<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2788.0">
<TITLE></TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2 FACE="Times New Roman">Hey Carl,</FONT>
</P>

<P><FONT SIZE=2 FACE="Times New Roman">I am working on a project with a client using Snort and ACID. I am working on adding some of the functionality of say ISS to the snort console. So far I have a sensor status or heartbeat function, the ability to read portscan logs (still working on consolidating them from multiple sensors), the ability to update rules and conf files, the ability to start, stop and reboot sensors. I am still working on the ability to update OS Software (RPMs, etc.).</FONT></P>

<P><FONT SIZE=2 FACE="Times New Roman">This deployment had to happen pretty quick, so it's not quite the way I would want it, but we should be able to utilize some of the code. Our plan was to release the changes to the dev group as soon as the client is productional and we have removed any direct references to the client from the code.</FONT></P>

<P><FONT SIZE=2 FACE="Times New Roman">The only remaining issue we had was fault tolerance. The fix was to use barnyard with a waldo file. However, barnyard does not currently appear to capture payload data. So, recovery from a loss of communication between sensor and database server is a grueling, manual process to get missed events into the database.</FONT></P>

<P><B><FONT FACE="Arial">Ron Shuck</FONT><FONT SIZE=2 FACE="Arial">, CISSP</FONT><FONT SIZE=2 FACE="Arial"> -</FONT></B> <FONT SIZE=2 FACE="Arial">Managing</FONT><FONT SIZE=2 FACE="Arial"> Consultant</FONT>

<BR><B><FONT SIZE=2 FACE="Arial">Buchanan Associates</FONT></B><FONT SIZE=2 FACE="Arial"> -</FONT> <FONT COLOR="#FF0000" SIZE=2 FACE="Comic Sans MS">A</FONT> <FONT COLOR="#000000" SIZE=2 FACE="Comic Sans MS">Technology</FONT><FONT COLOR="#FF0000" SIZE=2 FACE="Comic Sans MS"></FONT> <FONT COLOR="#0000FF" SIZE=2 FACE="Comic Sans MS">Company</FONT><FONT COLOR="#FF0000" SIZE=2 FACE="Comic Sans MS"> in the</FONT> <FONT COLOR="#000000" SIZE=2 FACE="Comic Sans MS">People Business</FONT>

<BR><FONT SIZE=2 FACE="Times New Roman"><A HREF="http://www.buchanan.com" TARGET="_blank">http://www.buchanan.com</A></FONT>

<BR><FONT SIZE=2 FACE="Times New Roman"><A HREF="http://www.isc2.org" TARGET="_blank">http://www.isc2.org</A></FONT>
</P>

</BODY>
</HTML>