Sistemas de Detecção e Intrusão
Autores:
Snort: Desenvolvido em 1998, o Snort é o IDS mais utilizado do mundo, possui 400 mil usuários regitrados e é open source. Monitora o tráfego de pacotes em tempo real. Trabalha tanto em detecção por assinatura quanto por anomalia. Possui cerca de 20 mil assinaturas por padrão e pode tomar medidas quando detectada uma possível invasão, agindo como um IPS. Disponível em : <link>
Bro: Multitarefa, este software além de trabalhar como NIDS também pode ser configurado para gerar estatísticas do tráfego, ser utilizando para investigação forense, etc. Ele se divide em duas partes conceitualmente:
Disponível em : <link>
OSSEC: Elaborado pelo brasileiro Daniel Cid, fundador da “Sucuri, inc”, foi nomeado pela Linuxworld como a melhor ferramenta de segurança open source daquele ano. Pode atuar de três formas:
Assim o consumo de recursos para a auditoria dos sistemas fica concentrado em apenas um ponto, modo mais eficiente. Funciona em tempo real e pode atuar como IPS. Disponível em : <link>
Tripwire: Este é um IDS altamente conhecido. Ele mantêm registro de arquivos e pastas de relevância para o sistema operacional ou servidor - registros como hash, tamanho do arquivo, metadado, etc. Portanto seu funcionamento se resume em monitorar a integridade de determinados arquivos. Ele é passivo, costuma ser executado esporadicamente por seus usuários, para verificar se ocorreu alguma invasão ou mal uso no sistema. Disponível em : <link>
ISS RealSecure: Comercializado pela IBM, trabalha em tempo real monitorando rede e host, sua arquitetura se resume em: um módulo baseado em rede, outro em host e um administrador.
O módulo de rede atua em estações dedicadas monitorando diferentes fragmentos da rede. O módulo de host atua como um HIDS fazendo auditoria do sistema. E o módulo administrador é responsável por analisar e retirar informação dos dados produzidos pelos dois anteriores. Disponível em : <link>
Alguns destes softwares possuem versões mais dedicadas a forma de ação de um IPS, como:
Snort Inline. ISS Managed ID/IPS Service.