HLBR: Um IPS invisível para a segurança em redes de computadores. João Eriberto Mota Filho (Comando do Exército Brasileiro)

Tamanho: px

Começar a partir da página:

Download "HLBR: Um IPS invisível para a segurança em redes de computadores. João Eriberto Mota Filho (Comando do Exército Brasileiro)"

Igor Felgueiras Medina
6 Há anos
Visualizações:

1 HLBR: Um IPS invisível para a segurança em redes de computadores João Eriberto Mota Filho (Comando do Exército Brasileiro) Porto Alegre, RS, 13 de abril de 2007

2 1. Introdução 2. Conceitos básicos > Modelo OSI > Roteamento de rede x Bridge > Sistemas de firewall > IDS x IPS 3. HLBR > Funcionamento do HLBR > Exemplo de regra no HLBR > Demonstração do HLBR > Consumo de recursos computacionais 4. Conclusão

3 1. Introdução 2. Conceitos básicos > Modelo OSI > Roteamento de rede x Bridge > Sistemas de firewall > IDS x IPS 3. HLBR > Funcionamento do HLBR > Exemplo de regra no HLBR > Demonstração do HLBR > Consumo de recursos computacionais 4. Conclusão

4 Quem conhece? Quem usa?

5 Breve histórico do HLBR Hogwash Light BR. Criado a partir do Hogwash, um projeto de Jason Larsen, desenvolvido em 1996; Encontra-se na versão 1.1 (6ª versão); A versão 1.0 introduziu a possibilidade de uso de expressões regulares nas regras de detecção; IPS, instalado na camada 2 do modelo OSI (enlace), atuando nas camadas 2, 3, 4 e 7 do modelo OSI; Projeto mantido por 05 desenvolvedores e 16 tradutores/testers; Disponível em

6 1. Introdução 2. Conceitos básicos > Modelo OSI > Roteamento de rede x Bridge > Sistemas de firewall > IDS x IPS 3. HLBR > Funcionamento do HLBR > Exemplo de regra no HLBR > Demonstração do HLBR > Consumo de recursos computacionais 4. Conclusão

7 Modelo OSI Camada 7 - Aplicação http, ftp, smtp, pop-3 etc. Camada 6 - Apresentação Camada 5 - Sessão Camada 4 - Transporte Camada 3 - Rede Camada 2 - Enlace Protocolos TCP e UDP. Endereço IP e roteamento rede. Endereço MAC, bridge, switch. Camada 1 - Física

8 1. Introdução 2. Conceitos básicos > Modelo OSI > Roteamento de rede x Bridge > Sistemas de firewall > IDS x IPS 3. HLBR > Funcionamento do HLBR > Exemplo de regra no HLBR > Demonstração do HLBR > Consumo de recursos computacionais 4. Conclusão

9 Roteamento de rede O roteamento é utilizado para interligar segmentos de rede diferentes, via camada de rede do modelo OSI (camada 3).

10 Bridge A bridge possui diversas funções, dentre elas, interligar porções diferentes da mesma rede, de forma transparente, via camada de enlace do modelo OSI (camada 2).

11 1. Introdução 2. Conceitos básicos > Modelo OSI > Roteamento de rede x Bridge > Sistemas de firewall > IDS x IPS 3. HLBR > Funcionamento do HLBR > Exemplo de regra no HLBR > Demonstração do HLBR > Consumo de recursos computacionais 4. Conclusão

12 Um simples exemplo... Esta rede possui um firewall???

13 Firewall é um sistema; Sistemas de firewall Firewall é todo o esforço voltado para a segurança da rede; Os sistemas de firewall podem ser compostos por filtros de pacotes, filtros de estados, proxies (forward e reverso), IDS, IPS, HIDS, antivírus de rede etc; Não é possível ter um sistema de firewall apenas com uma máquina; IMPORTANTE: segurança, conforto e funcionalidade: use dois e abandone um. Exemplo: sites de bancos. Criptografia é uma boa solução para a segurança???

14 Sistemas de firewall Camada 7 - Aplicação proxies, (H)IDS, IPS, antivírus etc. Camada 6 - Apresentação Camada 5 - Sessão Camada 4 - Transporte Camada 3 - Rede Camada 2 - Enlace filtros, proxies, IDS, IPS etc. filtros, proxies, IDS, IPS etc. filtros (ebtables), IPS (HLBR). Camada 1 - Física

15 Um exemplo simples de sistema de firewall

16 Sistemas de firewall Única solução 100% confiável e eficiente para a segurança em redes de computadores: D E U S

17 1. Introdução 2. Conceitos básicos > Modelo OSI > Roteamento de rede x Bridge > Sistemas de firewall > IDS x IPS 3. HLBR > Funcionamento do HLBR > Exemplo de regra no HLBR > Demonstração do HLBR > Consumo de recursos computacionais 4. Conclusão

18 IDS x IPS IDS (Intrusion Detection System): detecta e registra ações maliciosas e tráfego anômalo nas redes de computadores. Os IDS são passivos. Os HIDS atuam em hosts. IPS (Intrusion Prevention System): detecta, registra e trata ações maliciosas e tráfego anômalo nas redes de computadores. Os IPS são ativos. Alguns são reativos (desaconselhável). Atuam in-line na topologia. Os IDS são minuciosos, causando alto consumo de recursos e falsos positivos em demasia. No entanto, são indispensáveis na análise de tráfego. Os IPS são generalistas, provendo baixo consumo de recursos, velocidade e altíssimas taxas de acertos.

19 1. Introdução 2. Conceitos básicos > Modelo OSI > Roteamento de rede x Bridge > Sistemas de firewall > IDS x IPS 3. HLBR > Funcionamento do HLBR > Exemplo de regra no HLBR > Demonstração do HLBR > Consumo de recursos computacionais 4. Conclusão

20 Funcionamento do HLBR Deve ser posicionado nas extremidades do sistema de firewall (externa e internamente); Não altera o cabeçalho IP dos pacotes pois é uma bridge (invisível!!!); Não utiliza endereço IP para operar pois é uma bridge (invisível!!!); Não reseta ou finaliza a conexão (não reativo). Apenas descarta os pacotes maliciosos (invisível!!!); Fornece logs de conteúdo em formato tcpdump; É muito difícil um ataque ao HLBR, uma vez que o mesmo não possui IP (não há como direcionar um shellcode, inviabilizando um buffer overflow remoto).

21 1. Introdução 2. Conceitos básicos > Modelo OSI > Roteamento de rede x Bridge > Sistemas de firewall > IDS x IPS 3. HLBR > Funcionamento do HLBR > Exemplo de regra no HLBR > Demonstração do HLBR > Consumo de recursos computacionais 4. Conclusão

22 Exemplo de regra no HLBR Exemplo de uma regra com expressão regular: <rule> ip dst( ) tcp dst(25) tcp regex(filename="[^[:cntrl:]]+\.scr") message=.scr attach action=action1 </rule>

23 1. Introdução 2. Conceitos básicos > Modelo OSI > Roteamento de rede x Bridge > Sistemas de firewall > IDS x IPS 3. HLBR > Funcionamento do HLBR > Exemplo de regra no HLBR > Demonstração do HLBR > Consumo de recursos computacionais 4. Conclusão

24 Demonstração do HLBR Topologia a ser utilizada: (Visualização de filme)

25 1. Introdução 2. Conceitos básicos > Modelo OSI > Roteamento de rede x Bridge > Sistemas de firewall > IDS x IPS 3. HLBR > Funcionamento do HLBR > Exemplo de regra no HLBR > Demonstração do HLBR > Consumo de recursos computacionais 4. Conclusão

26 Consumo de recursos computacionais Máquina Compaq PII 350 MHz, com 128 MB RAM, conectada em um link dedicado de 4 Mb/s. Possui um HLBR com 139 regras. Legenda: Processador Memória

27 1. Introdução 2. Conceitos básicos > Modelo OSI > Roteamento de rede x Bridge > Sistemas de firewall > IDS x IPS 3. HLBR > Funcionamento do HLBR > Exemplo de regra no HLBR > Demonstração do HLBR > Consumo de recursos computacionais 4. Conclusão

28 O HLBR: É Software Livre; Atua na camada de enlace, trazendo diversas vantagens; Fornece logs em formato tcpdump; Não reseta ou finaliza. Apenas descarta! Ainda: ebtables é filtro de pacotes e não de conteúdo. Fim do ciclo de 1 ano de divulgação (palestras: FLISOL 2006, I ENSOL, 7 WSL, I ESLIF e 8 FISL; minicursos: III FCSL e Latinoware 2006).

29 Esta palestra está disponível em:

Documentos relacionados

IPS HLBR: aprimorando a segurança da sua rede

IPS HLBR: aprimorando a segurança da sua rede João Eriberto Mota Filho Pedro Arthur Pinheiro Rosa Duarte Fortaleza, CE, 20 de agosto de 2008 Sumário Breve histórico IPS X IDS Por que utilizar um IPS? Por