Personalizando o HLBR - IPS invisível
A versão 1.5-RC2 do HLBR vem com 144 regras pré-definidas, porém se você apenas instalar e não ativar alguns tipos de regras, nem todas irão para a execução. Aqui você aprenderá a liberar novas regras e a escrever regras personalizadas para seu ambiente. De bônus você ganha 5 novas regras para o seu HLBR, incluindo regras contra IP SPOOFING e SQL INJECTION.
[ Hits: 43.867 ]
Por: Dailson Fernandes (fofão) - http://www.dailson.com.br em 22/07/2008
Como começar a escrever regras para o HLBR?
Este é um passo que requer atenção, pesquisa e alguns testes. Em primeiro lugar você deve ler o README que vem no diretório do HLBR. Lá existem dicas preciosas de como começar a construí-las. Lá também você consulta os parâmetros possíveis e as ações que o HLBR pode tomar.
Em segundo lugar, ler LOGs, lá você vai encontrar o que estão tentando fazer com seus servidores, quais são os erros comuns e os strings que estão sendo "injetadas" nos seu servidor.
Neste passo aconselho a instalação de programas que auxiliam na leitura de logs como o LOGWATCH, SWATCH e AWSTATS.
Um bom exemplo é aqui na empresa. Constatei vários acessos a uma dll em meu servidor. Esta dll é a owssvr.dll e vi que é um ataque as expressões do frontpage.
Ao longo do artigo, vou ensinar a escrever algumas regras inéditas. Esta regra, será uma delas.
Em terceiro lugar, é bom você conhecer um pouco de expressões regulares, não é obrigatório, porém importante.
Expressões regulares definem um padrão a ser usado para procurar ou substituir palavras ou grupos de palavras. É um meio preciso de se fazer buscas de determinadas porções de texto.
Por exemplo, se o conjunto de palavras for {asa, carro, jardim, ovos, terra} e a expressão regular buscar por um padrão rr, obterá as palavras carro e terra.
Existem vários caracteres especiais chamados metacaracteres nas Expressões Regulares para fazer uma busca avançada de palavras dentro de uma frase. (Fonte: wikipedia)
Por exemplo:
Existe um ataque básico a um servidor HTTP que pode ser visto neste vídeo:
que é a tentativa do atacante passear no hd do servidor, tentando descer na árvore de diretórios chamando os caracteres ../.
Exemplo:
http://www.vivaolinux.com.br/../../
Se o servidor do Viva o Linux tivesse esta vulnerabilidade eu conseguiria ver a raiz do disco do servidor (caso as páginas dele esteja hospedada em /var/www).
Ou ainda posso tentar ver os arquivos de senha do servidor:
http://www.vivaolinux.com.br/../../etc/passwd
http://www.vivaolinux.com.br/../../etc/shadow
Com o HLBR, basta eu ter a seguinte regra:
Veja a expressão regular:
http regex(\.+(/|\\)+)
Ou seja, se na URL vier . (ponto) seguido de barras sejam elas normais (/) ou invertidas (\), o hlbr toma a ação action1, que é bloquear e colocar em log.
Quem quiser enveredar ou se especializar em Expressões Regulares, aconselho o site do Aurelio Marinho Jargas:
Em segundo lugar, ler LOGs, lá você vai encontrar o que estão tentando fazer com seus servidores, quais são os erros comuns e os strings que estão sendo "injetadas" nos seu servidor.
Neste passo aconselho a instalação de programas que auxiliam na leitura de logs como o LOGWATCH, SWATCH e AWSTATS.
Um bom exemplo é aqui na empresa. Constatei vários acessos a uma dll em meu servidor. Esta dll é a owssvr.dll e vi que é um ataque as expressões do frontpage.
Ao longo do artigo, vou ensinar a escrever algumas regras inéditas. Esta regra, será uma delas.
Em terceiro lugar, é bom você conhecer um pouco de expressões regulares, não é obrigatório, porém importante.
Expressões regulares definem um padrão a ser usado para procurar ou substituir palavras ou grupos de palavras. É um meio preciso de se fazer buscas de determinadas porções de texto.
Por exemplo, se o conjunto de palavras for {asa, carro, jardim, ovos, terra} e a expressão regular buscar por um padrão rr, obterá as palavras carro e terra.
Existem vários caracteres especiais chamados metacaracteres nas Expressões Regulares para fazer uma busca avançada de palavras dentro de uma frase. (Fonte: wikipedia)
Por exemplo:
Existe um ataque básico a um servidor HTTP que pode ser visto neste vídeo:
que é a tentativa do atacante passear no hd do servidor, tentando descer na árvore de diretórios chamando os caracteres ../.
Exemplo:
http://www.vivaolinux.com.br/../../
Se o servidor do Viva o Linux tivesse esta vulnerabilidade eu conseguiria ver a raiz do disco do servidor (caso as páginas dele esteja hospedada em /var/www).
Ou ainda posso tentar ver os arquivos de senha do servidor:
http://www.vivaolinux.com.br/../../etc/passwd
http://www.vivaolinux.com.br/../../etc/shadow
Com o HLBR, basta eu ter a seguinte regra:
<rule>
ip dst(www)
tcp dst(80)
http regex(\.+(/|\\)+)
message=(webattacks-1-re) directory change attempt (unicode,asc,plain)
action=action1
</rule>
ip dst(www)
tcp dst(80)
http regex(\.+(/|\\)+)
message=(webattacks-1-re) directory change attempt (unicode,asc,plain)
action=action1
</rule>
Veja a expressão regular:
http regex(\.+(/|\\)+)
Ou seja, se na URL vier . (ponto) seguido de barras sejam elas normais (/) ou invertidas (\), o hlbr toma a ação action1, que é bloquear e colocar em log.
Quem quiser enveredar ou se especializar em Expressões Regulares, aconselho o site do Aurelio Marinho Jargas:
Páginas do artigo
1. Introdução2. As regras a serem analisadas
3. Analisando o www.rules
4. Analisando o http.rules
5. Como começar a escrever regras para o HLBR?
6. Escrevendo regras pra valer
7. Escrevendo regras contra ataques a extensões do frontpage
8. Bônus: Escrevendo uma regra contra SQL Injections
9. Conclusão
Outros artigos deste autor
Utilizando o RSYNC para fazer backups de servidores e estações Windows
Glances - Monitoramento de Processos e Perfomance
Blindando sua rede com o HLBR - Um IPS invisível e brasileiro
Gerenciando logs do Linux pela WEB com o PHPSYSLOG-NG (parte 1)
Instalando o IBM LOTUS SYMPHONY Beta3
Leitura recomendada
Fail2ban no Debian - Instalação e Configuração
Snort - The Open Source Network Intrusion Detection System
Snort em modo defensivo com Flex Response 2
PuTTY - Estabelecendo Chave Secreta com OpenSSH
Comentários
[1] Comentário enviado por drakula em 24/07/2008 - 14:03h
Parabéns muito bom esse artigo, estou tendo contato com o HLBR a poucos dias ainda nao coloquei pra funcionar mas parece ser bem interessante esse artigo esclarece muito bem a forma como ele trabalha, a propósito parabens pelo artigo da instalacao tb esta muito bem explicado, continue assim a comunidade agradece
Abraço
Parabéns muito bom esse artigo, estou tendo contato com o HLBR a poucos dias ainda nao coloquei pra funcionar mas parece ser bem interessante esse artigo esclarece muito bem a forma como ele trabalha, a propósito parabens pelo artigo da instalacao tb esta muito bem explicado, continue assim a comunidade agradece
Abraço
[2] Comentário enviado por dailson em 24/07/2008 - 14:51h
Blz Drakula
Quando testar, posta os resultados pra gente.
Um abraço
Dailson
Blz Drakula
Quando testar, posta os resultados pra gente.
Um abraço
Dailson
[3] Comentário enviado por rndasi em 25/07/2008 - 15:15h
Realmente parabéns pelo artigo ...
Fiz a implantação do HLBR-1.6-RC1 em ambiente de produção para conhecer todo o potencial da ferramenta. A parte que mais me interessa é realmente a regra sobre o SQL INJECTION que vc montou ...
Embora o site da empresa esteja livre desse tipo de ataque as tentativas não param. Então a primeira prova de fogo do HLBR será bloquear essa tentativa de ataque antes que ela chegue no servidor.
Agora sobre outras regras: habilitei a regra que bloqueia ASP mas alterei ela pra TXT só pra eu fazer um teste e joguei um arquivo TXT no servidor. Com a regra tcp nocase(.txt) se eu digito www.meudominio.com.br/teste.txt, o arquivo é aberto ... Tive que alterar a regra para http nocase(.txt) e ai a regra começou a funcionar. Realmente isso está certo ou estou fazendo alguma coisa de errado ?
Uma outra dúvida é: as minhas duas placas nessa máquina estão com IP 127.0.0.2 e 3 conforme sugestão. Mas o servidor fica em um outro prédio. Toda vez que eu quero ver como está o LOG eu tenho que ir até o prédio onde estar o servidor, entrar no depto de TI e ter acesso físico ao servidor. Qual seria a sugestão para eu ver esse log "remotamente" claro que levando em conta a segurança ?
Obrigado pela ajuda
Ronaldo
Realmente parabéns pelo artigo ...
Fiz a implantação do HLBR-1.6-RC1 em ambiente de produção para conhecer todo o potencial da ferramenta. A parte que mais me interessa é realmente a regra sobre o SQL INJECTION que vc montou ...
Embora o site da empresa esteja livre desse tipo de ataque as tentativas não param. Então a primeira prova de fogo do HLBR será bloquear essa tentativa de ataque antes que ela chegue no servidor.
Agora sobre outras regras: habilitei a regra que bloqueia ASP mas alterei ela pra TXT só pra eu fazer um teste e joguei um arquivo TXT no servidor. Com a regra tcp nocase(.txt) se eu digito www.meudominio.com.br/teste.txt, o arquivo é aberto ... Tive que alterar a regra para http nocase(.txt) e ai a regra começou a funcionar. Realmente isso está certo ou estou fazendo alguma coisa de errado ?
Uma outra dúvida é: as minhas duas placas nessa máquina estão com IP 127.0.0.2 e 3 conforme sugestão. Mas o servidor fica em um outro prédio. Toda vez que eu quero ver como está o LOG eu tenho que ir até o prédio onde estar o servidor, entrar no depto de TI e ter acesso físico ao servidor. Qual seria a sugestão para eu ver esse log "remotamente" claro que levando em conta a segurança ?
Obrigado pela ajuda
Ronaldo
[4] Comentário enviado por dailson em 28/07/2008 - 15:52h
Oi Rndasi
Em relação a regra do txt, isto foi um bug que detectamos na versão 1.5RC2 e anteriores, ficamos surpreso em vc dizer que aconteceu novamente na versão 1.6, pois isto já foi corrigido. Se vc puder, posta a regra que vc fez aqui para a gente testar também.
Em relação a mudar para http nocase, não há erro nisso, vc tá certo, mas era pra funcionar com o tcp também.
Em relação a sua pergunta sobre analisar remotamenteé uma idéia excelente, porém considerada extremamente perigosa pela equipe Mantenedora do HLBR. Se for para laboratório, a idéia é excelente. Se for para ambiente de produção, não é recomendado por eles colocar placas com IP acessíveis e roteáveis.
Ou seja, vc tem que ir na máquina mesmo. Mas se serve de consolo, aqui também eu faço isso e meu HLBR fica longe pra caramba de onde fico normalmente.
Isto é uma característica que deve ser implantada nas novas versões.
Um grande abraço
Oi Rndasi
Em relação a regra do txt, isto foi um bug que detectamos na versão 1.5RC2 e anteriores, ficamos surpreso em vc dizer que aconteceu novamente na versão 1.6, pois isto já foi corrigido. Se vc puder, posta a regra que vc fez aqui para a gente testar também.
Em relação a mudar para http nocase, não há erro nisso, vc tá certo, mas era pra funcionar com o tcp também.
Em relação a sua pergunta sobre analisar remotamenteé uma idéia excelente, porém considerada extremamente perigosa pela equipe Mantenedora do HLBR. Se for para laboratório, a idéia é excelente. Se for para ambiente de produção, não é recomendado por eles colocar placas com IP acessíveis e roteáveis.
Ou seja, vc tem que ir na máquina mesmo. Mas se serve de consolo, aqui também eu faço isso e meu HLBR fica longe pra caramba de onde fico normalmente.
Isto é uma característica que deve ser implantada nas novas versões.
Um grande abraço
[5] Comentário enviado por rndasi em 28/07/2008 - 17:17h
Obrigado pelo retorno.
Tentei as seguintes regras:
tcp regex(GET[ -~]+\.txt($|/|\&|\?)) e tcp nocase(.txt) .... Ambas se eu trocar tcp por http funcionando. Com tcp não ... A primeira regra eu pequei do próprio www.rules e copiei a regra do ASP.
Bom, pelo menos manterei a forma indo de um prédio ao outro. risos
Quanto ao SQL Injection tem outra forma de invadir utilizando DECLARE e CAST (no caso do SQL SERVER) .. Vou tentar entender a sua regra e montar uma por aqui e funcionando eu te mando.
Abraço
Obrigado pelo retorno.
Tentei as seguintes regras:
tcp regex(GET[ -~]+\.txt($|/|\&|\?)) e tcp nocase(.txt) .... Ambas se eu trocar tcp por http funcionando. Com tcp não ... A primeira regra eu pequei do próprio www.rules e copiei a regra do ASP.
Bom, pelo menos manterei a forma indo de um prédio ao outro. risos
Quanto ao SQL Injection tem outra forma de invadir utilizando DECLARE e CAST (no caso do SQL SERVER) .. Vou tentar entender a sua regra e montar uma por aqui e funcionando eu te mando.
Abraço
[6] Comentário enviado por dailson em 29/07/2008 - 10:29h
Ok Rndasi
Estaremos publicando em breve um artigo com 70 novas regras.
Uma delas, foi a que coloquei neste artigo.
Manda brasa em novas regras, pois é o que mais o HLBR precisa.
Em relação a este BUG, já foi passada a equipe e eles estão verificando novamente.
Um abraço
Ok Rndasi
Estaremos publicando em breve um artigo com 70 novas regras.
Uma delas, foi a que coloquei neste artigo.
Manda brasa em novas regras, pois é o que mais o HLBR precisa.
Em relação a este BUG, já foi passada a equipe e eles estão verificando novamente.
Um abraço
[7] Comentário enviado por drakula em 30/07/2008 - 22:39h
Ansiosissimo por esse artigo com as 70 novas regras!!
eeheheh
abraço
Ansiosissimo por esse artigo com as 70 novas regras!!
eeheheh
abraço
[8] Comentário enviado por thiagopagani em 30/07/2008 - 22:48h
Parabens pelo Artigo
e drakula vamos colocar em pratica
abraço
Parabens pelo Artigo
e drakula vamos colocar em pratica
abraço
[9] Comentário enviado por dailson em 31/07/2008 - 09:40h
Beleza!!!
O artigo está em andamento. E os testes também. Algumas regras apresentaram problemas com o HLBR, mas a equipe é eficaz demais, mandei os erros e a galera já corrigiu...
Já está em ambiente de produção...
Estamos refinando para liberar para a comunidade!
Parabéns a nós que fazemos o SL crescer!!!!!!!!
Gostaria de pedir a quem tivesse erros, mandasse para mim em listas em dailson.com.br se possível com os arquivos de dump (/var/log/hlbr/hlbr.log e hlbr.dump)
A Equipe HLBR agradece!
Beleza!!!
O artigo está em andamento. E os testes também. Algumas regras apresentaram problemas com o HLBR, mas a equipe é eficaz demais, mandei os erros e a galera já corrigiu...
Já está em ambiente de produção...
Estamos refinando para liberar para a comunidade!
Parabéns a nós que fazemos o SL crescer!!!!!!!!
Gostaria de pedir a quem tivesse erros, mandasse para mim em listas em dailson.com.br se possível com os arquivos de dump (/var/log/hlbr/hlbr.log e hlbr.dump)
A Equipe HLBR agradece!
[10] Comentário enviado por drakula em 24/08/2008 - 22:52h
HLBR Colocado em produção fantastico muito bom uma otima ferramenta parabens aos desenvolvedores e ao dailson que tem facilitado muito as coisas com seus tutorias otimos e didaticos
Abraço
HLBR Colocado em produção fantastico muito bom uma otima ferramenta parabens aos desenvolvedores e ao dailson que tem facilitado muito as coisas com seus tutorias otimos e didaticos
Abraço
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Como atualizar sua versão estável do Debian
Cirurgia para acelerar o openSUSE em HD externo via USB
Void Server como Domain Control
Dicas
Script de montagem de chroot automatica
Atualizar Linux Mint 22.2 para 22.3 beta
Jogar games da Battle.net no Linux com Faugus Launcher
Como fazer a Instalação de aplicativos para acesso remoto ao Linux
Tópicos
De volta para o futuro - ou melhor, para o presente (parte 2) (2)
Por que passar nas disciplinas da faculdade é ruim e ser reprovado é b... (7)
Top 10 do mês
-
Xerxes
1° lugar - 148.139 pts -
Fábio Berbert de Paula
2° lugar - 66.884 pts -
Buckminster
3° lugar - 22.317 pts -
Mauricio Ferrari
4° lugar - 20.938 pts -
Alberto Federman Neto.
5° lugar - 19.994 pts -
edps
6° lugar - 18.876 pts -
Daniel Lara Souza
7° lugar - 17.943 pts -
Andre (pinduvoz)
8° lugar - 16.275 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 15.683 pts -
Jesuilton Montalvão
10° lugar - 14.923 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
