<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=Windows-1252">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.0.5770.91">
<TITLE>RE: [Snort-users] Snort and ipchains</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2>I, for one, am on the 'every little bit helps' list.  Any device may fail/be exploited/be misconfigured.  Its all about layers.  If I'm going to have snort alert, why not have it interfere also?  Obviously I plan on thinking worst case and configure all devices accordingly (so they might last ten seconds if there were no firewall at all), but for the price why not try and leverage snort also?</FONT></P>

<P><FONT SIZE=2>-----Original Message-----</FONT>

<BR><FONT SIZE=2>From: snort-users-admin@lists.sourceforge.net</FONT>

<BR><FONT SIZE=2>[<A HREF="mailto:snort-users-admin@...973...et">mailto:snort-users-admin@lists.sourceforge.net</A>]On Behalf Of Matt</FONT>

<BR><FONT SIZE=2>Kettler</FONT>

<BR><FONT SIZE=2>Sent: Tuesday, January 07, 2003 12:09 PM</FONT>

<BR><FONT SIZE=2>To: kb@...7827...; snort-users@lists.sourceforge.net</FONT>

<BR><FONT SIZE=2>Subject: Re: [Snort-users] Snort and ipchains</FONT>
</P>
<BR>

<P><FONT SIZE=2>I noticed this one went unanswered on the list.. so..</FONT>
</P>

<P><FONT SIZE=2>Snort is not intended to be a firewall, it is intended to be an intrusion </FONT>

<BR><FONT SIZE=2>sensor.</FONT>
</P>

<P><FONT SIZE=2>There are several tools, such as hogwash, snort-inline, and snortsam that </FONT>

<BR><FONT SIZE=2>are intended to allow snort alerts to dynamically re-configure your </FONT>

<BR><FONT SIZE=2>IPchains/IPTables firewall.</FONT>
</P>

<P><FONT SIZE=2>Personally, I'm a strong proponent of the "have a properly laid out </FONT>

<BR><FONT SIZE=2>firewall and properly patched servers in the first place. Don't rely on </FONT>

<BR><FONT SIZE=2>your IDS to try to secure your network, use it for forensics and to </FONT>

<BR><FONT SIZE=2>recognize what areas of your network are being probed the most frequently </FONT>

<BR><FONT SIZE=2>and thus need the closest attention" type approach. I also like to keep my </FONT>

<BR><FONT SIZE=2>snort box heavily isolated from other systems so I can trust the data on </FONT>

<BR><FONT SIZE=2>it, even if the firewall or servers in the DMZ are breached. But others </FONT>

<BR><FONT SIZE=2>like the idea of extending snort to auto-configure their firewalls.</FONT>
</P>

<P><FONT SIZE=2>The major drawbacks I see to integrating snort into your firewall are:</FONT>

<BR><FONT SIZE=2>          -it may create a strong false sense of security, and encourage </FONT>

<BR><FONT SIZE=2>not paying careful attention to firewall configuration.</FONT>

<BR><FONT SIZE=2>          -your firewall is now only as secure as your snort box, and many </FONT>

<BR><FONT SIZE=2>are not capable of securing a general purpose unix system well enough to </FONT>

<BR><FONT SIZE=2>make it secure enough to use as a firewall component. Judge your abilities </FONT>

<BR><FONT SIZE=2>carefully here and be paranoid about locking it down.</FONT>
</P>
<BR>

<P><FONT SIZE=2>At 12:23 PM 1/3/2003 -0800, "Kevin Brown" wrote:</FONT>

<BR><FONT SIZE=2>>so for most security, do i run ipchains/tables and snort?</FONT>

<BR><FONT SIZE=2>>I want bad packets to be stopped before they comein the front door,</FONT>

<BR><FONT SIZE=2>>does snort do that?</FONT>

<BR><FONT SIZE=2>>kevin</FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>>-------------------------------------------------------</FONT>

<BR><FONT SIZE=2>>This sf.net email is sponsored by:ThinkGeek</FONT>

<BR><FONT SIZE=2>>Welcome to geek heaven.</FONT>

<BR><FONT SIZE=2>><A HREF="http://thinkgeek.com/sf">http://thinkgeek.com/sf</A></FONT>

<BR><FONT SIZE=2>>_______________________________________________</FONT>

<BR><FONT SIZE=2>>Snort-users mailing list</FONT>

<BR><FONT SIZE=2>>Snort-users@lists.sourceforge.net</FONT>

<BR><FONT SIZE=2>>Go to this URL to change user options or unsubscribe:</FONT>

<BR><FONT SIZE=2>><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>

<BR><FONT SIZE=2>>Snort-users list archive:</FONT>

<BR><FONT SIZE=2>><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>

<BR><FONT SIZE=2>This SF.NET email is sponsored by:</FONT>

<BR><FONT SIZE=2>SourceForge Enterprise Edition + IBM + LinuxWorld = Something 2 See!</FONT>

<BR><FONT SIZE=2><A HREF="http://www.vasoftware.com">http://www.vasoftware.com</A></FONT>

<BR><FONT SIZE=2>_______________________________________________</FONT>

<BR><FONT SIZE=2>Snort-users mailing list</FONT>

<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>

<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>

<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>

<BR><FONT SIZE=2>Snort-users list archive:</FONT>

<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>