SnortSam, un plugin pour Snort

SnortSam est un plugin pour Snort, un système de détection d’intrusion (IDS) léger et open-source. Le plugin permet de bloquer automatiquement des adresses IP sur des pare-feu suivants :

  • Firewall-1 Checkpoint
  • Firewall Cisco PIX
  • Routeur Cisco (utilisant des ACL ou des routes sans issues)
  • Firewall Juniper
  • Filtre d’IP, disponible sur plusieurs système d’exploitation Unix
  • Filtre d’IP FreeBSD (version 5.x)
  • Filtre de paquet OpenBSD
  • Linux IPchains
  • Linux IPtables
  • Linux EBtables
  • Firewall WatchGuard
  • Firewalls 8signs pour Windows
  • Firewall/Proxy ISA de Microsoft pour Windows
  • Filtre de paquet CHX
  • Tracker SNMP Ali Basel
  • …et plus à venir…

SnortSam fonctionne avec deux parties: le plugin pour Snort et un agent intelligent qui tourne comme un service sur le(s) firewall(s) ou une station près du firewall.

Schéma fonctionnement SnortSam

L’avantage de SnortSam, c’est que l’agent avec lequel il fonctionne fourni plusieurs fonctionnalités que d’autres mécanismes de blocage automatisés ne proposent pas, comme:

  • Une liste blanche d’adresse Ip qui ne seront jamais bloquées.
  • Un système de plage horaire pour bloquer les utilisateurs.
  • Des règles de blocage spécifiques, comme les règles de blocage dépendant de l’heure.
  • Une liste de filtrage de SID autorisés ou non, basée sur l’entité.
  • Un moteur de détection d’attaque qui essaye d’atténuer le risque d’un Deni de service interne à l’architecture IDS.
  • Un système de blocage préventif des répétitions (mêmes adresses IP) avec une fenêtre modifiable pour améliorer les performances.
  • Une communication chiffrée en TwoFish entre Snort et l’agent SnortSam.
  • Un vrai support d’OPSEC en utilisant le SDK de Checkpoint (plugin OPSEC)
  • Le « Multi-Thread » pour traiter plus vite et simultanément les blocages sur plusieurs appareils.
  • L’enregistrement des fichiers et la notification d’événements par email.
  • Et la possibilité d’utiliser l’architecture client/serveur (snortsam/snort) pour les grands réseaux de manière à optimiser les remontées d’information du réseau.

De plus, SnortSam est un programme complètement gratuit et open-source. Il peut être compilé sur plusieurs plateformes et l’interaction devrait fonctionner à travers ces différentes plateformes (selon l’auteur).

Documentation

Une documentation est disponible, ainsi qu’un How To pour apprendre à l’utiliser et une FAQ pour les problèmes les plus courants.

Téléchargement

http://www.snortsam.net/files/
ou
ftp://ftp.snortsam.net/

Dépôt CVS agent snortsam:

#cvs -d:pserver:anonymous@cvs.snortsam.net:/cvsroot/snortsam co snortsam

Dépôt CVS plugin snort:

#cvs -d :pserver:anonymous@cvs.snortsam.net:/cvsroot/snortsam co snort-plugin

Installation

    1. Compilez et installez SnortSam.

#cvs -d:pserver:anonymous@cvs.snortsam.net:/cvsroot/snortsam co snortsam
#chmod +x makesnortsam.sh
#./makesnortsam.sh

    1. Patchez et recompilez Snort.

#cvs -d :pserver:anonymous@cvs.snortsam.net:/cvsroot/snortsam co snort-plugin
#chmod +x patchsnort.sh
#./patchsnort.sh /usr/local/src/snort
#snort/autojunk.sh
#./configure
#make

    1. Configurez SnortSam.

Editez le fichier de configuration:
#/usr/local/etc/snortsam.conf

Appliquez les modifications:
#./snortsam /usr/local/etc/snortsam.conf

    1. Configurez Snort.

Indiquez où se trouve les agents SnortSam avec cette ligne dans snort.conf :

#output alert_fwsam: localhost/myhostpass sam.corp.com:1050/corppass

– « localhost » étant le premier agent (le serveur snort lui même) communiquant avec le port par defaut et un mot de passe « myhostpass »
– « sam.corp.com » étant le second agent (distant cette fois) communiquant sur le port 1050 et le mot de passe « corppass ».

Configurez les règles Snort qui entraîneront un blocage côté Firewall:
Exemple :

#alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg: »WEB-ATTACKS /bin/ps command attempt »; flow:to_server,established; uricontent: »ps%20″; nocase; sid:1329; classtype:web-application-attack; rev:4; fwsam: src, 5 minutes;)

  1. Configurez les options en fonction de votre Firewall.

Pour plus d’information sur l’installation et la configuration, voir ici (anglais).

3 Responses to "SnortSam, un plugin pour Snort"

  • Nicolas says:
  • kubitux says:
  • Tweet says:
Laissez un commentaire