<html><head><base href="x-msg://679/"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><a href="Http://blog.snort.org">Http://blog.snort.org</a><div><br></div><div>I post EVERYTHING there.</div><div><br></div><div>I also posted this change to the list.  Before the ruleset went out.</div><div><br></div><div><div>--</div><div>Joel Esler</div><div>Senior Research Engineer, VRT</div><div>OpenSource Community Manager</div><div>Sourcefire</div></div><div><br></div><div><br></div><div><div><div>On Nov 4, 2011, at 3:39 PM, Gibson, Nathan J. (HSC) wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div lang="EN-US" link="blue" vlink="purple"><div class="WordSection1" style="page: WordSection1; "><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">Hey all,<o:p></o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">How does one go about staying informed about new Source Fire rules that add additional variables BEFORE they are added to the rule set.<o:p></o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">For example it seems a variable “$FILE_DATA_PORTS” was introduced last night that bombed out my snort. Just wondering if there is a way I can get proactive on this. And turn them off in pulled pork BEFORE it kills my IDS in the middle of the night.<o:p></o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">alert tcp $EXTERNAL_NET $FILE_DATA_PORTS -> $HOME_NET any (msg:"FILE-IDENTIFY Real Media file magic detection"; flow:to_client,established; file_data; content:".RMF"; within:4; fast_pattern; flowbits:set,http.realplayer,fileidentify; flowbits:noalert; classtype:misc-activity; sid:20456; rev:2;)<o:p></o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><b><i><span style="font-size: 14pt; font-family: 'Bradley Hand ITC'; color: rgb(31, 73, 125); ">GIBBY</span></i></b><br><b><i><span style="font-size: 14pt; font-family: 'Arial Narrow', sans-serif; color: rgb(31, 73, 125); ">_____________________________</span></i></b><o:p></o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 14pt; font-family: 'Arial Narrow', sans-serif; ">Nathan J. Gibson, MsIA, CISSP, CISM,CCNA, MCSA</span><br>IT Architect<br>Infrastructure Services<br>The University of Oklahoma HSC<o:p></o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; ">voice: 405.271.2644 x50340<br>fax:    405.271.2181<o:p></o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="color: rgb(79, 98, 40); ">Feedback?  Email comments to</span><span style="color: red; "><span class="Apple-converted-space"> </span><a href="mailto:chris-hodges@...15095...?subject=Heads%20up%20about%20Gibby" style="color: blue; text-decoration: underline; "><span style="color: blue; ">Chris Hodges</span></a></span><o:p></o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="color: rgb(31, 73, 125); ">--------------------------<br></span><i><span style="font-size: 9pt; color: rgb(31, 73, 125); ">CONFIDENTIALITY NOTICE: This e-mail communication and any attachments may contain confidential and privileged information for the use of the designated recipients named above. If you are not the intended recipient, you are hereby notified that you have received this communication in error and that any review, disclosure, dissemination, distribution or copying of it or its contents is prohibited. If you have received this communication in error, please destroy all copies of this communication and any attachments.</span></i><o:p></o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "> <o:p></o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div></div>------------------------------------------------------------------------------<br>RSA(R) Conference 2012<br>Save $700 by Nov 18<br>Register now<br><a href="http://p.sf.net/sfu/rsa-sfdev2dev1_______________________________________________" style="color: blue; text-decoration: underline; ">http://p.sf.net/sfu/rsa-sfdev2dev1_______________________________________________</a><br>Snort-users mailing list<br><a href="mailto:Snort-users@...7287....sourceforge.net" style="color: blue; text-decoration: underline; ">Snort-users@lists.sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" style="color: blue; text-decoration: underline; ">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>Snort-users list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" style="color: blue; text-decoration: underline; ">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br><br>Please visit<span class="Apple-converted-space"> </span><a href="http://blog.snort.org" style="color: blue; text-decoration: underline; ">http://blog.snort.org</a><span class="Apple-converted-space"> </span>to stay current on all the latest Snort news!</div></blockquote></div><br></div></body></html>