<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">


<META content="MSHTML 5.50.4923.2500" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=494075605-17042003><FONT face=Arial color=#0000ff size=2>I run 
Snort sensors on Solaris boxes (on solaris I use the " ifconfig " command 
and enter ip address as 0.0.0.0 also use rc script to make sure the interface 
will be up when the box get booted) so don't how it is done on RH (not much help 
on that sorry).</FONT></SPAN></DIV>
<DIV><SPAN class=494075605-17042003><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=494075605-17042003><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=494075605-17042003><FONT face=Arial color=#0000ff size=2>If you 
don't absolutely need to run Webmin then you better of not running it coz then 
you'll have ports open which could be used to compromise the sensor. IDS 
sensor are always perform a crucial task and using them for multi-purpose 
means more ports are required to be opened, so keep the sensor build very 
simple and only core application/libs that required for the sensor to function 
just.</FONT></SPAN></DIV>
<DIV><SPAN class=494075605-17042003><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=494075605-17042003><FONT face=Arial color=#0000ff size=2>If you 
want to run ACID  web interface then use another machine to run the web 
server and the database on it.</FONT></SPAN></DIV>
<DIV><SPAN class=494075605-17042003><FONT face=Arial color=#0000ff 
size=2> Also you could harden the box further by:</FONT></SPAN></DIV>
<DIV><SPAN class=494075605-17042003><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=494075605-17042003><FONT face=Arial color=#0000ff 
size=2>1.  Removing packages not required for the sensor to 
operates</FONT></SPAN></DIV>
<DIV><SPAN class=494075605-17042003><FONT face=Arial color=#0000ff size=2>2. Use 
TCP wrapper to accept ssh connection from only fixed and known IP (most likely 
the machine that u r using to access the box)</FONT></SPAN></DIV>
<DIV> </DIV>
<P><I><FONT face=Arial color=#000080>Best Regards</FONT></I> </P>
<P><I><FONT face=Arial color=#000080>Ohanes Semerjian</FONT></I> <BR><I><FONT 
face=Arial color=#000080>Security</FONT> <FONT face=Arial 
color=#000080>Engineer</FONT><FONT face=Arial color=#000080>, AsiaPac</FONT></I> 
<BR><I><FONT face=Arial color=#000080>International Security Group  
(Central Services)</FONT></I> <BR><I><FONT face=Arial color=#000080>WorldCom 
International</FONT></I> </P>
<P><I><FONT face=Arial color=#000080>Ph:(02) 9434 5636</FONT></I> <BR><I><FONT 
face=Arial color=#000080>Mob: 0410 657 249</FONT></I> </P>
<P><I><FONT face=Arial color=#000080>PGP kEY </FONT></I><BR><I><FONT face=Arial 
color=#000080>75DF 2980 5663 2DC1 12CD  E43E 94D6 7A9A 222D 3449</FONT></I> 
</P>
<BLOCKQUOTE>
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> 
  Elvira_Byrnes@...8560... 
  [mailto:Elvira_Byrnes@...8560...]<BR><B>Sent:</B> Thursday, 17 
  April 2003 3:36 PM<BR><B>To:</B> Semerjian, Ohanes; 
  Elvira_Byrnes@...8560...; 
  snort-users@lists.sourceforge.net<BR><B>Subject:</B> RE: [Snort-users] 
  Securing a Snort machine<BR><BR></FONT></DIV>
  <DIV><SPAN class=572343005-17042003><FONT face=Arial color=#0000ff 
  size=2>Thanks a lot for your suggestions. What is the proper way to configure 
  an IPless interface on the RedHat? Is it safe to run Webmin on that 
  box?</FONT></SPAN></DIV>
  <DIV><SPAN class=572343005-17042003><FONT face=Arial color=#0000ff 
  size=2></FONT></SPAN> </DIV>
  <DIV><SPAN class=572343005-17042003><FONT face=Arial color=#0000ff 
  size=2>Thanks a lot.</FONT></SPAN></DIV>
  <DIV><SPAN class=572343005-17042003><FONT face=Arial color=#0000ff 
  size=2></FONT></SPAN> </DIV>
  <DIV><SPAN class=572343005-17042003><FONT face=Arial color=#0000ff 
  size=2>Regards</FONT></SPAN></DIV>
  <DIV><SPAN class=572343005-17042003><FONT face=Arial color=#0000ff 
  size=2></FONT></SPAN> </DIV>
  <DIV><SPAN class=572343005-17042003><FONT face=Arial color=#0000ff 
  size=2>Elvira</FONT></SPAN></DIV>
  <BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
    <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
    size=2>-----Original Message-----<BR><B>From:</B> Semerjian, Ohanes 
    [mailto:ohanes.semerjian@...8907...]<BR><B>Sent:</B> Thursday, 17 April 2003 
    3:06 PM<BR><B>To:</B> 'Elvira_Byrnes@...8560...'; 
    snort-users@lists.sourceforge.net<BR><B>Subject:</B> RE: [Snort-users] 
    Securing a Snort machine<BR><BR></FONT></DIV>
    <DIV><SPAN class=379350105-17042003><FONT face=Arial color=#0000ff 
    size=2>Best way is to :</FONT></SPAN></DIV>
    <DIV><SPAN class=379350105-17042003><FONT face=Arial color=#0000ff 
    size=2></FONT></SPAN> </DIV>
    <DIV><SPAN class=379350105-17042003><FONT face=Arial color=#0000ff size=2>1. 
    use IPless interfaces (specially one on Internet ) except the one that will 
    use it to connect to the box ( which is best to be located 
    internally).</FONT></SPAN></DIV>
    <DIV><SPAN class=379350105-17042003><FONT face=Arial color=#0000ff size=2>2. 
    Use ssh to connect to the box via the internal interface on the 
    LAN.</FONT></SPAN></DIV>
    <DIV><SPAN class=379350105-17042003><FONT face=Arial color=#0000ff size=2>3. 
    Close all ports (via shutting down ports and stopping scripts that are not 
    need to be run on the box) except for ssh.</FONT></SPAN></DIV>
    <DIV><SPAN class=379350105-17042003><FONT face=Arial color=#0000ff size=2>4. 
    Scan the box to find out if you do have any ports open other than 
    ssh.</FONT></SPAN></DIV>
    <DIV><FONT face=Arial color=#0000ff size=2></FONT> </DIV>
    <P><I><FONT face=Arial color=#000080>Best Regards</FONT></I> </P>
    <P><I><FONT face=Arial color=#000080>Ohanes Semerjian</FONT></I> 
    <BR><I><FONT face=Arial color=#000080>Security</FONT> <FONT face=Arial 
    color=#000080>Engineer</FONT><FONT face=Arial color=#000080>, 
    AsiaPac</FONT></I> <BR><I><FONT face=Arial color=#000080>International 
    Security Group  (Central Services)</FONT></I> <BR><I><FONT face=Arial 
    color=#000080>WorldCom International</FONT></I> </P>
    <P><I><FONT face=Arial color=#000080>Ph:(02) 9434 5636</FONT></I> 
    <BR><I><FONT face=Arial color=#000080>Mob: 0410 657 249</FONT></I> </P>
    <P><I><FONT face=Arial color=#000080>PGP kEY </FONT></I><BR><I><FONT 
    face=Arial color=#000080>75DF 2980 5663 2DC1 12CD  E43E 94D6 7A9A 222D 
    3449</FONT></I> </P>
    <BLOCKQUOTE>
      <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
      size=2>-----Original Message-----<BR><B>From:</B> 
      Elvira_Byrnes@...8560... 
      [mailto:Elvira_Byrnes@...8560...]<BR><B>Sent:</B> Thursday, 
      17 April 2003 2:08 PM<BR><B>To:</B> 
      snort-users@lists.sourceforge.net<BR><B>Subject:</B> [Snort-users] 
      Securing a Snort machine<BR><BR></FONT></DIV>
      <DIV><FONT face=Arial size=2><SPAN class=218204103-17042003>Hi 
      Everybody</SPAN></FONT></DIV>
      <DIV><FONT face=Arial size=2><SPAN 
      class=218204103-17042003></SPAN></FONT> </DIV>
      <DIV><FONT face=Arial size=2><SPAN class=218204103-17042003>I have 
      installed Snort and now want to make the machine secure. Snort will be 
      listening on border attacks (outside the network), on the dmz, and inside 

      the lan.</SPAN></FONT></DIV>
      <DIV><FONT face=Arial size=2><SPAN 
      class=218204103-17042003></SPAN></FONT> </DIV>
      <DIV><FONT face=Arial size=2><SPAN class=218204103-17042003>What is the 
      best way of doing it on RedHat 8.0 and 9.0?</SPAN></FONT></DIV>
      <DIV><FONT face=Arial size=2><SPAN 
      class=218204103-17042003></SPAN></FONT> </DIV>
      <DIV><FONT face=Arial size=2><SPAN class=218204103-17042003>Thanks a 
      lot.</SPAN></FONT></DIV>
      <DIV><FONT face=Arial size=2><SPAN 
      class=218204103-17042003></SPAN></FONT> </DIV>
      <DIV><FONT face=Arial size=2><SPAN 
      class=218204103-17042003>Elvira</SPAN></FONT></DIV>
      <DIV><FONT face=Arial size=2><SPAN 
      class=218204103-17042003></SPAN></FONT> </DIV><BR><BR>
      <P><FONT face=Arial size=2>******************** Confidentiality Statement 
      *************************** </FONT></P><BR>
      <P><FONT face=Arial size=2>This message contains privileged and 
      confidential information intended only for the use of the addressee named 
      above. If you are not the intended recipient of this message, you must not 
      disseminate, copy or take any action in reliance on it. If you have 
      received this message in error, please delete it from your system and 
      notify the sender immediately. Any views expressed in this message are 
      those of the individual sender, except where the sender specifically 
      states them to be the view of the 
  company.</FONT></P><BR></BLOCKQUOTE></BLOCKQUOTE><BR><BR>
  <P><FONT face=Arial size=2>******************** Confidentiality Statement 
  *************************** </FONT></P><BR>
  <P><FONT face=Arial size=2>This message contains privileged and confidential 
  information intended only for the use of the addressee named above. If you are 
  not the intended recipient of this message, you must not disseminate, copy or 
  take any action in reliance on it. If you have received this message in error, 
  please delete it from your system and notify the sender immediately. Any views 
  expressed in this message are those of the individual sender, except where the 
  sender specifically states them to be the view of the 
company.</FONT></P><BR></BLOCKQUOTE></BODY></HTML>