<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body dir="auto">
<div>Everything has a performance penalty.   It may be big or small.  But I don't think a feature that you want to use should be discarded because it
<b>may</b> have a performance penalty.  </div>
<div id="AppleMailSignature"><br>
</div>
<div id="AppleMailSignature">Openappid can indeed do those things, auto detect protocols, etc, and you should give it a shot.  Don't be discouraged because something may have a penalty.  <br>
<br>
<div>--</div>
<div><b>Joel Esler</b> </div>
<div>Manager, <span style="font-size: 13pt;">Talos</span></div>
Sent from my iPhone</div>
<div><br>
On Nov 6, 2015, at 5:51 AM, Carlos Rodriguez Hernandez <<a href="mailto:crodriguezh.ext@...109...">crodriguezh.ext@...109...</a>> wrote:<br>
<br>
</div>
<blockquote type="cite">
<div>
<div dir="ltr">
<div class="gmail_extra">
<div class="gmail_extra">Hello everyone,</div>
<div class="gmail_extra"><br>
</div>
<div class="gmail_extra">So at this moment enabling AppID allows you to identify the traffic and apply specific "ad hoc" rules but doesn't:</div>
<div class="gmail_extra"><br>
</div>
<div class="gmail_extra">1) Enable you to reduce the number of security rules based on specific traffic profile (say use http rules only when traffic is detected as http) NOR</div>
<div class="gmail_extra">2) Reduce or eliminate the need to use portvars as to enable a specific preprocessor or rule to trigger outside the "typicall" ports</div>
<div class="gmail_extra"><br>
</div>
<div class="gmail_extra">Is this right?</div>
<div class="gmail_extra"><br>
</div>
<div class="gmail_extra">I was thinking into creating a set of OpenAppID rules to detect the operating system and use that information to feed the Snort Inventory data (applied to things like normalization) but as you note, enabling AppID of course has a performance
 penalty, but I expected it to in contrast improve the rules efficency and reduce the false positives :disappointed:</div>
<div class="gmail_extra">Either way, a path to investigate. </div>
<div class="gmail_extra"><br>
</div>
<div class="gmail_extra">Thanks, Carlos</div>
<div><br>
</div>
-- <br>
<div class="gmail_signature">
<div dir="ltr">
<div>
<div dir="ltr">
<div>
<div style="font-size:12.8px"><span style="color:rgb(0,0,0)"><span style="font-family:tahoma,sans-serif"><font size="4">Car</font></span><span style="font-family:tahoma,sans-serif"><font size="4">los Rodríguez Hernández</font></span></span><br>
<font color="#666666"><b>Fellow Developer</b></font></div>
<div style="font-size:12.8px"><span style="font-family:tahoma,sans-serif"></span></div>
<div style="font-size:12.8px"><span style="font-family:tahoma,sans-serif"><a href="http://redborder.net/" style="color:rgb(17,85,204)" target="_blank">redborder.net</a> | +34 609477932</span></div>
<div style="font-size:12.8px"><font face="tahoma, sans-serif"><br>
</font><img src="http://p3.zdassets.com/hc/settings_assets/596025/200071372/3Iv4KNwd4hpnPRuwLuoExA-Logo_redBorder_Absolute_Visibility_Normal.png" width="200" height="64" style="font-size: 12.8px;"><br>
</div>
</div>
<span style="color:rgb(0,176,80);font-family:Calibri,sans-serif;font-size:13.3333px">
<div><br>
</div>
</span>
<div>
<div>
<div style="color:rgb(0,0,0);margin:0cm 0cm 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif;text-align:justify">
<span style="font-size:9.5pt;font-family:Arial,sans-serif;color:rgb(34,34,34)"></span></div>
<div style="color:rgb(0,0,0);margin:0cm 0cm 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif;text-align:justify">
<span style="font-size:9pt;color:rgb(31,73,125)"></span><span style="font-size:9.5pt;font-family:Arial,sans-serif;color:rgb(34,34,34)"></span></div>
<div style="color:rgb(0,0,0);margin:0cm 0cm 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif;text-align:justify">
<span lang="EN-US" style="font-size:9pt;color:rgb(31,73,125)">This email, including attachments, is intended exclusively for its addressee. It contains information that is CONFIDENTIAL whose disclosure is prohibited by law and may be covered by legal privilege.
 I</span><span lang="EN-GB" style="font-size:9pt;color:rgb(31,73,125)">f you have received this email in error, please notify the sender and delete it from your system.</span></div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
<blockquote type="cite">
<div><span>------------------------------------------------------------------------------</span><br>
</div>
</blockquote>
<blockquote type="cite">
<div><span>_______________________________________________</span><br>
<span>Snort-openappid mailing list</span><br>
<span><a href="mailto:Snort-openappid@lists.sourceforge.net">Snort-openappid@lists.sourceforge.net</a></span><br>
<span><a href="https://lists.sourceforge.net/lists/listinfo/snort-openappid">https://lists.sourceforge.net/lists/listinfo/snort-openappid</a></span><br>
<span></span><br>
<span>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!</span></div>
</blockquote>
</body>
</html>