<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML xmlns="http://www.w3.org/TR/REC-html40" xmlns:v = 
"urn:schemas-microsoft-com:vml" xmlns:o = 
"urn:schemas-microsoft-com:office:office" xmlns:w = 
"urn:schemas-microsoft-com:office:word" xmlns:st1 = 
"urn:schemas-microsoft-com:office:smarttags"><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">


<META content="MSHTML 6.00.2800.1492" name=GENERATOR><!--[if !mso]>
<STYLE>v\:* {
        BEHAVIOR: url(#default#VML)
}
o\:* {
        BEHAVIOR: url(#default#VML)
}
w\:* {
        BEHAVIOR: url(#default#VML)
}
.shape {
        BEHAVIOR: url(#default#VML)
}
</STYLE>
<![endif]--><o:SmartTagType name="PersonName" 
namespaceuri="urn:schemas-microsoft-com:office:smarttags"></o:SmartTagType><!--[if !mso]>
<STYLE>st1\:* {
        BEHAVIOR: url(#default#ieooui)
}
</STYLE>
<![endif]-->
<STYLE>@font-face {
        font-family: Tahoma;
}
@font-face {
        font-family: Comic Sans MS;
}
@page Section1 {size: 8.5in 11.0in; margin: 1.0in 1.25in 1.0in 1.25in; }
P.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"
}
LI.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"
}
DIV.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"
}
A:link {
        COLOR: blue; TEXT-DECORATION: underline
}
SPAN.MsoHyperlink {
        COLOR: blue; TEXT-DECORATION: underline
}
A:visited {
        COLOR: purple; TEXT-DECORATION: underline
}
SPAN.MsoHyperlinkFollowed {
        COLOR: purple; TEXT-DECORATION: underline
}
P {
        FONT-SIZE: 12pt; MARGIN-LEFT: 0in; MARGIN-RIGHT: 0in; FONT-FAMILY: "Times New Roman"; mso-margin-top-alt: auto; mso-margin-bottom-alt: auto
}
SPAN.EmailStyle18 {
        COLOR: navy; FONT-FAMILY: Arial; mso-style-type: personal-reply
}
DIV.Section1 {
        page: Section1
}
</STYLE>
</HEAD>
<BODY lang=EN-US vLink=purple link=blue>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=148010323-05042005>I 
think that it depend on how you have the monitoring/span port on the Cisco 
switches configured.  If the port is configured to send the traffic to the 
snort box, I don't know why it wouldn't work.  If you try to monitor a GIG 
switch with a 10/100 interface in your snort box, the switch is going to start 
dropping packets when traffic gets to much for the 10/100 
interface.</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=148010323-05042005></SPAN></FONT> </DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=148010323-05042005>I have 
a snort sensor running on a Dell Precision 340 with 6 network interfaces, 
4 GIG and 2 10/100.  I'm running SuSE 9.1 and snort 2.3.2.  I 
have the 4 GIG interfaces bonded together as bond0 and bond1, I'm using taps 
with these interfaces.  One of the 10/100 ports is monitoring a Cisco 
switch, the other is my management interface.</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=148010323-05042005></SPAN></FONT> </DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=148010323-05042005>I have 
an 3 instances of snort and barnyard running, 1 each for eth0, bond0, and 
bond1.  I'm using the same snort config file and rules for all 3 
instances.  The startup/sysconfig scripts provided with snort 2.3.2 work 
nicely for this.  Just copied the files to init.d and sysconfig.  In 
the sysconfig/snort file I have INTERFACE="eth0 bond0 bond1".  The snortd 
script then starts 3 instances of snort with no problem.  The unified log 
files end up in:</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=148010323-05042005></SPAN></FONT> </DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=148010323-05042005>/var/log/snort/eth0</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=148010323-05042005>/var/log/snort/bond0</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=148010323-05042005>/var/log/snort/bond1</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=148010323-05042005></SPAN></FONT> </DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=148010323-05042005>I then 
setup 3 barnyard config files, barnyard-eth0.conf, barnyard-bond0.conf, and 
barnyard-bond1.conf to process the unified logs into a mysql database on a 
different machine.  I copied the snortd script to barnyardd and modified it 
to start barnyard instead of snort.  Everything works pretty 
good.</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=148010323-05042005></SPAN></FONT> </DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=148010323-05042005>The 
whole trick to getting the above to work, is you have to have enough memory in 
your snort box.  When I first set this up, I was dropping a lot of packets, 
but I only had 256meg of memory.  I upgraded to 512meg and the packet drop 
rate when down.  I've got memory on order to take the system to 1gig, I 
think that will really help. </SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=148010323-05042005></SPAN></FONT> </DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=148010323-05042005>Barry</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=148010323-05042005> </SPAN></FONT></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> 
  snort-users-admin@lists.sourceforge.net 
  [mailto:snort-users-admin@lists.sourceforge.net]<B>On Behalf Of </B>Peter 
  Barton<BR><B>Sent:</B> Wednesday, April 06, 2005 1:02 AM<BR><B>To:</B> 
  Snort-users@lists.sourceforge.net<BR><B>Subject:</B> RE: [Snort-users] Can 
  Snort monitor multiple VLANs?<BR><BR></FONT></DIV>
  <DIV class=Section1>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">If you are having 
  Snort log directly to MySql then the easiest way to do it is to have multiple 
  instances of Snort running, one for each 
  interface.<o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">My question to 
  everyone is, what if you use Barnyard to write to MySql and have Snort just 
  write to binary files.  I still have multiple instances of Snort running, 
  but I can only seem to get one instance of Barnyard running.  Is there a 
  trick to this or am I just going about this the wrong 
  way?<o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Thanks,<o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
  <P class=MsoNormal><st1:PersonName w:st="on"><FONT face=Arial color=navy 
  size=2><SPAN style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Peter 
  Barton</SPAN></FONT></st1:PersonName><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
  <DIV>
  <DIV class=MsoNormal style="TEXT-ALIGN: center" align=center><FONT 
  face="Times New Roman" size=3><SPAN style="FONT-SIZE: 12pt">
  <HR tabIndex=-1 align=center width="100%" SIZE=2>
  </SPAN></FONT></DIV>
  <P class=MsoNormal><B><FONT face=Tahoma size=2><SPAN 
  style="FONT-WEIGHT: bold; FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">From:</SPAN></FONT></B><FONT 
  face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma"> 
  snort-users-admin@lists.sourceforge.net 
  [mailto:snort-users-admin@lists.sourceforge.net] <B><SPAN 
  style="FONT-WEIGHT: bold">On Behalf Of </SPAN></B>Escudero, Peter 
  Louis<BR><B><SPAN style="FONT-WEIGHT: bold">Sent:</SPAN></B> Tuesday, April 
  05, 2005 10:54 AM<BR><B><SPAN style="FONT-WEIGHT: bold">To:</SPAN></B> 
  Snort-users@lists.sourceforge.net<BR><B><SPAN 
  style="FONT-WEIGHT: bold">Subject:</SPAN></B> [Snort-users] Can Snort monitor 
  multiple VLANs?</SPAN></FONT><o:p></o:p></P></DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt"><o:p> </o:p></SPAN></FONT></P>
  <DIV>
  <P class=MsoNormal><FONT face="Comic Sans MS" size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: 'Comic Sans MS'">Our IDS box is a 
  Dell PE750 running SuSE Linux 9.1 Pro & snort v2.1.x, with a quad 10/100 
  NIC card. Three of the ports are hooked up to 3 different Cisco switches, 
  representing 3 different VLANs. We're able to capture alerts from one switch, 
  but not from the others. Is snort able to monitor different VLANs? Or do we 
  need a separate IDS box for each VLAN? Any info you can provide will be 
  greatly appreciated.</SPAN></FONT><o:p></o:p></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt"> <o:p></o:p></SPAN></FONT></P></DIV>
  <P><FONT face=Arial size=4><SPAN 
style="FONT-SIZE: 13.5pt; FONT-FAMILY: Arial"><!-- Converted from text/rtf format -->Peter 
  Escudero</SPAN></FONT> <o:p></o:p></P></DIV></BLOCKQUOTE></BODY></HTML>