<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2650.12">
<TITLE>AW: [Snort-users] Snort as a host-based IDS</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>I run a farm of 26 Webservers and snort it with a P133/64 MB running on Windows 2000 Server. Sure needs some special installation of the OS to reduce load of the cpu (disable all unneeded services and so on..) </FONT></P>

<P><FONT SIZE=2>Also i log into a mysql DB and query this with ACID. Works fine on one mirrored port on our Cisco 2924XL.  </FONT>
<BR><FONT SIZE=2>So from my point of view just go ahead and use an older box to run snort !</FONT>
</P>

<P><FONT SIZE=2>Just one little thing to say : a use a script to flush the Database when the alerts are growing above ca. 5000..  cause then you run into timeouts when querying the DB.  Not sure if this is a problem with mySQL/ACID or the really old hardware.</FONT></P>

<P><FONT SIZE=2>hope i could give you some points to think about..</FONT>
</P>

<P><FONT SIZE=2>Wolfgang</FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Originalnachricht-----</FONT>
<BR><FONT SIZE=2>Von: Chris Kirby</FONT>
<BR><FONT SIZE=2>An: 'snort-users@lists.sourceforge.net'</FONT>
<BR><FONT SIZE=2>Gesendet: 09.10.01 20:55</FONT>
<BR><FONT SIZE=2>Betreff: [Snort-users] Snort as a host-based IDS</FONT>
</P>

<P><FONT SIZE=2>We have a a server farm of about ten Windows NT4 webservers that I would</FONT>
<BR><FONT SIZE=2>like to install Snort on. Can snort be installed on win32 machines as a</FONT>
<BR><FONT SIZE=2>host-based IDS or can it only function as a network-based IDS on this</FONT>
<BR><FONT SIZE=2>particular platform? Since we do not have a lot of bandwidth pushing</FONT>
<BR><FONT SIZE=2>through</FONT>
<BR><FONT SIZE=2>(under 2mb/s), would it be better to dedicate a box as a network based</FONT>
<BR><FONT SIZE=2>IDS?</FONT>
<BR><FONT SIZE=2>Also, can snort as a host-based IDS detect filesystem changes or would I</FONT>
<BR><FONT SIZE=2>just install tripwire along with snort to get best of both worlds?</FONT>
</P>

<P><FONT SIZE=2>One issue however is that our webservers are sitting behind F5 Load</FONT>
<BR><FONT SIZE=2>balancers and are in a switched environment. I am not sure if our</FONT>
<BR><FONT SIZE=2>switches</FONT>
<BR><FONT SIZE=2>(Cisco 2924XL) will support spanning ports or not, does anyone know? I</FONT>
<BR><FONT SIZE=2>may</FONT>
<BR><FONT SIZE=2>have to stick with host based IDS no matter what if it does not. </FONT>
</P>

<P><FONT SIZE=2>Since our bandwidth is not high, could we get away with one Intel</FONT>
<BR><FONT SIZE=2>Pentium</FONT>
<BR><FONT SIZE=2>3-750mhz box running Snort to monitor both the segment in front of</FONT>
<BR><FONT SIZE=2>firewall</FONT>
<BR><FONT SIZE=2>as well as the DMZ? Is there any security risk in installing a network</FONT>
<BR><FONT SIZE=2>based</FONT>
<BR><FONT SIZE=2>IDS that can bypass the firewall or does the "read-only" ethernet cable</FONT>
<BR><FONT SIZE=2>splice ensure one-way traffic only?</FONT>
</P>

<P><FONT SIZE=2>Any comments are welcome. :) Thanks in advance!</FONT>
</P>

<P><FONT SIZE=2>Chris.</FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-users mailing list</FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>Snort-users list archive:</FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>