SOFTWARE LIVRE
PROTEGENDO A
Meu nome: Marcos Vinicios Bueno Marques Nome de guerra: Professor Cidão
Meu e-mail: marcos@cidao.com.br
Quem sou? Professor e coordenador de cursos de TI do Senac Informática em Porto Alegre, RS; professor do CCTI da Universidade do Vale do Sinos (Unisinos/RS). Um apaixonado pela causa do Software Livre e pelos desafios da educação.
A “SALA DE AULA” é meu paraíso.
Nela me realizo, nela exercito minha
SOFTWARE LIVRE
PROTEGENDO A
Como proteger a minha rede?
Vou cuidar da intrusão?
Controlar portas?
Impedir conexões?
Observar tráfego?
Filtrar pacotes?
Vou fazer tudo isto e mais
um pouco?
Projetar a proteção de uma rede
corporativa implica em definir com clareza
o que precisamos proteger. O valor
representativo do que deve ser protegido
e qual o nível de exposição a que estamos
submetidos.
Uma ou mais ações e elementos
Uma ou mais ações e elementos
de proteção constituirão o
de proteção constituirão o
sistema de defesa conforme
sistema de defesa conforme
definido pelas necessidades.
Firewall:
Firewall:
Quando se pensa em segurança de rede,
sempre fala-se em “firewall” e ainda hoje
confunde-se
este
camarada
com
um
elemento isolado que faz, geralmente, filtro
de pacotes. Ex.: Iptables
Rede Interna
Um Firewall diz respeito a todo um sistema de proteção, incorporando todo e qualquer esforço despendido na proteção da rede. Este pode ser composto por diversos elementos, tais como: filtros de pacotes, proxies, IDS, IPS, antivírus, etc..
Podemos construir todos estes elementos
com a utilização de Software Livre.
Hoje vamos ver um
IPS
(Intrusion
Mas o que é um IPS?
●
O IPS é um elemento cuja missão no sistema
de proteção da rede é detectar, registrar e
tratar ações maliciosas e tráfego anômalo.
●
Um IPS é ativo. Detecta, analisa, e
toma uma decisão.
●
Um IPS também pode ser reativo, mas
isto é desaconselhável.
●
Na topologia da rede, atuam de modo
Como monto um IPS?
Use o
HogWash Light BR
HogWash Light BR
(
HLBR) e seja feliz.
HLBR
Hogwash Light BR foi criado, pela
iniciativa de
André bertelli Araujo
e João Eriberto Mota Filho
, a
partir do Hogwash de Jason
Larsen, desenvolvido em 1996.
Neste momento...
André bertelli Araujo
http://bertelli.endofinternet.net
João Eriberto Mota Filho
http://www.eriberto.pro.br
Homenageamos e referênciamos
os responsáveis pelo projeto:
Provê um IPS
localizado na
camada de enlace
(2) e atuante nas
camadas 2, 3, 4 e 7
do modelo OSI
Site do Projeto em:
Site do Projeto em:
http://hlbr.sourceforge.net.
http://hlbr.sourceforge.net.
O
HLBR
atua como uma bridge.
WAN LAN Roteador HLBR Iptables IDS10.0.0.0/8
192.168.1.0/24
Roteador
O Roteador interliga segmentos de rede diferentes, atuando na camada de rede (3) do modelo OSI. O roteador apresenta-se para todos os segmentos de rede a ele conectados, com uma interface de rede integrante de cada roteamento altera o cabeçalho IP.
10.0.0.0/8
10.0.0.0/8
Bridge
A Bridge desempenha diversas tarefas e entre elas, possibilita a interligação de duas porções distintas de uma mesma rede, atuando na camada de enlace (2) do modelo OSI. A Bridge não apresenta-se para os segmentos de rede a ela conectados, não possuindo endereço IP definido, sendo portanto um elemento transparente. A BRIDGE não modifica o cabeçalho IP.
Assim o HLBR coloca-se
na REDE...
●
In Line;
●
Transparente;
●
Sem endereço IP;
●
Invisível interna e externamente.
●Capaz de analisar as camadas 2, 3
Revendo:
WAN LAN Roteador HLBR Iptables IDSHLBR
usa regras para agir.
As regras definem:
●
O alvo dos pacotes analisados ou a origem
destes.
●
O protocolo (camada) que será analisado.
●Uma ação que deverá ser executada sobre
o pacote detectado.
O Sistema aprende com o aprendizado do administrador. Este analisa tráfego usando principalmente o apoio de um IDS e detecta tráfego indesejado, formando a regra de ação para o HLBR.
As regras no HLBR:
É permitido a utilização de “Expressões Regulares” na construção das regras.
Um exemplo:
<rule>
ip dst(email)
tcp dst(25)
tcp regex(filename="[^[:cntrl:]]+\.scr")
message=.scr attach
action=action1
</rule>
<rule>
ip dst(www)
tcp dst(80)
http regex((/|\\)+\.+(/|\\)+)
message=(webattacks-1-re) directory change
attempt
(unicode,asc,plain)
action=action1
</rule>
O HLBR, fornece uma rápida e robusta implementação de um IPS, invisível e transparente, ao atacante e ao usuário local. Não provoca “resets”,
apenas descarta os pacotes marcados como nocivos. E como se não bastassem todas estas características, ainda é SOFTWARE LIVRE.
marcos@cidao.com.br
Obrigado!
Obrigado!
ESTE MATERIAL ESTARÁ DISPONÍVEL À PARTIR DE 19/10 EM: