Instalando a nova versão do HLBR - IPS invisível

O HLBR é um projeto brasileiro destinado à segurança em redes de computadores. O HLBR é um IPS (Intrusion Prevention System) bastante eficiente e versátil, podendo ser usado até mesmo como bridge para honeypots e honeynets. Como não usa a pilha TCP/IP do sistema operacional, ele é "invisível" a outras máquinas na rede e atacantes, pois não possui número de IP.

[ Hits: 80.463 ]

Por: Dailson Fernandes (fofão) - http://www.dailson.com.br em 14/07/2008


Configurando o HLBR



a) vá para o diretório /etc/hlbr:

# cd /etc/hlbr

b) abra o arquivo de configuração hlbr.config:

# vi hlbr.config

Aqui você deverá apontar quais são os servidores e máquinas que você quer proteger. Veja que o HLBR traz alguns exemplos para que você possa alterar de acordo com as suas necessidades. Veja abaixo:

<IPList www>
200.xxx.yyy.195
200.xxx.yyy.196
</list>

<IPList dns>
200.xxx.yyy.195
200.xxx.yyy.197
</list>

<IPList email>
200.xxx.yyy.198
</list>

<IPList firewall>
200.xxx.yyy.210
</list>

<IPList network>
200.xxx.yyy.192/26
</list>

<IPList others>
200.xxx.yyy.194
200.xxx.yyy.199
</list>

<IPList servers>
www
dns
email
firewall
others
200.xxx.yyy.209
</list>

Você deverá trocar os IPs para os correspondentes dos seus servidores. Abaixo um exemplo utilizando IPs de redes locais, mas com certeza você irá colocar os IPs reais dos seus servidores (caso o HLBR esteja protegendo sua WAN).

Se o HLBR estiver em rede local, protegendo servidores ou uma DMZ, o exemplo abaixo é válido.

<IPList www>
192.168.0.1
</list>

<IPList dns>
192.168.0.2
</list>

<IPList email>
192.168.0.3
</list>

<IPList firewall>
192.168.0.4
</list>

<IPList network>
192.168.0.0/24
</list>

<IPList others>
192.168.0.5
</list>

<IPList servers>
www
dns
email
firewall
others
</list>

Página anterior     Próxima página

Páginas do artigo
   1. A nova versão do HLBR 1.5RC2
   2. O que é o HLBR?
   3. Hardware e softwares necessários
   4. Preparando o ambiente para o HLBR
   5. Instalando o HLBR
   6. Configurando o HLBR
   7. As regras de detecção de ataque
   8. Onde posicionar o HLBR?
   9. Colocando para funcionar!
   10. Auditoria: Visualizando LOGS e arquivos de DUMP
   11. Testando: Provocando uma reação do HLBR
   12. Vídeos do HLBR em ação
   13. Conclusão, créditos e links
Outros artigos deste autor

Blindando sua rede com o HLBR - Um IPS invisível e brasileiro

Instalando o IBM LOTUS SYMPHONY Beta3

NTFS-3g: Leitura e gravação em NTFS com segurança? Ainda não!

Gerenciando logs do Linux pela WEB com o PHPSYSLOG-NG (parte 1)

Eu cavo, tu cavas, ele cava... tutorial de DIG

Leitura recomendada

Segurança da Informação: Necessidades e mudanças de paradigma com o avanço da civilização

Criptografia em roteadores

Código Aberto já não é uma questão de gosto

Apache2 + PHP5 com ModSecurity no Debian Squeeze

Como fazer: chroot SSH (SSH mais seguro)

  
Comentários
[1] Comentário enviado por jeferson_roseira em 14/07/2008 - 23:16h

ótima dica

ja esta nos favoritos


Jeferson Roseira

[2] Comentário enviado por grandmaster em 15/07/2008 - 00:39h

Tb adicionado, não conhecia.

Vou tentar testar em uma maquina virtual.

[3] Comentário enviado por fmpfmp em 15/07/2008 - 10:00h

Artigo muito bem escrito. Só ficou faltando dizer como as regras são atualizadas. No Snort isso é possível, nesse HLBR não? Se sim, como?

[4] Comentário enviado por dailson em 15/07/2008 - 12:27h

Bom

As regras tem sido atualizadas a cada versão e nos fóruns.
Estamos providenciando um repositório de regras para que vc possa atualiza-las. Porém ainda nao está pronto.
Em breve vou postar no meu site e aqui um artigo sobre novas regras.

[5] Comentário enviado por Andre_A_Ferreira em 15/07/2008 - 15:40h

Rapaz, é um ótimo artigo.

Nota 10 em tudo! Principalmente na divulgação de uma ferramenta tão espetacular e ao mesmo tempo tão necessária.

sds
André.


[6] Comentário enviado por rootkit em 23/07/2008 - 12:19h

Dailson,

Não seria uma boa idéia, adicionar uma terceira placa de rede á máquina, e subir uma ligação entre ela e o servidor de logs, rodando syslog-ng ? Desta forma, seria mais fácil a visualização remota dos logs.

Excelente artigo, estou pondo em produção hoje para testar, parabéns :)

[7] Comentário enviado por dailson em 23/07/2008 - 14:29h

Rootkit

Isso é uma idéia excelente, porém considerada extremamente perigosa pela equipe Mantenedora do HLBR. Se for para laboratório, a idéia é excelente. Se for para ambiente de produção, não é recomendado por eles.
Testa e posta os resultados pra gente!
Um grande abraço


[8] Comentário enviado por ricardolongatto em 09/01/2012 - 23:26h

excelente
abraço


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts