Snort
SNORT é um IPS open source com a habilidade de analisar em tempo real o tráfego e realizar o registro dos pacotes em redes IP. Ele é capaz de executar análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre outras. Ele também oferece alguns serviços básicos como priorizar a qualidade de serviço, controlar o tráfego massivo de dados, etc.
O SNORT é suportado em arquiteturas RISC e CISC; e nas plataformas Unix, Windows e Mac. Também dá suporte à outras ferramentas para prover interfaces, administração, relatórios e análise de relatórios e desempenho.
Desenvolvido pela SourceFire, empresa da CISCO, o SNORT entrou no Hall da Fama de Código Aberto da revista InfoWorld como um dos “melhores softwares de código aberto de todos os tempos”.
Tripwire
Tripwire é um IDS open source para monitoramento de alerta de mudanças e integridade de arquivos numa gama de sistemas. Ele funciona como um HIDS, coletando detalhes sobre o sistema de arquivos e a configuração da máquina e, armazenando essas informações para referência e validar o estado atual do sistema.
O software procura monitorar os arquivos e diretórios críticos do sistema, identificando possíveis alterações não intencionais. O Tripwire faz uso de um banco de dados com snapshots de arquivos e diretórios especificados em um momento específico no tempo. O conteúdo do banco de dados deve ser gerado antes que o sistema esteja em risco de intrusão, e depois de criado o software realiza a comparação do banco com o sistema atual e relata quaisquer modificações, adições ou exclusões. Dentre as opções de configuração do Tripwire é possível receber alertas via e-mail se determinados arquivos forem alterados e verificar a integridade de forma automatizada.
RealSecure
RealSecure é um NIDS que monitora o tráfego TCP, UDP e ICMP com o objetivo de procurar padrões de ataque. Utilizando uma arquitetura cliente-servidor distribuída composta por um controlador e sensores, o RealSecure pode ser usado para monitorar o tráfego em várias plataformas e ambientes de rede.
Bro IDS
O Bro é atualmente o principal IDS open source e baseia-se tanto na parte da assinatura quanto na busca por anomalia. Seu monitoramento passivo permite que as análises convertam o tráfego capturado em uma série de eventos a serem interpretados para realizar as ações cabíveis. O funcionamento é realizado com o uso de uma linguagem própria e permite ao administrador realizar operações e configurações versáteis dentro do sistema. Dada sua importância, reservamos a seção 6 deste trabalho e uma aplicação prática para descrevermos melhor este sistema.