<html>

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 11 (filtered)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:r_ansi;
        panose-1:2 11 6 9 2 2 2 2 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {font-family:Arial;
        color:navy;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
</style>

</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>What you are describing is exactly the way
we are configured.  We monitor all traffic (internal and external) on all 80+
vlans using one Snort box.  Luckily, our network topology has everything coming
back to one single core switch (Catalyst 4006) so we just setup monitoring of
all ports back to a single port for the Snort IDS.  The syntax of our commands
are as follows:</span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="r_ansi"><span
style='font-size:10.0pt;font-family:r_ansi'> </span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="r_ansi"><span
style='font-size:10.0pt;font-family:r_ansi'>monitor session 1 source interface
Gi1/1 - 2</span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="r_ansi"><span
style='font-size:10.0pt;font-family:r_ansi'>monitor session 1 source interface
Gi3/1 - 6</span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="r_ansi"><span
style='font-size:10.0pt;font-family:r_ansi'>monitor session 1 source interface
Gi4/1 - 6</span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="r_ansi"><span
style='font-size:10.0pt;font-family:r_ansi'>monitor session 1 source interface
Fa5/1 - 26 , Fa5/28 - 48</span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="r_ansi"><span
style='font-size:10.0pt;font-family:r_ansi'>monitor session 1 source interface
Fa6/1 - 48</span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face="r_ansi"><span
style='font-size:10.0pt;font-family:r_ansi'>monitor session 1 destination
interface Fa5/27</span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'> </span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>This setup has been a godsend for us in
helping to locate possible infected machines.  One problem with our
installation of Snort (as I am afraid any IDS would have to some degree) is the
“false positives” we sometimes get.  You can automate all you want
but you will always need a human being to sort through the data.</span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'> </span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Hope this helps,</span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'> </span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Michael Martin</span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>University of Montevallo</span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'> </span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'> </span></font></p>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>

<hr size=2 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span style='font-size:10.0pt;
font-family:Tahoma;font-weight:bold'>From:</span></font></b><font size=2
face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma'> Puetz, Christoph
[mailto:christoph.puetz@...9283...] <br>
<b><span style='font-weight:bold'>Sent:</span></b> Thursday, February 26, 2004
12:11 PM<br>
<b><span style='font-weight:bold'>To:</span></b> 'snort-users@...314...'<br>
<b><span style='font-weight:bold'>Subject:</span></b> [Snort-users] SNORT and
VLans</span></font></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'> </span></font></p>

<div>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>Hello,</span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'> </span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>We're looking into the option of putting a NIDS system into
place. We're not just interested in seeing what is coming from the outside, but
we also want to monitor our VLans for unusual activity (e.g. virus outbreaks,
infected machines sending out SPAM or broadcasting the payload via RPC buffer
overflows and all that 'good' stuff). </span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'> </span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>Is SNORT an option for us at all? What would be the approach
if I want to monitor about 10 VLans and the uplink to the Internet? Do I just
throw 10 clients/sensors out to cover each VLan that report back to the main
box? Or would I need 10 additional ports on my Cisco switches (1 for each
VLan)? Or is one bastion host on the uplink capable to give me the information
I need from every VLan? I noticed in the archives that some information is
being stripped off when VLans are involved.</span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'> </span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>Thanks for your feedback.</span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'> </span></font></p>

</div>

<div>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>Chris</span></font></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><br>
______________________________________________________________________<br>
This email has been scanned by the MessageLabs Email Security System.<br>
For more information please visit http://www.messagelabs.com/email <br>
______________________________________________________________________</span></font></p>

</div>

</body>

</html>