<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<TITLE>Message</TITLE>

<META content="MSHTML 6.00.2600.0" name=GENERATOR>
<STYLE>@font-face {
        font-family: Tahoma;
}
@page Section1 {size: 8.5in 11.0in; margin: 1.0in 1.25in 1.0in 1.25in; }
P.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"
}
LI.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"
}
DIV.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"
}
A:link {
        COLOR: blue; TEXT-DECORATION: underline
}
SPAN.MsoHyperlink {
        COLOR: blue; TEXT-DECORATION: underline
}
A:visited {
        COLOR: purple; TEXT-DECORATION: underline
}
SPAN.MsoHyperlinkFollowed {
        COLOR: purple; TEXT-DECORATION: underline
}
P {
        FONT-SIZE: 12pt; MARGIN-LEFT: 0in; MARGIN-RIGHT: 0in; FONT-FAMILY: "Times New Roman"
}
SPAN.emailstyle17 {
        COLOR: windowtext; FONT-FAMILY: Arial
}
SPAN.emailstyle18 {
        COLOR: navy; FONT-FAMILY: Arial
}
SPAN.EmailStyle20 {
        COLOR: navy; FONT-FAMILY: Arial
}
DIV.Section1 {
        page: Section1
}
</STYLE>
</HEAD>
<BODY lang=EN-US vLink=purple link=blue bgColor=#ffffff>
<DIV><SPAN class=984552113-03042003><FONT face=Arial color=#0000ff size=2>That's 
a good point, internal IMO is more important than external. It definitely takes 
some tuning to get the external IDS working the way you like. The placement 
of IDS outside works as an early warning system. Sure your firewall may be 
blocking the initial attack traffic, but it may lead up to something that could 
get through if no action is taken. I don't know about anyone else, but I don't 
sit in front of Check Point SmartView Tracker 24x7 and watch logs for attacks :) 
I check them once a day. So in the 24 hour period between the checks, who knows 
what is going on? Besides, firewalls don't do a great job of detecting 
intrusions and giving information as to what's going on. And they shouldn't. 
That's really not the purpose of a firewall.</FONT></SPAN></DIV>
<DIV><SPAN class=984552113-03042003><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=984552113-03042003>        
<FONT face=Arial color=#0000ff size=2>-Jason</FONT></SPAN></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV></DIV>
  <DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left><FONT 
  face=Tahoma size=2>-----Original Message-----<BR><B>From:</B> David Glosser 
  [mailto:david_glosser@...131...] <BR><B>Sent:</B> April 3, 2003 
  03:10<BR><B>To:</B> Brei, Matt; FWAdmin; 
  snort-users@lists.sourceforge.net<BR><B>Subject:</B> Re: [Snort-users] IDS 
  Placement ideas for inside and outside a firewall.<BR><BR></FONT></DIV>
  <DIV><FONT size=2>If you've never set up any IDS before, I'm not sure you 
  would want to place it outside your firewall immediately You'lll get 
  overwhelmed with probes,scans, script kiddies etc. </FONT></DIV>
  <DIV><FONT size=2>First place the box (with the "snorting" NIC unnumbered). On 
  the port monitoring the *internal* interface of your firewall. Let it work on 
  all of the stuff your firewall lets through. Once you have that under control, 
  then place another box (or another NIC on the same box) to monitor your 
  internal servers (since breakins can come from internal users). </FONT></DIV>
  <DIV><FONT size=2>Once you have these two under control, then you can worry 
  monitoring stuff outside the firewall,  which I believe is called *attack 
  detection*. But do you care that much about the stuff your firewall is 
  successfully blocking?</FONT></DIV>
  <DIV><FONT size=2></FONT> </DIV>
  <DIV><FONT size=2>--snip-</FONT></DIV>
  <BLOCKQUOTE 
  style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px">
    <DIV style="FONT: 10pt arial"><FONT face=Arial size=2><SPAN 
    style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"> I am trying to convince my 
    company to implement IDS on our network but I have a few questions. I 
    know I would want one on both sides of the firewall, 
  </SPAN></FONT></DIV></BLOCKQUOTE></BLOCKQUOTE></BODY></HTML>
<BR>

<P><FONT SIZE=2 FACE="Arial">------------------------- </FONT></P>

<P><FONT SIZE=2 FACE="Arial">This e-mail communication (including any or all attachments) is intended only for the use of the person or entity to which it is addressed and may contain confidential and/or privileged material. If you are not the intended recipient of this e-mail, any use, review, retransmission,  distribution, dissemination, copying, printing, or other use of, or taking of any action in reliance upon this e-mail, is strictly prohibited. If you have received this e-mail in error, please contact the sender and delete the original and any copy of this e-mail and any printout thereof, immediately. Your co-operation is appreciated. </FONT></P>
<BR>

<P><FONT SIZE=2 FACE="Arial">Le présent courriel (y compris toute pièce jointe) s'adresse uniquement à son destinataire, qu'il soit une personne ou un organisme, et pourrait comporter des renseignements privilégiés ou confidentiels. Si vous n'êtes pas le destinataire du courriel, il est interdit d'utiliser, de revoir, de retransmettre, de distribuer, de disséminer, de copier ou d'imprimer ce courriel, d'agir en vous y fiant ou de vous en servir de toute autre façon. Si vous avez reçu le présent courriel par erreur, prière de communiquer avec l'expéditeur et d'éliminer l'original du courriel, ainsi que toute copie électronique ou imprimée de celui-ci, immédiatement. Nous sommes reconnaissants de votre collaboration. </FONT></P>
<BR>