De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.

HogWash - um detector de intrusão in-line e invisível

Colaboração: João Eriberto Mota Filho

Data de Publicação: 24 de Maio de 2005

O HogWash é um projeto, hospedado em http://hogwash.sourceforge.net, que tem por objetivo desenvolver um IPS que atua na camada 2 do modelo OSI (camada de enlace).

Por atuar na camada 2, funciona como uma bridge e, em conseqüência, não necessita de endereço IP, ficando invisível aos "olhos" de um atacante. Pode ser colocado entre o roteador WAN e o sistema de firewall da rede a ser protegida e é capaz de barrar ataques utilizando regras simples e, até mesmo, assinaturas do Snort. A máquina que irá receber o HogWash deverá ter duas interfaces de rede (uma voltada para a rede e outra para a Internet). Outra possibilidade é a de adicionar uma terceira interface para desviar o tráfego malicioso para um honeypot ou para uma honeynet. Os resultados são surpreendentes.

O site http://www.eriberto.pro.br possui um tutorial de instalação do HogWash em Linux. O objetivo maior é divulgar o HogWash no Brasil. Há também uma lista de discussão brasileira disponível em http://br.groups.yahoo.com/group/hogwash-br.

Apenas como ilustração, segue uma regra que visa barrar um ataque a um servidor de páginas IIS:

  <rule>
  ip dst(ServidoresWeb)
  tcp dst(80)
  tcp content(httpodbc.dll)
  message=Tentativa de acesso com httpodbc.dll (regra 12)
  action=default3
  </rule>

A interpretação dessa regra é muito simples:

• ip dst(ServidoresWeb): todo o fluxo direcionado aos servidores web. Os endereços desses servidores foram definidos no arquivo de configuração principal do HogWash;

• tcp dst(80): todo o fluxo direcionado às portas 80 tcp dos servidores web;

• tcp content(httpodbc.dll): o fluxo tcp contém a expressão "httpodbc.dll";

• message=Tentativa de acesso com httpodbc.dll (regra 12): será gravado no log a mensagem "Tentativa de acesso com httpodbc.dll (regra 12)";

• action=default3: será adotada a ação default número 3, previamente definida no arquivo de configuração principal do HogWash. Apenas para exemplificar, a ação 3 foi definida como: gerar o log, gravar o tráfego em arquivo específico e barrar, imediatamente, tal tráfego.

Em resumo, todo o tráfego direcionado às portas 80 dos servidores web da rede interna e que contiver "httpodbc.dll" será bloqueado.

Uma possibilidade interessante é a de retirar a linha "ip dst(ServidoresWeb)". Nessa caso, a regra funcionará para o tráfego que entra e que sai da rede, evitando ataques de dentro para fora da rede.

A versão atual é a 0.5. Essa versão está bem estável e funciona satisfatoriamente. O autor deste artigo possui duas máquinas com HogWash em produção há mais de um ano e já conseguiu, com 16 regras simples, barrar cerca de 25.000 tentativas de ataques aos servidores. Uma máquina está voltada para a Internet e outra para uma extranet.