<br><font size=2 face="sans-serif">If the snort sensor is behind the firewall it is intrusion detection and if the snort sensor is in front of (or on) the firewall it is attack detection :-) </font>
<br><font size=2 face="sans-serif">(from Stephen Nortcuts book Network Intrusion Detection)</font>
<br>
<br><font size=2 face="sans-serif">i.e. if the sensor is behind the firewall you would only see succesfull intrusions, and if the sensor is outside you will see every single probe...</font>
<br><font size=2 face="sans-serif"> </font>
<br>
<br><font size=2 face="sans-serif">Christian H. Jensen<br>
<br>
.................................................................................. <br>
<br>
eSec A/S - Managed Security <br>
<br>
http://www.esec.dk <br>
Telefon: +45 7020 5585 <br>
Direkte:  +45 4450 2073<br>
Mobil:     +45 20192510<br>
.................................................................................. </font>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td>
<td><font size=1 face="sans-serif"><b>"Prins, J.H." <J.H.Prins@...1070...></b></font>
<br><font size=1 face="sans-serif">Sent by: snort-users-admin@lists.sourceforge.net</font>
<p><font size=1 face="sans-serif">26-04-2001 10:04</font>
<br>
<td><font size=1 face="Arial">        </font>
<br><font size=1 face="sans-serif">        To:        "'dotslash'" <dotslash@...1760...>, Snort <snort-users@lists.sourceforge.net></font>
<br><font size=1 face="sans-serif">        cc:        </font>
<br><font size=1 face="sans-serif">        Subject:        RE: [Snort-users] snort behind firewall</font></table>
<br>
<br><font size=2 face="Courier New">This is indeed correct if snort runs on the same system as the firewall<br>
software. If it is a system behind the firewall system then I only sees<br>
packets on the internal network. <br>
<br>
-----Original Message-----<br>
From: dotslash [mailto:dotslash@...1760...]<br>
Sent: donderdag 26 april 2001 9:37<br>
To: Snort<br>
Subject: [Snort-users] snort behind firewall<br>
<br>
<br>
i'm not sure if this is already in the faq because i sure haven't found one.<br>
this is an answer i found in the snort.org forum which, to me, is one of the<br>
sought after answers of IDS newbies.  can someone verify if this answers the<br>
question of "Can snort still do it's job if it's firewalled?":<br>
<br>
"Yes, libpcap grabs the packets well before the linux kernel IPChains<br>
filters things. Remember, libpcap is used by tcpdump, and tcpdump can see<br>
packets which aren't even IP (ie: IPX frames), and also sees packets<br>
filtered by the IP handling of the Kernel. If I'm not mistaken, libpcap<br>
grabs as  raw socket.."  -- mattkettler<br>
<br>
<br>
<br>
<br>
"So to be quite precise, it's just the kernel of the OS"<br>
<br>
-- Bill Joy, (http://www.linux-mag.com/1999-11/joy_01.html)<br>
<br>
<br>
_______________________________________________<br>
Snort-users mailing list<br>
Snort-users@lists.sourceforge.net<br>
Go to this URL to change user options or unsubscribe:<br>
http://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users list archive:<br>
http://www.geocrawler.com/redir-sf.php3?list=snort-users<br>
<br>
_______________________________________________<br>
Snort-users mailing list<br>
Snort-users@lists.sourceforge.net<br>
Go to this URL to change user options or unsubscribe:<br>
http://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users list archive:<br>
http://www.geocrawler.com/redir-sf.php3?list=snort-users<br>
</font>
<br>
<br>