<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] Using Snort to monitor traffic before NAT overload translation</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>How about egress filtering on your firewall?</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Joshua Wright [<A HREF="mailto:Joshua.Wright@...979...2031...">mailto:Joshua.Wright@...2031...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Friday, October 26, 2001 1:47 PM</FONT>
<BR><FONT SIZE=2>To: Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Subject: [Snort-users] Using Snort to monitor traffic before NAT</FONT>
<BR><FONT SIZE=2>overload translation</FONT>
</P>
<BR>

<P><FONT SIZE=2>A little background:</FONT>
</P>

<P><FONT SIZE=2>Many of our student residence facilities are using NAT overload for outbound</FONT>
<BR><FONT SIZE=2>Internet 1 and Internet 2 connectivity on a single IP address.  This is</FONT>
<BR><FONT SIZE=2>working well for us, and prevents a lot of "undesired" functionality (e.g.</FONT>
<BR><FONT SIZE=2>students hosting websites, FTP sites, etc).</FONT>
</P>

<P><FONT SIZE=2>The problem I am running into is tracking down people who are "hacking"</FONT>
<BR><FONT SIZE=2>other sites.  If I receive a incident report from someone, they only IP</FONT>
<BR><FONT SIZE=2>address they know about is the NAT overload address.  I don't presently have</FONT>
<BR><FONT SIZE=2>a way to track down the individual who committed the reported acts.</FONT>
</P>

<P><FONT SIZE=2>I am considering using Snort to monitor internal traffic (e.g. EXTERNAL_NET</FONT>
<BR><FONT SIZE=2>any) so if someone sends me a incident report, I can correlate it to a Snort</FONT>
<BR><FONT SIZE=2>generated alert.</FONT>
</P>

<P><FONT SIZE=2>Are other people running into the same problem when using NAT overload?  Any</FONT>
<BR><FONT SIZE=2>recommendations on using Snort in this fashion or a better solution?</FONT>
</P>

<P><FONT SIZE=2>As always, thanks.</FONT>
</P>

<P><FONT SIZE=2>-Joshua Wright, GCIH</FONT>
<BR><FONT SIZE=2>Team Leader, Networks and Systems</FONT>
<BR><FONT SIZE=2>Johnson & Wales University</FONT>
<BR><FONT SIZE=2>Joshua.Wright@...2031... </FONT>
</P>

<P><FONT SIZE=2>pgpkey: <A HREF="http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xD44B4A73" TARGET="_blank">http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xD44B4A73</A></FONT>
<BR><FONT SIZE=2>fingerprint: FDA5 12FC F391 3740 E0AE BDB6 8FE2 FC0A D44B 4A73</FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-users mailing list</FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>Snort-users list archive:</FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>