Palestra do FISL: HLBR – Um IPS Invisível para a Segurança de Redes de Computadores

Publicado em por Thiago Leite Postado em Eventos, FISL, Redes de Computadores, Segurança da Informação

Assim começou mais um dia na capital gaúcha: acordar cedo, tomar o café, encontrar os doidos do hotel e ir à FIERGS, onde estava ocorrendo o evento. Ao chegar ao evento, fui bater um papo com o pessoal da comunidade Ubuntu-br e logo após ir ver minha primeira palestra do dia: HLBR – Um IPS Invisível para a Segurança de Redes de Computadores.

A palestra foi ministrada por João Eriberto Mota Filho, professor e gerente de segurança, sobre o projeto em que é líder, o HLBR. HLBR é a sigla de Hogwash Light BR, projeto que tem o objetivo de se tornar um IPS de camada 2 no modelo OSI.

Eriberto iniciou a palestra explicando alguns conceitos básicos de redes de computadores, como o modelo de referência OSI,como funciona o roteamento entre redes distintas, a utilização de pontes e as ferramentas de segurança presentes em um sistema de Firewall.

Um conceito bem interessante que foi discutido é o HIDS, ou Host-based Intrusion Detection System, que é um sistema de IDS localizado no destino ou origem do tráfego. A vantagem da utilização deste tipo de sistema, é que conexões criptografadas podem ser então analisadas, já que durante todo o percurso não é possível por estar ilegíveis os dados.

O palestrante também explicou a diferença entre um IDS e um IPS: um age de maneira passiva ou de maneirar ativa. Sendo assim, um IDS tem apenas a capacidade de realizar detecções e gerar alarmes, ou também chamados, positivos. Por sua vez, um IPS tem a capacidade de agir ativamente na análise do tráfego, podendo inclusive bloquear conexões suspeitas.

Agora falando mais sobre o projeto HLBR, suas principais características são:

  • Deve ser posicionado nas extremidades do sistema de Firewall, irá depender se você irá querer segurar a rede interna ou a rede externa.
  • Não realiza modificações no cabeçalho dos pacotes, até porque ele fica localizado na camada 2 do modelo, apesar de poder realizar operações de filtragem na camada 7.
  • Não utiliza um endereço IP para realizar suas operações.

Apartir da versão 1.0 do HLBR, é possível utilizar expressões regulares para a detecção de padrões de intrusões, vírus, worms e phising. Para tanto, Eriberto demonstrou um exemplo de expressão no HLBR, exaltando a simplicidade de configuração. O exemplo irá bloquear a tentativa de envio de um e-mail que contenha um anexo com extensão .scr. Segue abaixo o exemplo:

<rule>

ip dst(email)

tcp dst(25)

tcp regex(filename=”[^[:cntrl:]]+\.scr”)

message=.scr attach

action=action1

</rule>

Maiores informações, de acordo com o palestrante, podem ser obtidas aqui ou no sítio web do projeto aqui.

Volto depois aqui para postar mais alguma palestra, o FISL desse ano foi muito bom! 🙂

Inté! 😀

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *