<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2656.60">
<TITLE>RE: [Snort-users] About to setup snort</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Hi Shaun,</FONT>
</P>

<P><FONT SIZE=2>You might run into some issues with those HUBs.  Depending on the amount of traffic you have on your network you may run into some heavy collision situations.  Before you go all crazy and install the whole solution I would put in one of the HUBs and see how things run for a day or so.  If users start calling up complaining about performance or connectivity you may have to invest in some taps or switchs that have span ports.  Another option for you may be the  Do-It-Yourself Tap instructions on the Snort Website.  If you have trouble with the Hubs try those.  I wouldn't recommend them for high traffic areas but they may be good enough for you and get you somewhere that is better than a HUB but cheaper then the new switches.</FONT></P>

<P><FONT SIZE=2>Shawn Truax</FONT>
<BR><FONT SIZE=2>Security Specialist</FONT>
<BR><FONT SIZE=2>Corporate Security</FONT>
<BR><FONT SIZE=2>155 University Ave.</FONT>
<BR><FONT SIZE=2>Toronto, Ontario</FONT>
<BR><FONT SIZE=2>M5H 3B7</FONT>
<BR><FONT SIZE=2>(416)327-1107</FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Shaun T. Erickson [<A HREF="mailto:ste@...11844.....">mailto:ste@...11690...</A>]</FONT>
<BR><FONT SIZE=2>Sent: May 20, 2004 4:58 PM</FONT>
<BR><FONT SIZE=2>To: Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Subject: [Snort-users] About to setup snort</FONT>
</P>
<BR>

<P><FONT SIZE=2>I'm about to embark on seting up snort on our networks. The plan is to </FONT>
<BR><FONT SIZE=2>have a number of sensors (3) that outputs alerts, and related logged </FONT>
<BR><FONT SIZE=2>packets, in unified format. Each sensor would also run barnyard, to pick </FONT>
<BR><FONT SIZE=2>up the logged alerts and packets and send them to a central server, for </FONT>
<BR><FONT SIZE=2>analysis. The central server would have a mysql database with an acid </FONT>
<BR><FONT SIZE=2>front-end. I've heard that acid doesn't send alerts (I could be wrong), </FONT>
<BR><FONT SIZE=2>so the plan would be to have an additional (as yet undetermined) program </FONT>
<BR><FONT SIZE=2>access the database and send out email/pager alerts as needed. It's also </FONT>
<BR><FONT SIZE=2>hoped that the mysql/acid setup could also receive, store and process </FONT>
<BR><FONT SIZE=2>syslog information coming from two sonicwall firewalls and an iptables </FONT>
<BR><FONT SIZE=2>firewall, and alert us as needed, based on that information, as well.</FONT>
</P>

<P><FONT SIZE=2>Our networks are small, and with a small number of servers and clients. </FONT>
<BR><FONT SIZE=2>Until such a time as we can afford switches that support a monitoring </FONT>
<BR><FONT SIZE=2>port, we are replacing our 100Mb switches with 100Mb hubs, so that we </FONT>
<BR><FONT SIZE=2>can get access to all the traffic. Each sensor will be plugged into the </FONT>
<BR><FONT SIZE=2>network it's to monitor, twice - once for normal access to the sensor, </FONT>
<BR><FONT SIZE=2>via ssh, for the sensor to send it's data to the central server, etc., </FONT>
<BR><FONT SIZE=2>and once with a nic in promiscuous mode for capture purposes.</FONT>
</P>

<P><FONT SIZE=2>Does this all sound reasonable?</FONT>
</P>

<P><FONT SIZE=2>Another question: One sensor will be running on FreeBSD. I see there is </FONT>
<BR><FONT SIZE=2>a port for snort, but I cannot find one for barnyard. Is there one? The </FONT>
<BR><FONT SIZE=2>other sensors will be running on (for the moment) Red Hat 8 and Red Hat </FONT>
<BR><FONT SIZE=2>Advanced Server 2.1 (I'm forced to run my sensors on existing servers, </FONT>
<BR><FONT SIZE=2>for the time being. Later, I'll be allowed to by dedicated systems.) Are </FONT>
<BR><FONT SIZE=2>there RPMS for the latest versions of snort and barnyard for those two </FONT>
<BR><FONT SIZE=2>platforms? My central server is dedicated, btw.</FONT>
</P>

<P><FONT SIZE=2>I'm to embark on this tomorrow. Any insights/advice and so on is most </FONT>
<BR><FONT SIZE=2>welcome. TIA.</FONT>
</P>

<P>        <FONT SIZE=2>-ste</FONT>
</P>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>This SF.Net email is sponsored by: Oracle 10g</FONT>
<BR><FONT SIZE=2>Get certified on the hottest thing ever to hit the market... Oracle 10g. </FONT>
<BR><FONT SIZE=2>Take an Oracle 10g class now, and we'll give you the exam FREE.</FONT>
<BR><FONT SIZE=2><A HREF="http://ads.osdn.com/?ad_id=3149&alloc_id=8166&op=click" TARGET="_blank">http://ads.osdn.com/?ad_id=3149&alloc_id=8166&op=click</A></FONT>
<BR><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-users mailing list</FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>Snort-users list archive:</FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>