“
A versão 1.0 do Hogwash Light BR, lançada em 05 de março de 2006, traz duas interessantes novidades. A primeira é a possibilidade de uso de expressões regulares para a detecção de tentativas de intrusão e de e-mails com vírus ou phishing. A segunda é a utilização de listas com palavras proibidas. O HLBR é um IPS (Intrusion Prevention System) que lê o tráfego de rede na camada 2 do Modelo OSI. Por atuar como uma bridge, fica in-line na topologia de rede e não precisa de endereço IP. Em conseqüência, o HLBR é invisível para os atacantes. A filtragem do tráfego (incluindo o conteúdo dos pacotes) pode ser feita com regras simples.” A nota foi enviada por Eriberto (eribertoΘeriberto·pro·br) , que enviou este
link para mais detalhes.
Veja abaixo o restante do anúncio e um exemplo de regra baseada em expressão regular.
A versão 1.0 inclui a possibilidade de uso de expressões regulares na filtragem. A seguir, um exemplo de regra utilizando expressões regulares:
<rule>
ip dst(email)
tcp dst(25)
tcp regex(filename="[^\n]+\.scr")
message=(mailvirus-1-re) .scr attach
action=virus
</rule>
Em resumo, todo o tráfego TCP direcionado à porta 25 do servidor de e-mail será filtrado. Se for encontrado o texto filename="qualquer_coisa_diferente_de_quebra_de_linha.scr" dentro do pacote, significa que há um anexo .scr no e-mail (vírus). Em conseqüência, esse pacote sofrerá a ação denominada "virus". Essa ação faz o log da ocorrência, grava o tráfego malicioso em formato tcpdump e descarta o pacote. A seguir, um exemplo de regra contra um tipo de tentativa de bufferoverflow em servidores DNS:
<rule>
ip dst(dns)
udp dst(53)
udp nocase(|41cd 80c7 062f 6269 6ec7 4604 2f73 6800 89f0 83c0 0889 4608|)
message=(dnsattacks-1) tsl bind attack
action=action1
</rule>
Nesse caso, em virtude do uso dos caracteres pipe (|), o HLBR irá checar o tráfego passante, byte a byte, pelo hexadecimal informado como assinatura de ataque.
O HLBR permite a montagem de regras para o bloqueio de ataques a servidores de rede, tanto interna quanto externamente. Para entender melhor como funciona o IPS, inclusive com figuras explicativas, consulte o link http://hlbr.sourceforge.net/ips.html.
O endereço do site do HLBR é http://hlbr.sourceforge.net.