O HLBR é um projeto brasileiro destinado à segurança em redes de computadores. O HLBR é um IPS (Intrusion Prevention System) bastante eficiente e versátil, podendo ser usado até mesmo como bridge para honeypots e honeynets. Como não usa a pilha TCP/IP do sistema operacional, ele é "invisível" a outras máquinas na rede e atacantes, pois não possui número de IP.
[ Hits: 125.803 ]
Por: Dailson Fernandes (fofão) - http://www.dailson.com.br em 09/11/2007
O HLBR já vem com muitas regras prontas. Todas elas ficam dentro do diretório /etc/hlbr/rules em vários arquivos. Geralmente, estes arquivos armazenam regras por assunto. Por exemplo: o arquivo webattacks.rules trazem regras que inibem ataques aos servidores webs. Um arquivo pode (e deve) armazenar diversas regras.
Abaixo, veja um exemplo de uma regra que impede que usuários tentem fazer a mudança de diretório no seu servidor web e visualizar informações importantes como o arquivo de senhas do seu servidor. Esta regra está no arquivo /etc/hlbr/rules/passwd.rules.
Note que toda regra começa com a tag <rules> e termina com </rule> o parâmetro ip dst está apontando para os servers que foi descrito no arquivo /etc/hlbr/hlbr.config. As portas destino estão especificadas no parâmetro tcp dst e o conteúdo malicioso é detectado através de tcp content, ou seja, caso seja invocado a string "/etc/passwd" o HLBR irá tomar uma atitude descrita em action.
As "actions" (ações) estão definidas no arquivo /etc/hlbr/hlbr.config. Na instalação padrão existem 3 actions:
[1] Comentário enviado por lucas.suporte em 09/11/2007 - 11:20h
Otimo artigo, se esse prog funcionar com todos esses recursos será uma grande ferramenta de proteção para a rede.
Com certeza vou testar !!!
Abraços e parabens
Lucas Rocha
Analista de redes em GNU/Linux
[6] Comentário enviado por pogo em 10/11/2007 - 12:46h
Parabéns pelo excelente texto, Dailson! Continue sempre enviando material com esta qualidade aqui para o VOL!
Pra quem quiser mais algum material sobre IPS, pode acessar lá no meu blog. Publiquei uma série explicando um pouco sobre esta tecnologia (neste link aí mesmo vocês já irão encontrar links para as outras partes do texto):
[7] Comentário enviado por evertonpinto em 10/11/2007 - 13:39h
?comentario=everton
Parabéns pelo artigo. Está bastante explicativo para iniciantes como eu.
Mas ainda bem que tenho um professor chamado Dailson Fernandes... para tirar algumas dúvidas .
é isso ai prof vc é o cara.
kkkkkkkkkkkkkkkkkk
[11] Comentário enviado por dfsantos em 16/11/2007 - 17:56h
Ola pessoal!
Acho que fiz caca, compilei o kernel sem suporte a tcp-ip era pra fazer isso mesmo?
Pois não achei opção específica para compilar sem suporte a ip.
Estou tendo um probleminha na hora de dar um start no hlbr quando executo o comando:
/etc/init.d/hlbr start ou restart
Aparece a seguinte mensagem:
device eth0 entered promiscuous mode
couldn't create socket for MTU
Error binding socket
Error Initializing interfaces
device etho left promiscuous mode
[12] Comentário enviado por dailson em 19/11/2007 - 10:09h
Oi Dfsantos.
Aconselho a você fazer testes com o kernel normal utilizando os endereços 127.... nas suas placas, conforme tutorial.
Não há desvantagens nisso, só vantagens!!!
Retirar o TCP/IP todo, vai dar bronca mesmo.
[15] Comentário enviado por klein.rfk em 11/12/2007 - 11:10h
kras, isso é muito legal.........
vou testar no Slack....
uma pergunta, ele apenas gera os LOGs?
ou dropa/bloqueia/rejeita os pacotes de um possível atacante?
[16] Comentário enviado por dailson em 12/12/2007 - 10:51h
Oi Klein
Ele bloqueia os pacotes já por padrão, se vc quiser que ele apenas faça o log, tem que mudar a action para action2.
Obs: Funciona perfeitamente no slack
[17] Comentário enviado por akilesbrasil em 26/01/2009 - 09:16h
ola estou tento problemas com as interfaces..consigo por os ips de loopback...
na eth0 entra o cabo da net....
na eth1 que vai pro outro server ... esse cabo e normal cross...pois não funciona...
nen fixando o ip...nen deixando por dhcp
[18] Comentário enviado por dailson em 02/02/2009 - 15:29h
Oi Akilesbrasil
Desculpa a demora pra responder, mas estava de férias ...
Então vamos lá:
Por DHCP não vai funcionar.
Vc deve colocar os ips 127.0.0.2 na eth0 2 127.0.0.3 na eth1. E veja se funciona.
E se lembre que depois de colocar os ips, vc deve reiniciar o HLBR.
Para que a NET passe, o hlbr deve estar no ar.
Outro erro muito comum, é o fato dos cabos crossover.
Pelo que vi, do lado na net, use cabo normal.
Do lado do servidor, use cabo crossover.
Se não funcionar, posta aê!!
[19] Comentário enviado por fireroot em 28/07/2014 - 16:22h
Hoje passe por um problema eu coloquei em uma maquina com três interfaces sendo quando "startei" o hlbr simplesmente meu Switch foi inudado por spanning tree sendo deixando em parafusos. sistema Debian 7.6 (wheezy) tendo tambem funçao roteador, serviço ssh e Stwch 3con. Obrigado.