<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2800.1126" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY>
<DIV><FONT face="Courier New" color=#000080 size=2>You can install the snort 
sensor on the internet network viz one in DMZ, one in MZ, one in hrd and many 
more and make them centralized. IDS is also used to have an eye on the employees 
also. SO for me it is necessary to put my IDS on more than one locations and in 
the internal network. That's why I am interested in such things.</FONT></DIV>
<DIV><FONT face="Courier New" color=#000080 size=2>Also in big organizations, 
pepole want to have more than one sensors within their office. So for that pls 
confider my problem and try to give me some solution.</FONT></DIV>
<DIV><FONT face="Courier New" color=#000080 size=2>Further if the keywords 
"RESP" and "REACT" has been introduced in the snort rule base then they must 
have some intersion to introduce. Can you atleast tell me how can we do URL 
filtering through SNORT using the keyword "REACT"</FONT></DIV>
<DIV><FONT face="Courier New" color=#000080 size=2>Thanks in  
advance.</FONT></DIV>
<DIV><FONT face="Courier New" color=#000080 size=2></FONT><FONT 
face="Courier New" color=#000080 size=2></FONT><BR><FONT face="Courier New" 
color=#000080 size=2>Merry Christmas and a fruitful new year .......<BR>Regards 
and have a nice 
day,<BR>                           
Atul 
Shrivastava<BR>                           
Info Structure 
Services<BR>                           
HCL INFOSYSTEMS 
LTD.<BR>                           
E - 4,5,6 Sector 
XI,<BR>                           
Noida - 
201301<BR>                           
Tel: 91-120-2526910,2443013</FONT></DIV>
<DIV><FONT face="Courier New" color=#000080 size=2></FONT> </DIV>
<DIV><FONT face="Courier New" color=#000080 size=2></FONT> </DIV>
<DIV><FONT face="Courier New" color=#000080 size=2>----- Original Message ----- 
</FONT>
<DIV><FONT face="Courier New" color=#000080 size=2>From: "Alberto Gonzalez" 
<</FONT><A href="mailto:albertg@...7149..."><FONT 
face="Courier New" color=#000080 
size=2>albertg@...7149...</FONT></A><FONT face="Courier New" 
color=#000080 size=2>></FONT></DIV>
<DIV><FONT face="Courier New" color=#000080 size=2>To: "Atul Shrivastava" 
<</FONT><A href="mailto:atulsh@...7851..."><FONT face="Courier New" 
color=#000080 size=2>atulsh@...7851...</FONT></A><FONT face="Courier New" 
color=#000080 size=2>></FONT></DIV>
<DIV><FONT face="Courier New" color=#000080 size=2>Cc: <</FONT><A 
href="mailto:snort-users@lists.sourceforge.net"><FONT face="Courier New" 
color=#000080 size=2>snort-users@lists.sourceforge.net</FONT></A><FONT 
face="Courier New" color=#000080 size=2>></FONT></DIV>
<DIV><FONT face="Courier New" color=#000080 size=2>Sent: Tuesday, December 31, 
2002 5:24 PM</FONT></DIV>
<DIV><FONT face="Courier New" color=#000080 size=2>Subject: Re: [Snort-users] 
React & Resp keyword working</FONT></DIV></DIV>
<DIV><FONT face="Courier New"><BR><FONT color=#000080 
size=2></FONT></FONT></DIV><FONT face="Courier New" color=#000080 size=2>> 
Well, your saying that they *only* listen on the nw g/w. Well snort is <BR>> 
meant to run on the network g/w. Doesn't<BR>> mean you can't have snort 
running on the internal interface of the gw <BR>> which the rest of the 
machines connect to<BR>> (HUB scenario)? Hogwash and Snortsam can both do 
this.<BR>> <BR>> Cheers,<BR>>     Alberto 
Gonzalez<BR>> <BR>> <BR>> Atul Shrivastava wrote:<BR>> <BR>> > 
Dear Alberto,<BR>> >  <BR>> > Thx for this.<BR>> >  
<BR>> > I go through the Snortsam and Hogwash, but they doesn't fullfill 
my <BR>> > requirement.<BR>> > Actually for Hogwash, I have to put 
my snort box in a pass-through <BR>> > mode between the internal and 
external n/w and for Snortsam, it only <BR>> > modifies the rules for some 
firewall which is again at the gateway of <BR>> > the n/w.<BR>> > 
Let say some internal guy is doing somethink ill-legal, then these two <BR>> 
> will not work.<BR>> > Suppose I want that no porson in my internal 
network will not be able <BR>> > to do FTP within the network if the file 
contains some specified <BR>> > characters or say logging as 
"root".<BR>> > So for it Snortsam and Hogwash will not be able to detect 
and take a <BR>> > action according to that. I want that as this guy 
initialte such <BR>> > things and when the Snort come to know about this 
then the connection <BR>> > is blocked automatically and a message is send 
to the user doing that.<BR>> ><BR>> > Merry Christmas and a fruitful 
new year .......<BR>> > Regards and have a nice day,<BR>> 
>                            
Atul Shrivastava<BR>> 
>                            
Info Structure Services<BR>> 
>                            
HCL INFOSYSTEMS LTD.<BR>> 
>                            
E - 4,5,6 Sector XI,<BR>> 
>                            
Noida - 201301<BR>> 
>                            
Tel: 91-120-2526910,2443013<BR>> >  <BR>> > 
------------------------------------------------------------------------<BR>> 
> ----- Original Message -----<BR>> > From: "Alberto Gonzalez" 
<</FONT><A href="mailto:albertg@...7149..."><FONT 
face="Courier New" color=#000080 
size=2>albertg@...7149...</FONT></A><FONT face="Courier New" 
color=#000080 size=2> <BR>> > <</FONT><A 
href="mailto:albertg@...7149..."><FONT face="Courier New" 
color=#000080 size=2>mailto:albertg@...7149...</FONT></A><FONT 
face="Courier New" color=#000080 size=2>>><BR>> > To: "Atul 
Shrivastava" <</FONT><A href="mailto:atulsh@...7851..."><FONT 
face="Courier New" color=#000080 size=2>atulsh@...7851...</FONT></A><FONT 
face="Courier New" color=#000080 size=2> <</FONT><A 
href="mailto:atulsh@...7851..."><FONT face="Courier New" color=#000080 
size=2>mailto:atulsh@...7851...</FONT></A><FONT face="Courier New" 
color=#000080 size=2>>><BR>> > Sent: Tuesday, December 31, 2002 1:44 
PM<BR>> > Subject: Re: [Snort-users] React & Resp keyword 
working<BR>> ><BR>> > > If you *haven't* compiled snort with 
flexresp, i think you can answer<BR>> > > your own question if they 
will work.<BR>> > > I suggest looking into snortsam for blocking of 
offending connections.<BR>> > > That or Hogwash will do. You 
can<BR>> > > use flexresp but I've seen people bork their networks 
cause of it. I've<BR>> > > played with all three, and my 
choices<BR>> > > will be hogwash and or snortsam for the job.<BR>> 
> ><BR>> > > Cheers,  <BR>> > 
>     Alberto Gonzalez<BR>> > ><BR>> > 
> Atul Shrivastava wrote:<BR>> > ><BR>> > > > 
Hello,<BR>> > > > <BR>> > > > I am quiet keen to know 
about the keyword "RESP" & "REACT"<BR>> > > > I am working on 
Snort for a long time and now I need to forcely block<BR>> > > > the 
connections which are not legal. So for that I need to use these<BR>> > 
> > two keywords. I have got enough knowledge about these two keywords 
<BR>> > but<BR>> > > > before going for it, I would like to 
ask you that I have not compiled<BR>> > > > my snort (./configure) 
with flexresp.<BR>> > > > So I want to know that whether these rules 
will work on my machine or<BR>> > > > not. Further you have told 
that some message be sent to the user fot<BR>> > > > it but it will 
be available soon. I am using the snort verison 1.9.1.<BR>> > > > Is 
these facility is available in this verison.<BR>> > > > Please help 
me in this issue. Thanks in advance.<BR>> > > > <BR>> > > 
> Merry Christmas and a very happy new year ......<BR>> > > > 
Regards and have a nice day,<BR>> > > 
>                            
Atul Shrivastava<BR>> > > 
>                            
Info Structure Services<BR>> > > 
>                            
HCL INFOSYSTEMS LTD.<BR>> > > 
>                            
E - 4,5,6 Sector XI,<BR>> > > 
>                            
Noida - 201301<BR>> > > 
>                            
Tel: 91-120-2526910,2443013<BR>> > > > <BR>> > > > 
<BR>> > ><BR>> > ><BR>> > > --<BR>> > > The 
secret to success is to start from scratch and keep on scratching.<BR>> > 
> <BR>> <BR>> <BR>> -- <BR>> The secret to success is to start 
from scratch and keep on scratching.<BR>> </FONT></BODY></HTML>