<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 5.50.4134.100" name=GENERATOR></HEAD>
<BODY>
<DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=560115106-28102000>Gene,</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=560115106-28102000></SPAN></FONT> </DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=560115106-28102000>I have 
to make a installation and configuration document for snort maybe we can make 
the HOWTO together.</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=560115106-28102000></SPAN></FONT> </DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=560115106-28102000>Let me 
know if you are interested.</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=560115106-28102000></SPAN></FONT> </DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=560115106-28102000>Cheers 
and beers</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=560115106-28102000>Karl</SPAN></FONT></DIV></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Oorspronkelijk bericht-----<BR><B>Van:</B> 
  snort-users-admin@lists.sourceforge.net 
  [mailto:snort-users-admin@lists.sourceforge.net]<B>Namens </B>Gene R. 
  Gomez<BR><B>Verzonden:</B> donderdag 26 oktober 2000 19:33<BR><B>Aan:</B> 
  'snort-users@lists.sourceforge.net'<BR><B>Onderwerp:</B> [Snort-users] 
  Snort-IDS-HOWTO<BR><BR></FONT></DIV>
  <DIV><SPAN class=428192017-26102000><FONT face=Arial size=2>Hey 
  folks,</FONT></SPAN></DIV>
  <DIV><SPAN class=428192017-26102000><FONT face=Arial size=2>Has anyone 
  attempted to write a HOWTO for the LDP on a snort implementation?  I've 
  been tinkering with snort for a short while now (around 2 weeks), but my work 
  would have been much easier if a HOWTO had existed when I 
  started.</FONT></SPAN></DIV>
  <DIV><SPAN class=428192017-26102000><FONT face=Arial size=2>Once again, I'm 
  not an expert by any means, but if no one here is already working on this, I'd 
  be willing to draft up a preliminary HOWTO that someone else (with far more 
  experience than I) could edit for security/accuracy.</FONT></SPAN></DIV>
  <DIV><SPAN class=428192017-26102000><FONT face=Arial size=2>Essentially, to 
  give you an idea, my snort implementation (and the one I'd put together in the 
  HOWTO) uses three rulesets:</FONT></SPAN></DIV>
  <DIV><SPAN class=428192017-26102000><FONT face=Arial 
  size=2>1.    vision.rules</FONT></SPAN></DIV>
  <DIV><SPAN class=428192017-26102000><FONT face=Arial 
  size=2>2.    10102k.rules</FONT></SPAN></DIV>
  <DIV><SPAN class=428192017-26102000><FONT face=Arial 
  size=2>3.    home.rules (this is just a "home team advantage" 
  ruleset that defines services that would be normal on other networks, but 
  don't exist in my own)</FONT></SPAN></DIV>
  <DIV><SPAN class=428192017-26102000><FONT face=Arial size=2>It uses the 
  snort-update script (slightly-modified) to check for new vision.rules sets 
  every hour and automaticly update, and send a report containing updates, 
  snort.alert, and portscan.log (if any of these reports are valid) via 
  SMTP.</FONT></SPAN></DIV>
  <DIV><SPAN class=428192017-26102000><FONT face=Arial size=2>The idea is that 
  if dev.whitehats.com is down, wget will retrieve a bad copy of vision.rules, 
  and wipe the existing, good one out.  In that case, the most recent 
  "official" snort ruleset is still in effect.  Preference is given to 
  vision.rules because it's hoped that a dynamicly updated listing will be more 
  thorough than the static one that has to be updated manually from 
  snort.org.</FONT></SPAN></DIV>
  <DIV><SPAN class=428192017-26102000><FONT face=Arial size=2>Is this something 
  that anyone else is working on?  If not, is there any chance I could 
  interest an experienced snort user to proof-read my (most likely flawed) HOWTO 
  when I'm done?  Or is it something the community as a whole would like to 
  review?</FONT></SPAN></DIV>
  <DIV><SPAN class=428192017-26102000><FONT face=Arial 
  size=2></FONT></SPAN> </DIV>
  <DIV><SPAN class=428192017-26102000><FONT face=Arial 
  size=2>-Gene</FONT></SPAN></DIV></BLOCKQUOTE></BODY></HTML>