<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">


<META content="MSHTML 6.00.2800.1170" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=400410713-18062003><FONT face=Arial color=#0000ff size=2>Yes, 
arpwatch and snort can coexist (or at least have on all of the versions I have 
used) on the same interface.  I am not sure how your LAN is setup, but in 
order to perform a MAC attack - they will need access to the LAN segment (once a 
router is installed, the MAC addresses are stripped at the router).  
Another thought is gaining access to a broadcast port to sniff Windows ids and 
passwords - then break in to a existing machine (or forcing a switch into 
broadcast mode).  While neither of these is difficult, they require 
physical a presence.  </FONT></SPAN></DIV>
<DIV><SPAN class=400410713-18062003><FONT face=Arial color=#0000ff size=2>It is 
far easier, less risky, and more likely to trick someone into 
installing a trojan and working remotely.</FONT></SPAN></DIV>
<DIV><SPAN class=400410713-18062003><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=400410713-18062003><FONT face=Arial color=#0000ff size=2>If you 
are working on a Wireless LAN, I believe it is currently a same assumption that 
nothing is secure and it is a hostile environment.  If you treat it as 
such, then your security shouldn't care about the MACs.</FONT></SPAN></DIV>
<DIV><SPAN class=400410713-18062003><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=400410713-18062003><FONT face=Arial color=#0000ff 
size=2>Perhaps you could provide a little more information, I believe there are 
enough security conscious people on this list to give you some excellent 
designs.</FONT></SPAN></DIV>
<BLOCKQUOTE>
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> Atul Shrivastava 
  [mailto:atul_iet@...398...]<BR><B>Sent:</B> Wednesday, June 18, 2003 1:19 
  AM<BR><B>To:</B> Frank Knobbe; Keith R Kilby<BR><B>Cc:</B> 
  snort-devel@lists.sourceforge.net<BR><B>Subject:</B> Re: [Snort-devel] New 
  Feature based on MAC address filterig (Possible !!!!!)<BR><BR></FONT></DIV>
  <DIV>
  <DIV><FONT face="Courier New" color=#000080 size=2>Well .....</FONT></DIV>
  <DIV><FONT face="Courier New" color=#000080 size=2></FONT> </DIV>
  <DIV><FONT face="Courier New" color=#000080 size=2>First of all, MAC spoofing 
  should be taken care of IDS only because it comes under the work profile of 
  IDS. So we have to use too many tools for making a perfect 
  IDS ...............</FONT></DIV>
  <DIV><FONT face="Courier New" color=#000080 size=2></FONT> </DIV>
  <DIV><FONT face="Courier New" color=#000080 size=2>OK, If anybody uses 
  Arpwatch then can Arpwatch be installed on the same machine as of 
  Snort sensor machine and can be run on the same interface as of the sensor is 
  collecting data.</FONT></DIV>
  <DIV><FONT face="Courier New" color=#000080>Because the traffic is coming on 
  the sensor arm and there will be no question regarding Broadcast domain 
  because when IDS is placed in a network then placing will be done is such a 
  way that all the traffic will pass through this sensor and also if switch is 
  there then it is used using port mirroring to make all the traffic available 
  to the sensor.</FONT></DIV>
  <DIV><FONT face="Courier New" color=#000080></FONT> </DIV>
  <DIV><FONT face="Courier New" color=#000080 size=2>In my setup the snort 
  sensor and management console is running on the same machine. The management 
  uses eth0 and sensor is running in promiscus mode on eth1. So my question is 
  that can i run the Arpwatch on the eth1 interface so that whatever the Snort 
  is scanning, ARPWATCH can also be able to get all this traffic. Now my doubt 
  is that if i run arpwatch on the same interface as of snort sensor then which 
  application is able to get the traffic first....??????</FONT></DIV>
  <DIV><FONT face="Courier New" color=#000080 size=2></FONT> </DIV>
  <DIV><FONT face="Courier New" color=#000080 size=2>Regards and have a nice 
  day,</FONT></DIV>
  <DIV><FONT face="Courier New" color=#000080 size=2></FONT> </DIV>
  <DIV><FONT face="Courier New" color=#000080 size=2>Atul 
  Shrivastava<BR></FONT><BR><BR><B><I>Frank Knobbe 
  <fknobbe@...337...></I></B> wrote:</DIV>
  <BLOCKQUOTE 
  style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #1010ff 2px solid">On 
    Tue, 2003-06-17 at 04:06, Keith R Kilby wrote:<BR>> Sorry, but I would 
    have disagree, in my experience anybody attaching to <BR>> the network 
    and stealing a<BR>> valid IP from your network would only be detectable 
    by checking the MAC <BR>> address. So it must be<BR>> function of the 
    Intrusion Detection System to report such occurrences.<BR><BR>You are 
    allowed to disagree :) Yes, it is a somewhat useful function<BR>("somewhat" 
    because someone could fake an existing MAC address. This is<BR>often done on 
    wireless networks to evade MAC filtering). Something<BR>should be watching 
    arps, but it is my opinion that it doesn't need to be<BR>Snort. As mentioned 
    earlier, software for that (arpwatch) already<BR>exists.<BR><BR>> Not 
    strictly true? I believe that any MAC address would be detectable if 
    <BR>> it is on the same segement<BR>> of the LAN as the IDS sensor, 
    broadcasts and domain have litte to do at <BR>> that levels of the 
    protocol stack.<BR><BR>With "broadcast domain" I was referring to the 
    network segment. Due to<BR>high proliferation of switches, it has become 
    uncommon to have<BR>"collision domains". Those terms should be as familiar 
    as the 5-4-3 rule<BR>for Ethernet. 
    <BR><BR><BR><BR>Regards,<BR>Frank<BR><BR><BR>> ATTACHMENT part 2 
    application/pgp-signature name=signature.asc </BLOCKQUOTE></DIV>
  <P>
  <HR SIZE=1>
  Do you Yahoo!?<BR><A 
  href="http://pa.yahoo.com/*http://rd.yahoo.com/evt=1207/*http://promo.yahoo.com/sbc/">SBC 
  Yahoo! DSL</A> - Now only $29.95 per month!</BLOCKQUOTE></BODY></HTML>