Ideas for HLBR

English version below.

Segue abaixo algumas idéias sobre o HLBR… não necessariamente coisas que serão implementadas, apenas idéias soltas.

  • Novos decoders: HTTP e SMTP
    • Disponibilizar vários campos HTTP como testes
    • Decodificação de anexos – base64, binhex etc.
    • Verificação de anexos (outra thread?)
  • Manuseio de sessões
    • Score para sessão. Até 100 a ação afeta apenas o pacote, 127 a sessão toda.
  • Alguma linguagem interpretada para definição de regras?
    • Python, Lisp?
    • Acesso a campos de structs internos…

Some ideas about HLBR… not necessarily stuff that will be implemented, just some random thoughts.

  • New decoders: HTTP, SMTP
    • Make HTTP fields available for tests
    • Attachment decoding – base64, binhex, …
    • Attachment verifying (another thread?)
  • Session handling
    • Session score. Up until 100 the action only affects the packet, 127 affects the entire session.
  • An interpreted language for rule definition?
    • Python, Lisp?
    • Access to internal struct fields…
Anúncios

Artigo: HLBR – O emprego de uma bridge como IPS para a segurança em redes de computadores

Abstract. HLBR (Hogwash Light BR) is a free/libre IPS, developed in Brazil, based in Jason Larsen’s Hogwash, which captures data directly from layer 2 of the OSI model (link layer). It works as a bridge, being able to detect and handle malicious traffic. HLBR is invisible to attackers, since it doesn’t change the packets’ headers. The project initial goal was to refine Hogwash’s code, in order to make it more functional. Some planned enhancements were already implemented, including the use of regular expressions. This document will describe HLBR’s main features and uses, as well as all the research work done to enhance it and make it an efficient IPS.

Resumo. O HLBR (Hogwash Light BR) é um IPS livre, desenvolvido no Brasil, baseado no Hogwash de Jason Larsen, que colhe dados diretamente na camada 2 do modelo OSI (camada de enlace). Atua como uma bridge, sendo capaz de detectar e tratar tráfego malicioso. O HLBR é invisível aos olhos de um atacante, uma vez que não altera o cabeçalho dos pacotes. O objetivo inicial do projeto foi refinar o código do Hogwash, a fim de torná-lo mais funcional. Uma série de melhorias previstas já foram implementadas, inclusive o uso de expressões regulares. Este documento descreverá as principais características e aplicações do HLBR, bem como toda a pesquisa realizada para aperfeiçoá-lo e torná-lo um IPS eficiente.

Artigo (PDF)