HLBR - Hogwash Light BR

Um IPS Brasileiro e Invisível

Dailson Fernandes

O que é o HLBR?

• O HLBR é um IPS (Intrusion Prevention System) capaz de filtrar pacotes diretamente na camada 2 do modelo OSI (não necessita de endereço IP na máquina). A detecção de tráfego malicioso é baseada em regras simples (o próprio usuário poderá confeccionar novas regras). É bastante eficiente e versátil, podendo ser usado até mesmo como bridge para honeypots e honeynets. Como não usa a pilha TCP/IP do sistema operacional, ele é "invisível" a outras máquinas na rede e atacantes.

O que é o HLBR

• É um projeto que é um “fork” do Hogwash que foi desenvolvido em 1996.

• Fizeram uma “lipoaspiração” no Hogwash e retiraram cerca de 50% do código original.

• Daí surgiu o Hogwash LIGHT Brasil.

• O Projeto teve início em 2005.

• Liderado por Eriberto Mota, André Bertelli

• Atualmente está na versão 1.1

O Histórico do Hogwash

• Criado por Jason Larsen em 1996 como projeto universitário;

• Encontra-se na versão 0.5 (em desenvolvimento);

• Pode ser utilizado em GNU/LINUX, Solaris, e MacOS X;

• IPS que trabalha na camada 2,3,4 e 7 do Modelo OSI

• Projeto disponível em http://hogwash.sourceforge.net

IPS X IDS

• IPS (Intrusion Prevention System) é um sistema, similar ao IDS (Intrusion Detection System), voltado para a prevenção de ataques a redes de computadores. A diferença básica entre um IPS e um IDS é que o primeiro, além de detectar um tráfego anômalo, é capaz de tratá-lo. Com isso, é possível obter um maior grau de segurança nas redes de computadores. Os IPS compõem os sistemas de firewall.

Introdução

• Camadas de Uso do Sistema Computacional

USUÁRIOUSUÁRIO

SISTEMAOPERACIONAL

DE REDE

SISTEMAOPERACIONAL

DE REDE

HARDWAREHARDWARE

Introdução

• Protocolo TCP/IP

APLICAÇÃOAPLICAÇÃO

TRANSPORTETRANSPORTE

INTERNETINTERNET

REDEREDE Fddi, Frame-Relay, Atm...

IP, ARP, RARP

TCP e UDP

Http, Ftp, News, Irc, Dns...

Introdução

• Modelo OSI (Open System Interconect)

APLICAÇÃOAPLICAÇÃO

APRESENTAÇÃOAPRESENTAÇÃO

SESSÃOSESSÃO

TRANSPORTETRANSPORTE

REDEREDE

ENLACEENLACE

FÍSICAFÍSICA ►Fddi, Frame-Relay, Atm, Ethernet...

►Endereço MAC, Switch, Bridge

►Roteamento, Endereçamento...

►Protocolos TCP e UDP

►Controle, sincronia...

►Conversão, compactação

►Http, Ftp, Dns, Irc...

Introdução

APLICAÇÃOAPLICAÇÃO

APRESENTAÇÃOAPRESENTAÇÃO

SESSÃOSESSÃO

TRANSPORTETRANSPORTE

REDEREDE

ENLACEENLACE

FÍSICAFÍSICA

APLICAÇÃOAPLICAÇÃO

APRESENTAÇÃOAPRESENTAÇÃO

SESSÃOSESSÃO

TRANSPORTETRANSPORTE

REDEREDE

ENLACEENLACE

FÍSICAFÍSICA

Introdução

APLICAÇÃOAPLICAÇÃO

APRESENTAÇÃOAPRESENTAÇÃO

SESSÃOSESSÃO

TRANSPORTETRANSPORTE

REDEREDE

ENLACEENLACE

FÍSICAFÍSICA

APLICAÇÃOAPLICAÇÃO

APRESENTAÇÃOAPRESENTAÇÃO

SESSÃOSESSÃO

TRANSPORTETRANSPORTE

REDEREDE

ENLACEENLACE

FÍSICAFÍSICA

USUÁRIOUSUÁRIO

SISTEMAOPERACIONAL

DE REDE

SISTEMAOPERACIONAL

DE REDE

HARDWAREHARDWARE

APLICAÇÃOAPLICAÇÃO

APRESENTAÇÃOAPRESENTAÇÃO

SESSÃOSESSÃO

TRANSPORTETRANSPORTE

REDEREDE

ENLACEENLACE

FÍSICAFÍSICA

Introdução

Introdução

APLICAÇÃOAPLICAÇÃO

APRESENTAÇÃOAPRESENTAÇÃO

SESSÃOSESSÃO

TRANSPORTETRANSPORTE

REDEREDE

ENLACEENLACE

FÍSICAFÍSICA

APLICAÇÃOAPLICAÇÃO

TRANSPORTETRANSPORTE

INTERNETINTERNET

REDEREDE

Atuação do HLBR

APLICAÇÃOAPLICAÇÃO

APRESENTAÇÃOAPRESENTAÇÃO

SESSÃOSESSÃO

TRANSPORTETRANSPORTE

REDEREDE

ENLACEENLACE

FÍSICAFÍSICA

APLICAÇÃOAPLICAÇÃO

APRESENTAÇÃOAPRESENTAÇÃO

SESSÃOSESSÃO

TRANSPORTETRANSPORTE

REDEREDE

ENLACEENLACE

FÍSICAFÍSICA

ENLACEENLACE

FÍSICAFÍSICA

Sistema de Firewall

• Sistema de Proteção

• Todo esforço envolvido com hardwares, pessoas e ambiente para proteger informações.

• Pode ser vários estágios.

• Não deve ser único!

Tipos de Firewall

• Filtro de Pacotes

• Filtro de Estados

• Gateways de Circuitos

• Gateways de Aplicação

Análise Realizadas pelos Firewalls

• Filtro de Pacotes: – Cabeçalho dos Pacotes

• Filtro de Estados: – Estado das conexões

• Gateways de Circuitos: – Tráfego passante (posicionado in-line)

• Gateways de Aplicação: – Conteúdo dos pacotes

Exemplos de Firewall

• Filtro de Pacotes– Iptables, Ebtables, ipchains, ipfw...

• Filtro de Estados– Iptables, ipfw, hogwash

• Gateways de Circuitos– Ipchains*, Iptables*, Hogwash*, Squid*

• Gateways de Aplicação– Snort, Squid, L7-Filter

* Se estiver in-line

OSI X FIREWALL

APLICAÇÃOAPLICAÇÃO

APRESENTAÇÃOAPRESENTAÇÃO

SESSÃOSESSÃO

TRANSPORTETRANSPORTE

REDEREDE

ENLACEENLACE

FÍSICAFÍSICA

►IPS

►IPS, IDS, Filtros e Proxys

►IPS, IDS e Filtros

►IPS, IDS e Filtros

Exemplo de Firewall

Exemplo de Firewall

Exemplo de Firewall

Como colocar o IPS HLBR na minha estrutura de Firewall?

Arquitetura 1

Arquitetura 2

Arquitetura 3

Arquitetura 3

Instalação do HLBR

• Preparar Física do Ambiente HLBR– Máquina com pelo menos 64 de RAM– HD de 4 GB (2 GB serve)– Processador a partir de 200Mhz– Duas placas de Rede– Dois cabos de rede (um crossover)– Um coca-cola bem gelada– Rock bem alto!!

Instalação do HLBR

• Preparação “Lógica”– Instale uma distribuição mínima no pc que pelo

menos contenha os pacotes de compilação C (gcc), C++ e g++.

– Aconselho o Debian Sarge Stable R3 Netinst que você encontra em http://cdimage.debian.org/debian-cd/3.1_r3/i386/iso-cd/debian-31r3-i386-netinst.iso

– Essa distribuição tem apenas 180MB e é um LINUX DE VERDADE!

Instalação do HLBR

• Preparação “Lógica”– Alternativa 1: Retirar todo o controle de IP do

Kernel– Alternativa 2: Colocar as Placas de Rede com IP

não roteáveis. Exemplo:eth0 - 127.0.0.2eth1 – 127.0.0.3

– Usar IP 127.0.0.0 é recomendado inclusive para auditorias.

Instalação do HLBR

• Preparação Lógica– Obtenha o código fonte do HLBR em

http://hlbr.sourcefouge.net– Descompacte

• tar xzvf hlbr-1.1.tar.gz• cd hlbr-1.1• make• Make install

Instalação do HLBR

• Demonstração da Instalação do Hogwash

• Demonstração do arquivo hlbr.config

• Colocando o hlbr pra funcionar!

Entendendo as regras?

• ip src/dst (endereço ip)

• ip proto (protocolo utilizado)

• tcp/udp src/dst (porta)

• tcp/udp content (conteúdo com análise de caixa)

• tcp/udp nocase (conteúdo sem análise de caixa)

• tcp flags (estados da conexão)

Entendendo as Regras

• Demonstração do arquivo de regras.

Vídeo de Demostração

• Primeira Situação

FirewallAtacante Servidor WEB

Vídeo Demonstração

• Segunda situação

FirewallAtacante Servidor WEB

Vídeo de Demostração

• Terceira Situação

FirewallAtacante Servidor DNS

Vídeo Demonstração

• Quarta situação

FirewallAtacante Servidor DNS

Agradecimentos

• João Eriberto Mota– www.eriberto.pro.br– eriberto@eriberto.pro.br

• André Bertelli– http://bertelli.name– lliberte@gmail.com

Referências

• http://hlbr.sourceforge.net

• http://hogwash.sourceforge.net