<html>

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">


<meta name=Generator content="Microsoft Word 10 (filtered)">

<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;}
span.emailstyle17
        {font-family:Arial;
        color:windowtext;}
span.EmailStyle18
        {font-family:Tahoma;
        color:blue;
        font-weight:normal;
        font-style:normal;
        text-decoration:none none;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
</style>

</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><font size=2 color=blue face=Tahoma><span style='font-size:
10.0pt;font-family:Tahoma;color:blue'>As far as the inside, get you a little
hub.  3Com makes a good hub Office Connect, I think is what it's
called.</span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Tahoma><span style='font-size:
10.0pt;font-family:Tahoma;color:blue'>Take the line from your router/firewall,
run into the hub.  Plug your Snort box into one of the 4 or 8 ports on the
front of the hub.</span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Tahoma><span style='font-size:
10.0pt;font-family:Tahoma;color:blue'>A hub is literally a repeater, where it
repeats the signal it gets.  Now take the line that was from your router/firewall
to your switch and plug into the front of the hub as well.  I think this
will work for you.  Or you could just mirror a port on the switch. 
This could depend on the brand of switch. </span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Tahoma><span style='font-size:
10.0pt;font-family:Tahoma;color:blue'>Anyhow, that's one...wait..two
ways of setting it up internally.</span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Tahoma><span style='font-size:
10.0pt;font-family:Tahoma;color:blue'> </span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Tahoma><span style='font-size:
10.0pt;font-family:Tahoma;color:blue'>Later,</span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Tahoma><span style='font-size:
10.0pt;font-family:Tahoma;color:blue'> </span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Tahoma><span style='font-size:
 10.0pt;font-family:Tahoma;color:blue'>Philip Davidson</span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Tahoma><span style='font-size:
 10.0pt;font-family:Tahoma;color:blue'>DPC</span></font><font size=2
color=blue face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma;
color:blue'>, Inc</span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Tahoma><span style='font-size:
  10.0pt;font-family:Tahoma;color:blue'>1015 Maurice Fields Dr</span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Tahoma><span style='font-size:
  10.0pt;font-family:Tahoma;color:blue'>Paris</span></font><font size=2
 color=blue face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma;
 color:blue'>, </span></font><font size=2 color=blue face=Tahoma><span
  style='font-size:10.0pt;font-family:Tahoma;color:blue'>TN</span></font><font
 size=2 color=blue face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma;
 color:blue'> </span></font><font size=2 color=blue face=Tahoma><span
  style='font-size:10.0pt;font-family:Tahoma;color:blue'>38242</span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Tahoma><span style='font-size:
10.0pt;font-family:Tahoma;color:blue'>731.642.8627</span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=2 face=Tahoma><span
style='font-size:10.0pt;font-family:Tahoma'>-----Original Message-----<br>
<b><span style='font-weight:bold'>From:</span></b> Brei, Matt
[mailto:mbrei@...8727...] <br>
<b><span style='font-weight:bold'>Sent:</span></b> Wednesday, April 02, 2003
1:43 PM<br>
<b><span style='font-weight:bold'>To:</span></b>
snort-users@lists.sourceforge.net<br>
<b><span style='font-weight:bold'>Subject:</span></b> [Snort-users] IDS
Placement ideas for inside and outside a firewall.</span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'> </span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=2 face=Arial><span
style='font-size:10.0pt;font-family:Arial'>Hi everyone.  I am trying to
convince my company to implement IDS on our network but I have a few
questions.  I know I would want one on both sides of the firewall, but on
a switched network, how would I force traffic to go through Snort before it
reached its destination?  Also, the way its set up now, the Cisco 1751
router goes right into the Cisco PIX 501 firewall and from there into a
switch.  How would I place an IDS between the firewall and switch?</span></font></p>

</div>

</body>

</html>