IPS HLBR - Versão 1.0 permite a detecção de tráfego malicioso com o uso de expressões regulares

Colaboração: João Eriberto Mota Filho

Data de Publicação: 12 de Março de 2006

O HLBR é um projeto brasileiro, baseado no Projeto Hogwash (http://hogwash.sf.net).

A versão 1.0 do Hogwash Light BR, lançada em 05 de março de 2006, traz uma interessante novidade: a possibilidade de uso de expressões regulares para a detecção de tentativas de intrusão, de e-mails com vírus ou phishing etc.

O HLBR é um IPS (Intrusion Prevention System) que lê o tráfego de rede na camada 2 do Modelo OSI (camada de enlace). Por atuar como uma bridge, fica in-line na topologia de rede e não precisa de endereço IP. Em conseqüência, o HLBR é invisível para os atacantes. A filtragem do tráfego (incluindo o conteúdo dos pacotes) pode ser feita com regras simples. A versão 1.0 inclui a possibilidade de uso de expressões regulares na filtragem. A seguir, um exemplo de regra utilizando expressões regulares:

  <rule>
  ip dst(email)
  tcp dst(25)
  tcp regex(filename="[^\n]+\.scr")
  message=(mailvirus-1-re) .scr attach
  action=virus
  </rule>

Em resumo, todo o tráfego TCP direcionado à porta 25 do servidor de e-mail será filtrado. Se for encontrado o texto filename="qualquer_coisa_diferente_de_quebra_de_linha.scr" dentro do pacote, significa que há um anexo .scr no e-mail (vírus). Em conseqüência, esse pacote sofrerá a ação denominada "virus". Essa ação faz o log da ocorrência, grava o tráfego malicioso em formato tcpdump e descarta o pacote. A seguir, um exemplo de regra contra um tipo de tentativa de bufferoverflow em servidores DNS:

  <rule>
  ip dst(dns)
  udp dst(53)
  udp nocase(|41cd 80c7 062f 6269 6ec7 4604 2f73 6800  89f0 83c0 0889 4608|)
  message=(dnsattacks-1) tsl bind attack
  action=action1
  </rule>

Nesse caso, em virtude do uso dos caracteres pipe (|), o HLBR irá checar o tráfego passante, byte a byte, pela seqüência hexadecimal informada como assinatura de ataque. Note que somente o tráfego direcionado à porta 53 UDP do servidor DNS será checado.

O HLBR permite a montagem de regras para o bloqueio de ataques a servidores de rede, tanto interna quanto externamente. Para entender melhor como funciona o IPS, inclusive com figuras explicativas, consulte o link http://hlbr.sourceforge.net/ips.html.

A instalação do HLBR é bem simples. Basta utilizar o famoso trio ./configure, make, make install. Há um README, em português, dentro do pacote que contém o código-fonte. Esse README explica, inclusive, como montar novas regras (o HLBR 1.0 já traz cerca de 100 regras consigo).

Há dois tipos de log possíveis. Um deles registra o fato ocorrido e, o outro, o tráfego malicioso em formato tcpdump. A seguir, um exemplo de log da ocorrência (alguns octetos foram mascarados):

  00831 22/02/2006 13:23:00 x.51.162.252:3324->
         y.z.48.244:80 (http-2-re) open proxy search
  00832 22/02/2006 13:25:55 x.175.55.194:3063->
         y.z.48.242:80 (webattacks-2-re) directory change 
         attempt (unicode,asc,plain)

Agora, os logs do tipo dump referentes aos dois casos anteriores:

  13:23:00.661777 IP x.51.162.252.3324 >
           y.z.48.244.www: P 1448357854:1448357917(63) 
  	 ack 1691128774 win 17520
  
  0x0000:  4500 0067 3a0e 4000 6b06 02c6 d233 a2fc  E..g:.@.k....3..
  0x0010:  c8fc 9490 0cfc 0050 5654 2fde 64cc 93c6  .......PVT/.d...
  0x0020:  5018 4470 30d1 0000 434f 4e4e 4543 5420  P.Dp0...CONNECT.
  0x0030:  3231 302e 3738 2e31 3438 2e31 3632 3a32  xxx.78.148.162:2
  0x0040:  3520 4854 5450 2f31 2e31 0d0a 486f 7374  5.HTTP/1.1..Host
  0x0050:  3a20 3231 302e 3738 2e31 3438 2e31 3632  :.xxx.78.148.162
  0x0060:  3a32 350d 0a0d 0a                        :25....
  13:25:55.965631 IP x.175.55.194.3063 > 
           y.z.48.242.80: P 0:339(339) ack 1 win 1452 
  	 <nop,nop,timestamp 1367990529 2076841557>
  
  0x0000:  4500 0187 a264 4000 3a06 770f c8af ffc2  E....d@.:.w.....
  0x0010:  c8fc 948e 0bf7 0050 6d60 2427 8b80 03ef  .......Pm`$'....
  0x0020:  8018 05ac 3f67 0000 0101 080a 5189 e101  ....?g......Q...
  0x0030:  7bca 1655 4745 5420 2f2e 2e2f 2e2e 2f65  {..UGET./../../e
  0x0040:  7463 2f20 4854 5450 2f31 2e30 0d0a 486f  tc/.HTTP/1.0..Ho
  0x0050:  7374 3a20 7777 772e 6761 6263 6d74 2e65  st:.www.xxxxxx.y
  0x0060:  622e 6d69 6c2e 6272 0d0a 4163 6365 7074  y.zzz.br..Accept
  0x0070:  3a20 7465 7874 2f68 746d 6c2c 2074 6578  :.text/html,.tex
  0x0080:  742f 706c 6169 6e2c 2061 7070 6c69 6361  t/plain,.applica
  0x0090:  7469 6f6e 2f78 2d74 726f 6666 2d6d 616e  tion/x-troff-man
  0x00a0:  2c20 6170 706c 6963 6174 696f 6e2f 782d  ,.application/x-
  0x00b0:  7461 722c 2061 7070 6c69 6361 7469 6f6e  tar,.application
  0x00c0:  2f78 2d67 7461 722c 2074 6578 742f 2a2c  /x-gtar,.text/*,
  0x00d0:  2061 7070 6c69 6361 7469 6f6e 2f78 2d64  .application/x-d
  0x00e0:  6562 6961 6e2d 7061 636b 6167 652c 2061  ebian-package,.a
  0x00f0:  7564 696f 2f62 6173 6963 2c20 2a2f 2a3b  udio/basic,.*/*;
  0x0100:  713d 302e 3031 0d0a 4163 6365 7074 2d45  q=0.01..Accept-E
  0x0110:  6e63 6f64 696e 673a 2067 7a69 702c 2063  ncoding:.gzip,.c
  0x0120:  6f6d 7072 6573 730d 0a41 6363 6570 742d  ompress..Accept-
  0x0130:  4c61 6e67 7561 6765 3a20 656e 0d0a 5573  Language:.en..Us
  0x0140:  6572 2d41 6765 6e74 3a20 4c79 6e78 2f32  er-Agent:.Lynx/2
  0x0150:  2e38 2e35 7265 6c2e 3120 6c69 6277 7777  .8.5rel.1.libwww
  0x0160:  2d46 4d2f 322e 3134 2053 534c 2d4d 4d2f  -FM/2.14.SSL-MM/
  0x0170:  312e 342e 3120 474e 5554 4c53 2f31 2e30  1.4.1.GNUTLS/1.0
  0x0180:  2e31 360d 0a0d 0a                        .16....

O log no formato tcpdump pode ser lido com o comando:

  # tcpdump -X -s 1500 -tttt -vvv -r \
          /var/log/hlbr/hlbr.dump host ip.de.pesquisa.desejado

Por estar no formato tcpdump, esse log também poderá ser analisado com o Ethereal.

O endereço do site do HLBR é http://hlbr.sourceforge.net.