantenedor HLBR)– www.eriberto.pro.br– [email protected]
• André Bertelli (Mantenedor HLBR)– http://bertelli.name– [email protected]
• Unibratec• Prof. Rodrigo Assad
Referências
• http://hlbr.sourceforge.net
• Palestra e vídeos disponíveis em:www.reconstrucao.org/palestra
Aguardo vocês...
II ENSLEncontro Nordestino de Software Livre
I LIVRE-SEEncontro Sergipano de Software Livre
28, 29 e 30 de Setembro de 2007
Aracaju-SE