Para o bem-estar de nossa rede é sempre bom manter um IDS rodando.

IDS é a sigla para Intrusion Detection System e refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação hacker ou até mesmo funcionários mal intencionados.

A filosofia de desenvolvimento de um IDS baseado em rede é scanear os pacotes da rede no nível da máquina ou roteador, auditorando informações de pacotes e registrando quaisquer pacotes suspeitos em um arquivo de registro especial com informações extras. Baseado nestes pacotes suspeitos, um IDS baseado em rede pode scanear seu próprio banco de dados de assinaturas de ataques de rede conhecidos e determinar um nível de severidade para cada pacote. Se os níveis de severidade forem suficientemente altos, um e-mail de alerta ou mensagem de celular será enviada aos membros da equipe de segurança para que eles possam investigar a natureza da anomalia.

O SNORT é uma ferramenta NIDS desenvolvida por Martin Roesch, bastante popular por sua flexibilidade nas configurações de regras e constante atualização. Pautada na cultura comunitária, o Snort IDS tem-se transformado em um dos IDS's mais confiáveis e atuais.

Entre as vantagens do Snort, temos:

É um software livre, logo temos uma economia com licenças;

É personalizável, em create this ruleset podemos definir as regras de tipos de ataques, como entre outras coisas portas e protocolos em uso;

Fácil manuseio, possui um organizado sub-sistema de assinaturas de ataques que são armazenados em um banco de dados que pode ser atualizado e acessado via Internet no endereço: http://www.snort.org/lists.html;

Constitui-se de uma ferramenta confiável, é usada até mesmo pela SANS no seu treinamento on-line;

Possui versões para Sistemas Operacionais Windows e Linux;

Gera em menor quantidade "false positives"; em uma alegoria bastante simples estes "false positives" seria quando o 190 da Polícia recebe um "trote", a suspeita de uma ocorrência de uma ação maliciosa mas que na verdade não era nada.

Apesar de não ser considerado por muitos como um IDS verdadeiro por não apontar anomalias nos pacotes ele identifica com sucesso a presença de atividades maliciosas na rede e notificando os administradores. Faz uso dos diretórios tcptump onde são registrados os pacotes e outro, o libcap com uma biblioteca padrão.

Longe de mim dizer que o Snort é infalível ou que é capaz de cobrir quaisquer ocorrências, mas que dentro da sua proposta de ser um sistema de detector de intrusos acessível e organizado ele tem alcançado tão rótulo com êxito