Análise de Tráfico

Entrei hoje na página do Projeto Tor (http://www.torproject.org/) e dei de cara com este texto:

Análise de "tráfico" de rede...

O Projeto Tor serve para redirecionar os pacotes TCP enviados pelo seu computador, de forma que eles passem por dentro de uma rede espalhada pelo mundo todo antes de atingir seu destino. Um dos vários objetivos disso é proteger você contra a análise de tráfego na rede. Não tem nada a ver com traficantes agindo na internet… :p 😉

Anúncios

Ideas for HLBR

English version below.

Segue abaixo algumas idéias sobre o HLBR… não necessariamente coisas que serão implementadas, apenas idéias soltas.

  • Novos decoders: HTTP e SMTP
    • Disponibilizar vários campos HTTP como testes
    • Decodificação de anexos – base64, binhex etc.
    • Verificação de anexos (outra thread?)
  • Manuseio de sessões
    • Score para sessão. Até 100 a ação afeta apenas o pacote, 127 a sessão toda.
  • Alguma linguagem interpretada para definição de regras?
    • Python, Lisp?
    • Acesso a campos de structs internos…

Some ideas about HLBR… not necessarily stuff that will be implemented, just some random thoughts.

  • New decoders: HTTP, SMTP
    • Make HTTP fields available for tests
    • Attachment decoding – base64, binhex, …
    • Attachment verifying (another thread?)
  • Session handling
    • Session score. Up until 100 the action only affects the packet, 127 affects the entire session.
  • An interpreted language for rule definition?
    • Python, Lisp?
    • Access to internal struct fields…

SecuriTeam Blogs » Security by obstruction

English version below.

Excelente artigo em SecuriTeam Blogs » Security by obstruction. O autor usa o exemplo recente da segurança nos aeroportos internacionais, que devido às últimas ameaças de terroristas passaram a proibir os passageiros de levarem itens comuns no avião, como ponto de partida para discutir o modo como as políticas de segurança são encaradas pelos usuários. O ponto final é de que é muito melhor fazer seus usuários se sentirem tratados como aliados da segurança, ao invés de possíveis infratores. Algo com que todos nós concordamos facilmente, mas que é difícil de implementar na prática.


Excellent article at SecuriTeam Blogs » Security by obstruction. The author starts with the recent example of the security at international airports (that are now prohibiting the passengers to take common items with them in the flight, as well as other security measures) and goes to discuss the way security policies are viewed by the users. Bottom line is that it’s infinitely better to make your users feel they’re allies of the security, than potential transgressors. That’s something it’s easy to agree with, but hard to implement in real life.

Artigo: HLBR – O emprego de uma bridge como IPS para a segurança em redes de computadores

Abstract. HLBR (Hogwash Light BR) is a free/libre IPS, developed in Brazil, based in Jason Larsen’s Hogwash, which captures data directly from layer 2 of the OSI model (link layer). It works as a bridge, being able to detect and handle malicious traffic. HLBR is invisible to attackers, since it doesn’t change the packets’ headers. The project initial goal was to refine Hogwash’s code, in order to make it more functional. Some planned enhancements were already implemented, including the use of regular expressions. This document will describe HLBR’s main features and uses, as well as all the research work done to enhance it and make it an efficient IPS.

Resumo. O HLBR (Hogwash Light BR) é um IPS livre, desenvolvido no Brasil, baseado no Hogwash de Jason Larsen, que colhe dados diretamente na camada 2 do modelo OSI (camada de enlace). Atua como uma bridge, sendo capaz de detectar e tratar tráfego malicioso. O HLBR é invisível aos olhos de um atacante, uma vez que não altera o cabeçalho dos pacotes. O objetivo inicial do projeto foi refinar o código do Hogwash, a fim de torná-lo mais funcional. Uma série de melhorias previstas já foram implementadas, inclusive o uso de expressões regulares. Este documento descreverá as principais características e aplicações do HLBR, bem como toda a pesquisa realizada para aperfeiçoá-lo e torná-lo um IPS eficiente.

Artigo (PDF)