3. Nội dung thuyết minh và tính toán
2.5.Giới thiệu về SnortSam
Chức năng của Snort chỉ là phát hiện xâm nhập và cảnh báo cho người quản trị biết về những xâm nhập đó, nó không thể ngăn chặn các cuộc tấn công đó. Để thực hiện được chức năng ngăn chặn một cách chủ động (active response) có thể sử dụng các plug-in dành cho Snort như SnortSam, Fwsnort hay snort_inline để làm điều này. Các plug-in đó sẽ thay đổi hoặc chặn các lưu lượng mạng dựa trên địa chỉ IP (SnortSam), dựa trên giao thức ở tầng Transport (Fwsnort) hay ở tầng Application (Snort_inline).
Một điểm cần lưu ý là một hệ thống ngăn chặn xâm nhập ngoài việc ngăn chặn các gói tin đi vào hệ thống nó còn có thể thay đổi trực tiếp các gói tin đó khi chúng được chuyển qua mạng. Bởi vậy Fwsnort và snort_inline được xếp vào hệ thống ngăn chặn xâm nhập (IPS) còn SnortSam chỉ được xếp vào hệ thống phản ứng chủ động (Active Response System)
Nội dung phần này sẽ tìm hiểu về SnortSam một plug-in của Snort cho phép tự động chặn các địa chỉ IP dựa trên các tường lửa như:
Checkpoint Firewall-1 Cisco PIX firewalls
Cisco Routers (sử dụng ACL)
Former Netscreen, now Juniper firewalls
IP Filter (ipf), trên các dòng Unix-like OS ví dụ FreeBSD FreeBSD's ipfw2 (phiên bản 5.x)
27 Linux IPchains
Linux IPtables Linux EBtables
WatchGuard Firebox firewalls 8signs firewalls trên Windows
MS ISA Server firewall/proxy trên Windows CHX packet filter
Ali Basel's Tracker SNMP thông qua SNMP-Interface-down plug-in.
SnortSam bao gồm hai phần riêng biệt. Một phần là một tập hợp của các sửa đổi trong tập tin mã nguồn, mở rộng Snort bằng cách thêm một mô-đun output mới đó là: alert_fwsam. Phần còn lại là một tác nhân sẽ giao tiếp trực tiếp với tường lửa gọi là agent. Tác nhân này có thể đ ặt ngay trên chính các tường lửa nếu tường lửa đó là iptables, hoặc trên pf nếu hệ thống là BSD hoặc trên Checkpoint’s Firewall-1 nếu hệ thống là Windows. Đối với các tường lửa phần cứng như Cisco PIX thì tác nhân này của SnortSam phải đặt trên một máy riêng biệt rành riêng để giao tiếp với PIX. Về phương thức ho ạt động. Snort sẽ giám sát các luồng lưu lượng trên mạng, và khi một luật của Snort được kích hoạt (gặp một traffic phù hợp), Snort sẽ gửi đầu ra cho mô-đun fwsam. Mô-đun fwsam sau đó sẽ gửi một tin nhắn mã hóa tới cho agent
được đặt trên tường lửa. Agent này sẽ kiểm tra xem tin nhắn đó có phải được gửi
tới từ một nguồn có thẩm quyền hay không, nếu đúng nó sẽ giải mã thông điệp vừa nhận được và kiểm tra xem các địa chỉ IP nào được yêu c ầu chặn. SnortSam sẽ rà soát xem các địa chỉ IP đó có nằm trong danh sách trắng (white-list) hay không. Nếu IP đó không nằm trong danh sách trắng, SnortSam sẽ yêu cầu tường lửa chặn địa chỉ IP đó trong một khoảng thời gian đã được định nghĩa từ trước.