<html>
Hey guys, be realistic! It's just a home network. Forget about tap or
port mirroring, either install on the gateway or use a hub. No matter how
cheap the DLink is, it's still a switch, you'll need a hub. It won't hurt
to use a hub since your traffic will not exceed 10-20MB on a cable
connection. In my opinion, putting it on the internal segment should be a
better solution for your situation since it will save you a lot of time
and concentrate only on the critical alerts that have come into your
network. Trust me, there are a lot of scanning going on, and you won't
want to see thaem all, let the firewall do its job.<br><br>
At 03:34 5/8/2002, Nicholas Bachmann wrote:<br>
<blockquote type=cite class=cite cite>neptuna wrote:<br>
<blockquote type=cite class=cite cite><blockquote type=cite class=cite cite><br>
<pre>Snort can be placed in many areas:  Probably the most
beneficial would 
be in front and behind the router/FW, this way you know what you're 
being attacked with and what's getting through the FW.
   
</pre><font face="Courier New, Courier"></font></blockquote><br>
<pre>
Actutally I did try to install snort a few months ago and I placed it 
on
one of the boxes on the inside (a RH 7.2) box. However it did not
capture any traffic.
</pre><font face="Courier New, Courier"></font></blockquote>If it's
really a switch, you should only see traffic to and from that port on the
switch.  You should see if it is possible for you to set up
mirroring on the switch, otherwise put Snort on the router/FW (get a
cheap x86 box) monitoring your internal interface.<br>
<blockquote type=cite class=cite cite><br>
<pre>
 
</pre><font face="Courier New, Courier"></font><blockquote type=cite class=cite cite><br>
<pre>CM ---- Snort --- Router/FW --- Snort ---- Switch ---- computers.
   
</pre><font face="Courier New, Courier"></font></blockquote><br>
<pre>
Let me understand:
CM -> Snort box plugged into the Ethernet jack of modem -> [ this
is
where i am confused ] Snort box hooked into the Router [ but how ?]
->
snort box UPlinked to switch -> Switch to internal
computers?</pre><font face="Courier New, Courier"></font></blockquote>The
best way would be to get a tap (I know, you probably don't care to spend
that much on a home IDS system. Can anybody guess how much a cheap tap
would cost for this?) or a hub and set it up like this:<br><br>
CM -- Router/FW/Snort -- Switch <br>
      
\                                                
<br>
         \ _ Snort <br><br>
A good question also becomes wheter putting a Snort box on the outside is
really worth it... it's fun to have just to see what you're deflecting,
but is it really needed, or on a large network, viable?<br><br>
<br>
<pre>-- 
<x-tab>        </x-tab>Regards,
<x-tab>        </x-tab>Nick

<x-tab>        </x-tab>Nicholas
Bachmann, SSCP
<x-tab>        </x-tab>Tech
Department
<x-tab>        </x-tab>Davison
Community Schools


</pre><font face="Courier New, Courier"></font><br>
------------------------------------------------------- This sf.net email
is sponsored by:ThinkGeek Welcome to geek heaven.
<a href="http://thinkgeek.com/sf" eudora="autourl">http://thinkgeek.com/sf</a>
_______________________________________________ Snort-users mailing list Snort-users@lists.sourceforge.net Go to this URL to change user options or unsubscribe: <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" eudora="autourl">https://lists.sourceforge.net/lists/listinfo/snort-users</a> Snort-users list archive: <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" eudora="autourl">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a> </blockquote>
<x-sigsep><p></x-sigsep>
<br>
--<br><br>
David Yip<br>
</html>