<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=Windows-1252">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.0.5770.91">
<TITLE>RE: [Snort-users] Re:Easy web-server protection?</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2>Yes, I can vouch for this one.  I love what it has done for our security situation.  Bear in mind, though, that all due care is required.  I've already posted some of the pitfalls I ran into.  Plus there are a few that I didn't get around to sharing.  All that aside, though, flex-resp is better than sliced bread.</FONT></P>

<P><FONT SIZE=2>-----Original Message-----</FONT>

<BR><FONT SIZE=2>From: snort-users-admin@lists.sourceforge.net</FONT>

<BR><FONT SIZE=2>[<A HREF="mailto:snort-users-admin@...973...et">mailto:snort-users-admin@lists.sourceforge.net</A>]On Behalf Of Eduardo</FONT>

<BR><FONT SIZE=2>Kita</FONT>

<BR><FONT SIZE=2>Sent: Thursday, January 30, 2003 5:38 AM</FONT>

<BR><FONT SIZE=2>To: Shaiful</FONT>

<BR><FONT SIZE=2>Cc: snort-users@lists.sourceforge.net; velbloud@...8167....</FONT>

<BR><FONT SIZE=2>Subject: Re: [Snort-users] Re:Easy web-server protection?</FONT>
</P>
<BR>

<P><FONT SIZE=2>You can also try Snort+FlexResp.</FONT>
</P>
<BR>

<P><FONT SIZE=2>Shaiful wrote:</FONT>
</P>

<P><FONT SIZE=2>>Hi,</FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>>Snort is an Intrusion Detection System (IDS) not</FONT>

<BR><FONT SIZE=2>>Intrusion Prevention System (IPS). You need something</FONT>

<BR><FONT SIZE=2>>like hogwash or snort-inline to drop the attack.</FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>>Below is the copy of my email to focus-ids early this</FONT>

<BR><FONT SIZE=2>>morning regarding the similar matter. Hope it helps.</FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>>Regards,</FONT>

<BR><FONT SIZE=2>>Shaiful</FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>>  </FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>>>Hi,</FONT>

<BR><FONT SIZE=2>>></FONT>

<BR><FONT SIZE=2>>>I've never tried snort-inline but I believed the</FONT>

<BR><FONT SIZE=2>>>concept is similar to hogwash.</FONT>

<BR><FONT SIZE=2>>></FONT>

<BR><FONT SIZE=2>>>If you want information about similar arrangement,</FONT>

<BR><FONT SIZE=2>>>just search for hogwash implementation.  Last time I</FONT>

<BR><FONT SIZE=2>>>checked there are quite a few.</FONT>

<BR><FONT SIZE=2>>></FONT>

<BR><FONT SIZE=2>>>For the last Code Red worm outbreak, I've used </FONT>

<BR><FONT SIZE=2>>>hogwash and block Code Red. IMHO, Code Red is worst</FONT>

<BR><FONT SIZE=2>>>since it uses port 80 which normally open at the</FONT>

<BR><FONT SIZE=2>>>    </FONT>

<BR><FONT SIZE=2>>></FONT>

<BR><FONT SIZE=2>>firewall.</FONT>

<BR><FONT SIZE=2>>  </FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>>>Running hogwash make me think why on earth the idea</FONT>

<BR><FONT SIZE=2>>>    </FONT>

<BR><FONT SIZE=2>>></FONT>

<BR><FONT SIZE=2>>of</FONT>

<BR><FONT SIZE=2>>  </FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>>>stopping application attack at layer 2 or 3 is not</FONT>

<BR><FONT SIZE=2>>>popular before.  Actually I've been waiting for</FONT>

<BR><FONT SIZE=2>>>hogwash like program one year before it is released</FONT>

<BR><FONT SIZE=2>>>and mostly due to my poor coding skill. The idea is</FONT>

<BR><FONT SIZE=2>>>quite old if you bother to search snort mailing</FONT>

<BR><FONT SIZE=2>>>    </FONT>

<BR><FONT SIZE=2>>></FONT>

<BR><FONT SIZE=2>>list.</FONT>

<BR><FONT SIZE=2>>  </FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>>>But looking at hogwash code, then I realised it is</FONT>

<BR><FONT SIZE=2>>>    </FONT>

<BR><FONT SIZE=2>>></FONT>

<BR><FONT SIZE=2>>not</FONT>

<BR><FONT SIZE=2>>  </FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>>>really rocket science ;-)</FONT>

<BR><FONT SIZE=2>>></FONT>

<BR><FONT SIZE=2>>>Regards,</FONT>

<BR><FONT SIZE=2>>>Shaiful</FONT>

<BR><FONT SIZE=2>>></FONT>

<BR><FONT SIZE=2>>>    </FONT>

<BR><FONT SIZE=2>>></FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>>__________________________________________________</FONT>

<BR><FONT SIZE=2>>Do you Yahoo!?</FONT>

<BR><FONT SIZE=2>>Yahoo! Mail Plus - Powerful. Affordable. Sign up now.</FONT>

<BR><FONT SIZE=2>><A HREF="http://mailplus.yahoo.com">http://mailplus.yahoo.com</A></FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>>-------------------------------------------------------</FONT>

<BR><FONT SIZE=2>>This SF.NET email is sponsored by:</FONT>

<BR><FONT SIZE=2>>SourceForge Enterprise Edition + IBM + LinuxWorld = Something 2 See!</FONT>

<BR><FONT SIZE=2>><A HREF="http://www.vasoftware.com">http://www.vasoftware.com</A></FONT>

<BR><FONT SIZE=2>>_______________________________________________</FONT>

<BR><FONT SIZE=2>>Snort-users mailing list</FONT>

<BR><FONT SIZE=2>>Snort-users@lists.sourceforge.net</FONT>

<BR><FONT SIZE=2>>Go to this URL to change user options or unsubscribe:</FONT>

<BR><FONT SIZE=2>><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>

<BR><FONT SIZE=2>>Snort-users list archive:</FONT>

<BR><FONT SIZE=2>><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>></FONT>

<BR><FONT SIZE=2>>  </FONT>

<BR><FONT SIZE=2>></FONT>
</P>

<P><FONT SIZE=2>-- </FONT>
</P>

<P><FONT SIZE=2>============</FONT>

<BR><FONT SIZE=2>Eduardo Kita</FONT>

<BR><FONT SIZE=2>Equipe  Unix</FONT>

<BR><FONT SIZE=2>  SEF - RJ</FONT>

<BR><FONT SIZE=2>============</FONT>
</P>
<BR>
<BR>
<BR>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>

<BR><FONT SIZE=2>This SF.NET email is sponsored by:</FONT>

<BR><FONT SIZE=2>SourceForge Enterprise Edition + IBM + LinuxWorld = Something 2 See!</FONT>

<BR><FONT SIZE=2><A HREF="http://www.vasoftware.com">http://www.vasoftware.com</A></FONT>

<BR><FONT SIZE=2>_______________________________________________</FONT>

<BR><FONT SIZE=2>Snort-users mailing list</FONT>

<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>

<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>

<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>

<BR><FONT SIZE=2>Snort-users list archive:</FONT>

<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>