Caros,
O Dailson Fernandes está no meio do caminho, então o pessoal que queria começar
a "adaptar" as regras do SNORT para HLBR poderia fazer um trabalho paralelo
junto com o
Dailson Fernandes, caso ele aceitasse.
Acho muito válido esse empenho do pessoal em participar do projeto e creio que
tem-se muito a ganhar com isso.
Mas além das regras outras frentes de trabalho poderiam ser iniciadas, como uma
maior divulgação do projeto. Exemplos Tutoriais, video-aulas, apostilas,
mini-curso nas faculdades, palestras.
Estou organizando na minha faculdade um mini-curso sobre HLBR para o dia 08 de
Novembro.
Alguém teria uma sugestão sobre como abordar o tema de forma introdutória?
Alguém que já tenha feito algo deste tipo com o HLBR poderia dar alguma
sugestão?
Abraço a todos!
Atenciosamente,
Matuzalém Guimarães
.~.
/V\
// \\
/( )\
^`~'^
Linux Especialist
Student CISCO Network Academy
Analista de Sistemas - Guimaraes Technology
Graduando em Sistemas de Informação - FAZAG
Especializando em Segurança da Informação em Redes de Computadores - ÁREA1FTE
Visite nosso Site: www.guimaraestech.com
Blog: htt://thematux.blogspot.com
+55 75 9985-8819 / 8822-6973 / 8166-6707
Antes de imprimir pense em seu compromisso com o
Meio ambiente e o comprometimento com os Custos.
Esta mensagem pode conter informação confidencial e/ou privilegiada.
Se você não for o destinatário ou a pessoa autorizada a receber esta
mensagem, não pode usar, copiar ou divulgar as informações nela contidas
ou tomar qualquer ação baseada nessas informações.
Se você recebeu esta mensagem por engano, por favor avise imediatamente o
remetente, respondendo o e-mail e em seguida apague-o.
Agradecemos sua cooperação.
To: [email protected]
From: [EMAIL PROTECTED]
Date: Fri, 31 Oct 2008 09:49:40 -0300
Subject: Re: [hlbr] Re: Regras
Olá PessoALL
Eu já tennho mais de 70 novas regras que foram importadas de outros
projetos. O Que foi convertido na íntegra foi o projeto php-ids. Porém a
versão estável do HLBR dá alguns problemas com o tamanho das regras.
Me manti um pouco ausente por causa de alguns trabalhos que tive que
realizar, mas vou publicar um artigo em breve com estas regras. O
pessoal do desenvolvimento já tem estas regras em mãos, porém vou
atualizar, pois já saiu uma versão mais nova do php-ids e vou importar
novamente.
Em relação a importar regras do SNORT eu também tenho um pé atras, pois
quando importei as regras do php-ids e coloquei em produção, todos os
meus sites em php sairam do ar. E o google parou de ter acesso a
indexação dos sites (isso é péssimo). As regras contemplam ataques PHP,
XSS, SQL Injection, Javascript, Injeção de código e tals... Mas não sei
como os caras conseguem utilizar todas as regras.
Aconteceu também um fato interessante. Depois de filtrar as regras com
problemas e deixar meus sites operacional novamente, tive problemas com
a algumas autalizações do IE7 e Do firefox 3.x As requisições normais
de páginas eram classificadas no HLBR como "Detects common XSS
concatenation patterns 1/2" e o que acontecia era que acontecia somente
com alguns clientes e outros não... A assinatura em questão é essa:
tcp
regex((?:!+\s*[\d.,]+\w?\d*\s*\?)|(?:=\s*\[s*\])|(?:;[^q\s]+=[^\d])|(?:[\d\W]["\s]*:\s*")|(?:"\s*\+\s*")|(?:[^\s]\[\s*\d+\s*\]\s*[;+])|(?:"\s*[&|]+\s*")|(?:\/\s*\?\s*")|(?:\/\s*\)\s*\[)|(?:\d\?.+:\d)|(?:]\s*\[\W*\w)|(?:[^\s]\s*=\s*\/))
Descomentei essa regra e todos os meus clientes pararam de reclamar.
A boa é que tenho sites em php, joomla, mambo ... e tals... e posso
testar em ambiente de produção as regras que estou importando.
Como a galera do desenvolvimento sabe, estou me empenhando com força na
parte de regras, e estou disposto a ajudar, mas tomem cuidado com regras
do SNORT, são genéricas demais e se houver uma importação
indiscriminada, a REDE PARA !!!!!!!!!
Um bom exemplo foi citado em outra THREAD, onde tem uma regra pra barrar
o ULTRASURF, coloquei ela no ar, e parte da minha rede parou. Eu ainda
vou tentar verificar a regra, mas como o Eriberto disse, é muito
genérica, mas vi alguns detalhes nela que são uma luz no fim do túnel.
Estou também começando a escrever regras para os ataques que o NESSUS
faz. Peguei várias assinaturas, e vou postar aqui os resultados.
Um abraço a Equipe HLBR.
_____________________________
Dailson Fernandes
http://www.dailson.com.br
http://www.reconstrucao.org
_____________________________
pedroarthur.jedi escreveu:
>
>
> --- Em [email protected] <mailto:hlbr%40yahoogrupos.com.br>,
> Matuzalém Guimaraes
> <[EMAIL PROTECTED]> escreveu
> > Eu acho bastante interessante a idéia de traduzir as regras.
> > Não sei de fato se e quais já foram traduzidas.
> > De qualquer forma se for iniciar um projeto deste tipo, eu me coloco
> a disposição!
> > Abraço!
>
> O Dailson Fernandes está trabalhando paralelamente ao Eriberto na
> criação de regras. Brevemente ele estará divulgando. Seria legal
> formamos uma equipe responsável pela criação de regras, não acham?
> Seria viável uma reunião virtual com os interessados em participar da
> criação e homologação de regras para o HLBR? TAlvez via IRC no FreeNode?
>
>
_________________________________________________________________
Instale a Barra de Ferramentas com Desktop Search e ganhe EMOTICONS para o
Messenger! É GRÁTIS!
http://www.msn.com.br/emoticonpack
