<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=Windows-1252">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.0.5770.91">
<TITLE>RE: [Snort-users] Snort and ipchains</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->
<BR>

<P><FONT SIZE=2>Good point.  I should have mentioned that up front:  I have (will have) 5 firewalls.  One border, one for each type of different service we will host, and an ISA box that defines the DMZ.  Each firewall is configured to 'fail closed'.  They are also the 'invisible bridging' variety, so they'll be hard to directly assault.</FONT></P>

<P><FONT SIZE=2>As an aside, I do not trust snort to modify my firewall rules.  I don't really advocate automatically putting things on your block lists.  The computer isn't really educated well enough to make that kind of a decision.  I also wouldn't trust the computer to explain it's decision to my boss...</FONT></P>

<P><FONT SIZE=2>I do, however, advocate layering snort behind static firewall rules to examine/audit the traffic that does get through.</FONT>
</P>

<P><FONT SIZE=2>So, even though I'm not expressing myself correctly, I think we agree...</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>

<BR><FONT SIZE=2>From: snort-users-admin@lists.sourceforge.net</FONT>

<BR><FONT SIZE=2>[<A HREF="mailto:snort-users-admin@...973...et">mailto:snort-users-admin@lists.sourceforge.net</A>]On Behalf Of Matt</FONT>

<BR><FONT SIZE=2>Kettler</FONT>

<BR><FONT SIZE=2>Sent: Wednesday, January 08, 2003 10:38 AM</FONT>

<BR><FONT SIZE=2>To: snort-users@lists.sourceforge.net</FONT>

<BR><FONT SIZE=2>Subject: RE: [Snort-users] Snort and ipchains</FONT>
</P>
<BR>

<P><FONT SIZE=2>At 03:17 PM 1/7/2003 -0600, you wrote:</FONT>
</P>

<P><FONT SIZE=2>>I, for one, am on the 'every little bit helps' list.  Any device may </FONT>

<BR><FONT SIZE=2>>fail/be exploited/be misconfigured.  Its all about layers.  If I'm going </FONT>

<BR><FONT SIZE=2>>to have snort alert, why not have it interfere also?  Obviously I plan on </FONT>

<BR><FONT SIZE=2>>thinking worst case and configure all devices accordingly (so they might </FONT>

<BR><FONT SIZE=2>>last ten seconds if there were no firewall at all), but for the price why </FONT>

<BR><FONT SIZE=2>>not try and leverage snort also?</FONT>
</P>

<P><FONT SIZE=2>Actually, your reasoning is exactly why I oppose letting snort modify the </FONT>

<BR><FONT SIZE=2>firewall... "any device may fail/be exploited/be misconfigured" includes my </FONT>

<BR><FONT SIZE=2>snort box. I favor isolating the failure of the two systems (the snort box </FONT>

<BR><FONT SIZE=2>and the firewall box) so that a failure or exploit of one does not imply </FONT>

<BR><FONT SIZE=2>failure of both. auto-configuring a firewall from a snort box means that </FONT>

<BR><FONT SIZE=2>should the snort box be exploited, it's game-over for your firewall, since </FONT>

<BR><FONT SIZE=2>the snort box has the power to reconfigure the firewall and the attacker </FONT>

<BR><FONT SIZE=2>can now just re-do it as a "wide-open".</FONT>
</P>

<P><FONT SIZE=2>It's all about layers... isolated layers that fail independently and not in </FONT>

<BR><FONT SIZE=2>giant cascades, but that's really a matter of different security philosophies.</FONT>
</P>

<P><FONT SIZE=2>There's also an argument that "if you know about an attack and can detect </FONT>

<BR><FONT SIZE=2>it, you should already be immune" but I tend not to favor that argument </FONT>

<BR><FONT SIZE=2>against auto-firewall-snort setups. Let's face it, most attackers tend to </FONT>

<BR><FONT SIZE=2>use a variety of attacks and may start off with some common old attacks </FONT>

<BR><FONT SIZE=2>before trying fancy stuff. Blocking them off as soon as they try anything </FONT>

<BR><FONT SIZE=2>is worthwhile in protecting you against the "fancy stuff".</FONT>
</P>

<P><FONT SIZE=2>I guess the "best" case is to have a fixed-config firewall out front, with </FONT>

<BR><FONT SIZE=2>an inline-snort box behind it doing dynamic blocking on a second firewall. </FONT>

<BR><FONT SIZE=2>This way the firewall on the snort box is only an "extra" layer that is not </FONT>

<BR><FONT SIZE=2>a single-point-of-failure for your networks firewall. I can definitely see </FONT>

<BR><FONT SIZE=2>the "every bit helps" argument if you have the resources to set up a </FONT>

<BR><FONT SIZE=2>dual-firewall environment.</FONT>
</P>

<P><FONT SIZE=2>I'd certainly make sure there's some very careful consideration of what </FONT>

<BR><FONT SIZE=2>happens to your network if the snort box is hacked, and make sure it </FONT>

<BR><FONT SIZE=2>remains secure even if that box is exploited. I prefer to be able to prove </FONT>

<BR><FONT SIZE=2>that hacking it is impossible or worthless (ie: if the snort box cannot </FONT>

<BR><FONT SIZE=2>send data to any network because it's only connected by a one-way-tap, </FONT>

<BR><FONT SIZE=2>exploiting it is most likely impossible, the best you could likely do is a </FONT>

<BR><FONT SIZE=2>DoS of some form that only affects the snort box.)</FONT>
</P>
<BR>
<BR>
<BR>
<BR>
<BR>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>

<BR><FONT SIZE=2>This SF.NET email is sponsored by:</FONT>

<BR><FONT SIZE=2>SourceForge Enterprise Edition + IBM + LinuxWorld = Something 2 See!</FONT>

<BR><FONT SIZE=2><A HREF="http://www.vasoftware.com">http://www.vasoftware.com</A></FONT>

<BR><FONT SIZE=2>_______________________________________________</FONT>

<BR><FONT SIZE=2>Snort-users mailing list</FONT>

<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>

<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>

<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>

<BR><FONT SIZE=2>Snort-users list archive:</FONT>

<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>