O SNORT é uma ferramenta NIDS desenvolvida por Martin Roesch open source bastante popular por sua flexibilidade nas configurações de regras e constante atualização frente às novas ferramentas de invasão . Outro ponto forte desta ferramenta é o fato de ter o maior cadastro de assinaturas, ser leve, pequeno, fazer escaneamento do micro e verificar anomalias dentro de toda a rede ao qual seu computador pertence.

O código fonte é otimizado, desenvolvido em módulos utilizando linguagem de programação C e, junto, com a documentação, são de domínio público.

O Snort conta ainda, com o permanente desenvolvimento e atualização, que são feitos diariamente, tanto em relação ao código propriamente dito, como das regras de detecção. Os padrões utilizados na construção das regras de detecção das subversões são introduzidos no sistema de configuração, tão rápido quando são enviados os alertas originados pelos órgãos responsáveis, como por exemplo o CERT, Bugtraq (lista de discussão), entre outros.

Por ser uma ferramenta peso leve, a utilização do Snort é indicada para monitorar redes TCP/IP pequenas, onde pode detectar uma grande variedade do tráfego suspeito, assim como ataques externos e então, fornece argumento para as decisões dos administradores.

Os módulos que compõe o Snort são ferramentas poderosas, capazes de produzir uma grande quantidade de informação sobre os ataques monitorados, dado que é possível avaliar tanto o cabeçalho quanto o conteúdo dos pacotes, além de disponibilizar, por exemplo, a opção de capturar uma sessão inteira.

O Snort monitora o tráfego de pacotes em redes IP, realizando análises em tempo real sobre diversos protocolos (nível de rede e aplicação) e sobre o conteúdo (hexa e ASCII). Outro ponto positivo desse software é o grande número de possibilidades de tratamento dos alertas gerados. O subsistema de registro e alerta é selecionado em tempo de execução através de argumentos na linha de comando, são três opções de registro e cinco de alerta. O registro pode ser configurado para armazenar pacotes decodificados e legíveis em uma estrutura de diretório baseada em IP, ou no formato binário do tcpdump em um único arquivo. Para um incremento de desempenho, o registro pode ser desligado completamente, permanecendo os alertas. Já os alertas podem, ser enviados ao syslog, registrados num arquivo de texto puro em dois formatos diferentes, ou ser enviados como mensagens WinPopup usando o smbclient.

Os alertas podem ser enviados para arquivo texto de forma completa e o alerta rápido. O alerta completo escreve a mensagem de alerta associada à regra e a informação do cabeçalho do pacote até o protocolo de camada de transporte. A opção de alerta rápido escreve um subconjunto condensado de informação do cabeçalho alerta.

Por fim, uma última opção desabilita os alertas completamente.Existe também, a possibilidade de utilizar métodos como o Database Plug-in por exemplo, para registrar pacotes em uma variedade de bases de dados diferentes (MySQL, PostgreSQL, entre outros), as quais contam com recursos próprios para efetuar consultas, correlações e dispõem de mecanismos de visualização para analisar dados.

O Snort deve trabalhar em todos os lugares que o libpcap trabalha, e o mesmo foi compilado com sucesso nas seguintes plataformas:

i386     Sparc  M68k/PPC  Alpha  Other
X        X      X         X      X     Linux
X        X      X         -      -    OpenBSD
X        -      -         X      -    FreeBSD
X        -      X         -      -    NetBSD
X        X      -         -      -    Solaris
-        X      -         -      -    SunOS 4.1.x
-        -      -         -      X    HP-UX
-        -      -         -      X    AIX
-        -      -         -      X    IRIX
-        -      -         X      -    Tru64
-        -      X         -      -    MacOS X Server
         -      -         -      -    Win32 - (win9x-/NT/2000)

O Snort poderá assumir três modalidades a seguir:

• Sniffer: Esta modalidade simplesmente captura os pacotes e imprime continuamente no console.
• Packet logger: Registra os pacotes capturados no disco rígido.
• Network intrusion detection system: Esta modalidade é a mais complexa e versátil, permitindo que o Snort analise o tráfego da rede de encontro a regras definidas pelo usuário, executando diversas ações baseadas em suas regras.

IDS - Virtudes do SNORT

Extremamente flexível:

• Algoritmos de inspeção baseados em regras.
• Sem falsos positivos inerentes.
• Controle total do refinamento das regras.

Metodologias de detecção multi-dimensional:

• Assinaturas (impressões digitais) do ataque.
• Anomalias no protocolo.
• Anomalias no comportamento.

Imensa adoção (comunidade SNORT):

• Dezenas de milhares de instalações (42 mil).
• Algumas das maiores empresas do mundo (Microsoft, Intel, PWC)
• Milhares de contribuidores fazendo regras para novas vulnerabilidades.

Infra-estrutura de suporte da comunidade open source:

• Rápida respostas às ameaças.
• Velocidade de inovação.
• Velocidade de refinamento.

IDS - Fraquezas do SNORT

Performance modesta:

• Menos de 30mbps, para redes de até 10Mbps.

Interface gráfica limitada:

• Configuração do sensor.
• Gerenciamento de regras.
• Implementação lenta e cansativa (pelo menos 10 dias).
• Capacidade analítica limitada.

Sem suporte comercial:

• Dependência de pessoas "capacitadas", nem sempre estáveis...
• Gastos significativos com recursos humanos.

Referência: http://www.snort.com.br/snort.asp