<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML xmlns="http://www.w3.org/TR/REC-html40" xmlns:v = 
"urn:schemas-microsoft-com:vml" xmlns:o = 
"urn:schemas-microsoft-com:office:office" xmlns:w = 
"urn:schemas-microsoft-com:office:word" xmlns:st1 = 
"urn:schemas-microsoft-com:office:smarttags"><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">


<META content="MSHTML 6.00.2800.1479" name=GENERATOR><!--[if !mso]>
<STYLE>v\:* {
        BEHAVIOR: url(#default#VML)
}
o\:* {
        BEHAVIOR: url(#default#VML)
}
w\:* {
        BEHAVIOR: url(#default#VML)
}
.shape {
        BEHAVIOR: url(#default#VML)
}
</STYLE>
<![endif]--><o:SmartTagType 
namespaceuri="urn:schemas-microsoft-com:office:smarttags" 
name="PersonName"></o:SmartTagType><!--[if !mso]>
<STYLE>st1\:* {
        BEHAVIOR: url(#default#ieooui)
}
</STYLE>
<![endif]-->
<STYLE>@font-face {
        font-family: Tahoma;
}
@font-face {
        font-family: Comic Sans MS;
}
@page Section1 {size: 8.5in 11.0in; margin: 1.0in 1.25in 1.0in 1.25in; }
P.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"
}
LI.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"
}
DIV.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"
}
A:link {
        COLOR: blue; TEXT-DECORATION: underline
}
SPAN.MsoHyperlink {
        COLOR: blue; TEXT-DECORATION: underline
}
A:visited {
        COLOR: purple; TEXT-DECORATION: underline
}
SPAN.MsoHyperlinkFollowed {
        COLOR: purple; TEXT-DECORATION: underline
}
P {
        FONT-SIZE: 12pt; MARGIN-LEFT: 0in; MARGIN-RIGHT: 0in; FONT-FAMILY: "Times New Roman"; mso-margin-top-alt: auto; mso-margin-bottom-alt: auto
}
SPAN.EmailStyle18 {
        COLOR: navy; FONT-FAMILY: Arial; mso-style-type: personal-reply
}
DIV.Section1 {
        page: Section1
}
</STYLE>
</HEAD>
<BODY lang=EN-US vLink=purple link=blue>
<DIV dir=ltr align=left><FONT face="Comic Sans MS" color=#0000ff size=2><SPAN 
class=951395015-06042005>Many thanks to all who gave advice. It now looks like 
the scanner tool we're using (nmap v3.81) might be the root cause of 
the problem. On one Cisco 2950 switch we used nmap to scan a bunch of Sun 
Solaris boxes, & snort was able to capture the alerts & send them to the 
MySQL database on another box. But when we tried to scan the switch itself, as 
well as its failover partner, snort didn't see anything. The other Cisco 2950 
switch that's being monitored by another snort instance is also a 2950, but it 
only has a Cisco PIX, a switch & a Cisco CSS on it (no servers). Snort 
didn't see anything from that switch, either. The Cisco GigE switch has several 
Windows servers on it, but again snort didn't capture any alerts. So my 
question is, what options should we use with nmap to simulate attacks on 
switches, firewalls, routers & Windows boxes, so we can generate alerts that 
snort can capture? The syntax we've been using is "nmap -v -A -T5 
<targets>". On the 1st switch above, we tried all the relevant 
options available, to no avail.</SPAN></FONT></DIV>
<DIV> </DIV><!-- Converted from text/rtf format -->
<P><SPAN lang=en-us><FONT face=Arial size=4>Peter 
Escudero</FONT></SPAN> </P>
<P>
<HR tabIndex=-1>
</P>
<P><FONT face=Tahoma size=2><B>From:</B> Basselgia, Barry A Mr (NAF Atsugi) 
[mailto:BABasselgia@...12104...] <BR><B>Sent:</B> Tuesday, April 05, 2005 
4:49 PM<BR><B>To:</B> Peter Barton; Snort-users@lists.sourceforge.net; Escudero, 
Peter Louis<BR><B>Subject:</B> RE: [Snort-users] Can Snort monitor multiple 
VLANs?<BR></FONT><BR></P>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV></DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN class=148010323-05042005>I 
  think that it depend on how you have the monitoring/span port on the 
  Cisco switches configured.  If the port is configured to send the traffic 
  to the snort box, I don't know why it wouldn't work.  If you try to 
  monitor a GIG switch with a 10/100 interface in your snort box, the switch is 
  going to start dropping packets when traffic gets to much for the 10/100 
  interface.</SPAN></FONT></DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN 
  class=148010323-05042005></SPAN></FONT> </DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN class=148010323-05042005>I 
  have a snort sensor running on a Dell Precision 340 with 6 network interfaces, 
  4 GIG and 2 10/100.  I'm running SuSE 9.1 and snort 2.3.2.  I 
  have the 4 GIG interfaces bonded together as bond0 and bond1, I'm using taps 
  with these interfaces.  One of the 10/100 ports is monitoring a Cisco 
  switch, the other is my management interface.</SPAN></FONT></DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN 
  class=148010323-05042005></SPAN></FONT> </DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN class=148010323-05042005>I 
  have an 3 instances of snort and barnyard running, 1 each for eth0, 
  bond0, and bond1.  I'm using the same snort config file and rules for all 
  3 instances.  The startup/sysconfig scripts provided with snort 2.3.2 
  work nicely for this.  Just copied the files to init.d and 
  sysconfig.  In the sysconfig/snort file I have INTERFACE="eth0 bond0 
  bond1".  The snortd script then starts 3 instances of snort with no 
  problem.  The unified log files end up in:</SPAN></FONT></DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN 
  class=148010323-05042005></SPAN></FONT> </DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN 
  class=148010323-05042005>/var/log/snort/eth0</SPAN></FONT></DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN 
  class=148010323-05042005>/var/log/snort/bond0</SPAN></FONT></DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN 
  class=148010323-05042005>/var/log/snort/bond1</SPAN></FONT></DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN 
  class=148010323-05042005></SPAN></FONT> </DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN class=148010323-05042005>I 
  then setup 3 barnyard config files, barnyard-eth0.conf, barnyard-bond0.conf, 
  and barnyard-bond1.conf to process the unified logs into a mysql database on a 
  different machine.  I copied the snortd script to barnyardd and modified 
  it to start barnyard instead of snort.  Everything works pretty 
  good.</SPAN></FONT></DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN 
  class=148010323-05042005></SPAN></FONT> </DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN class=148010323-05042005>The 
  whole trick to getting the above to work, is you have to have enough memory in 
  your snort box.  When I first set this up, I was dropping a lot of 
  packets, but I only had 256meg of memory.  I upgraded to 512meg and the 
  packet drop rate when down.  I've got memory on order to take the system 
  to 1gig, I think that will really help. </SPAN></FONT></DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN 
  class=148010323-05042005></SPAN></FONT> </DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN 
  class=148010323-05042005>Barry</SPAN></FONT></DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN 
  class=148010323-05042005></SPAN></FONT> </DIV>
  <BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
    <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
    size=2>-----Original Message-----<BR><B>From:</B> 
    snort-users-admin@lists.sourceforge.net 
    [mailto:snort-users-admin@lists.sourceforge.net]<B>On Behalf Of </B>Peter 
    Barton<BR><B>Sent:</B> Wednesday, April 06, 2005 1:02 AM<BR><B>To:</B> 
    Snort-users@lists.sourceforge.net<BR><B>Subject:</B> RE: [Snort-users] Can 
    Snort monitor multiple VLANs?<BR><BR></FONT></DIV>
    <DIV class=Section1>
    <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
    style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">If you are having 
    Snort log directly to MySql then the easiest way to do it is to have 
    multiple instances of Snort running, one for each 
    interface.<o:p></o:p></SPAN></FONT></P>
    <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
    style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
    <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
    style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">My question to 
    everyone is, what if you use Barnyard to write to MySql and have Snort just 
    write to binary files.  I still have multiple instances of Snort 
    running, but I can only seem to get one instance of Barnyard running.  
    Is there a trick to this or am I just going about this the wrong 
    way?<o:p></o:p></SPAN></FONT></P>
    <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
    style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
    <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
    style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Thanks,<o:p></o:p></SPAN></FONT></P>
    <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
    style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
    <P class=MsoNormal><st1:PersonName 
    style="BACKGROUND-POSITION: left bottom; BACKGROUND-IMAGE: url(res://ietag.dll/#34/#1001); BACKGROUND-REPEAT: repeat-x" 
    tabIndex=0 w:st="on"><FONT face=Arial color=navy size=2><SPAN 
    style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Peter 
    Barton</SPAN></FONT></st1:PersonName><FONT face=Arial color=navy 
    size=2><SPAN 
    style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p></o:p></SPAN></FONT></P>
    <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
    style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
    <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
    style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
    <DIV>
    <DIV class=MsoNormal style="TEXT-ALIGN: center" align=center><FONT 
    face="Times New Roman" size=3><SPAN style="FONT-SIZE: 12pt">
    <HR tabIndex=-1 align=center width="100%" SIZE=2>
    </SPAN></FONT></DIV>
    <P class=MsoNormal><B><FONT face=Tahoma size=2><SPAN 
    style="FONT-WEIGHT: bold; FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">From:</SPAN></FONT></B><FONT 
    face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma"> 
    snort-users-admin@lists.sourceforge.net 
    [mailto:snort-users-admin@lists.sourceforge.net] <B><SPAN 
    style="FONT-WEIGHT: bold">On Behalf Of </SPAN></B>Escudero, Peter 
    Louis<BR><B><SPAN style="FONT-WEIGHT: bold">Sent:</SPAN></B> Tuesday, April 
    05, 2005 10:54 AM<BR><B><SPAN style="FONT-WEIGHT: bold">To:</SPAN></B> 
    Snort-users@lists.sourceforge.net<BR><B><SPAN 
    style="FONT-WEIGHT: bold">Subject:</SPAN></B> [Snort-users] Can Snort 
    monitor multiple VLANs?</SPAN></FONT><o:p></o:p></P></DIV>
    <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
    style="FONT-SIZE: 12pt"><o:p> </o:p></SPAN></FONT></P>
    <DIV>
    <P class=MsoNormal><FONT face="Comic Sans MS" size=2><SPAN 
    style="FONT-SIZE: 10pt; FONT-FAMILY: 'Comic Sans MS'">Our IDS box is a 
    Dell PE750 running SuSE Linux 9.1 Pro & snort v2.1.x, with a quad 10/100 
    NIC card. Three of the ports are hooked up to 3 different Cisco switches, 
    representing 3 different VLANs. We're able to capture alerts from one 
    switch, but not from the others. Is snort able to monitor different VLANs? 
    Or do we need a separate IDS box for each VLAN? Any info you can provide 
    will be greatly appreciated.</SPAN></FONT><o:p></o:p></P></DIV>
    <DIV>
    <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
    style="FONT-SIZE: 12pt"> <o:p></o:p></SPAN></FONT></P></DIV>
    <P><FONT face=Arial size=4><SPAN 
    style="FONT-SIZE: 13.5pt; FONT-FAMILY: Arial"><!-- Converted from text/rtf format -->Peter 
    Escudero</SPAN></FONT> 
<o:p></o:p></P></DIV></BLOCKQUOTE></BLOCKQUOTE></BODY></HTML>