<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="top" style="font: inherit;"><DIV> </DIV>
<DIV>Thanx Alex for the insight, <BR></DIV>
<DIV>BM</DIV>
<DIV> </DIV>
<DIV><BR>--- On <B>Wed, 2/10/10, Alex Kirk <I><akirk@...1935...></I></B> wrote:<BR></DIV>
<BLOCKQUOTE style="BORDER-LEFT: rgb(16,16,255) 2px solid; PADDING-LEFT: 5px; MARGIN-LEFT: 5px"><BR>From: Alex Kirk <akirk@...1935...><BR>Subject: Re: [Snort-users] Help on fresh snort...<BR>To: "Sandro guly Zaccarini" <guly@...14592...><BR>Cc: "Bob Marley" <cyroscholar@...131...>, snort-users@lists.sourceforge.net<BR>Date: Wednesday, February 10, 2010, 8:38 PM<BR><BR>
<DIV id=yiv1135412541>Bob,
<DIV><BR></DIV>
<DIV>While Sandro is correct - reading the manual will get you the farthest - here are a few things that are important to focus on (assuming that you already have Snort compiled/installed, and are just trying to get it doing its job):</DIV>
<DIV><BR></DIV>
<DIV>* Review your configuration and make sure things are tuned for your local environment. Setting the $HOME_NET variable to include IPs for your local network, setting your $RULE_PATH variable to a directory that contains Snort rules, choosing the output method that works best for your environment, etc. are all very important things to do.</DIV>
<DIV><BR></DIV>
<DIV>* Make sure you've actually got a set of rules for Snort to use that's reasonably up-to-date. You can get free rules by registering at Snort.org.</DIV>
<DIV><BR></DIV>
<DIV>* Choose an appropriate place to deploy Snort on your network that will ensure maximum visibility. You probably want it inside a firewall, since the Internet is a noisy place, but other than that, pass as much traffic to your Snort box as it can handle.</DIV>
<DIV><BR></DIV>
<DIV>If you have more specific questions moving forward, feel free to send questions to the list.<BR><BR>
<DIV class=gmail_quote>On Wed, Feb 10, 2010 at 4:10 AM, Sandro guly Zaccarini <SPAN dir=ltr><<A href="http://us.mc513.mail.yahoo.com/mc/compose?to=guly@...14592..." rel=nofollow target=_blank ymailto="mailto:guly@...14592...">guly@...14592...</A>></SPAN> wrote:<BR>
<BLOCKQUOTE style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class=gmail_quote>
<DIV>
<DIV></DIV>
<DIV class=h5>On Wed, Feb 10, 2010 at 12:53:50AM -0800, Bob Marley wrote:<BR>> All,<BR>><BR>><BR>> Need help on deploying snort on dapper for the first time. I read the manual<BR>> and it's really frustrating. can someone key in on the most important things<BR>> to do... please<BR><BR></DIV></DIV>the most important thing is to read the manual.<BR><BR>sz<BR>--<BR> /"\   taste your favourite IT consultant<BR> \ /   gpg public key <A href="http://www.guly.org/guly.asc" rel=nofollow target=_blank>http://www.guly.org/guly.asc</A><BR>  X<BR> / \<BR>
<DIV class=im><BR><BR>------------------------------------------------------------------------------<BR>SOLARIS 10 is the OS for Data Centers - provides features such as DTrace,<BR>Predictive Self Healing and Award Winning ZFS. Get Solaris 10 NOW<BR><A href="http://p.sf.net/sfu/solaris-dev2dev" rel=nofollow target=_blank>http://p.sf.net/sfu/solaris-dev2dev</A><BR>_______________________________________________<BR></DIV>Snort-users mailing list<BR><A href="http://us.mc513.mail.yahoo.com/mc/compose?to=Snort-users@lists.sourceforge.net" rel=nofollow target=_blank ymailto="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</A><BR>Go to this URL to change user options or unsubscribe:<BR><A href="https://lists.sourceforge.net/lists/listinfo/snort-usersSnort-users" rel=nofollow target=_blank>https://lists.sourceforge.net/lists/listinfo/snort-users<BR>Snort-users</A> list archive:<BR><A
 href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" rel=nofollow target=_blank>http://www.geocrawler.com/redir-sf.php3?list=snort-users</A><BR></BLOCKQUOTE></DIV><BR><BR clear=all><BR>-- <BR>Alex Kirk<BR>AEGIS Program Lead<BR>Sourcefire Vulnerability Research Team<BR>+1-410-423-1937<BR><A href="http://us.mc513.mail.yahoo.com/mc/compose?to=alex.kirk@...1935..." rel=nofollow target=_blank ymailto="mailto:alex.kirk@...1935...">alex.kirk@...1935...</A><BR></DIV></DIV></BLOCKQUOTE></td></tr></table><br>