Pedro Fernandes 7839 – Nuno Costa 3676
1
Protocolo Snort
Licenciatura em Engenharia de Sistemas Informáticos – PL
Comunicação de Dados

Resumo — Para que as nossas que partilhamos na rede não
estejam seguras é preciso ter alguns cuidados. O uso de
sistemas de detecção (IDS) é uma ótima alternativa na
prevenção deste tipo de crime. Este trabalho tem como
objetivo apresentar uma dessas ferramentas, o Snort, assim
como
explicar
o
que
é
um
IDS.
Palavras-chave: sistemas de detecção de intrusos, snort.
I. INTRODUÇÃO
Assim como a evolução tecnológica dos últimos anos, tanto
em relação aos softwares de computadores como também dos
equipamentos de informática esta evolução ocorre também em
relação às ameaças neste mundo virtual. Aliados ao avanço
tecnológico a popularização da rede de computadores
possibilita uma velocidade ainda maior na proliferação destas
ameaças. Ferramentas como antivírus e firewalls são
indispensáveis, no entanto são insuficientes e deixam falhas
que quando exploradas podem trazer prejuízos incalculáveis
para as corporações.
A vulnerabilidade na rede hoje é muito grande, e esse é um
grave problema que pode atingir tanto uma rede doméstica
(pequeno porte) quanto uma rede de uma grande empresa. O
fato é que depois de invadidos esses computadores, eles se
torna um canal muito viável para troca de informações
sigilosas, que pode comprometer toda uma empresa, ou até
mesmo vida, no caso de usuários domésticos. Por falta de
informação muitas empresas e pessoas não se preocupam com
a segurança em suas redes, ou não sabem como fazê-la. Muitas
corporações só descobrem que estão sendo atacadas quando
seus equipamentos param de funcionar.
Nesse ponto a situação já esta grave demais e pode significar
prejuízo irreparável. Para minimizar tais riscos é que
apresentamos as ferramentas de IDS (Sistema de Detecção de
Intrusos), que faz uma limpeza geral da rede, procurando
encontrar qualquer ameaça. Essa ferramenta é capaz de
localizar os pacotes, compara-los com as regras das
assinaturas, e caso não esteja dentro dos padrões é enviado um
alerta para o administrador. Este trabalho trás uma breve
explicação sobre segurança em rede, e descreve passo – a –
passo uma das ferramentas IDS mais eficiente e mais usada
nos dias atuais: o Snort.
II. A NECESSIDADE DE UM IDS [8]
Há várias formas de melhorar a segurança de uma rede. Os
firewalls, por exemplo, filtram os pacotes, autorizando ou não
a sua entrada na rede. A Criptografia protege dados. Os
Sistemas de Detecção de Intrusão (IDS) contribuem para a
segurança de uma rede. Como o nome já diz, um IDS tem
como finalidade descobrir se houve uma tentativa de invasão
(ou intrusão) à rede e se houve comprometimento de algum
elemento dessa rede. Em caso positivo, o IDS deve alertar o
administrador da rede.
A diferença do firewall para o IDS está ilustrada na Figura 1.
O firewall analisa os pacotes e pedidos de conexão que
chegam via rede. Eles são bloqueados ou autorizados a passar.
Nem todos os que são autorizados a passar são completamente
confiáveis. Então, o IDS serve para analisar os pacotes que
passam pelo firewall e identificar os que são normais ou
suspeitos.
Fig.1 - Diferença de Firewall e IDS
Pedro Fernandes 7839 – Nuno Costa 3676
A. Funções de um IDS
O funcionamento de um IDS é semelhante a um sistema de
detecção de ladrões usado em residências. Esse sistema é
configurado para especificar o que monitorar (janelas, portas,
movimento) e para quem deve direcionar o alerta (polícia,
donos da casa, central de segurança eletrônica) em caso de
entrada de um ladrão.
2
Baseado em rede (Network-Based IDS –
NIDS)
Estes tipos de sistemas são colocados na rede, perto do sistema
ou sistemas a serem monitorizados. Eles examinam o tráfego
de rede e determinam se estes estão dentro de limites
aceitáveis.
No ambiente computacional é necessário especificar o que
monitorar (fluxos de rede, servidores) e para quem devem ser
direcionados os alarmes ou relatórios.
Portanto, as funções de um IDS são:

coletar pacotes;

analisar pacotes;

armazenar pacotes;

responder às atividades suspeitas.
Sistemas vulneráveis que podem ser atacados a qualquer
momento fazem parte do cenário atual. Logo, se os ataques
estão acontecer nos sistemas, a descoberta deve ocorrer o mais
cedo possível, preferencialmente em tempo real. É isso que um
sistema de deteção de intrusão basicamente faz.
Uma ferramenta IDS serve basicamente para nos trazer
informações sobre a nossa rede, informações como:
Quantas tentativas de ataques sofremos por dia, qual tipo de
ataque foi usado, qual a origem dos ataques. Enfim, a partir
dele, vai tomar conhecimento do que realmente se passa na
rede.
Além da divisão pelas técnicas de reconhecimento de ataque,
os IDSs podem ser também classificados em dois tipos
principais:
Fig. 3 – NIDS
Problemas de IDS
Os principais problemas de IDS são os falsos positivos e os
falsos negativos.
Falsos positivos acontecem quando pacotes normais são
identificados como tentativas de ataque. Para que isso não
ocorra é necessário que o IDS seja bem configurado e tenha
um sistema de gerenciamento que facilite sua configuração e a
análise dos logs. A Figura 4 ilustra o Falso positivo.
Fig. 4 – Falso positivo
Falsos negativos acontecem quando os IDS não identificam
os verdadeiros ataques. A Figura 5 ilustra o Falso negativo.
Fig. 5 – Falso negativo
Baseado em host (Host-Based IDS – HIDS)
Estes tipos de sistemas rodam no sistema que está a ser
monitorizado. Estes examinam o sistema para determinar
quando a atividade no sistema é aceitável.
III. DESCRIÇÃO DO PROTOCOLO SNORT
Fig.2 – Tipos possíveis de detecção por HIDS
O “Snort” é um sistema de detecção de invasão de rede, de
código-fonte aberto, que possui um conjunto de recursos,
agrupados em um único aplicativo. Esse IDS nada mais é que
um farejador e registador de pacotes. Em novembro de 1998,
Marty Roesch escreveu um farejador apenas para o Linux,
chamado de APE. Não satisfeito Marty, queria um farejador
que fosse capaz de funcionar em vários sistemas operativos,
usa-se uma descarga de matriz de choque hexdump e ainda
exibisse todos os diferentes pacotes de rede da mesma
maneira.
O que Marty queria era desenvolver um farejador para uso
Pedro Fernandes 7839 – Nuno Costa 3676
próprio. Em 22 de novembro de 1998, o Snort tornou
disponível no Packet Storm, portanto naquela época ele era
apenas um Sniffer (farejador de pacotes) e tinha cerca de
1.600(Mil e seiscentas) linhas de códigos. Atualmente o Snort
tem inúmeros recursos que o torna muito útil: farejador de
pacotes (sniffer), registo de pacotes (packet logging) e
detecção de invasão. Conta com mais de 6.000 linhas de
código, mais de 270.000 utilizadores, e já teve mais de 3.7
milhões de downloads realizados. Uma das características que
faz do Snort bastante popular são as suas flexibilidades nas
configurações de regras e a constante atualização quando se
refere às outras ferramentas de invasão. Segundo Ferreira
(2003), uma das ferramentas IDS mais utilizada atualmente é o
Snort.
3
e comparativo de desempenho; Intromissão
para
obter senhas em texto puro e ainda outros dados que vierem
interessar.
O Snort na função de sniffer pode salvar os pacotes para ser
processados e analisados posteriormente, ou seja, assume uma
função
de
registador
de
pacotes.
PRÉ- PROCESSADORES
Depois de detectar esses pacotes na rede o Snort os manda
para os pré-processadores. Os pré-processadores por sua vez
são os responsáveis por remontar os pacotes observando
possíveis
codificações/comportamentos.
Quando
é
determinado que um pacote tem um tipo particular de
comportamento, então ele é direccionado para o mecanismo de
detecção. A figura mostra o pré-processador verificando um
pacote:
IV. COMO FUNCIONA O SNORT
O Snort pode ser divido em quatro partes básicas:
- Sniffer (Libcap);
- Pré-processador;
- Mecanismo de detecção (Assinaturas);
- Alerta/Registro
SNIFFER
Na forma mais básica o Snort é um sniffer de pacotes. Porém
ele agarra nos pacotes, processa-os através do pré-processador
em seguida verifica (através do mecanismo de detecção) se
esses pacotes estão dentro das regras criadas.
Este é um dispositivo tanto de hardware como de software
usado para fazer escutas. Pode até ser comparado como uma
escuta telefónica, no entanto é usado para redes de dados. Ele
trabalha na camada ethernet, capturando todos os pacotes uqe
passam pela rede, ou seja, pegando todos os pacotes do
Broadcast.
Os Sniffers de pacotes podem ser usados de diversas maneiras:
Análise, diagnósticos e solução de problemas de rede; Análise
MECANISMO DE DETEÇÃO
Segundo Caswell et al. (2003), esta e a parte mais importante
do SDI. Os dados vindos do mecanismo de pré-processamento
são recebidos pelo mecanismo de detecção e comparados com
um conjunto de regras de assinatura de ataques conhecidos.
Uma vez que os dados dos pacotes correspondam com as
informações de alguma regra, estes são enviados para o
processador de alerta.
O Snort tem uma grande base de dados de regras que são
agrupadas por categorias, como
por exemplo, cavalos de Troia, transbordamento de buffer,
ataques Deny of Service, entre outros.
Estas regras são actualizadas regularmente e disponibilizadas
para download no site do programa.
Pedro Fernandes 7839 – Nuno Costa 3676
A Figura 24 mostra o esquema do mecanismo de detecção do
Snort.
4
Desde 2003, o Serpro utiliza a ferramenta livre
Snort
como Sistema de Detecção de Intrusão de Redes. A solução é
bastante popular pela sua flexibilidade nas configurações de
regras e constante actualização frente as novas ferramentas de
invasão.
Este "open-source" monitora o trafego de pacotes em redes IP,
realizando analises em tempo real sobre diversos protocolos
(nível de rede e aplicação) e seus conteúdos (hexa e ASCII).
Outro ponto positivo desse software e o grande número de
possibilidades de tratamento dos alertas gerados.
O Grupo de Resposta a Ataques da Intranet (Tigra), da
representação do Serpro em Recife, tem no Snort um
importante aliado na analise do trafego de redes internas da
Empresa, na detecção de trafego relacionado com pragas
virtuais - adicionando uma camada extra ao sistema de
antivírus corporativo - e aplicações que não são autorizadas
pela politica de segurança institucional.
Segundo Jone Freire, analista de redes do Serpro, ao utilizar
uma ferramenta livre desta natureza, o Tigra gera uma grande
economia para o Serpro: "O custo para aquisição de uma
solução proprietária similar alcança a ordem dos milhões de
reais".
VI. REGRAS
Snort utiliza uma linguagem simples, e descrição de regras
simples que é flexível e bastante poderoso. Há uma série de
orientações simples para lembrar ao desenvolvimento de
regras do Snort. A primeira é que as regras do Snort devem ser
completamente contidas em uma única linha, o analizador
sintatico de regras Snort não sabe como lidar com as regras em
várias linhas.
COMPONENTES DE ALERTA/REGISTO
Quando os dados que passam pelo mecanismo de detecção
correspondem com alguma regra, então um alerta e disparado
pelos plug-ins de saída.
Segundo Caswell et al.(2003), os plug-ins de saída fornecem
aos administradores a capacidade de configurar logs e alertas
de maneira fácil de entender, ler e usar no ambiente de suas
empresas. A análise de fluxo seria inútil sem eles para
processar, formatar os dados analisados.
Os alertas podem ser enviados para um arquivo de log através
de uma conexão de rede, através de soquetes UNIX ou
Windows Popup (SMB) e também podem ser armazenados
numa base de dados. Existem muitas ferramentas adicionais
que podem ser utilizadas para tratar os dados de saída do Snort
como plug-ins Perl, PHP, alem de servidores Web para exibir
os dados processados.
V. EXEMPLOS DO PROTOCOLO SNORT
As regras do Snort são divididos em duas secções lógicas, o
cabeçalho e as opções. O cabeçalho da regra contém a ação da
regra, protocolo, origem e destino endereços e máscaras de
rede IP, e informação de portas de origem e destino. A secção
da regra option contém mensagens de alerta e informações
sobre quais partes do pacote deve ser inspecionado para
determinar se a ação da regra devem ser tomadas.
Exemplo de uma regra:
alert tcp any any -> 192.168.1.0/24 111
(content:"|00 01 86 a5|"; msg: "mountd access";)
Figure 6 - Sample Snort Rule
O texto até ao primeiro parêntese é a regra do cabeçalho e
secção entre parênteses são as regras option. As palavras antes
dos dois pontos na secção da regra option são chamados de
opções de palavras-chave. Note-se que a secção da regra
option não é especificamente exigida por qualquer regra, eles
são usados apenas por uma questão de fazer mais rígidas as
definições de pacotes para coletar ou alertar. Todos os
elementos de que compõem uma regra deve ser verdade para a
Pedro Fernandes 7839 – Nuno Costa 3676
ação da regra indicada para ser tomada. Quando tomados em
conjunto, os elementos podem ser considerados para formar
uma declaração lógica AND. Ao mesmo tempo, as várias
regras de uma biblioteca de arquivo de regras Snort podem ser
considerados para formar uma grande declaração lógica OR.
5
B. Protocolo
A. Rule Header
O cabeçalho é a primeira porção de cada regra. Define o
protocolo de rede e ‘quem’ (who) está envolvido. Para cada
campo individual, existe muitas opções, com uma sintaxe
definida, que poderá ser utilizada por forma a especificar
valores simples, conjunto ou grupos.
Notar que o motor de detecção do Snort parte o pacote para
comparação em duas partes, correspondendo a cada uma da
parte da regra. A primeira compara o cabeçalho da regra com a
do pacote. Se o pacote não encaixa no perfil de um dos
cabeçalhos das regras o motor de detecção passa para o pacote
seguinte. Se o pacote não encaixa com o perfil do cabeçalho
da regra, o motor de detecção continua a testar o resto das
opções da regra.
O primeiro cabeçalho da regra é o campo de acção ‘action
field’. Este instrui o Snort sobre o comportamento a ter se a
regra é disparada. Existem actualmente cinco tipos de valor
para a acção a tomar:
O campo referente ao protocolo indica ao Snort qual o tipo de
tráfego na rede a que a regra se destina ou aplica. Suporta
normalmente três tipos diferentes de tráfego: TCP, UDP e
ICMP.
C. Porta de Origem
Define de que porta de origem no host de origem é que o
tráfego é originado. Pode ser especificado como um número,
um conjunto, ou ainda a palavra chave ‘any’ representa todos
as portas possíveis.
D. Direcção do tráfico
Alert: cria uma entrada no ficheiro de alertas e faz o log do
pacote, este ficheiro é único e contém registo de todas a
deteções realizadas. A informação registada, por defeito,
consiste apenas pelo cabeçalho do pacote;
Log: o Snort cria apenas um registo no log, não realizando
qualquer registo do tráfego no ficheiro de alertas;
Pass: quando a regra é acionada mas tem ‘pass’ especificada
na ação, o Snort irá fazer o drop do pacote, e não fará
qualquer tipo de processamento do pacote. É útil para fazer a
monitorização de tentativas anónimas de ftp para um servidor
ftp anónimo.
Activation: estas regras quando acionadas não se limitam a
alertar, mas também são utilizadas para ativar outras regras
(dynamic) que ficam em modo suspenso até serem ativadas.
Dynamic: permanecem suspensas até serem ativadas por uma
regra de ativação. Uma vez ativadas o seu comportamento é
idêntico às das regras “log”.
O campo de direcção permite especificar o sentido da direcção
do pacote. Duas opções estão disponíveis, permitindo
especificar a direcção do fluxo ou que determinada direcção
não interessa. As opções válidas são:
·
->, define a origem e o destino
·
<>, direção do pacote não interessa (bidirecional)
Pedro Fernandes 7839 – Nuno Costa 3676
E. Endereço IP de destino
O endereço de destino especifica para onde o tráfego hostil se
dirige. É especificado da mesma forma que o formato utilizado
para o endereço de origem.
F. Porta de destino
6
id–testa a identidade do cabeçalho Ip para um
valor
específico
dsize- testar o tamanho da carga do pacote contra um
determinado valor
content- busca de um padrão, na carga do pacote
offset- modificador para a opção de conteúdo, define o
deslocamento para começar a tentar um padrão
depth- modificador para a opção de conteúdo, define a
profundidade máxima de busca para uma tentativa de padrão
de jogo
flags- testar as flags TCP para certos valores
seq- testar o campo número de sequência TCP para um valor
específico
ack- testar o campo de confirmação TCP para um valore
específico
iType- testar o tipo decampo ICMP contra um valor específico
icode- teste no campo de código ICMP contra um valor
específico
session- copia a informação da camada de aplicação para uma
determinada sessão [6]
Background
Define a porta de destino na máquina de destino a que o
pacote se destina. É utilizado o mesmo formato que no caso da
porta de origem.
G. Opções
As opções são uma segunda porção na definição da regra.
Define ‘o quê’ da regra – que atributos do pacote devem ser
inspecionados e quais os valores que devem conter para ser
considerado hostil. Esta porção é somente usada se o pacote
cumpre com os requisitos do cabeçalho da regra.
. Os atributos estão separados através do carácter “;”, e ser
encerrado com o carácter “)”, caso contrário ao processar a
regra pode causar um erro durante o arranque.
Através deste, geram-se 15 opções de regra distintas, sendo as
seguintes palavras-chave (“keywords”): [4]
msg- imprime uma mensagem de alerta e logs de pacotes
logto– log,o pacote para um usuário especificado em vez do
nome do arquivo de saída padrão
minfrag -estabelece um valor limite para o tamanho menor
aceitável do fragmento IP
ttl- Critério do valor do cabeçalho IP do campo TTL
O SNORT pode ser configurado para ser executado em um
dos seguintes modos:
Modo Sniffer - Se SNORT é executado no modo sniffer, que
capta todos os pacotes e mostra-lo para a tela. Redirecionando
a saída na tela, é possível capturar todos os pacotes no
arquivo. Este modo é amplamente utilizado para solucionar
problemas de rede.
Modo Packet Logger: Este modo é semelhante ao modo
sniffer, Em vez de mostrar pacotes para a tela, SNORT regista
todos os pacotes para o arquivo de log se estiver rodando no
modo Packet logger.
Modo Network Intrusion Detection System (NIDS) - NDIS
é o modo mais utilizado para SNORT. Quando SNORT é
executado no modo NDIS, Ele permite escrever regras. O
SNORT verifica cada pacote com correspondência de
expressão e realiza operação pré-definida.
Inline mode - Este é o modo mais importante para escrever
qualquer regra de firewall. Quando SNORT é executado no
modo inline, captura os pacotes, analisa e solta/larga o pacote
dependendo regra. Ele usa o iptables para descartar os pacotes.
Tipicamente o snort é instalado para escutar numa segunda
interface de rede, então poder-se-á aceder primariamente à
máquina, e ter o snort a escutar uma segunda interface.
Pedro Fernandes 7839 – Nuno Costa 3676
7
VII. COMANDOS [5]
tomadas para cada pacote recolhido e
confrontado com ele. O resultado do NIDS será
gerado no diretório /var/log/snort, ou outro diretório
previamente estipulado.
Sniffer Mode

snort -v
# mostra somente os cabeçalhos dos pacote TCP/IP
na tela.

snort -vd
# mostra somente os cabeçalhos do IP, TCP, UDP e
ICMP.

snort –vde
# mostra os todos os cabeçalhos e os dados contidos
neles também.
 O arquivo snort.conf deve estar presente no
diretório corrente ou deve ser digitado o
diretório onde ele se encontra.
 A opção -v acima faz com que o snort mostre
os resultados também no monitor. Isso causa
com que o snort fique um pouco lento
podendo ate perder alguns pacotes por causa
disso.
 A opção -e para capturar cabeçalhos do data
link layer as vezes são tão importante
podendo ser emitido.
Packet Logger Mode

snort -dev -l /dirdolog//log.txt
# o snort gera um arquivo chamado log.txt de todos
os pacotes visto por ele. Considerando que o diretório
"dirdolog" já existe, caso contrario deve-se cria-lo.





snort -dev -l ./log -h 192.168.1.0/24
# faz com que o snort capture cabeçalhos TCP/IP,
data link e dados relacionados ao host 192.168.1.0
(Classe C) e armazene o resultado no subdiretório
log. OBS. os dados recolhidos serão armazenado em
arquivos correspondente/nomeado com cada
endereço IP capturado.
snort -l ./log –b
# snort executado com a opção (-b) faz a captura total
dos pacotes ao invés de capturar somente cabeçalhos
ou somente dados.
snort -dv -r packet.log
# uma vez criado o arquivo com a opção (-b), pode-se
usar qualquer sniffer que suporta formato binário
tcpdump tais como, snort, tcpdump ou Ethereal para
manipular os dados recolhidos.
snort -dvr packet.log icmp
# de posse do arquivo binário gerado pela opção (-b),
pode-se então criar novas filtragens do tipo BPF
interface. No nosso exemplo estamos fazendo
somente a filtragem dos pacotes de ICMP contido no
arquivo binário.
Network Intrusion Detection Mode - (NIDS)

snort -b -A fast -c snort.conf

snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf
# snort.conf é o nome do arquivo de configuração.
Este arquivo contem as regras e ações a serem

snort -d -h 192.168.1.0/24 -l ./log -c snort.conf
# snort rodando com as opções básicas; ou seja, sem
as opções de -v= mostra na tela e -e= cabeçalho Data
Link.

snort -c snort.conf -l ./log -s -h 192.168.1.0/24
# envia alertas para o syslog opção (-s).

snort -c snort.conf -s -h 192.168.1.0/24
# cria arquivo log no diretório default e envia alertas.

snort -c snort.conf -b -M WORKSTATIONS
# gera arquivo de log no formato binário e envia
alerta para o Windows Workstation.

snort -c snort.conf -b -A fast -l /var/log/snort
# cria arquivo binário e usa alerta rápido e cria
arquivo log no /var/log/snort.

snort -d -c snort.conf -l ./log -h 192.168.1.0/24 r snort.log
# gera arquivos no formato ASCII a partir de um
arquivo no formato binário.

snort -d -v -r snort.log -O -h 192.168.1.0/24
# a opção (-O) simplesmente oculta seu endereço IP.
Essa opção se torna muito útil nos casos em que
queremos enviar arquivos de logs para newsgroup ou
qualquer outro lugar público.
Pedro Fernandes 7839 – Nuno Costa 3676
8
VIII. FERRAMENTA SNORT
O Snort necessita de alguns complementos como MySQL,
download das regras, uma de registo (log) e linhas de
comando.
Visualização de logs na ferramenta Snort.
A criação de Regras no Snort obedece a um formato ou
modelo pré-estabelecido:
<tipo_de_alerta> <protocolo> <rede_origem>
<porta_origem> -> <rede_destino> <porta_destino>
(Cabecalho da Regra; Opcoes; sid:X;...);
Exemplo de criacao de regras para o Skype:
A primeira regra detecta uma conexao na porta tcp/33033:
Figura da tela de instalacao do Snort
Snort assume tres modalidades de comandos, segue abaixo
junto com um exemplo de cada:
alert tcp any any -> any 33033 (flags: PA; sid:1234512;
priority:9; msg:"Tentativa de Conexao ao
Skype";)
- Sniffer: captura pacotes e imprime.
Ex.: snort –vde
A segunda regra detecta o envio de uma consulta DNS a um
subdomínio do Skype.
# mostra os todos os cabeçalhos e os dados contidos neles
também.
alert udp any any -> any 53 (msg:"Consulta DNS ao
Skype"; priority:9; content: "|05|skype"; depth:
50; sid:1234513; rev:1;)
- Packet logger: registra os pacotes capturados no disco
rigido.
Ex.: snort -dev -l /dirdolog//log.txt
# o snort gera um arquivo chamado log.txt de todos os
pacotes visto por ele.
- Network intrusion detection system: mais complexa e
versátil, permitindo que o Snort análise o
trafego da rede de encontro a regras definidas pelo
utilizador, executando diversas acções baseadas nas suas
regras.
Ex.: snort -b -A fast -c snort.conf
# gera arquivo de log no formato binário e usa alerta
rápido
A imagem abaixo demonstra a visualização de um log na
ferramenta Snort.
Podemos visualizar na imagem abaixo o Snort capturando
uma conexão ao Skype.
Pedro Fernandes 7839 – Nuno Costa 3676
IX. CONCLUSÃO
A crescente preocupação com a segurança das redes de
computadores, deu origem à área de deteção de intrusão, onde
encontramos um amplo campo de pesquisa, com o surgimento
de técnicas e ferramentas para facilitar a identificação dos
ataques e seus tipos as redes e aos computadores.
Devido ao estudo realizado, observou-se que a área de
segurança vem crescendo significativamente, com um futuro
promissor, ao mesmo tempo, inúmeras ferramentas vão sendo
desenvolvidas, destacamos o Snort, uma ferramenta IDS, com
grande facilidade e poder de utilização, o seu crescimento, está
associado ao grande número de usuários/contribuintes, que
possibilitam o surgimento de novas regras de deteção de
vulnerabilidades e por ser de domínio público.
Originalmente lançado em 1998 pela Sourcefire fundador e
CTO Martin Roesch, o Snort é um livre, open source de
deteção de intrusão de rede e sistema de prevenção capaz de
realizar em tempo real, análise de tráfego e registro de pacote
em redes IP. Inicialmente chamado de "leve" a tecnologia de
deteção de intrusão, o Snort evoluiu para um, rico em
recursos madura tecnologia IPS, que se tornou o padrão de
fato em deteção de intrusão e prevenção. Com mais de 4
milhões de downloads e cerca de 400.000 usuários registrados,
é a tecnologia de prevenção de intrusão mais amplamente
difundida no mundo.
REFERENCES
[1]
[2]
[3]
[4]
http://www.snort.org/
http://www.snort.org.br/
http://www.winsnort.com/
“Criando Regras para o Snort” http://www.intruders.com.br/artigos/snoc_criando_regras_snort_v02.pdf
“Snort” - http://www.informabr.com.br/ids.htm
[6] “How To write Snort rules and keep your sanity “ http://www.ussrback.com/docs/papers/IDS/snort_rules.ht
m
[7] “Snort” - http://paginas.fe.up.pt/~mgi98020/pgr/snort.htm
[8] “Segurança em Redes de Computadores”
http://www.metropoledigital.ufrn.br/aulas_avancado/web/
disciplinas/seg_redes/aula_09.html
[5]
9