O HLBR é um projeto brasileiro destinado à segurança em redes de computadores. O HLBR é um IPS (Intrusion Prevention System) bastante eficiente e versátil, podendo ser usado até mesmo como bridge para honeypots e honeynets. Como não usa a pilha TCP/IP do sistema operacional, ele é "invisível" a outras máquinas na rede e atacantes, pois não possui número de IP.
[ Hits: 80.438 ]
Por: Dailson Fernandes (fofão) - http://www.dailson.com.br em 14/07/2008
O HLBR (Hogwash Light Brasil) é Sistema de Detecção de Intruso que trabalha de forma reativa ao que o classifica como IPS, baseado no IPS HOGWASH desenvolvido originalmente por Jason Larsen, que colhe dados diretamente na camada 2 do Modelo OSI.
Funciona como uma bridge, sendo capaz de interceptar tráfego malicioso baseado em arquivos de regras e assinaturas de ataques.
O HLBR é invisível na rede e é praticamente impossível de ser detectado pelo atacante. Esta característica é possível pelo fato do HLBR não alterar o cabeçalho dos pacotes.
O fato de citar que é praticamente impossível de ser detectado é porque até então ainda nenhum atacante não conseguiu comprovar sua presença na rede. O HLBR se comporta como um ativo de rede, como uma Ponte, Hub ou Switch. Isto é possível pelo fato de suas placas de redes não usarem endereços de IP ou ainda, usar endereços de Ip não roteáveis.
O HLBR é responsável em fazer a ponte entre as placas de rede da máquina. Por essa razão, não há aplicativos intermediários como a Libcap para fazer tal trabalho. Todo o trabalho de capturar, desmontar, analisar e remontar é feito pelo HLBR. O HLBR é capaz de analisar o pacote TCP em todas as camadas do Modelo ISO/OSI e TCP.
Ele lê os campos dos cabeçalhos de camada 2 (ethernet), 3 (cabeçalho IP) e 4 (TCP e UDP). São esses valores que são testados pelas regras. É importante notar que o próprio HLBR faz esse reconhecimento dos formatos dos cabeçalhos, sem o apoio da pilha TCP/IP do sistema operacional.
Isso esclarece o fato do HLBR poder negar ataques na camada 2 do Modelo ISO/OSI mesmo a máquina onde ele está instalado não possuir número de IP.
[4] Comentário enviado por dailson em 15/07/2008 - 12:27h
Bom
As regras tem sido atualizadas a cada versão e nos fóruns.
Estamos providenciando um repositório de regras para que vc possa atualiza-las. Porém ainda nao está pronto.
Em breve vou postar no meu site e aqui um artigo sobre novas regras.
[6] Comentário enviado por rootkit em 23/07/2008 - 12:19h
Dailson,
Não seria uma boa idéia, adicionar uma terceira placa de rede á máquina, e subir uma ligação entre ela e o servidor de logs, rodando syslog-ng ? Desta forma, seria mais fácil a visualização remota dos logs.
Excelente artigo, estou pondo em produção hoje para testar, parabéns :)
[7] Comentário enviado por dailson em 23/07/2008 - 14:29h
Rootkit
Isso é uma idéia excelente, porém considerada extremamente perigosa pela equipe Mantenedora do HLBR. Se for para laboratório, a idéia é excelente. Se for para ambiente de produção, não é recomendado por eles.
Testa e posta os resultados pra gente!
Um grande abraço