<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] PHP4 advisory... ACID?</TITLE>
</HEAD>
<BODY>
<BR>
<BR>

<P><FONT SIZE=2>> Quoting Jason Boyer (jason@...418...):</FONT>
<BR><FONT SIZE=2>> > > > Personally I wouldnt run acid on any public facing </FONT>
<BR><FONT SIZE=2>> interface, best to keep connections for a second interface </FONT>
<BR><FONT SIZE=2>> onto a private switch with restricted internal acces.</FONT>
<BR><FONT SIZE=2>> > ></FONT>
<BR><FONT SIZE=2>> > > A bit harsh - simply telling Apache to password-protect </FONT>
<BR><FONT SIZE=2>> the ACID directory</FONT>
<BR><FONT SIZE=2>> > > and only run it over HTTPS should take care of most problems....</FONT>
<BR><FONT SIZE=2>> > </FONT>
<BR><FONT SIZE=2>> > I would agree with password+ssl as the above solution is a </FONT>
<BR><FONT SIZE=2>> little extremely paranoid.</FONT>
<BR><FONT SIZE=2>> a little paranoia never hurt anyone.</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> besides by having an unnumbered interface on the public side </FONT>
<BR><FONT SIZE=2>> it would make it difficult (esoteric for most script kiddies) </FONT>
<BR><FONT SIZE=2>> to enumerate ids systems on the net</FONT>
<BR><FONT SIZE=2>> work, this is not a method of simple security through </FONT>
<BR><FONT SIZE=2>> obscurity, just a way of limiting my ids boxes from being </FONT>
<BR><FONT SIZE=2>> direct targets for DoS attacks and the like,</FONT>
<BR><FONT SIZE=2>>  after all detecting such events is one of the reasons why I </FONT>
<BR><FONT SIZE=2>> put them in the first place.</FONT>
</P>

<P><FONT SIZE=2>Who says that your acid box is the same as your snort box?  Your snort box can still be ivisible to the outside world at the same time your acid box has a outward facing interface.</FONT></P>

</BODY>
</HTML>