<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <title></title>
</head>
<body>
Hi Michael .. <br>
<br>
Yes my snort box stay outside  of my Firewall ..  <br>
<br>
The reazon .. ?  I'm very interest in know all thing to do on the outside
of my net, my firewall specify, in my firewall  use DNat  and have to menay
thing blocked ..  or is more easy say ..  only some thing opened .. <br>
<br>
When I put my snort box outside in the first days I have so many alert and
inesesary messages,  and my snort box and me have a long period of purge
off all rules, now  only have some special rules that function for me ..
<br>
<br>
Cheers .. <br>
<br>
<br>
Michael Steele wrote:<br>
<blockquote type="cite" cite="mid000101c33ba5$24bb4080$6801a8c0@...9568...">    
  <meta http-equiv="Content-Type" content="text/html; ">
   
  <meta name="Generator" content="Microsoft Word 10 (filtered)">
  
  <style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:"Book Antiqua";
        panose-1:2 4 6 2 5 3 5 3 3 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;}
pre
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";}
span.EmailStyle18
        {font-family:Arial;
        color:navy;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
  </style>    
  <div class="Section1">  
  <p class="MsoNormal"><font size="2" color="navy" face="Arial"><span
 style="font-size: 10pt; font-family: Arial; color: navy;">David,</span></font></p>
  
  <p class="MsoNormal"><font size="2" color="navy" face="Arial"><span
 style="font-size: 10pt; font-family: Arial; color: navy;"> </span></font></p>
  
  <p class="MsoNormal"><font size="2" color="navy" face="Arial"><span
 style="font-size: 10pt; font-family: Arial; color: navy;">What volume of
traffic do you have to manage everyday and how much time do you actually
spend managing that traffic. I’m assuming that you do have the IDS on the
outside of the firewall? This was the crux of Rich’s question. If your IDS
is on the outside of your firewall can you tell me what the reason is?</span></font></p>
  
  <p class="MsoNormal"><font size="2" color="navy" face="Arial"><span
 style="font-size: 10pt; font-family: Arial; color: navy;"> </span></font></p>
  
  <p class="MsoNormal"><font size="2" color="navy" face="Arial"><span
 style="font-size: 10pt; font-family: Arial; color: navy;">Cheers…</span></font></p>
  
  <p class="MsoNormal"><font size="2" color="navy" face="Arial"><span
 style="font-size: 10pt; font-family: Arial; color: navy;"> </span></font></p>
  
  <p class="MsoNormal"><font size="2" color="navy" face="Arial"><span
 style="font-size: 10pt; font-family: Arial; color: navy;">Michael</span></font></p>
  
  <p class="MsoNormal"><font size="2" color="navy" face="Arial"><span
 style="font-size: 10pt; font-family: Arial; color: navy;"> </span></font></p>
  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="2"
 face="Tahoma"><span style="font-size: 10pt; font-family: Tahoma;">-----Original
Message-----<br>
 <b><span style="font-weight: bold;">From:</span></b> <a class="moz-txt-link-abbreviated" href="mailto:snort-users-admin@lists.sourceforge.net">snort-users-admin@lists.sourceforge.net</a> 
[<a class="moz-txt-link-freetext" href="mailto:snort-users-admin@lists.sourceforge.net">mailto:snort-users-admin@lists.sourceforge.net</a>] <b><span
 style="font-weight: bold;">On Behalf Of </span></b>David Alonso De La Vega
Tapage<br>
 <b><span style="font-weight: bold;">Sent:</span></b> Wednesday, June 25,
2003 9:17 AM<br>
 <b><span style="font-weight: bold;">To:</span></b> <a class="moz-txt-link-abbreviated" href="mailto:rlichvar@...9486...">rlichvar@...9486...</a><br>
 <b><span style="font-weight: bold;">Cc:</span></b> Snort Users List (E-mail)<br>
 <b><span style="font-weight: bold;">Subject:</span></b> Re: [Snort-users]
Snort Sensor Placement Outside Firewall</span></font></p>
  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="3"
 face="Times New Roman"><span style="font-size: 12pt;"> </span></font></p>
  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="3"
 face="Times New Roman"><span style="font-size: 12pt;">Hi Rich .. <br>
 <br>
 David from Panamá .. <br>
 <br>
 Ok ..  I have this setup on my net ..  check it .. <br>
 <br>
 1. Mi Linux Box is RH 7.3 ( soon RH 9)  with 20 GB hard disk.  <br>
 2. 512 on swaping<br>
 3. 512 MB RAM <br>
 4. 1.8 ghz processor <br>
 5. Snort 2.0 + mysql +acid <br>
 6. 2 nics  ( one for manage ) 3 Com for snort.<br>
 7. strike cables cat 5 to conect your box in a hub ( or switch with mirror
port ) <br>
 <br>
 My snort funciton perfect .. !   I hope that is teh right information for 
you .. ! <br>
 <br>
 Cheers .. <br>
 <br>
 <br>
 Rich Lichvar wrote:<br>
 <br>
 </span></font></p>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="2"
 face="Arial"><span style="font-size: 10pt; font-family: Arial;">I know this
is a bit off-topic, but I need some advice/help and would like to tap the
experience of those who probably have successfully done what we are thinking
of doing.</span></font></p>
  </div>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="3"
 face="Times New Roman"><span style="font-size: 12pt;"> </span></font></p>
  </div>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="2"
 face="Arial"><span style="font-size: 10pt; font-family: Arial;">We are thinking
of putting a Snort-based sensor outside our firewall in the Untrusted zone.
(This is after the border/edge/gateway router which is controlled by our
hosting facility and not us.) I was wondering if any of you had any advice
about:</span></font></p>
  </div>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="3"
 face="Times New Roman"><span style="font-size: 12pt;"> </span></font></p>
  </div>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="2"
 face="Arial"><span style="font-size: 10pt; font-family: Arial;">1. OS: Linux?
Hardened how? What system capacity (RAM, hard drive) might be required?</span></font></p>
  </div>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="2"
 face="Arial"><span style="font-size: 10pt; font-family: Arial;">2. Cabling
setup: Internet Cat 5 cable to hub and cable from hub to sensor and cable
from hub to Untrusted port of firewall? (I've tried this in the past and
had problems with traffic even getting to the firewall. Maybe a crossover
cable is needed?)</span></font></p>
  </div>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="3"
 face="Times New Roman"><span style="font-size: 12pt;"> </span></font></p>
  </div>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="2"
 face="Arial"><span style="font-size: 10pt; font-family: Arial;">Many thanks
in advance for any advice/experience you would offer.</span></font></p>
  </div>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="3"
 face="Times New Roman"><span style="font-size: 12pt;"> </span></font></p>
  </div>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="2"
 color="blue" face="Book Antiqua"><span
 style="font-size: 10pt; font-family: "Book Antiqua"; color: blue;">Richard
L. Lichvar</span></font></p>
  </div>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="2"
 color="blue" face="Book Antiqua"><span
 style="font-size: 10pt; font-family: "Book Antiqua"; color: blue;">Director,
Operations</span></font></p>
  </div>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="2"
 color="blue" face="Book Antiqua"><span
 style="font-size: 10pt; font-family: "Book Antiqua"; color: blue;">Knowledge
Resource Center, Inc.</span></font></p>
  </div>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="2"
 color="blue" face="Book Antiqua"><span
 style="font-size: 10pt; font-family: "Book Antiqua"; color: blue;">Phone:
703-848-2100 x228</span></font></p>
  </div>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="2"
 color="blue" face="Book Antiqua"><span
 style="font-size: 10pt; font-family: "Book Antiqua"; color: blue;">Fax:
703-848-4747</span></font></p>
  </div>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="2"
 color="blue" face="Book Antiqua"><span
 style="font-size: 10pt; font-family: "Book Antiqua"; color: blue;">Mobile:
571-221-3430</span></font></p>
  </div>
  
  <div>  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="3"
 face="Times New Roman"><span style="font-size: 12pt;"> </span></font></p>
  </div>
  
  <pre style="margin-left: 0.5in;" wrap=""><font size="2"
 face="Courier New"><span style="font-size: 10pt;"> </span></font></pre>
  <pre style="margin-left: 0.5in; text-align: center;"><font size="2"
 face="Courier New"><span style="font-size: 10pt;">

<hr size="4" width="90%" align="center">

</span></font></pre>
  <pre style="margin-left: 0.5in;"><font size="2" face="Courier New"><span
 style="font-size: 10pt;"> </span></font></pre>
  <pre style="margin-left: 0.5in;"><font size="2" face="Courier New"><span
 style="font-size: 10pt;">****** Message from InterScan E-Mail VirusWall NT ******</span></font></pre>
  <pre style="margin-left: 0.5in;"><font size="2" face="Courier New"><span
 style="font-size: 10pt;"> </span></font></pre>
  <pre style="margin-left: 0.5in;"><font size="2" face="Courier New"><span
 style="font-size: 10pt;">** No virus found in attached file noname.htm</span></font></pre>
  <pre style="margin-left: 0.5in;"><font size="2" face="Courier New"><span
 style="font-size: 10pt;"> </span></font></pre>
  <pre style="margin-left: 0.5in;"><font size="2" face="Courier New"><span
 style="font-size: 10pt;">Este correo ha sido revisado y esta libre de virus. Disclaimer</span></font></pre>
  <pre style="margin-left: 0.5in;"><font size="2" face="Courier New"><span
 style="font-size: 10pt;">*****************     End of message     ***************</span></font></pre>
  <pre style="margin-left: 0.5in;"><font size="2" face="Courier New"><span
 style="font-size: 10pt;"> </span></font></pre>
  <pre style="margin-left: 0.5in;"><font size="2" face="Courier New"><span
 style="font-size: 10pt;">  </span></font></pre>
  
  <p class="MsoNormal" style="margin-left: 0.5in;"><font size="3"
 face="Times New Roman"><span style="font-size: 12pt;"> </span></font></p>
  </div>
  
  <pre wrap="">
<hr width="90%" size="4">
****** Message from InterScan E-Mail VirusWall NT ******

** No virus found in attached file noname.htm
** No virus found in attached file noname.htm

Este correo ha sido revisado y esta libre de virus. Disclaimer
*****************     End of message     ***************

  </pre>
</blockquote>
<br>
</body>
</html>