<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML xmlns="http://www.w3.org/TR/REC-html40" xmlns:v = 
"urn:schemas-microsoft-com:vml" xmlns:o = 
"urn:schemas-microsoft-com:office:office" xmlns:w = 
"urn:schemas-microsoft-com:office:word"><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=US-ASCII">
<TITLE>Message</TITLE>

<META content=Word.Document name=ProgId>
<META content="MSHTML 6.00.2722.900" name=GENERATOR>
<META content="Microsoft Word 10" name=Originator><LINK 
href="cid:filelist.xml@...8771..." rel=File-List><!--[if gte mso 9]><xml>
 <o:OfficeDocumentSettings>
  <o:DoNotRelyOnCSS/>
 </o:OfficeDocumentSettings>
</xml><![endif]--><!--[if gte mso 9]><xml>
 <w:WordDocument>
  <w:Zoom>110</w:Zoom>
  <w:SpellingState>Clean</w:SpellingState>
  <w:GrammarState>Clean</w:GrammarState>
  <w:DocumentKind>DocumentEmail</w:DocumentKind>
  <w:EnvelopeVis/>
  <w:BrowserLevel>MicrosoftInternetExplorer4</w:BrowserLevel>
 </w:WordDocument>
</xml><![endif]-->
<STYLE>@font-face {
        font-family: Tahoma;
}
@page Section1 {size: 8.5in 11.0in; margin: 1.0in 1.25in 1.0in 1.25in; mso-header-margin: .5in; mso-footer-margin: .5in; mso-paper-source: 0; }
P.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"; mso-style-parent: ""; mso-pagination: widow-orphan; mso-fareast-font-family: "Times New Roman"
}
LI.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"; mso-style-parent: ""; mso-pagination: widow-orphan; mso-fareast-font-family: "Times New Roman"
}
DIV.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"; mso-style-parent: ""; mso-pagination: widow-orphan; mso-fareast-font-family: "Times New Roman"
}
A:link {
        COLOR: blue; TEXT-DECORATION: underline; text-underline: single
}
SPAN.MsoHyperlink {
        COLOR: blue; TEXT-DECORATION: underline; text-underline: single
}
A:visited {
        COLOR: purple; TEXT-DECORATION: underline; text-underline: single
}
SPAN.MsoHyperlinkFollowed {
        COLOR: purple; TEXT-DECORATION: underline; text-underline: single
}
P {
        FONT-SIZE: 12pt; MARGIN-LEFT: 0in; MARGIN-RIGHT: 0in; FONT-FAMILY: "Times New Roman"; mso-pagination: widow-orphan; mso-fareast-font-family: "Times New Roman"; mso-margin-top-alt: auto; mso-margin-bottom-alt: auto
}
SPAN.emailstyle17 {
        COLOR: windowtext; FONT-FAMILY: Arial; mso-style-name: emailstyle17; mso-ascii-font-family: Arial; mso-hansi-font-family: Arial; mso-bidi-font-family: Arial
}
SPAN.emailstyle18 {
        COLOR: navy; FONT-FAMILY: Arial; mso-style-name: emailstyle18; mso-ascii-font-family: Arial; mso-hansi-font-family: Arial; mso-bidi-font-family: Arial
}
SPAN.emailstyle20 {
        COLOR: navy; FONT-FAMILY: Arial; mso-style-name: emailstyle20; mso-ascii-font-family: Arial; mso-hansi-font-family: Arial; mso-bidi-font-family: Arial
}
SPAN.emailstyle21 {
        COLOR: navy; FONT-FAMILY: Arial; mso-style-name: emailstyle21; mso-ascii-font-family: Arial; mso-hansi-font-family: Arial; mso-bidi-font-family: Arial
}
SPAN.emailstyle22 {
        COLOR: navy; FONT-FAMILY: Arial; mso-style-name: emailstyle22; mso-ascii-font-family: Arial; mso-hansi-font-family: Arial; mso-bidi-font-family: Arial
}
SPAN.EmailStyle23 {
        COLOR: navy; FONT-FAMILY: Arial; mso-ascii-font-family: Arial; mso-hansi-font-family: Arial; mso-bidi-font-family: Arial; mso-style-type: personal-reply; mso-style-noshow: yes; mso-ansi-font-size: 10.0pt; mso-bidi-font-size: 10.0pt
}
SPAN.SpellE {
        mso-style-name: ""; mso-spl-e: yes
}
SPAN.GramE {
        mso-style-name: ""; mso-gram-e: yes
}
DIV.Section1 {
        page: Section1
}
</STYLE>
<!--[if gte mso 10]>
<style>
 /* Style Definitions */ 
 table.MsoNormalTable
        {mso-style-name:"Table Normal";
        mso-tstyle-rowband-size:0;
        mso-tstyle-colband-size:0;
        mso-style-noshow:yes;
        mso-style-parent:"";
        mso-padding-alt:0in 5.4pt 0in 5.4pt;
        mso-para-margin:0in;
        mso-para-margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:10.0pt;
        font-family:"Times New Roman";}
</style>
<![endif]--><!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]--></HEAD>
<BODY lang=EN-US style="tab-interval: .5in" vLink=purple link=blue bgColor=white>
<DIV><SPAN class=465180203-04042003><FONT face=Arial color=#0000ff size=2>Hi all 
-</FONT></SPAN></DIV>
<DIV><SPAN class=465180203-04042003><FONT face=Arial color=#0000ff size=2>  
I'd like to ask your opinions on one part of this question.  When we 
talk about a sensor on the inside of the firewall, I assume that means it can 
see all traffic on the internal subnet.  But what do you give up if you 
monitor just traffic passing on a VLAN between the firewall and the router 
sitting between it and the rest of the network?  Is this a valid 
installation?  What's the danger in not monitoring all of the normal host 
to host traffic on your network which doesn't need to cross the firewall?  
I'm considering this kind of deployment, so thanks for your opinions on 
this.</FONT></SPAN></DIV>
<DIV><SPAN class=465180203-04042003><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=465180203-04042003><FONT face=Arial color=#0000ff 
size=2>Paul</FONT></SPAN></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV></DIV>
  <DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left><FONT 
  face=Tahoma size=2>-----Original Message-----<BR><B>From:</B> Brian Laing 
  [mailto:Brian.Laing@...8609...] <BR><B>Sent:</B> Thursday, April 03, 
  2003 5:58 PM<BR><B>To:</B> 'Brei, Matt'; 'David Glosser'; 'FWAdmin'; 
  snort-users@lists.sourceforge.net<BR><B>Subject:</B> RE: [Snort-users] IDS 
  Placement ideas for inside and outside a firewall.<BR><BR></FONT></DIV>
  <DIV class=Section1>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">It can help, but I 
  would not rely on it for prosecution the fact is the data is too easy to spoof 
  and is not collected in a forensically sound manager either at the sensor or 
  the management console.<SPAN style="mso-spacerun: yes">  </SPAN>By   forensically sound I mean certified to be free from tampering.<SPAN 
  style="mso-spacerun: yes">  </SPAN>Not that this data wont help your 
  case, but its better to rely on it to see where and into what else the 
  attacker may have gotten into.<o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
  <DIV>
  <P style="MARGIN-BOTTOM: 12pt"><FONT face="Times New Roman" color=navy 
  size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; mso-no-proof: yes">-------------------------------------------------------------------<BR>Brian 
  Laing<BR>CTO<BR>Blade Software<BR>Cellphone: +1 650.280.2389<BR>Telephone: +1 
  650 367.9376<BR>eFax: +1 208.575.1374<BR>Blade Software - Because Real Attacks 
  Hurt<BR><A 
  href="http://www.Blade-Software.com">http://www.Blade-Software.com</A><BR>-------------------------------------------------------------------</SPAN></FONT><o:p></o:p></P></DIV>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Tahoma size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">-----Original 
  Message-----<BR><B><SPAN style="FONT-WEIGHT: bold">From:</SPAN></B> Brei, Matt 
  [mailto:mbrei@...8727...<SPAN class=GramE>] <BR><B><SPAN 
  style="FONT-WEIGHT: bold">Sent</SPAN></B></SPAN><B><SPAN 
  style="FONT-WEIGHT: bold">:</SPAN></B> Thursday, April 03, 2003 2:18 
  PM<BR><B><SPAN style="FONT-WEIGHT: bold">To:</SPAN></B> 
  brian.laing@...8607...; David Glosser; FWAdmin; 
  snort-users@lists.sourceforge.net<BR><B><SPAN 
  style="FONT-WEIGHT: bold">Subject:</SPAN></B> RE: [Snort-users] IDS Placement 
  ideas for inside and outside a firewall.</SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face="Times New Roman" 
  size=3><SPAN style="FONT-SIZE: 12pt"><o:p> </o:p></SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Arial color=navy 
  size=2><SPAN style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">That's 
  exactly why I would want one outside of the firewall.  If I were to find 
  a successful break in, I could then review logs from the external IDS and find 
  that the same IP had done several scans or whatever that were eventually   blocked by the firewall and not picked up by the internal IDS.  I would 
  think that this would help build a better case if any type of legal action 
  were to be taken. </SPAN></FONT><o:p></o:p></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Arial color=navy 
  size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"> </SPAN></FONT><o:p></o:p></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Arial color=navy 
  size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Matt</SPAN></FONT><o:p></o:p></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Arial color=navy 
  size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"> </SPAN></FONT><o:p></o:p></P>
  <P class=MsoNormal style="MARGIN-LEFT: 1in"><FONT face=Tahoma size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">-----Original 
  Message-----<BR><B><SPAN style="FONT-WEIGHT: bold">From:</SPAN></B> Brian 
  Laing [mailto:Brian.Laing@...8609...] <BR><B><SPAN 
  style="FONT-WEIGHT: bold">Sent:</SPAN></B> Thursday, April 03, 2003 11:28 
  AM<BR><B><SPAN style="FONT-WEIGHT: bold">To:</SPAN></B> 'David Glosser'; Brei, 
  Matt; 'FWAdmin'; snort-users@lists.sourceforge.net<BR><B><SPAN 
  style="FONT-WEIGHT: bold">Subject:</SPAN></B> RE: [Snort-users] IDS Placement 
  ideas for inside and outside a firewall.</SPAN></FONT><o:p></o:p></P>
  <P class=MsoNormal style="MARGIN-LEFT: 1in"><FONT face="Times New Roman" 
  size=3><SPAN style="FONT-SIZE: 12pt"> <o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 1in"><FONT face=Arial color=navy 
  size=2><SPAN style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">I would 
  agree with this sort of implementation, in many of the installs I have done I 
  will setup the external sensors to do nothing but logging and ignore the data 
  till I see something worth looking at on one of the internal servers.  I 
  use this data to see what else that IP has been doing or what other things 
  have been attempted against a specific host</SPAN></FONT><o:p></o:p></P>
  <P class=MsoNormal style="MARGIN-LEFT: 1in"><FONT face=Arial color=navy 
  size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"> </SPAN></FONT><o:p></o:p></P>
  <DIV>
  <P 
  style="MARGIN-BOTTOM: 12pt; MARGIN-LEFT: 1in; MARGIN-RIGHT: 0in; mso-margin-top-alt: 5.0pt"><FONT 
  face="Times New Roman" color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy">-------------------------------------------------------------------<BR>Brian 
  Laing<BR>CTO<BR>Blade Software<BR>Cellphone: +1 650.280.2389<BR>Telephone: +1 
  650 367.9376<BR>eFax: +1 208.575.1374<BR>Blade Software - Because Real Attacks 
  Hurt<BR><A 
  href="http://www.Blade-Software.com">http://www.Blade-Software.com</A><BR>-------------------------------------------------------------------</SPAN></FONT><o:p></o:p></P></DIV>
  <P class=MsoNormal style="MARGIN-LEFT: 1.5in"><FONT face=Tahoma size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">-----Original 
  Message-----<BR><B><SPAN style="FONT-WEIGHT: bold">From:</SPAN></B> 
  snort-users-admin@lists.sourceforge.net 
  [mailto:snort-users-admin@lists.sourceforge.net] <B><SPAN 
  style="FONT-WEIGHT: bold">On Behalf Of </SPAN></B>David Glosser<BR><B><SPAN 
  style="FONT-WEIGHT: bold">Sent:</SPAN></B> Wednesday, April 02, 2003 11:10 
  PM<BR><B><SPAN style="FONT-WEIGHT: bold">To:</SPAN></B> Brei, Matt; FWAdmin; 
  snort-users@lists.sourceforge.net<BR><B><SPAN 
  style="FONT-WEIGHT: bold">Subject:</SPAN></B> Re: [Snort-users] IDS Placement 
  ideas for inside and outside a firewall.</SPAN></FONT><o:p></o:p></P>
  <P class=MsoNormal style="MARGIN-LEFT: 1.5in"><FONT face="Times New Roman" 
  size=3><SPAN style="FONT-SIZE: 12pt"> <o:p></o:p></SPAN></FONT></P>
  <DIV>
  <P class=MsoNormal style="MARGIN-LEFT: 1.5in"><FONT face="Times New Roman" 
  size=2><SPAN style="FONT-SIZE: 10pt">If you've never set up any IDS before, 
  I'm not sure you would want to place it outside your firewall immediately   You'lll get overwhelmed with probes,scans, script kiddies etc. 
  </SPAN></FONT><o:p></o:p></P></DIV>
  <DIV>
  <P class=MsoNormal style="MARGIN-LEFT: 1.5in"><FONT face="Times New Roman" 
  size=2><SPAN style="FONT-SIZE: 10pt">First place the box (with the "snorting" 
  NIC unnumbered). On the port monitoring the *internal* interface of your   firewall. Let it work on all of the stuff your firewall lets through. Once you 
  have that under control, then place another box (or another NIC on the same 
  box) to monitor your internal servers (since breakins can come from internal 
  users). </SPAN></FONT><o:p></o:p></P></DIV>
  <DIV>
  <P class=MsoNormal style="MARGIN-LEFT: 1.5in"><FONT face="Times New Roman" 
  size=2><SPAN style="FONT-SIZE: 10pt">Once you have these two under control, 
  then you can worry monitoring stuff outside the firewall,  which I   believe is called *attack detection*. But do you care that much about the 
  stuff your firewall is successfully 
  blocking?</SPAN></FONT><o:p></o:p></P></DIV>
  <DIV>
  <P class=MsoNormal style="MARGIN-LEFT: 1.5in"><FONT face="Times New Roman" 
  size=3><SPAN style="FONT-SIZE: 12pt"> <o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal style="MARGIN-LEFT: 1.5in"><FONT face="Times New Roman" 
  size=2><SPAN 
style="FONT-SIZE: 10pt">--snip-</SPAN></FONT><o:p></o:p></P></DIV>
  <BLOCKQUOTE 
  style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0in; BORDER-TOP: medium none; PADDING-LEFT: 3pt; PADDING-BOTTOM: 0in; MARGIN: 5pt 0in 5pt 3.4pt; BORDER-LEFT: black 1.5pt solid; PADDING-TOP: 0in; BORDER-BOTTOM: medium none">
    <DIV>
    <P class=MsoNormal style="MARGIN-LEFT: 1.5in"><FONT face=Arial size=2><SPAN 
    style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"> I am trying to convince my 
    company to implement IDS on our network but I have a few questions. I 
    know I would want one on both sides of the firewall, 
    </SPAN></FONT><o:p></o:p></P></DIV></BLOCKQUOTE></DIV></BLOCKQUOTE><CODE><FONT SIZE=3><BR>
<BR>
<font size=-1 color="blue"><BR>
The International Fund for Animal Welfare (IFAW -- <a href="http://www.ifaw.org">www.ifaw.org</a>) works to improve the welfare of wild and domestic animals throughout the world by reducing commercial exploitation of animals, protecting wildlife habitats, and assisting animals in distress. IFAW seeks to motivate the public to prevent cruelty to animals and to promote animal welfare and conservation policies that advance the well-being of both animals and people.<BR>
 <BR>
This transmission is intended only for use by the addressee(s) named herein and may contain information that is proprietary, confidential and/or legally privileged. If you are not the intended recipient, you are hereby notified that any disclosure, copying, distribution, or use of the information contained herein (including any reliance thereon) is STRICTLY PROHIBITED. If you received this transmission in error, please immediately contact the sender and destroy the material in its entirety, whether in electronic or hard copy format. Thank you.<BR>
</font><BR>
</FONT></CODE>
</BODY></HTML>