Personalizando o HLBR - IPS invisível
A versão 1.5-RC2 do HLBR vem com 144 regras pré-definidas, porém se você apenas instalar e não ativar alguns tipos de regras, nem todas irão para a execução. Aqui você aprenderá a liberar novas regras e a escrever regras personalizadas para seu ambiente. De bônus você ganha 5 novas regras para o seu HLBR, incluindo regras contra IP SPOOFING e SQL INJECTION.
[ Hits: 43.814 ]
Por: Dailson Fernandes (fofão) - http://www.dailson.com.br em 22/07/2008
Como começar a escrever regras para o HLBR?
Este é um passo que requer atenção, pesquisa e alguns testes. Em primeiro lugar você deve ler o README que vem no diretório do HLBR. Lá existem dicas preciosas de como começar a construí-las. Lá também você consulta os parâmetros possíveis e as ações que o HLBR pode tomar.
Em segundo lugar, ler LOGs, lá você vai encontrar o que estão tentando fazer com seus servidores, quais são os erros comuns e os strings que estão sendo "injetadas" nos seu servidor.
Neste passo aconselho a instalação de programas que auxiliam na leitura de logs como o LOGWATCH, SWATCH e AWSTATS.
Um bom exemplo é aqui na empresa. Constatei vários acessos a uma dll em meu servidor. Esta dll é a owssvr.dll e vi que é um ataque as expressões do frontpage.
Ao longo do artigo, vou ensinar a escrever algumas regras inéditas. Esta regra, será uma delas.
Em terceiro lugar, é bom você conhecer um pouco de expressões regulares, não é obrigatório, porém importante.
Expressões regulares definem um padrão a ser usado para procurar ou substituir palavras ou grupos de palavras. É um meio preciso de se fazer buscas de determinadas porções de texto.
Por exemplo, se o conjunto de palavras for {asa, carro, jardim, ovos, terra} e a expressão regular buscar por um padrão rr, obterá as palavras carro e terra.
Existem vários caracteres especiais chamados metacaracteres nas Expressões Regulares para fazer uma busca avançada de palavras dentro de uma frase. (Fonte: wikipedia)
Por exemplo:
Existe um ataque básico a um servidor HTTP que pode ser visto neste vídeo:
que é a tentativa do atacante passear no hd do servidor, tentando descer na árvore de diretórios chamando os caracteres ../.
Exemplo:
http://www.vivaolinux.com.br/../../
Se o servidor do Viva o Linux tivesse esta vulnerabilidade eu conseguiria ver a raiz do disco do servidor (caso as páginas dele esteja hospedada em /var/www).
Ou ainda posso tentar ver os arquivos de senha do servidor:
http://www.vivaolinux.com.br/../../etc/passwd
http://www.vivaolinux.com.br/../../etc/shadow
Com o HLBR, basta eu ter a seguinte regra:
Veja a expressão regular:
http regex(\.+(/|\\)+)
Ou seja, se na URL vier . (ponto) seguido de barras sejam elas normais (/) ou invertidas (\), o hlbr toma a ação action1, que é bloquear e colocar em log.
Quem quiser enveredar ou se especializar em Expressões Regulares, aconselho o site do Aurelio Marinho Jargas:
Em segundo lugar, ler LOGs, lá você vai encontrar o que estão tentando fazer com seus servidores, quais são os erros comuns e os strings que estão sendo "injetadas" nos seu servidor.
Neste passo aconselho a instalação de programas que auxiliam na leitura de logs como o LOGWATCH, SWATCH e AWSTATS.
Um bom exemplo é aqui na empresa. Constatei vários acessos a uma dll em meu servidor. Esta dll é a owssvr.dll e vi que é um ataque as expressões do frontpage.
Ao longo do artigo, vou ensinar a escrever algumas regras inéditas. Esta regra, será uma delas.
Em terceiro lugar, é bom você conhecer um pouco de expressões regulares, não é obrigatório, porém importante.
Expressões regulares definem um padrão a ser usado para procurar ou substituir palavras ou grupos de palavras. É um meio preciso de se fazer buscas de determinadas porções de texto.
Por exemplo, se o conjunto de palavras for {asa, carro, jardim, ovos, terra} e a expressão regular buscar por um padrão rr, obterá as palavras carro e terra.
Existem vários caracteres especiais chamados metacaracteres nas Expressões Regulares para fazer uma busca avançada de palavras dentro de uma frase. (Fonte: wikipedia)
Por exemplo:
Existe um ataque básico a um servidor HTTP que pode ser visto neste vídeo:
que é a tentativa do atacante passear no hd do servidor, tentando descer na árvore de diretórios chamando os caracteres ../.
Exemplo:
http://www.vivaolinux.com.br/../../
Se o servidor do Viva o Linux tivesse esta vulnerabilidade eu conseguiria ver a raiz do disco do servidor (caso as páginas dele esteja hospedada em /var/www).
Ou ainda posso tentar ver os arquivos de senha do servidor:
http://www.vivaolinux.com.br/../../etc/passwd
http://www.vivaolinux.com.br/../../etc/shadow
Com o HLBR, basta eu ter a seguinte regra:
<rule>
ip dst(www)
tcp dst(80)
http regex(\.+(/|\\)+)
message=(webattacks-1-re) directory change attempt (unicode,asc,plain)
action=action1
</rule>
ip dst(www)
tcp dst(80)
http regex(\.+(/|\\)+)
message=(webattacks-1-re) directory change attempt (unicode,asc,plain)
action=action1
</rule>
Veja a expressão regular:
http regex(\.+(/|\\)+)
Ou seja, se na URL vier . (ponto) seguido de barras sejam elas normais (/) ou invertidas (\), o hlbr toma a ação action1, que é bloquear e colocar em log.
Quem quiser enveredar ou se especializar em Expressões Regulares, aconselho o site do Aurelio Marinho Jargas:
Páginas do artigo
1. Introdução2. As regras a serem analisadas
3. Analisando o www.rules
4. Analisando o http.rules
5. Como começar a escrever regras para o HLBR?
6. Escrevendo regras pra valer
7. Escrevendo regras contra ataques a extensões do frontpage
8. Bônus: Escrevendo uma regra contra SQL Injections
9. Conclusão
Outros artigos deste autor
Blindando sua rede com o HLBR - Um IPS invisível e brasileiro
NTFS-3g: Leitura e gravação em NTFS com segurança? Ainda não!
Utilizando o RSYNC para fazer backups de servidores e estações Windows
Instalando a nova versão do HLBR - IPS invisível
Eu cavo, tu cavas, ele cava... tutorial de DIG
Leitura recomendada
Acessando o Linux via SSH através do Android
Construindo um Log Server utilizando Linux, Unix e Windows
Bom escudo não teme espada: o módulo pam_cracklib
Comentários
[1] Comentário enviado por drakula em 24/07/2008 - 14:03h
Parabéns muito bom esse artigo, estou tendo contato com o HLBR a poucos dias ainda nao coloquei pra funcionar mas parece ser bem interessante esse artigo esclarece muito bem a forma como ele trabalha, a propósito parabens pelo artigo da instalacao tb esta muito bem explicado, continue assim a comunidade agradece
Abraço
Parabéns muito bom esse artigo, estou tendo contato com o HLBR a poucos dias ainda nao coloquei pra funcionar mas parece ser bem interessante esse artigo esclarece muito bem a forma como ele trabalha, a propósito parabens pelo artigo da instalacao tb esta muito bem explicado, continue assim a comunidade agradece
Abraço
[2] Comentário enviado por dailson em 24/07/2008 - 14:51h
Blz Drakula
Quando testar, posta os resultados pra gente.
Um abraço
Dailson
Blz Drakula
Quando testar, posta os resultados pra gente.
Um abraço
Dailson
[3] Comentário enviado por rndasi em 25/07/2008 - 15:15h
Realmente parabéns pelo artigo ...
Fiz a implantação do HLBR-1.6-RC1 em ambiente de produção para conhecer todo o potencial da ferramenta. A parte que mais me interessa é realmente a regra sobre o SQL INJECTION que vc montou ...
Embora o site da empresa esteja livre desse tipo de ataque as tentativas não param. Então a primeira prova de fogo do HLBR será bloquear essa tentativa de ataque antes que ela chegue no servidor.
Agora sobre outras regras: habilitei a regra que bloqueia ASP mas alterei ela pra TXT só pra eu fazer um teste e joguei um arquivo TXT no servidor. Com a regra tcp nocase(.txt) se eu digito www.meudominio.com.br/teste.txt, o arquivo é aberto ... Tive que alterar a regra para http nocase(.txt) e ai a regra começou a funcionar. Realmente isso está certo ou estou fazendo alguma coisa de errado ?
Uma outra dúvida é: as minhas duas placas nessa máquina estão com IP 127.0.0.2 e 3 conforme sugestão. Mas o servidor fica em um outro prédio. Toda vez que eu quero ver como está o LOG eu tenho que ir até o prédio onde estar o servidor, entrar no depto de TI e ter acesso físico ao servidor. Qual seria a sugestão para eu ver esse log "remotamente" claro que levando em conta a segurança ?
Obrigado pela ajuda
Ronaldo
Realmente parabéns pelo artigo ...
Fiz a implantação do HLBR-1.6-RC1 em ambiente de produção para conhecer todo o potencial da ferramenta. A parte que mais me interessa é realmente a regra sobre o SQL INJECTION que vc montou ...
Embora o site da empresa esteja livre desse tipo de ataque as tentativas não param. Então a primeira prova de fogo do HLBR será bloquear essa tentativa de ataque antes que ela chegue no servidor.
Agora sobre outras regras: habilitei a regra que bloqueia ASP mas alterei ela pra TXT só pra eu fazer um teste e joguei um arquivo TXT no servidor. Com a regra tcp nocase(.txt) se eu digito www.meudominio.com.br/teste.txt, o arquivo é aberto ... Tive que alterar a regra para http nocase(.txt) e ai a regra começou a funcionar. Realmente isso está certo ou estou fazendo alguma coisa de errado ?
Uma outra dúvida é: as minhas duas placas nessa máquina estão com IP 127.0.0.2 e 3 conforme sugestão. Mas o servidor fica em um outro prédio. Toda vez que eu quero ver como está o LOG eu tenho que ir até o prédio onde estar o servidor, entrar no depto de TI e ter acesso físico ao servidor. Qual seria a sugestão para eu ver esse log "remotamente" claro que levando em conta a segurança ?
Obrigado pela ajuda
Ronaldo
[4] Comentário enviado por dailson em 28/07/2008 - 15:52h
Oi Rndasi
Em relação a regra do txt, isto foi um bug que detectamos na versão 1.5RC2 e anteriores, ficamos surpreso em vc dizer que aconteceu novamente na versão 1.6, pois isto já foi corrigido. Se vc puder, posta a regra que vc fez aqui para a gente testar também.
Em relação a mudar para http nocase, não há erro nisso, vc tá certo, mas era pra funcionar com o tcp também.
Em relação a sua pergunta sobre analisar remotamenteé uma idéia excelente, porém considerada extremamente perigosa pela equipe Mantenedora do HLBR. Se for para laboratório, a idéia é excelente. Se for para ambiente de produção, não é recomendado por eles colocar placas com IP acessíveis e roteáveis.
Ou seja, vc tem que ir na máquina mesmo. Mas se serve de consolo, aqui também eu faço isso e meu HLBR fica longe pra caramba de onde fico normalmente.
Isto é uma característica que deve ser implantada nas novas versões.
Um grande abraço
Oi Rndasi
Em relação a regra do txt, isto foi um bug que detectamos na versão 1.5RC2 e anteriores, ficamos surpreso em vc dizer que aconteceu novamente na versão 1.6, pois isto já foi corrigido. Se vc puder, posta a regra que vc fez aqui para a gente testar também.
Em relação a mudar para http nocase, não há erro nisso, vc tá certo, mas era pra funcionar com o tcp também.
Em relação a sua pergunta sobre analisar remotamenteé uma idéia excelente, porém considerada extremamente perigosa pela equipe Mantenedora do HLBR. Se for para laboratório, a idéia é excelente. Se for para ambiente de produção, não é recomendado por eles colocar placas com IP acessíveis e roteáveis.
Ou seja, vc tem que ir na máquina mesmo. Mas se serve de consolo, aqui também eu faço isso e meu HLBR fica longe pra caramba de onde fico normalmente.
Isto é uma característica que deve ser implantada nas novas versões.
Um grande abraço
[5] Comentário enviado por rndasi em 28/07/2008 - 17:17h
Obrigado pelo retorno.
Tentei as seguintes regras:
tcp regex(GET[ -~]+\.txt($|/|\&|\?)) e tcp nocase(.txt) .... Ambas se eu trocar tcp por http funcionando. Com tcp não ... A primeira regra eu pequei do próprio www.rules e copiei a regra do ASP.
Bom, pelo menos manterei a forma indo de um prédio ao outro. risos
Quanto ao SQL Injection tem outra forma de invadir utilizando DECLARE e CAST (no caso do SQL SERVER) .. Vou tentar entender a sua regra e montar uma por aqui e funcionando eu te mando.
Abraço
Obrigado pelo retorno.
Tentei as seguintes regras:
tcp regex(GET[ -~]+\.txt($|/|\&|\?)) e tcp nocase(.txt) .... Ambas se eu trocar tcp por http funcionando. Com tcp não ... A primeira regra eu pequei do próprio www.rules e copiei a regra do ASP.
Bom, pelo menos manterei a forma indo de um prédio ao outro. risos
Quanto ao SQL Injection tem outra forma de invadir utilizando DECLARE e CAST (no caso do SQL SERVER) .. Vou tentar entender a sua regra e montar uma por aqui e funcionando eu te mando.
Abraço
[6] Comentário enviado por dailson em 29/07/2008 - 10:29h
Ok Rndasi
Estaremos publicando em breve um artigo com 70 novas regras.
Uma delas, foi a que coloquei neste artigo.
Manda brasa em novas regras, pois é o que mais o HLBR precisa.
Em relação a este BUG, já foi passada a equipe e eles estão verificando novamente.
Um abraço
Ok Rndasi
Estaremos publicando em breve um artigo com 70 novas regras.
Uma delas, foi a que coloquei neste artigo.
Manda brasa em novas regras, pois é o que mais o HLBR precisa.
Em relação a este BUG, já foi passada a equipe e eles estão verificando novamente.
Um abraço
[7] Comentário enviado por drakula em 30/07/2008 - 22:39h
Ansiosissimo por esse artigo com as 70 novas regras!!
eeheheh
abraço
Ansiosissimo por esse artigo com as 70 novas regras!!
eeheheh
abraço
[8] Comentário enviado por thiagopagani em 30/07/2008 - 22:48h
Parabens pelo Artigo
e drakula vamos colocar em pratica
abraço
Parabens pelo Artigo
e drakula vamos colocar em pratica
abraço
[9] Comentário enviado por dailson em 31/07/2008 - 09:40h
Beleza!!!
O artigo está em andamento. E os testes também. Algumas regras apresentaram problemas com o HLBR, mas a equipe é eficaz demais, mandei os erros e a galera já corrigiu...
Já está em ambiente de produção...
Estamos refinando para liberar para a comunidade!
Parabéns a nós que fazemos o SL crescer!!!!!!!!
Gostaria de pedir a quem tivesse erros, mandasse para mim em listas em dailson.com.br se possível com os arquivos de dump (/var/log/hlbr/hlbr.log e hlbr.dump)
A Equipe HLBR agradece!
Beleza!!!
O artigo está em andamento. E os testes também. Algumas regras apresentaram problemas com o HLBR, mas a equipe é eficaz demais, mandei os erros e a galera já corrigiu...
Já está em ambiente de produção...
Estamos refinando para liberar para a comunidade!
Parabéns a nós que fazemos o SL crescer!!!!!!!!
Gostaria de pedir a quem tivesse erros, mandasse para mim em listas em dailson.com.br se possível com os arquivos de dump (/var/log/hlbr/hlbr.log e hlbr.dump)
A Equipe HLBR agradece!
[10] Comentário enviado por drakula em 24/08/2008 - 22:52h
HLBR Colocado em produção fantastico muito bom uma otima ferramenta parabens aos desenvolvedores e ao dailson que tem facilitado muito as coisas com seus tutorias otimos e didaticos
Abraço
HLBR Colocado em produção fantastico muito bom uma otima ferramenta parabens aos desenvolvedores e ao dailson que tem facilitado muito as coisas com seus tutorias otimos e didaticos
Abraço
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Cirurgia para acelerar o openSUSE em HD externo via USB
Void Server como Domain Control
Modo Simples de Baixar e Usar o bash-completion
Monitorando o Preço do Bitcoin ou sua Cripto Favorita em Tempo Real com um Widget Flutuante
Dicas
[Resolvido] VirtualBox can't enable the AMD-V extension
Como verificar a saúde dos discos no Linux
Como instalar , particionar, formatar e montar um HD adicional no Linux?
Como automatizar sua instalação do Ubuntu para desenvolvimento de software.
Tópicos
Fiz uma pergunta no fórum mas não consigo localizar (20)
Quais os códigos mais dificeis que vcs sabem fazer? (8)
Pfsense inacessivel após um periodo de tempo (1)
Não consigo instalar distro antiga no virtualbox nem direto no hd (9)
Top 10 do mês
-
Xerxes
1° lugar - 147.236 pts -
Fábio Berbert de Paula
2° lugar - 70.357 pts -
Mauricio Ferrari
3° lugar - 22.242 pts -
Buckminster
4° lugar - 20.336 pts -
Alberto Federman Neto.
5° lugar - 20.213 pts -
edps
6° lugar - 19.622 pts -
Daniel Lara Souza
7° lugar - 19.376 pts -
Andre (pinduvoz)
8° lugar - 18.323 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 16.535 pts -
Diego Mendes Rodrigues
10° lugar - 14.535 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
