Joshua,<br><br>Thanks for your email.<br><br>Sorry for the late reply. Comments inline.<br><br><br><div class="gmail_quote">On Tue, Feb 21, 2012 at 8:08 PM, Joshua Kinard <span dir="ltr"><<a href="mailto:kumba@...3266...5...">kumba@...2185...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
This is a curious little preprocessor, so I decided to play with it a bit,<br>
and have a few questions...<br>
<br>
1. For the 'mask_output' directive, where does that actually operate?  I<br>
tested out some sample e-mail traffic I generated with an SSN in it, and in<br>
both the console output and the raw packet output, the SSN was clearly<br>
visible, so I am dubious if this directive actually works as advertised.<br>
<br>
Also, it says it will obfuscate the last four digits of credit card numbers.<br>
 My experience has shown the opposite to be true, that the first 12 digits<br>
(for Visa, MasterCard) are typically obfuscated out while leaving the last<br>
four visible.  Should Snort mirror this?  Obfuscate the last 4 for SSN and<br>
the first 12 for CC's?  Amex and other cards might need minor tweaks, as<br>
they have a slightly different number format.<br></blockquote><div><br>The README.sensitive_data says<br><br>   mask_output<br>        This option replaces all but the last 4 digits of a detected PII with<br>        "X"s. This is only done on credit card & Social Security numbers, where<br>
        an organization's regulations may prevent them from seeing unencrypted<br>        numbers.<br><br>What doc are you referring to?<br></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<br>
<br>
<br>
2. For the 'ssn_file' directive, it looks like that as of 06/24/2011, the US<br>
Social Security Administration switched to a randomized SSN format that<br>
deprecates the need for this file.  The last file that they issued was on<br>
the above date:<br>
<br>
<a href="http://www.socialsecurity.gov/employer/randomization.html" target="_blank">http://www.socialsecurity.gov/employer/randomization.html</a><br>
<a href="http://www.socialsecurity.gov/employer/ssnvhighgroup.htm" target="_blank">http://www.socialsecurity.gov/employer/ssnvhighgroup.htm</a><br>
<br>
So is this directive still needed?  Or would it make sense to incorporate<br>
the final release into Snort and remove this directive?<br>
<br>
<br></blockquote><div><br>We have filed a bug to fix this. Thank you for pointing it out. <br></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<br>
3. No output from the alerts is logged.  I brought this issue up once before<br>
when I reported that tcpdump files contain only the 24-byte PCAP header and<br>
nothing else.  I have since ran into this issue while using file_data, too.<br>
 So it seems to be something with the way preprocessor alerts are processed<br>
that they are not logged to files in some cases.<br>
<br>
I even tested unified2 output, and all I get is a 0-byte file written to my<br>
log directory.  If I use -A full, and configure alert_full, then I get the<br>
text of the alert and the IP/TCP headers only written out to a file, but no<br>
application layer or payload.<br>
<br>
This partially relates back to item #1, because I can't see what exactly<br>
mask_output should be obfuscating.  so I am still confused on why Snort is<br>
writing empty files out.  That still seems like a bug to me.<br>
<br>
<br>
Here's the relevant parts of my config and test rules:<br>
<br>
output log_tcpdump: log/snort.log<br>
output alert_full: alert.full<br>
output alert_unified2: filename alert.u2<br>
output log_unified2: filename log.u2<br>
<br>
preprocessor sensitive_data:  \<br>
        mask_output  \<br>
        ssn_file ssn-grps-20110624-final.csv<br>
<br>
alert tcp any any -> any 25 (msg:"sd_pattern test smtp";<br>
sd_pattern:1,us_social; sid:42000030; rev:1; gid:138;<br>
classtype:policy-violation;)<br>
<br>
<br></blockquote><div><br>A bug has been filed to address this. Can you send me the pcap and conf you used? <br></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

Thanks!<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Joshua Kinard<br>
Gentoo/MIPS<br>
<a href="mailto:kumba@...2185...">kumba@...2185...</a><br>
4096R/D25D95E3 2011-03-28<br>
<br>
"The past tempts us, the present confuses us, the future frightens us.  And<br>
our lives slip away, moment by moment, lost in that vast, terrible in-between."<br>
<br>
--Emperor Turhan, Centauri Republic<br>
<br>
</font></span><br>------------------------------------------------------------------------------<br>
Virtualization & Cloud Management Using Capacity Planning<br>
Cloud computing makes use of virtualization - but cloud computing<br>
also focuses on allowing computing to be delivered as a service.<br>
<a href="http://www.accelacomm.com/jaw/sfnl/114/51521223/" target="_blank">http://www.accelacomm.com/jaw/sfnl/114/51521223/</a><br>_______________________________________________<br>
Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@...1685...ceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br>