<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <title></title>
</head>
<body>
neptuna wrote:<br>
<blockquote type="cite"
 cite="mid1028531983.1215.21.camel@...6521...">
  <blockquote type="cite">
    <pre wrap="">Snort can be placed in many areas:  Probably the most beneficial would 
be in front and behind the router/FW, this way you know what you're 
being attacked with and what's getting through the FW.
    </pre>
  </blockquote>
  <pre wrap=""><!---->
Actutally I did try to install snort a few months ago and I placed it on
one of the boxes on the inside (a RH 7.2) box. However it did not
capture any traffic. </pre>
</blockquote>
If it's really a switch, you should only see traffic to and from that port
on the switch.  You should see if it is possible for you to set up mirroring
on the switch, otherwise put Snort on the router/FW (get a cheap x86 box)
monitoring your internal interface.<br>
<blockquote type="cite"
 cite="mid1028531983.1215.21.camel@...6521...">
  <pre wrap="">
  </pre>
  <blockquote type="cite">
    <pre wrap="">CM ---- Snort --- Router/FW --- Snort ---- Switch ---- computers.
    </pre>
  </blockquote>
  <pre wrap=""><!---->
Let me understand:
CM -> Snort box plugged into the Ethernet jack of modem -> [ this is
where i am confused ] Snort box hooked into the Router [ but how ?] ->
snort box UPlinked to switch -> Switch to internal computers?</pre>
</blockquote>
The best way would be to get a tap (I know, you probably don't care to spend
that much on a home IDS system. Can anybody guess how much a cheap tap would
cost for this?) or a hub and set it up like this:<br>
<br>
CM -- Router/FW/Snort -- Switch <br>
       \                                                 <br>
         \ _ Snort <br>
<br>
A good question also becomes wheter putting a Snort box on the outside is
really worth it... it's fun to have just to see what you're deflecting, but
is it really needed, or on a large network, viable?<br>
<br>
<pre class="moz-signature" cols="$mailwrapcol">-- 
        Regards,
        Nick

        Nicholas Bachmann, SSCP
        Tech Department
        Davison Community Schools


</pre>
<br>
</body>
</html>