Instalando a nova versão do HLBR - IPS invisível

O HLBR é um projeto brasileiro destinado à segurança em redes de computadores. O HLBR é um IPS (Intrusion Prevention System) bastante eficiente e versátil, podendo ser usado até mesmo como bridge para honeypots e honeynets. Como não usa a pilha TCP/IP do sistema operacional, ele é "invisível" a outras máquinas na rede e atacantes, pois não possui número de IP.

[ Hits: 79.350 ]

Por: Dailson Fernandes (fofão) - http://www.dailson.com.br em 14/07/2008


Colocando para funcionar!



a) Para iniciar o servidor HLBR dê o seguinte comando:

# /etc/initd.d/hlbr start

b) Verifique se o HLBR está no ar:

# ps aux | grep hlbr

c) Para parar o HLBR:

# /etc/initd.d/hlbr stop

d) Se você prefere usar a inicialização em linha de comando use:

# hlbr -c /etc/hlbr/hlbr.config -r /etc/hlbr/hlbr.rules &

Veja os parâmetros possíveis via linha de comando:

hlbr <args>
  • -c <Arquivo de configuração / Config file>
  • -r <Arquivo de regras / Rules file>
  • -l <Diretório de log / Log directory>
  • -t Analisa regras e sai / Parse rules and exit
  • -n Processa n pacotes e sai / Process n packets and exit
  • -d Executa em modo daemon / Enter Daemon Mode (Background Execution)
  • -v Mostra versão e sai / Print version and exit

Para visualizar as opções acima, basta digitar no console "hlbr" sem parâmetros.

Você pode colocar em um arquivo de inicialização do Linux para toda vez que a máquina for ligada, a ponte seja "armada" e o hlbr esteja sempre analisando o tráfego.

Use o /etc/initd.d/bootmisc.sh e coloque a seguinte linha lá:

hlbr -c /etc/hlbr/hlbr.config -r /etc/hlbr/hlbr.rules &

Ou utilize o seguinte comando no Debian:

# update-rc.d -n hlbr defaults

Página anterior     Próxima página

Páginas do artigo
   1. A nova versão do HLBR 1.5RC2
   2. O que é o HLBR?
   3. Hardware e softwares necessários
   4. Preparando o ambiente para o HLBR
   5. Instalando o HLBR
   6. Configurando o HLBR
   7. As regras de detecção de ataque
   8. Onde posicionar o HLBR?
   9. Colocando para funcionar!
   10. Auditoria: Visualizando LOGS e arquivos de DUMP
   11. Testando: Provocando uma reação do HLBR
   12. Vídeos do HLBR em ação
   13. Conclusão, créditos e links
Outros artigos deste autor

Blindando sua rede com o HLBR - Um IPS invisível e brasileiro

Enrolado para configurar o Samba? Chame o SWAT

Personalizando o HLBR - IPS invisível

Gerenciando logs do Linux pela WEB com o PHPSYSLOG-NG (parte 1)

Instalando o IBM LOTUS SYMPHONY Beta3

Leitura recomendada

Cacti - Monitorar é preciso

Vazamento de informações vitais via "HP Operations Manager Perfd"

Transferindo arquivos de modo seguro entre Windows e Linux

Enviando alertas do Snort por SMS

Gerenciando certificados A1 fornecidos pelo ICB-Brasil no navegador Chrome sobre Linux

  
Comentários
[1] Comentário enviado por jeferson_roseira em 14/07/2008 - 23:16h

ótima dica

ja esta nos favoritos


Jeferson Roseira

[2] Comentário enviado por grandmaster em 15/07/2008 - 00:39h

Tb adicionado, não conhecia.

Vou tentar testar em uma maquina virtual.

[3] Comentário enviado por fmpfmp em 15/07/2008 - 10:00h

Artigo muito bem escrito. Só ficou faltando dizer como as regras são atualizadas. No Snort isso é possível, nesse HLBR não? Se sim, como?

[4] Comentário enviado por dailson em 15/07/2008 - 12:27h

Bom

As regras tem sido atualizadas a cada versão e nos fóruns.
Estamos providenciando um repositório de regras para que vc possa atualiza-las. Porém ainda nao está pronto.
Em breve vou postar no meu site e aqui um artigo sobre novas regras.

[5] Comentário enviado por Andre_A_Ferreira em 15/07/2008 - 15:40h

Rapaz, é um ótimo artigo.

Nota 10 em tudo! Principalmente na divulgação de uma ferramenta tão espetacular e ao mesmo tempo tão necessária.

sds
André.


[6] Comentário enviado por rootkit em 23/07/2008 - 12:19h

Dailson,

Não seria uma boa idéia, adicionar uma terceira placa de rede á máquina, e subir uma ligação entre ela e o servidor de logs, rodando syslog-ng ? Desta forma, seria mais fácil a visualização remota dos logs.

Excelente artigo, estou pondo em produção hoje para testar, parabéns :)

[7] Comentário enviado por dailson em 23/07/2008 - 14:29h

Rootkit

Isso é uma idéia excelente, porém considerada extremamente perigosa pela equipe Mantenedora do HLBR. Se for para laboratório, a idéia é excelente. Se for para ambiente de produção, não é recomendado por eles.
Testa e posta os resultados pra gente!
Um grande abraço


[8] Comentário enviado por ricardolongatto em 09/01/2012 - 23:26h

excelente
abraço


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts