SOFTWARE LIVRE PROTEGENDO A SUA REDE

SOFTWARE LIVRE

PROTEGENDO A

Meu nome: Marcos Vinicios Bueno Marques Nome de guerra: Professor Cidão

Meu e-mail: [email protected]

Quem sou? Professor e coordenador de cursos de TI do Senac Informática em Porto Alegre, RS; professor do CCTI da Universidade do Vale do Sinos (Unisinos/RS). Um apaixonado pela causa do Software Livre e pelos desafios da educação.

A “SALA DE AULA” é meu paraíso.

Nela me realizo, nela exercito minha

SOFTWARE LIVRE

PROTEGENDO A

Como proteger a minha rede?

Vou cuidar da intrusão?

Controlar portas?

Impedir conexões?

Observar tráfego?

Filtrar pacotes?

Vou fazer tudo isto e mais

um pouco?

Projetar a proteção de uma rede

corporativa implica em definir com clareza

o que precisamos proteger. O valor

representativo do que deve ser protegido

e qual o nível de exposição a que estamos

submetidos.

Uma ou mais ações e elementos

Uma ou mais ações e elementos

de proteção constituirão o

de proteção constituirão o

sistema de defesa conforme

sistema de defesa conforme

definido pelas necessidades.

Firewall:

Firewall:

Quando se pensa em segurança de rede,

sempre fala-se em “firewall” e ainda hoje

confunde-se

este

camarada

com

um

elemento isolado que faz, geralmente, filtro

de pacotes. Ex.: Iptables

Rede Interna

Um Firewall diz respeito a todo um sistema de proteção, incorporando todo e qualquer esforço despendido na proteção da rede. Este pode ser composto por diversos elementos, tais como: filtros de pacotes, proxies, IDS, IPS, antivírus, etc..

Podemos construir todos estes elementos

com a utilização de Software Livre.

Hoje vamos ver um

IPS

(Intrusion

Mas o que é um IPS?

●

O IPS é um elemento cuja missão no sistema

de proteção da rede é detectar, registrar e

tratar ações maliciosas e tráfego anômalo.

●

Um IPS é ativo. Detecta, analisa, e

toma uma decisão.

●

Um IPS também pode ser reativo, mas

isto é desaconselhável.

●

Na topologia da rede, atuam de modo

Como monto um IPS?

Use o

HogWash Light BR

_{HogWash Light BR}

(

HLBR) e seja feliz.

_HLBR

Hogwash Light BR foi criado, pela

iniciativa de

André bertelli Araujo

e João Eriberto Mota Filho

, a

partir do Hogwash de Jason

Larsen, desenvolvido em 1996.

Neste momento...

André bertelli Araujo

http://bertelli.endofinternet.net

João Eriberto Mota Filho

http://www.eriberto.pro.br

Homenageamos e referênciamos

os responsáveis pelo projeto:

Provê um IPS

localizado na

camada de enlace

(2) e atuante nas

camadas 2, 3, 4 e 7

do modelo OSI

Site do Projeto em:

Site do Projeto em:

http://hlbr.sourceforge.net.

http://hlbr.sourceforge.net.

O

HLBR

atua como uma bridge.

10.0.0.0/8

192.168.1.0/24

Roteador

O Roteador interliga segmentos de rede diferentes, atuando na camada de rede (3) do modelo OSI. O roteador apresenta-se para todos os segmentos de rede a ele conectados, com uma interface de rede integrante de cada roteamento altera o cabeçalho IP.

10.0.0.0/8

10.0.0.0/8

Bridge

A Bridge desempenha diversas tarefas e entre elas, possibilita a interligação de duas porções distintas de uma mesma rede, atuando na camada de enlace (2) do modelo OSI. A Bridge não apresenta-se para os segmentos de rede a ela conectados, não possuindo endereço IP definido, sendo portanto um elemento transparente. A BRIDGE não modifica o cabeçalho IP.

Assim o HLBR coloca-se

na REDE...

●

In Line;

●

Transparente;

●

Sem endereço IP;

●

Invisível interna e externamente.

Capaz de analisar as camadas 2, 3

Revendo:

HLBR

usa regras para agir.

As regras definem:

●

O alvo dos pacotes analisados ou a origem

destes.

●

O protocolo (camada) que será analisado.

Uma ação que deverá ser executada sobre

o pacote detectado.

O Sistema aprende com o aprendizado do administrador. Este analisa tráfego usando principalmente o apoio de um IDS e detecta tráfego indesejado, formando a regra de ação para o HLBR.

As regras no HLBR:

É permitido a utilização de “Expressões Regulares” na construção das regras.

Um exemplo:

<rule>

ip dst(email)

tcp dst(25)

tcp regex(filename="[^[:cntrl:]]+\.scr")

message=.scr attach

action=action1

</rule>

<rule>

ip dst(www)

tcp dst(80)

http regex((/|\\)+\.+(/|\\)+)

message=(webattacks-1-re) directory change

attempt

(unicode,asc,plain)

action=action1

</rule>

O HLBR, fornece uma rápida e robusta implementação de um IPS, invisível e transparente, ao atacante e ao usuário local. Não provoca “resets”,

apenas descarta os pacotes marcados como nocivos. E como se não bastassem todas estas características, ainda é SOFTWARE LIVRE.

[email protected]

Obrigado!

Obrigado!

ESTE MATERIAL ESTARÁ DISPONÍVEL À PARTIR DE 19/10 EM: