<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<TITLE>Pass rules for Exchange 2000 OWA</TITLE>

<META content="MSHTML 5.50.4807.2300" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=472213418-23102001><SPAN 
class=472213418-23102001>Thanks for the help</SPAN> that seems to have done 
the trick. Is there a performance difference between using content matching and 
uricontent matching?</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=472213418-23102001>Mike</SPAN></FONT></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> Dell, Jeffrey 
  [mailto:JDell@...155...]<BR><B>Sent:</B> Tuesday, October 23, 2001 2:02 
  PM<BR><B>To:</B> 'Cessna, Michael'<BR><B>Subject:</B> RE: [Snort-sigs] Pass 
  rules for Exchange 2000 OWA<BR><BR></FONT></DIV>
  <DIV><FONT face=Arial size=2><SPAN 
  class=068115617-23102001>Michael,</SPAN></FONT></DIV>
  <DIV><FONT face=Arial size=2><SPAN 
  class=068115617-23102001></SPAN></FONT> </DIV>
  <DIV><FONT face=Arial size=2><SPAN class=068115617-23102001>Lets try to trim 
  this down a bit.. here is your rule:</SPAN></FONT></DIV>
  <DIV><FONT face=Arial size=2>pass tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 
  (msg:"WEB-MISC webdav search access by Exchange OWA connection"; flags: A+; 
  content: "SEARCH /exchange"; depth: 8; nocase;reference:arachnids,474; 
  classtype:bad-unknown; sid:1070; rev:1;)</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><SPAN class=068115617-23102001><FONT face=Arial size=2>Here is a trimmed 
  down version:</FONT></SPAN></DIV>
  <DIV><SPAN class=068115617-23102001><FONT face=Arial size=2>pass tcp 
  $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC webdav search access 
  by Exchange OWA connection"; flags: A+; uricontent: "/exchange"; 
  nocase;)</FONT></SPAN></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><SPAN class=068115617-23102001><FONT face=Arial size=2>I basically took 
  out a lot of crap that is ignored for a pass rule and made it a uricontent 
  instead of just a content. This should work. if not, let me know. I have 
  another idea.</FONT></SPAN></DIV>
  <DIV><SPAN class=068115617-23102001><FONT face=Arial 
  size=2></FONT></SPAN> </DIV>
  <DIV><SPAN class=068115617-23102001><FONT face=Arial 
  size=2>Jeff</FONT></SPAN></DIV>
  <DIV><SPAN class=068115617-23102001><FONT face=Arial 
  size=2></FONT></SPAN> </DIV>
  <BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
    <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
    size=2>-----Original Message-----<BR><B>From:</B> Cessna, Michael 
    [mailto:MCessna@...153...]<BR><B>Sent:</B> Tuesday, October 23, 2001 1:28 
    PM<BR><B>To:</B> 'Dell, Jeffrey'; Cessna, Michael; 
    snort-sigs@lists.sourceforge.net<BR><B>Subject:</B> RE: [Snort-sigs] Pass 
    rules for Exchange 2000 OWA<BR><BR></FONT></DIV>
    <DIV><SPAN class=940002617-23102001><FONT face=Arial color=#0000ff size=2>I 
    should have said that I have the -o switch, sorry about that. But I 
    restarted snort and checked to make sure that the -o was there anyway. It 
    was and it's still tripping the webdav rule.</FONT></SPAN></DIV>
    <DIV><SPAN class=940002617-23102001><FONT face=Arial color=#0000ff 
    size=2>Here's the packet payload that just tripped the webdav 
    rule.</FONT></SPAN></DIV>
    <DIV><SPAN class=940002617-23102001>000 : 53 45 41 52 43 48 20 2F 65 78 63 
    68 61 6E 67 65   SEARCH /exchange<BR>010 : 2F 67 73 74 65 65 72 65 
    2F 49 6E 62 6F 78 2F 20   /gsteere/Inbox/ <BR>020 : 48 54 54 50 2F 
    31 2E 31 0D 0A 63 6F 6E 74 65 6E   HTTP/1.1..conten<BR>030 : 74 2D 
    74 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C   t-type: 
    text/xml<BR>040 : 0D 0A 41 63 63 65 70 74 2D 4C 61 6E 67 75 61 
    67   ..Accept-Languag<BR>050 : 65 3A 20 65 6E 2D 75 73 0D 0A 42 72 
    69 65 66 3A   e: en-us..Brief:<BR>060 : 20 74 0D 0A 72 61 6E 67 65 
    3A 20 72 6F 77 73 3D    t..range: rows=<BR>070 : 30 2D 32 34 
    0D 0A 52 65 66 65 72 65 72 3A 20 68   0-24..Referer: h<BR>080 : 74 
    74 70 3A 2F 2F 77 65 62 6D 61 69 6C 2E 72 74   
    ttp://webmail.rt<BR>090 : 6D 2E 63 6F 6D 2F 65 78 63 68 61 6E 67 65 2F 
    67   m.com/exchange/g<BR>0a0 : 73 74 65 65 72 65 2F 49 6E 62 6F 78 
    2F 3F 43 6D   steere/Inbox/?Cm<BR>0b0 : 64 3D 63 6F 6E 74 65 6E 74 
    73 0D 0A 43 6F 6F 6B   d=contents..Cook<BR>0c0 : 69 65 3A 20 73 65 
    73 73 69 6F 6E 69 64 3D 66 35   ie: sessionid=f5<BR>0d0 : 66 31 36 
    65 30 37 2D 33 32 61 39 2D 34 39 37 36   f16e07-32a9-4976<BR>0e0 : 
    2D 39 63 33 33 2D 32 65 37 34 31 33 32 38 39 62   
    -9c33-2e7413289b<BR>0f0 : 64 34 2C 30 78 34 30 39 3B 20 53 49 54 45 53 
    45   d4,0x409; SITESE<BR>100 : 52 56 45 52 3D 49 44 3D 62 64 64 34 
    64 65 37 39   RVER=ID=bdd4de79<BR>110 : 34 35 61 35 62 34 38 35 38 
    32 39 38 31 39 37 36   45a5b48582981976<BR>120 : 63 34 66 62 33 32 
    63 39 0D 0A 55 73 65 72 2D 41   c4fb32c9..User-A<BR>130 : 67 65 6E 
    74 3A 20 4D 6F 7A 69 6C 6C 61 2F 34 2E   gent: Mozilla/4.<BR>140 : 
    30 20 28 63 6F 6D 70 61 74 69 62 6C 65 3B 20 4D   0 (compatible; 
    M<BR>150 : 53 49 45 20 35 2E 30 31 3B 20 57 69 6E 64 6F 77   SIE 
    5.01; Window<BR>160 : 73 20 4E 54 20 35 2E 30 29 0D 0A 48 6F 73 74 
    3A   s NT 5.0)..Host:<BR>170 : 20 77 65 62 6D 61 69 6C 2E 72 74 6D 
    2E 63 6F 6D    webmail.rtm.com<BR>180 : 0D 0A 43 6F 6E 6E 65 
    63 74 69 6F 6E 3A 20 4B 65   ..Connection: Ke<BR>190 : 65 70 2D 41 
    6C 69 76 65 0D 0A 41 75 74 68 6F 72   ep-Alive..Author<BR>1a0 : 69 
    7A 61 74 69 6F 6E 3A 20 4E 65 67 6F 74 69 61   ization: 
    Negotia<BR>1b0 : 74 65 20 54 6C 52 4D 54 56 4E 54 55 41 41 44 41   
    te TlRMTVNTUAADA<BR>1c0 : 41 41 41 47 41 41 59 41 47 41 41 41 41 41 59 
    41   AAAGAAYAGAAAAAYA<BR>1d0 : 42 67 41 65 41 41 41 41 41 34 41 44 
    67 42 41 41   BgAeAAAAA4ADgBAA<BR>1e0 : 41 41 41 44 67 41 4F 41 45 
    34 41 41 41 41 45 41   AAADgAOAE4AAAAEA<BR>1f0 : 41 51 41 58 41 41 
    41 41 41 41 41 41 41 43 51 41   AQAXAAAAAAAAACQA<BR>200 : 41 41 41 
    42 59 4B 41 67 48 49 41 64 41 42 74 41   AAABYKAgHIAdABtA<BR>210 : 
    43 34 41 59 77 42 76 41 47 30 41 5A 77 42 7A 41   
    C4AYwBvAG0AZwBzA<BR>220 : 48 51 41 5A 51 42 6C 41 48 49 41 5A 51 42 4D 
    41   HQAZQBlAHIAZQBMA<BR>230 : 46 41 41 41 74 69 31 78 6F 52 78 4F 
    7A 75 6D 44   FAAAti1xoRxOzumD<BR>240 : 71 65 59 2B 69 75 71 75 32 
    72 45 59 68 46 61 43   qeY+iuqu2rEYhFaC<BR>250 : 2F 4D 34 52 52 38 
    78 73 36 50 37 76 6A 51 70 6F   /M4RR8xs6P7vjQpo<BR>260 : 65 43 4F 
    65 50 71 48 2F 32 6C 6C 41 59 36 53 63   eCOePqH/2llAY6Sc<BR>270 : 
    52 61 36 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E   
    Ra6..Content-Len<BR>280 : 67 74 68 3A 20 38 32 37 0D 0A 0D 
    0A               
    gth: 827....<BR></SPAN></DIV>
    <DIV><SPAN class=940002617-23102001><FONT face=Arial color=#0000ff 
    size=2>Any ideas?</FONT></SPAN></DIV>
    <DIV><SPAN class=940002617-23102001><FONT face=Arial color=#0000ff 
    size=2>Mike</FONT></DIV></SPAN>
    <BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
      <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
      size=2>-----Original Message-----<BR><B>From:</B> Dell, Jeffrey 
      [mailto:JDell@...155...]<BR><B>Sent:</B> Tuesday, October 23, 2001 12:18 
      PM<BR><B>To:</B> 'Cessna, Michael'; 
      snort-sigs@lists.sourceforge.net<BR><B>Subject:</B> RE: [Snort-sigs] Pass 
      rules for Exchange 2000 OWA<BR><BR></FONT></DIV>
      <DIV><SPAN class=694391416-23102001><FONT face=Arial color=#0000ff 
      size=2>Michael,</FONT></SPAN></DIV>
      <DIV><SPAN class=694391416-23102001><FONT face=Arial color=#0000ff 
      size=2></FONT></SPAN> </DIV>
      <DIV><SPAN class=694391416-23102001><FONT face=Arial color=#0000ff 
      size=2>It is probably the rules order.. Make sure you have a "-o" arg 
      when running snort. This will change the rules order to 
      pass->alert->log.</FONT></SPAN></DIV>
      <DIV><SPAN class=694391416-23102001><FONT face=Arial color=#0000ff 
      size=2></FONT></SPAN> </DIV>
      <DIV><SPAN class=694391416-23102001><FONT face=Arial color=#0000ff 
      size=2>Jeff</FONT></SPAN></DIV>
      <BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
        <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
        size=2>-----Original Message-----<BR><B>From:</B> Cessna, Michael 
        [mailto:MCessna@...153...]<BR><B>Sent:</B> Tuesday, October 23, 2001 11:46 
        AM<BR><B>To:</B> snort-sigs@lists.sourceforge.net<BR><B>Subject:</B> 
        [Snort-sigs] Pass rules for Exchange 2000 OWA<BR><BR></FONT></DIV>
        <P><FONT face=Arial size=2>Hello all,</FONT> <BR><FONT face=Arial 
        size=2>I am trying to write a pass rule for Exchange 2000 Outlook Web 
        Access. The problem is that the OWA connections keep tripping the web 
        dav rules in the web-misc rules files. I would like to keep the alerts 
        active but pass the OWA connections.</FONT></P>
        <P><FONT face=Arial size=2>The Webdav rule that keeps tripping 
        is:</FONT> <BR><FONT face=Arial size=2>alert tcp $EXTERNAL_NET any -> 
        $HTTP_SERVERS 80 (msg:"WEB-MISC webdav search access"; flags: A+; 
        content: "SEARCH "; depth: 8; nocase;reference:arachnids,474; 
        classtype:bad-unknown; sid:1070; rev:1;)</FONT></P>
        <P><FONT face=Arial size=2>I tried to use the following pass rule to 
        ignore the OWA connections:</FONT> <BR><FONT face=Arial size=2>pass tcp 
        $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC webdav search 
        access by Exchange OWA connection"; flags: A+; content: "SEARCH 
        /exchange"; depth: 8; nocase;reference:arachnids,474; 
        classtype:bad-unknown; sid:1070; rev:1;)</FONT></P>
        <P><FONT face=Arial size=2>This is a copy of the webdav rule except that 
        I added the /exchange to the content match. I just can't seem to see 
        what I am doing wrong. Maybe I am just on crack today :)</FONT></P>
        <P><FONT face=Arial size=2>Any help would be greatly appreciated,</FONT> 
        </P>
        <P><FONT face="Courier New" size=2>Michael Cessna</FONT> <BR><FONT 
        face="Courier New" size=2>Network Engineer</FONT> <BR><FONT 
        face="Courier New" size=2>RealTime Media</FONT> <BR><FONT 
        face="Courier New" size=2>308 Lancaster Ave.</FONT> <BR><FONT 
        face="Courier New" size=2>Wynnewood, PA 19096</FONT> <BR><FONT 
        face="Courier New" size=2>p.610-896-9400 x308</FONT> <BR><FONT 
        face="Courier New" size=2>f.610-896-9416</FONT> <BR><FONT 
        face="Courier New" size=2>mcessna@...153...</FONT> <BR><FONT 
        face="Courier New" size=2>www.realtimemedia.com</FONT> <BR><FONT 
        face="Courier New" size=2>www.rtm.com</FONT> 
  </P></BLOCKQUOTE></BLOCKQUOTE></BLOCKQUOTE></BLOCKQUOTE></BODY></HTML>