<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<TITLE>RE: [Snort-users] Centralized DB Server??</TITLE>

<META content="MSHTML 5.00.3103.1000" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT color=#0000ff face=Arial size=2><SPAN class=203070516-19062001>I'm 
not sure if originally got through to the list, so I'm resending.  
:-)</SPAN></FONT></DIV>
<DIV><FONT color=#0000ff face=Arial size=2><SPAN 
class=203070516-19062001></SPAN></FONT> </DIV>
<DIV><FONT color=#0000ff><SPAN class=203070516-19062001>
<DIV><FONT face=Arial size=2><SPAN class=609234523-18062001>Sorry for not 
replying to these earlier, been a <SPAN class=203070516-19062001>bit 
</SPAN>swamped lately... </SPAN></FONT></DIV>
<DIV><SPAN class=609234523-18062001></SPAN><FONT face=Arial 
size=2> </FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN class=609234523-18062001>I guess what we're 
doing needs a little clarification.  First, cutting the tx pair (the orange 
wires) will not work with many modern hubs/NICs because they send keep-alive 
pulses down the wire periodically.  If the keep-alives fail, many newer 
hubs will disconnect the port, and you're out of luck.  If you have older 
equipment, this shouldn't be a problem, but for many of us it still is.  
With newer equipment, there is a workaround though.  I'll explain our setup 
here.  In the snort machine, the external (sniffing) interface is a 
3com 509 combo card.  Attached to the AUI interface, is a modified AUI-UTP 
media converter.  We pulled out pins 3 and 10 (the tx pins) from the AUI 
end of the converter and then ran a regular UTP cable to the hub.  This 
satisfies the hub, because it is still able to send it's keep alives to the 
media converter, and satisfies us because the NIC is not able to transmit 
any data.</SPAN></FONT></DIV>
<DIV><SPAN class=609234523-18062001></SPAN><FONT face=Arial 
size=2> </FONT></DIV>
<DIV><FONT color=#0000ff><SPAN class=609234523-18062001><FONT face=Arial 
size=2>You can check out </FONT><A 
href="http://packetstorm.securify.com/sniffers/sniffing-faq.htm"><FONT 
face=Arial 
size=2>http://packetstorm.securify.com/sniffers/sniffing-faq.htm</FONT></A><FONT 
face=Arial size=2>  section 3.6 for a good explanation of what I just tried 
to describe.</FONT></SPAN></FONT></DIV>
<DIV><FONT color=#0000ff><SPAN class=609234523-18062001></SPAN></FONT><FONT 
face=Arial size=2> </FONT></DIV>
<DIV><FONT color=#0000ff><SPAN class=609234523-18062001><FONT color=#0000ff 
face=Arial size=2><SPAN class=609234523-18062001>I hope this 
helps!</SPAN></FONT></SPAN></FONT></DIV>
<DIV><FONT color=#0000ff><SPAN class=609234523-18062001><FONT 
color=#0000ff><SPAN class=609234523-18062001></SPAN></FONT></SPAN></FONT><FONT 
face=Arial size=2> </FONT></DIV>
<DIV><FONT color=#0000ff><SPAN class=609234523-18062001><FONT color=#0000ff 
face=Arial size=2><SPAN 
class=609234523-18062001>--Justin</SPAN></FONT></SPAN></FONT></SPAN></FONT><FONT 
face=Tahoma size=2>-----Original Message-----<BR><B>From:</B> Barry Darnton 
[mailto:BarryD@...2332...]<BR><B>Sent:</B> Monday, June 18, 2001 1:32 
AM<BR><B>To:</B> 'Chapman, Justin T'<BR><B>Subject:</B> RE: [Snort-users] 
Centralized DB Server??<BR><BR></DIV></DIV>
<BLOCKQUOTE 
style="BORDER-LEFT: #0000ff 2px solid; MARGIN-LEFT: 5px; MARGIN-RIGHT: 0px; PADDING-LEFT: 5px"></FONT>
  <P><FONT size=2>I'm curious, how do you get any data without the link up. I 
  though this was a great idea but I cant get any data without the link, but I 
  cant get a link with all 4 wires connected.??</FONT></P>
  <P><FONT size=2>Barry</FONT> </P><BR>
  <P><FONT size=2>-----Original Message-----</FONT> <BR><FONT size=2>From: 
  Chapman, Justin T [<A 
  href="mailto:JtChapma@...2279...">mailto:JtChapma@...2279...</A>]</FONT> 
  <BR><FONT size=2>Sent: Friday, 15 June 2001 1:25</FONT> <BR><FONT size=2>To: 
  Marc Thompson; 'Andreas Lindenblatt'; 'Kris Quinby'</FONT> <BR><FONT 
  size=2>Cc: snort-users@lists.sourceforge.net</FONT> <BR><FONT size=2>Subject: 
  RE: [Snort-users] Centralized DB Server??</FONT> </P><BR>
  <P><FONT size=2>My department has recently been brainstorming this same issue 
  & we came up</FONT> <BR><FONT size=2>with what I think is an interesting 
  solution.  Our topology is pretty</FONT> <BR><FONT size=2>simple, we have 
  a perimeter network and a "trusted" DMZ.  We, too didn't</FONT> <BR><FONT 
  size=2>like the idea of having MySQL traffic passing through the perimeter 
  network.</FONT> <BR><FONT size=2>So, our idea was to have a dual-homed machine 
  with one leg outside and one</FONT> <BR><FONT size=2>leg inside... with one 
  catch.  The cable on the external interface (the one</FONT> <BR><FONT 
  size=2>that snort is listening on) has the transmit pairs cut.  It's 
  physically</FONT> <BR><FONT size=2>impossible for that interface to transmit 
  any data.  It can listen all day</FONT> <BR><FONT size=2>long, it just 
  won't respond to *anything*.  This makes the computer</FONT> <BR><FONT 
  size=2>completely invisible to the outside world and all attempts to map it, 
  ping</FONT> <BR><FONT size=2>it or otherwise communicate with it fail.  
  We're still able to log to our</FONT> <BR><FONT size=2>MySQL database on the 
  inside via the DMZ connection, too.  </FONT></P><BR>
  <P><FONT size=2>--Justin</FONT> </P>
  <P><FONT size=2>> -----Original Message-----</FONT> <BR><FONT size=2>> 
  From: Marc Thompson [<A 
  href="mailto:Marc.Thompson@...2101...">mailto:Marc.Thompson@...2101...</A>]</FONT> 
  <BR><FONT size=2>> Sent: Tuesday, June 12, 2001 5:58 PM</FONT> <BR><FONT 
  size=2>> To: 'Andreas Lindenblatt'; 'Kris Quinby'</FONT> <BR><FONT 
  size=2>> Cc: snort-users@lists.sourceforge.net</FONT> <BR><FONT size=2>> 
  Subject: RE: [Snort-users] Centralized DB Server??</FONT> <BR><FONT 
  size=2>> </FONT><BR><FONT size=2>> </FONT><BR><FONT size=2>> 
  Andreas,</FONT> <BR><FONT size=2>> </FONT><BR><FONT size=2>> >But I 
  would feel uhm... uncomforatable with an open MySQL-Port to a</FONT> <BR><FONT 
  size=2>> >machine sitting inside our network and collecting lots of 
  'foreign',</FONT> <BR><FONT size=2>> >unchecked and unencrypted sensor 
  data.</FONT> <BR><FONT size=2>> </FONT><BR><FONT size=2>> What about an 
  IDS box that has two network interfaces:  One non-IP </FONT><BR><FONT 
  size=2>> Ethernet adapter on the DMZ and one IP-assigned Ethernet 
  Adapter</FONT> <BR><FONT size=2>> on the local net.  </FONT><BR><FONT 
  size=2>> </FONT><BR><FONT size=2>> I forgot to mention that I am 
  assuming that I am *not* transferring </FONT><BR><FONT size=2>> alerts 
  across the Internet.  The sites have redundant VPN </FONT><BR><FONT 
  size=2>> connectivity,</FONT> <BR><FONT size=2>> to the sites are also 
  connected via leased-lines on a private net.</FONT> <BR><FONT size=2>> 
  </FONT><BR><FONT size=2>> Does this mitigate the risk or am I 
  misunderstanding your point?</FONT> <BR><FONT size=2>> </FONT><BR><FONT 
  size=2>> Thanks,</FONT> <BR><FONT size=2>> Marc</FONT> <BR><FONT 
  size=2>> </FONT><BR><FONT size=2>> 
  *******************************************</FONT> <BR><FONT size=2>> Marc 
  Thompson</FONT> <BR><FONT size=2>> IT Site Manager</FONT> <BR><FONT 
  size=2>> BOPS, Inc.</FONT> <BR><FONT size=2>> 7800 Shoal Creek Blvd. 
  Suite 200N</FONT> <BR><FONT size=2>> Austin, TX 78757</FONT> <BR><FONT 
  size=2>> </FONT><BR><FONT size=2>> </FONT><BR><FONT size=2>> 
  -----Original Message-----</FONT> <BR><FONT size=2>> From: Andreas 
  Lindenblatt [<A 
  href="mailto:azrael@...70...">mailto:azrael@...70...</A>]</FONT> 
  <BR><FONT size=2>> Sent: Tuesday, June 12, 2001 6:20 PM</FONT> <BR><FONT 
  size=2>> To: Marc Thompson; 'Kris Quinby'</FONT> <BR><FONT size=2>> Cc: 
  snort-users@lists.sourceforge.net</FONT> <BR><FONT size=2>> Subject: Re: 
  [Snort-users] Centralized DB Server??</FONT> <BR><FONT size=2>> 
  </FONT><BR><FONT size=2>> </FONT><BR><FONT size=2>> Hi Marc,</FONT> 
  <BR><FONT size=2>> </FONT><BR><FONT size=2>> > geographical 
  locations.  I've been brainstorming this a </FONT><BR><FONT size=2>> 
  bit, and it seems</FONT> <BR><FONT size=2>> > that I should be able to 
  easily ignore alerts that are </FONT><BR><FONT size=2>> being generated 
  by</FONT> <BR><FONT size=2>> > traffic to the MySQL TCP port.  Does 
  this sound like the answer?</FONT> <BR><FONT size=2>> It surely is an 
  answer to your initial question :).</FONT> <BR><FONT size=2>> 
  </FONT><BR><FONT size=2>> But I would feel uhm... uncomforatable with an 
  open MySQL-Port to a</FONT> <BR><FONT size=2>> machine sitting inside our 
  network and collecting lots of 'foreign',</FONT> <BR><FONT size=2>> 
  unchecked and unencrypted sensor data.</FONT> <BR><FONT size=2>> 
  </FONT><BR><FONT size=2>> Even if it means we don't get 'real-time' data, 
  we fell back </FONT><BR><FONT size=2>> to packing</FONT> <BR><FONT 
  size=2>> and scrambling logs at the snort-boxes and fetching them with scp. 
  </FONT><BR><FONT size=2>> </FONT><BR><FONT size=2>> Hmmm... what 
  happened to SnortNet? It looked good with snort 1.6 :)</FONT> <BR><FONT 
  size=2>> </FONT><BR><FONT size=2>> -- </FONT><BR><FONT size=2>> 
  ----</FONT> <BR><FONT size=2>> BYE Andreas</FONT> <BR><FONT size=2>> 
  </FONT><BR><FONT size=2>> 
  _______________________________________________</FONT> <BR><FONT size=2>> 
  Snort-users mailing list</FONT> <BR><FONT size=2>> 
  Snort-users@lists.sourceforge.net</FONT> <BR><FONT size=2>> Go to this URL 
  to change user options or unsubscribe:</FONT> <BR><FONT size=2>> <A 
  href="http://lists.sourceforge.net/lists/listinfo/snort-users" 
  target=_blank>http://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT> 
  <BR><FONT size=2>> Snort-users list archive:</FONT> <BR><FONT size=2>> 
  <A href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" 
  target=_blank>http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT> 
  <BR><FONT size=2>> </FONT></P>
  <P><FONT size=2>_______________________________________________</FONT> 
  <BR><FONT size=2>Snort-users mailing list</FONT> <BR><FONT 
  size=2>Snort-users@lists.sourceforge.net</FONT> <BR><FONT size=2>Go to this 
  URL to change user options or unsubscribe:</FONT> <BR><FONT size=2><A 
  href="http://lists.sourceforge.net/lists/listinfo/snort-users" 
  target=_blank>http://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT> 
  <BR><FONT size=2>Snort-users list archive:</FONT> <BR><FONT size=2><A 
  href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" 
  target=_blank>http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT> 
  </P></BLOCKQUOTE></BODY></HTML>