Subvertendo um sistema de detecção de intrusão: Caso prático utilizando Snort e Nmap

Abstract

O Sistema de detecção de Intrusão (IDS) é uma camada de segurança que, a partir da análise e monitoramento de eventos, na rede ou em seu hospedeiro, gera alertas a partir de regras pré-estabelecidas afim de avisar os responsáveis e facilitar a tomada de decisão e contramedidas. Um dos mais utilizados IDS pela comunidade é o Snort, que tem seu código aberto e é baseado em regras muitas delas estabelecidas pela própria comunidade. No contra fluxo, estão os exploradores de vulnerabilidades e mapeadores de redes. Normalmente se baseiam no envio de pacotes afim de conseguir informações relevantes para ataques. O mais conhecido mapeador de rede é o Nmap. O Nmap, como o Snort, é de código aberto mantido por uma relativamente grande comunidade. Mesmo as duas ferramentas sendo amplamente conhecidas, seus limiares trazem, para quem as usa, brechas de acordo com as configurações estabelecidas. Este trabalho de conclusão de curso tem como objetivo explorar alguns dos limiares padrão do Snort, utilizando para isso o Nmap, sempre com a premissa de tentar esconder a identidade do atacante ou distraí-lo. Para que baseado nestes ataques, possa ser feita uma auditoria de segurança na rede monitorada.