O HLBR é um projeto brasileiro destinado à segurança em redes de computadores. O HLBR é um IPS (Intrusion Prevention System) bastante eficiente e versátil, podendo ser usado até mesmo como bridge para honeypots e honeynets. Como não usa a pilha TCP/IP do sistema operacional, ele é "invisível" a outras máquinas na rede e atacantes, pois não possui número de IP.
[ Hits: 80.466 ]
Por: Dailson Fernandes (fofão) - http://www.dailson.com.br em 14/07/2008
Está no forno a mais nova versão do HLBR. Por enquanto estamos na 1.5RC2 e os testes são satisfatórios.
Este tutorial é uma atualização do tutorial do HLBR 1.1, que pode ser acessado neste link.
Algumas melhorias foram introduzidas como:
melhoria na utilização das expressões regulares com a LIBPCRE;
melhor codificador do protocolo HTTP;
correção de alguns bugs;
novas regras adicionadas;
novo decodificador de unicode automático;
regras específicas para sites feitos com JOOMLA/MAMBO;
atualização da documentação entre outras.
Introdução
Todo este tutorial e outros materiais estão publicados no meu blog e aqui.
Sistemas de Detecção de Intrusos são utilizados para perceber tráfego anômalo em uma rede de dados e tomar decisões de acordo com as regras e configurações definidas pelo gestor de segurança da rede. Estes sistemas são divididos ativos e reativos.
Os sistemas ativos, também conhecidos como IDS (Intrusion Detection Systems), percebem o tráfego malicioso fazem a gravação em log e alertam o administrador da rede sobre o que está acontecendo.
Os sistemas reativos, conhecidos como IPS (Intrusion Prevention System), tem todas as características do sistema ativo, porém é capaz de tomar decisões e interferir no tráfego malicioso e tornar o ataque inviável.
Em alguns sistemas IDS é possível torná-lo em IPS bastando ativar as configurações para que ele intervenha no tráfego.
Esta artigo tem como objetivo mostrar a instalação e configuração do HLBR, que é um IPS brasileiro, open source que tem como principal característica a sua "invisibilidade" na rede e sua fácil configuração.
[4] Comentário enviado por dailson em 15/07/2008 - 12:27h
Bom
As regras tem sido atualizadas a cada versão e nos fóruns.
Estamos providenciando um repositório de regras para que vc possa atualiza-las. Porém ainda nao está pronto.
Em breve vou postar no meu site e aqui um artigo sobre novas regras.
[6] Comentário enviado por rootkit em 23/07/2008 - 12:19h
Dailson,
Não seria uma boa idéia, adicionar uma terceira placa de rede á máquina, e subir uma ligação entre ela e o servidor de logs, rodando syslog-ng ? Desta forma, seria mais fácil a visualização remota dos logs.
Excelente artigo, estou pondo em produção hoje para testar, parabéns :)
[7] Comentário enviado por dailson em 23/07/2008 - 14:29h
Rootkit
Isso é uma idéia excelente, porém considerada extremamente perigosa pela equipe Mantenedora do HLBR. Se for para laboratório, a idéia é excelente. Se for para ambiente de produção, não é recomendado por eles.
Testa e posta os resultados pra gente!
Um grande abraço