<div id="reply-content">
        Good to hear you got it!
    </div>
    <div id="ED0F6EDBFD514F6D94942BC61F6D30F1"><div><br></div>-- <br>Joel Esler<br>Senior Research Engineer, VRT<br>Open Source Community Manager<div><br></div></div>
     
    <p style="color: #A0A0A8;">On Thursday, February 14, 2013 at 7:06 PM, Josh Bitto wrote:</p>
    <blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;">
        <div id="quoted-message-content"><div><meta http-equiv="Content-Type" content="text/html; charset=utf-8"><meta name="Generator" content="Microsoft Word 14 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--><div><p style="margin: 0px; "><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Nevermind…..I figured what I was doing wrong…..I had everything working correctly and I can trigger events….I just installed a port scanner on one of the machines in a VLAN subnet and it triggered…..I’m good to go :D<o:p></o:p></span></p><p style="margin: 0px; "><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p><p style="margin: 0px; "><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p><p style="margin: 0px; "><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p><p style="margin: 0px; "><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p><div><div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in"><p style="margin: 0px; "><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Y M [mailto:snort@...15979...] <br><b>Sent:</b> Thursday, February 14, 2013 2:08 PM<br><b>To:</b> Josh Bitto; snort-users@lists.sourceforge.net<br><b>Subject:</b> RE: [Snort-users] Snort and my VLANs<o:p></o:p></span></p></div></div><p style="margin: 0px; "><o:p> </o:p></p><div><div><p style="margin: 0px; "><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">In this case you would need to place sensors between vlans for vlan-to-vlan communication/detection since the traffic will not be reaching the edge WAN or router interface and Snort will not be seeing the traffic. However, if a BYOD is, for example, infected with a malware which may be attempting to communicate to an external IP, then it has to go through the edge router and hence get detected by Snort.<br><br>This is where a distributed sensors deployment architecture would come in handy. I would suggest starting with, if you have one, the servers vlan to monitor any suspicious activity going to your servers.<br><br>I hope my answer makes some sense.<br><br>YM<o:p></o:p></span></p></div></div><div><div align="center" style="text-align: center; margin: 0px; "><hr size="2" width="100%" align="center"></div><p style="margin: 0px; "><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From: </span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><a href="mailto:jbitto@...16055...">Josh Bitto</a></span><br><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Sent: </span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">‎2/‎15/‎2013 12:57 AM</span><br><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">To: </span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a></span><br><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Subject: </span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">[Snort-users] Snort and my VLANs</span><o:p></o:p></p></div><div><div><p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I’m having issues where I am not able to determine if I can actually catch bad traffic with snort.</span><o:p></o:p></p><p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p><p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Right now I have snort in a test lab where I have interfaces WAN, LAN….and then my VLANS. My firewall does all the routing and has the vlans setup. So when I go to testmyids.com and trigger a rule I get the rule triggered on my WAN interface but not any of my VLANs……</span><o:p></o:p></p><p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p><p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Basically what I’m trying to initiate is if a user brings in a byod…I want to be able to detect anything on that machine when it connects to my internal vlan.</span><o:p></o:p></p><p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p></div></div></div><div>------------------------------------------------------------------------------</div><div>Free Next-Gen Firewall Hardware Offer</div><div>Buy your Sophos next-gen firewall before the end March 2013 </div><div>and get the hardware for free! Learn more.</div><div>http://p.sf.net/sfu/sophos-d2d-feb</div><div>_______________________________________________</div><div>Snort-users mailing list</div><div>Snort-users@lists.sourceforge.net</div><div>Go to this URL to change user options or unsubscribe:</div><div>https://lists.sourceforge.net/lists/listinfo/snort-users</div><div>Snort-users list archive:</div><div>http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</div><div><br></div><div>Please visit http://blog.snort.org to stay current on all the latest Snort news!</div></div></div>
         
         
         
         
    </blockquote>
     
    <div>
        <br>
    </div>