Snort can handle it (as far as HOME_NET tuning is going), and will handle it just fine.  Usually I've seen people put a sensor in the DMZ, and a sensor inside the firewall.  The HOME_NET for the DMZ sensor set to the DMZ IP range, and the HOME_NET inside the firewall set to all the 1918 addresses.<div>
<br></div><div>As far as filtering out things like ESP and VPN traffic, I see no reason to inspect it if it's encrypted.  (That's what encryption is for right? To make stuff unreadable?)</div><div><br></div><div>I welcome a discussion on that issue.</div>
<div><br></div><div>J</div><div><br><div class="gmail_quote">On Tue, Mar 24, 2009 at 2:58 PM, Seth Art <span dir="ltr"><<a href="mailto:sethsec@...11827...">sethsec@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
1) Can anyone think of an argument against filtering out ESP and AH<br>
(IPSEC VPN) traffic entirely by using BPF filters?  It does not look<br>
like any current signatures detect attacks on either protocol (I could<br>
be wrong here), and as most of you know, this traffic is encrypted.<br>
<br>
<br>
2) Often I come across sensors that are receiving traffic (usually via<br>
SPAN) from BOTH the inside (LAN) and outside (WAN).  In this case<br>
snort sees *most* packets twice:  Once from the outside feed with your<br>
WAN IP (most likely a HIDE NAT, PAT, etc), and then again from the<br>
inside feed with an internal address (usually RFC 1918).<br>
<br>
My question -- Aside from the additional throughput, is this actually bad?<br>
<br>
It seems that the best solution would require two separate sensors, or<br>
at a minimum two instances of snort running on the same hardware (one<br>
configured for the inside and one for the outside).<br>
<br>
But is this required?<br>
<br>
If you configure your home net to include both your public IP range<br>
AND your RFC 1918 range, will one instance of snort be able to tell<br>
handle both feeds without an issue?<br>
<br>
<br>
Thanks,<br>
<br>
Seth<br>
<br>
------------------------------------------------------------------------------<br>
Apps built with the Adobe(R) Flex(R) framework and Flex Builder(TM) are<br>
powering Web 2.0 with engaging, cross-platform capabilities. Quickly and<br>
easily build your RIAs with Flex Builder, the Eclipse(TM)based development<br>
software that enables intelligent coding and step-through debugging.<br>
Download the free 60 day trial. <a href="http://p.sf.net/sfu/www-adobe-com" target="_blank">http://p.sf.net/sfu/www-adobe-com</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
</blockquote></div><br><br clear="all"><br>-- <br>Joel Esler<br>T: 302-223-5974 (-) Gtalk: <a href="mailto:jesler@...1935...">jesler@...1935...</a><br>[m]<br>
</div>