<HTML><FONT FACE=arial,helvetica><FONT  SIZE=2 FAMILY="SANSSERIF" FACE="Arial" LANG="0">I found in early testing that WinPCap did NOT always work correctly (I understand WinPCap is supposed to work at layer 2 directly with the NIC interface driver and as such a full IP stack should not be needed) when the MS TCP/IP stack was disabled, this may not be others experience as I have noted several different proceedures that appear to work addressed on these mailing lists. I can only tell you what works for me. If you have find a better way to make a wheel, more power to ya.<BR>
The END result is what is important, a secure sensor that can not be detected or intruded upon.<BR>
<BR>
Cliff (smile)<BR>
<BR>
In a message dated 6/28/2002 11:40:34 AM Eastern Daylight Time, Keith.McCammon@...3497... writes: <BR>
</FONT><FONT  COLOR="#0000ff" style="BACKGROUND-COLOR: #ffffff" SIZE=2 FAMILY="SANSSERIF" FACE="Arial" LANG="0"><BLOCKQUOTE TYPE=CITE style="BORDER-LEFT: #0000ff 2px solid; MARGIN-LEFT: 5px; MARGIN-RIGHT: 0px; PADDING-LEFT: 5px">Am I missing something!?!  Why steps two through four?  There's no reason to have TCP/IP enabled at all on that interface.  Winpcap is doing the work, not the (shady) Windows IP stack.</FONT><FONT  COLOR="#000000" style="BACKGROUND-COLOR: #ffffff" SIZE=3 FAMILY="SANSSERIF" FACE="Arial" LANG="0"><BR>
 </FONT><FONT  COLOR="#000000" style="BACKGROUND-COLOR: #ffffff" SIZE=2 FAMILY="SANSSERIF" FACE="Arial" LANG="0"><BR>
</FONT><FONT  COLOR="#000000" style="BACKGROUND-COLOR: #ffffff" SIZE=2 FAMILY="SANSSERIF" FACE="Tahoma" LANG="0"><BLOCKQUOTE TYPE=CITE style="BORDER-LEFT: #0000ff 2px solid; MARGIN-LEFT: 5px; MARGIN-RIGHT: 0px; PADDING-LEFT: 5px">-----Original Message-----<BR>
<B>From:</B> CJATeck@...661... [mailto:CJATeck@...661...]<BR>
<B>Sent:</B> Friday, June 28, 2002 11:25 AM<BR>
<B>To:</B> McCammon, Keith; tslighter@...5174...; michaels@...155...; scotw@...125...<BR>
<B>Cc:</B> snort-users@lists.sourceforge.net<BR>
<B>Subject:</B> Re: [Snort-users] Setting up a Windowz Interface to monitor with no IP Address<BR>
<BR>
<BR>
</FONT><FONT  COLOR="#000000" style="BACKGROUND-COLOR: #ffffff" SIZE=2 FAMILY="SANSSERIF" FACE="Arial" LANG="0">I do NOT use the registry hack although I am aware of it, for my "External Interface" I do the following.<BR>
<BR>
1) I use a copper tap (Finisar) as the physical device to intercept traffic between my boundary router and the outside firewall interface, as this is a "recieve only" device, it provides protection at the OSI phyical layer.<BR>
2) On a WIN32 box I disable ALL but the TCP/IP stack. (NO file& print, NO MS client, ect)<BR>
3) I leave the interface set for "DHCP", no hard IP info (NO unicast address, NO subnet, NO DNS, ect)<BR>
4) I disable the DHCP service.<BR>
<BR>
RESULT- provides a promiscuous interface that is protected from detection and intrusion at both layer 1 and layer 3 of the OSI model.<BR>
<BR>
Hope this clarify things.<BR>
<BR>
Cliff<BR>
<BR>
In a message dated 6/28/2002 11:07:52 AM Eastern Daylight Time, Keith.McCammon@...3497... writes: <BR>
<BLOCKQUOTE TYPE=CITE style="BORDER-LEFT: #0000ff 2px solid; MARGIN-LEFT: 5px; MARGIN-RIGHT: 0px; PADDING-LEFT: 5px">How about just disabling TCP/IP on that interface by un-checking the component?  Why muck around with the registry?</FONT><FONT  COLOR="#000000" style="BACKGROUND-COLOR: #ffffff" SIZE=3 FAMILY="SANSSERIF" FACE="Arial" LANG="0"><BR>
</FONT><FONT  COLOR="#000000" style="BACKGROUND-COLOR: #ffffff" SIZE=2 FAMILY="SANSSERIF" FACE="Arial" LANG="0"><BR>
<BLOCKQUOTE TYPE=CITE style="BORDER-LEFT: #0000ff 2px solid; MARGIN-LEFT: 5px; MARGIN-RIGHT: 0px; PADDING-LEFT: 5px">-----Original Message-----<BR>
<B>From:</B> CJATeck@...661... [mailto:CJATeck@...661...]<BR>
<B>Sent:</B> Friday, June 28, 2002 10:51 AM<BR>
<B>To:</B> tslighter@...5174...; michaels@...155...; scotw@...125...<BR>
<B>Cc:</B> snort-users@lists.sourceforge.net<BR>
<B>Subject:</B> Re: [Snort-users] Setting up a Windowz Interface to monitor with no IP Address<BR>
</FONT><FONT  COLOR="#000000" style="BACKGROUND-COLOR: #ffffff" SIZE=3 FAMILY="SANSSERIF" FACE="Arial" LANG="0"><BR>
</BLOCKQUOTE><BR>
</FONT><FONT  COLOR="#000000" style="BACKGROUND-COLOR: #ffffff" SIZE=2 FAMILY="SANSSERIF" FACE="Arial" LANG="0"></BLOCKQUOTE><BR>
</BLOCKQUOTE><BR>
</BLOCKQUOTE><BR>
</FONT></HTML>