Linux slogan
Visite também: Segurança Linux · BR-Linux.org · Dicas-L · Doode · NoticiasLinux · SoftwareLivre.org · UnderLinux
» Menu
» Últimos artigos
» Últimas dicas
» Segurança Linux
» Últimos scripts

Intranet Open Source
Linux banner
Linux banner
Linux banner
Linux banner
Linux banner
Treinamento Zope Plone

[Como anunciar]


» Destaques
» Screenshot
Linux: É possivel usar mais de um System Monitor
Por cdvdt
» Login
Login:
Senha:

Se você ainda não possui uma conta, clique aqui.

Esqueci minha senha

» Top 10 usuários

» Perguntas
» .Conf

Artigo

Home » Artigos » Linux » Segurança » Visualização de artigo

Blindando sua rede com o HLBR - Um IPS invisível e brasileiro
Linux user
dailson
09/11/2007
O HLBR é um projeto brasileiro destinado à segurança em redes de computadores. O HLBR é um IPS (Intrusion Prevention System) bastante eficiente e versátil, podendo ser usado até mesmo como bridge para honeypots e honeynets. Como não usa a pilha TCP/IP do sistema operacional, ele é "invisível" a outras máquinas na rede e atacantes, pois não possui número de IP.
Por: Dailson Fernandes (fofão) - http://www.dailson.com.br
[ Hits: 63256 ]
Conceito: 10.0   3 voto(s)3 voto(s)3 voto(s)3 voto(s)3 voto(s) + quero dar nota ao artigo
Denuncie   + Favoritos   Artigo Linux tela cheia Versão para impressora   Indicar artigo Linux Indicar para um amigo   Enviar artigo Linux Enviar artigo  

Introdução

Todo este tutorial e outros materiais estão publicados no meu blog:
Sistemas de Detecção de Intrusos são utilizados para perceber tráfego anômalo em uma rede de dados e tomar decisões de acordo com as regras e configurações definidas pelo gestor de segurança da rede.

Estes sistemas são divididos ativos e reativos. Os sistemas ativos, também conhecidos como IDS (Intrusion Detection Systems), percebem o tráfego malicioso fazem a gravação em log e alertam o administrador da rede sobre o que está acontecendo.

Os sistemas reativos, conhecidos como IPS (Intrusion Prevention System), tem todas as características do sistema ativo, porém é capaz de tomar decisões e interferir no tráfego malicioso e tornar o ataque inviável.

Em alguns sistemas IDS é possível torná-lo em IPS bastando ativar as configurações para que ele intervenha no tráfego. Esta artigo tem como objetivo mostrar a instalação e configuração do HLBR, que é um IPS brasileiro, open source que tem como principal característica a sua "invisibilidade" na rede e sua fácil configuração.

Próxima página >>




Páginas do artigo
   1. Introdução
   2. O que é o HLBR?
   3. Hardware e softwares necessários
   4. Preparando o ambiente para o HLBR
   5. Instalando o HLBR
   6. Configurando o HLBR
   7. As regras de detecção de ataque
   8. Onde posicionar o HLBR?
   9. Colocando para funcionar!
   10. Auditoria: Visualizando LOGS e arquivos de DUMP
   11. Testando: Provocando uma reação do HLBR
   12. Vídeos do HLBR em ação
   13. Conclusão, créditos e links

Outros artigos deste autor
   Artigo Linux recomendado Gerenciando logs do Linux pela WEB com o PHPSYSLOG-NG (parte 1)
   Artigo Linux recomendado Enrolado para configurar o Samba? Chame o SWAT
   Artigo Linux recomendado Utilizando o RSYNC para fazer backups de servidores e estações Windows
   Artigo Linux recomendado Personalizando o HLBR - IPS invisível
   Artigo Linux recomendado NTFS-3g: Leitura e gravação em NTFS com segurança? Ainda não!

Leitura recomendada
   Artigo Linux recomendado Transportando dados com segurança - encripte seu pendrive em 5 passos
   Artigo Linux recomendado Bloqueio de repetidas tentativas de login ao seu Linux
   Artigo Linux recomendado wlmproxy - um proxy superior
   Artigo Linux recomendado Uma introdução ao Linux-PAM
   Artigo Linux recomendado Usando o John theRipper para manter sua rede segura

Comentários
[1] Comentário enviado por lucas.suporte em 09/11/2007 - 11:20h:

Otimo artigo, se esse prog funcionar com todos esses recursos será uma grande ferramenta de proteção para a rede.
Com certeza vou testar !!!
Abraços e parabens
Lucas Rocha
Analista de redes em GNU/Linux


[2] Comentário enviado por Gerson Raymond em 09/11/2007 - 11:34h:

Realmente ótimo artigo estarei testando o HLBR e também divulgando esta brilhante ferramenta mais uma vez "parabéns, valeu mesmo", um abraço.

Gerson Raymond
Administrador de Redes

[3] Comentário enviado por valterrezendeeng em 09/11/2007 - 17:01h:

Vamos prestigiar o nacional.

Parabens pelo artigo e parabens aos desenvolvidores pelo produto nacional e principalmente de qualidade

Vou testar e divulgar

Valeu

Valter

Sup Informatica

[4] Comentário enviado por warlinux em 09/11/2007 - 18:25h:

Esse sim é um artigo de ótima qualidade, muito bem explicado.

Parabéns tanto pela criação da ferramenta como pela elaboração do artigo.

Só me restou uma dúvida, como essas rules, podem ser atualizadas, vcs estão sempre criando novas regras, como funciona ?

Falow abraços

[5] Comentário enviado por dailson em 09/11/2007 - 20:50h:

As regras não estão sendo atualizadas constantemente oficialmente.
Mas estamos trabalhando em um sistema de regras com atualizações semanais/mensais.

Dailson

[6] Comentário enviado por pogo em 10/11/2007 - 12:46h:

Parabéns pelo excelente texto, Dailson! Continue sempre enviando material com esta qualidade aqui para o VOL!

Pra quem quiser mais algum material sobre IPS, pode acessar lá no meu blog. Publiquei uma série explicando um pouco sobre esta tecnologia (neste link aí mesmo vocês já irão encontrar links para as outras partes do texto):

http://blog.pedroaugusto.eti.br/2007/10/22/intrusion-prevention-systems-parte-1/

Se quiserem saber um pouco mais sobre sistemas IDS, lá no blog também tem uma série sobre isso:

http://blog.pedroaugusto.eti.br/2007/10/16/ids-parte-1/

Espero que gostem e que consiga complementar este ótimo texto do colega.

[]'s

Pedro.

[7] Comentário enviado por evertonpinto em 10/11/2007 - 13:39h:

?comentario=everton

Parabéns pelo artigo. Está bastante explicativo para iniciantes como eu.
Mas ainda bem que tenho um professor chamado Dailson Fernandes... para tirar algumas dúvidas .
é isso ai prof vc é o cara.
kkkkkkkkkkkkkkkkkk


[8] Comentário enviado por demattos em 10/11/2007 - 23:07h:

Parabens pelo artigo, esta bem trabalhado, coloquei em prova e funcionou com o Fedora Core 5


[9] Comentário enviado por capitainkurn em 11/11/2007 - 14:41h:

Artigo formidável! Parabéns e obrigado por compartilhar seu conhecimento conosco!

Além da ferramenta ser fantástica, a sua didática é exímia!

Parabens!

[10] Comentário enviado por Ruy_Go em 12/11/2007 - 18:47h:

Vamos testar ele.... valorizar o nacional como disse o amigo acima...

Vou testar no Slackware 11

[11] Comentário enviado por dfsantos em 16/11/2007 - 17:56h:

Ola pessoal!
Acho que fiz caca, compilei o kernel sem suporte a tcp-ip era pra fazer isso mesmo?
Pois não achei opção específica para compilar sem suporte a ip.
Estou tendo um probleminha na hora de dar um start no hlbr quando executo o comando:
/etc/init.d/hlbr start ou restart
Aparece a seguinte mensagem:
device eth0 entered promiscuous mode
couldn't create socket for MTU
Error binding socket
Error Initializing interfaces
device etho left promiscuous mode

[12] Comentário enviado por dailson em 19/11/2007 - 10:09h:

Oi Dfsantos.

Aconselho a você fazer testes com o kernel normal utilizando os endereços 127.... nas suas placas, conforme tutorial.
Não há desvantagens nisso, só vantagens!!!
Retirar o TCP/IP todo, vai dar bronca mesmo.

Dailson

[13] Comentário enviado por araujosilva em 27/11/2007 - 12:01h:

Parabens Dailson !!!

Fico muito satisfeito de ter tido a oportunidade de ver o trabalho antes de ser transformado neste ótimo artigo.

abraços

Sgt araujo - 5cta - Recife - PE

[14] Comentário enviado por dailson em 28/11/2007 - 11:00h:

Obrigado Grande Araújo!!!!

Um grande abraço!!!

Dailson

[15] Comentário enviado por klein.rfk em 11/12/2007 - 11:10h:

kras, isso é muito legal.........
vou testar no Slack....
uma pergunta, ele apenas gera os LOGs?
ou dropa/bloqueia/rejeita os pacotes de um possível atacante?

[16] Comentário enviado por dailson em 12/12/2007 - 10:51h:

Oi Klein

Ele bloqueia os pacotes já por padrão, se vc quiser que ele apenas faça o log, tem que mudar a action para action2.
Obs: Funciona perfeitamente no slack

Dailson

[17] Comentário enviado por akilesbrasil em 26/01/2009 - 09:16h:

ola estou tento problemas com as interfaces..consigo por os ips de loopback...
na eth0 entra o cabo da net....
na eth1 que vai pro outro server ... esse cabo e normal cross...pois não funciona...
nen fixando o ip...nen deixando por dhcp



flw muito bom o artigo...

[18] Comentário enviado por dailson em 02/02/2009 - 15:29h:

Oi Akilesbrasil

Desculpa a demora pra responder, mas estava de férias ...

Então vamos lá:
Por DHCP não vai funcionar.
Vc deve colocar os ips 127.0.0.2 na eth0 2 127.0.0.3 na eth1. E veja se funciona.
E se lembre que depois de colocar os ips, vc deve reiniciar o HLBR.
Para que a NET passe, o hlbr deve estar no ar.
Outro erro muito comum, é o fato dos cabos crossover.
Pelo que vi, do lado na net, use cabo normal.
Do lado do servidor, use cabo crossover.
Se não funcionar, posta aê!!


Contribuir com comentário


  
Para executar esta ação você precisa estar logado no site, caso contrário, tudo o que for digitado será perdido.
Responsável pelo site: Fábio Berbert de Paula - Conteúdo distribuído sob licença GNU FDL
Site hospedado por:

Viva o Linux

A maior comunidade Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda em Linux.