O Snort é uma ferramenta open source utilizada para detecção e prevenção de intrusão, é um sistema de detecção de intrusão desenvolvido pela SourceFire (IDS/IPS), é também o IDS/IPS mais utilizado no mundo e líder mundial com mais de 1 milhão de downloads e cerca de 250.000 usuários registrados. É o padrão quando se fala em IPS. Este tipo de sistema age no sentido de alertar sobre tentativas de invasões e até mesmo tentativas de escanear a sua rede, mas antes de detalhar o Snort irei expor aqui o que são as ferramentas de detecção de intrusão.

Esta área vem se estabelecendo como uma das mais crescentes no setor em virtude do aumento de ataques a redes que normalmente contém informações caras e sigilosas. Para proteger esses dados as corporações estão dispostas a implementar estes programas de detecção de intrusão, afinal de contas fica bem mais barato investir no gerenciamento da rede do que pagar por auditorias, arcar com os prejuízos do desvio e perda de informações.

Fica evidente a necessidade do sistema de IDS. O IDS detecta em tempo real possíveis intrusões, além disso é também capaz de reagir aos ataques tomando medidas cabíveis. O sistema analisa todos os pacotes que trafegam na rede e fazem comparações entre os pacotes recebidos e assinaturas de ataques, informações importantes são reportadas todos os dias pelo IDS, tais como:

• Quantas tentativas de ataques sofremos por dia;
• Qual o tipo de ataque mais usado;
• Qual a origem dos ataques.

Com todas essas informações fica mais fácil prover uma defesa contra todos esses ataques, existem basicamente 2 tipos de IDS, que são os baseados em redes (NIDS). Sistemas NIDS analisam o tráfego de toda a rede e podem ser instalados em vários pontos da rede, protegendo as estações.

Os sensores espalhados pela rede reportam a informação a uma estação central, rodam em modo stealth (invisível), desta forma um possível invasor não consegue detectá-los.

Os NIDS funcionam de maneira passiva e consomem poucos recursos da rede, ficam espalhados por ela apenas esperando um ataque, quando ocorre, emite o alerta. Contudo os NIDS não conseguem ainda processar informações de dados criptografados e tem problemas com switches.

O outro tipo de IDS é o HIDS, que funciona baseado em host (computadores individuais), portanto é mais preciso e consegue analisar melhor os efeitos da tentativa de ataque. Enquanto que o NIDS não consegue prever as consequências do ataque, os HIDS tem um maior grau de detecção, pois operam no sistema operacional e conseguem analisar pacotes criptografados antes de serem criptografados ou depois de decriptografados detectam trojans ou outros tipos de ataques que envolvam problemas de integridade nos programas. Em contrapartida esse sistema não consegue perceber intrusões na rede inteira e consome mais recursos do computador.

A maioria dos usuários mal intencionados que tentam invadir sistemas normalmente se aproveitam de falhas no sistema operacional ou de algum aplicativo específico que a vítima se utilize. Existem 6 tipos principais de intrusão, que são os seguintes:

• Tentativas de arrombar;
• Ataques mascarados;
• Penetração do sistema de controle de segurança;
• Vazamento;
• Negação de serviço;
• Uso malicioso;

Quanto as técnicas de descoberta de intrusão, podemos dividi-las em dois grupos, que são:

a) Descoberta de anomalias: estatui que toda atividade de intrusão é necessariamente anômala, ou seja, fora do normal, a respeito disso existem alguns problemas tais como:

• Falso positivo: ocorre quando o IDS classifica um processo como processo suspeito e na verdade é um processo legítimo;
• Falso negativo: é o contrário do falso positivo, quando um processo suspeito é caracterizado como um processo legítimo.
• Subversão: acontece quando o sistema de IDS é alterado para acusar a ocorrência de falso negativo.

b) Descoberta de abusos: não tem a capacidade de descobrir novo ataques, contudo podem descobrir todos os ataques possíveis a partir de um padrão já conhecido. Analisa todas as possibilidades de uma assinatura. Abaixo os tipos de ataque que um sistema pode sofrer.

• Risco: exposição acidental ou impossível de prever da informação, violação da integridade das operações devido ao mau uso de algum equipamento ou aplicações mal desenvolvidas.
• Vulnerabilidade: alguma falha conhecida do aplicativo, equipamento ou sistema que coloque em risco o sistema.
• Ataque: é a efetivação de uma ameaça.
• Penetração: é a arte de invadir e obter acesso a um sistema computacional tendo poder sobre os arquivos.