<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Calibri" size="2"><span style="font-size:11pt;">
<div><font color="#1F497D">>> Jake, I would argue the opposite. </font></div>
<div><font face="Times New Roman" size="3" color="#1F497D"><span style="font-size:12pt;"> </span></font></div>
<div><font color="#1F497D">Greg, you make an excellent point.  A honeypot server would be a better solution for outside the FW. Pair that with the IDS internally and I may just have a good working theory…. Thank you!</font></div>
<div><font face="Times New Roman" size="3" color="#1F497D"><span style="font-size:12pt;"> </span></font></div>
<div><font face="Brush Script MT" size="6" color="#1F497D"><span style="font-size:28pt;">Jake Sallee</span></font></div>
<div><font face="Courier New" color="#1F497D">Godfather of Bandwidth</font></div>
<div><font face="Courier New" color="#1F497D">System Engineer</font></div>
<div><font face="Courier New" color="#1F497D">University of Mary Hardin-Baylor</font></div>
<div><font face="Courier New" color="#1F497D">900 College St.</font></div>
<div><font face="Courier New" color="#1F497D">Belton TX. 76513</font></div>
<div><font face="Courier New" color="#1F497D">Fone: 254-295-4658</font></div>
<div><font face="Courier New" color="#1F497D">Phax: 254-295-4221</font></div>
<div><font face="Courier New" color="#1F497D">HTTP://WWW.UMHB.EDU</font></div>
<div><font face="Times New Roman" size="3" color="#1F497D"><span style="font-size:12pt;"> </span></font></div>
<div><b>From:</b> Greg Williams [<a href="mailto:gwillia5@...15920...">mailto:gwillia5@...15920...</a>]
<br>

<b>Sent:</b> Wednesday, March 06, 2013 6:14 PM<br>

<b>To:</b> Sallee, Stephen (Jake); snort-users@lists.sourceforge.net<br>

<b>Subject:</b> RE: [Snort-users] New install questions.</div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div><font color="#1F497D">Jake, I would argue the opposite.  Your firewall is there for a reason.  If you are bombarded with seeing on what is happening on the outside of your perimeter you may miss something that did make it past your firewall.  I might suggest
a honeypot outside your firewall to see who is banging on your perimeter.  Block the IPs that come from that.  Sounds like you are almost the same size as we are.  Typically ~400-600Mbps of traffic.  I use SO for my home network.  It’s a great tool.</font></div>
<div><font color="#1F497D"> </font></div>
<div style="margin-bottom:12pt;"><font face="Tahoma" size="2"><span style="font-size:10pt;">Greg Williams<br>

IT Security Principal<br>

University of Colorado at Colorado Springs<br>

Website: <a href="http://www.uccs.edu/itsecure"><font color="blue"><u>http://www.uccs.edu/itsecure</u></font></a></span></font></div>
<div><font face="Times New Roman" size="3" color="#1F497D"><span style="font-size:12pt;"> </span></font></div>
<div><font face="Tahoma" size="2"><span style="font-size:10pt;"><b>From:</b> Sallee, Stephen (Jake) [<a href="mailto:Jake.Sallee@...15646..."><font color="blue"><u>mailto:Jake.Sallee@...15646...</u></font></a>]
<br>

<b>Sent:</b> Wednesday, March 06, 2013 5:01 PM<br>

<b>To:</b> <a href="mailto:snort-users@lists.sourceforge.net"><font color="blue"><u>snort-users@lists.sourceforge.net</u></font></a><br>

<b>Subject:</b> Re: [Snort-users] New install questions.</span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div><font color="#1F497D">Thank you all for your input! I also just realized that all of my replies are not going to the list … blasted outlook  >: (</font></div>
<div><font face="Times New Roman" size="3" color="#1F497D"><span style="font-size:12pt;"> </span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;">>>IMHO, you need to be on the inside of the firewall, let the firewall block the majority of the nonsense, and let Snort concentrate on what actually makes it through the Firewall.</span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div><font color="#1F497D">I thought about this, and the only reason I thought about the outside of the FW was that I would like to know when someone is hammering on my FW.  The analogy I was envisioning was listening for the bad guy banging on the door and
not the sound of the door breaking in.</font></div>
<div><font face="Times New Roman" size="3" color="#1F497D"><span style="font-size:12pt;"> </span></font></div>
<div><font color="#1F497D">I am trying to adopt a more proactive security posture, if I only sniff traffic inside the firewall then I would be missing the attempts at a break-in and only seeing if they are successful, at that time I am already in trouble.</font></div>
<div><font color="#1F497D"> </font></div>
<div><font color="#1F497D">Am I missing something?</font></div>
<div><font face="Times New Roman" size="3" color="#1F497D"><span style="font-size:12pt;"> </span></font></div>
<div><font color="#1F497D">Also (this is the part that didn’t make it to the list) someone mentioned Security Onion.  SO is AMAZING!  I did a POC deployment and my management went nuts for it.  I am scheduled to deploy a SO sensor net with about 50-60 sensors
this summer, sniffing all my internal traffic.  So a BIG thank you to Doug.</font></div>
<div><font face="Times New Roman" size="3" color="#1F497D"><span style="font-size:12pt;"> </span></font></div>
<div><font color="#1F497D">My only concern about SO in this instance is its constant packet capture feature, which is fantastic on my internal links, but my internet link is at an almost constant 250Mb/sec bursting to 500Mb/sec. Accounting for logs and packet
capture data that is almost 3TB a day … that’s actually not too bad. Hmmmm….</font></div>
<div><font color="#1F497D"> </font></div>
<div><font color="#1F497D">Thank you all again!</font></div>
<div><font face="Times New Roman" size="3" color="#1F497D"><span style="font-size:12pt;"> </span></font></div>
<div><font face="Times New Roman" size="3" color="#1F497D"><span style="font-size:12pt;"> </span></font></div>
<div><font face="Brush Script MT" size="6" color="#1F497D"><span style="font-size:28pt;">Jake Sallee</span></font></div>
<div><font face="Courier New" color="#1F497D">Godfather of Bandwidth</font></div>
<div><font face="Courier New" color="#1F497D">System Engineer</font></div>
<div><font face="Courier New" color="#1F497D">University of Mary Hardin-Baylor</font></div>
<div><font face="Courier New" color="#1F497D">900 College St.</font></div>
<div><font face="Courier New" color="#1F497D">Belton TX. 76513</font></div>
<div><font face="Courier New" color="#1F497D">Fone: 254-295-4658</font></div>
<div><font face="Courier New" color="#1F497D">Phax: 254-295-4221</font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"><a href="HTTP://WWW.UMHB.EDU"><font face="Courier New" size="2" color="blue"><span style="font-size:11pt;"><u>HTTP://WWW.UMHB.EDU</u></span></font></a></span></font></div>
<div><font face="Times New Roman" size="3" color="#1F497D"><span style="font-size:12pt;"> </span></font></div>
<div><b>From:</b> Joel Esler [<a href="mailto:jesler@...1935..."><font color="blue"><u>mailto:jesler@...1935...</u></font></a>]
<br>

<b>Sent:</b> Wednesday, March 06, 2013 3:24 PM<br>

<b>To:</b> Sallee, Stephen (Jake)<br>

<b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net"><font color="blue"><u>snort-users@lists.sourceforge.net</u></font></a><br>

<b>Subject:</b> Re: [Snort-users] New install questions.</div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;">On Mar 6, 2013, at 3:30 PM, "Sallee, Stephen (Jake)" <<a href="mailto:Jake.Sallee@...15646..."><font color="blue"><u>Jake.Sallee@...15646...</u></font></a>> wrote:</span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div style="text-indent:-18pt;">1)<font face="Times New Roman" size="1"><span style="font-size:7pt;">      </span></font>Normally where would you deploy a SNORT IDS?  My thoughts are to deploy it out of band using a monitor session on the internet switch, with
a dedicated management interface for sending emails and such from the snort box. Basically setting it up as a tap on the outside interface of my firewall.</div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;">IMHO, you need to be on the inside of the firewall, let the firewall block the majority of the nonsense, and let Snort concentrate on what actually makes it through the Firewall.</span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div style="text-indent:-18pt;">2)<font face="Times New Roman" size="1"><span style="font-size:7pt;">      </span></font>What kind of hardware do I need?  Since this is my internet sniffer it will be seeing some rather exotic traffic and will need some careful
tuning to get right.  I would like to be able to use as many rules as possible, but more rules = more CPU and RAM.  Given that, what kind of hardware am I looking at to be able to use a good and thorough rule set while not getting bogged down under peak conditions
(theoretically about 3Gb/sec).</div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;">You'll probably need something like flow dividing and pinning to CPUs.  There are lots of articles out there on this information.  One of the more recent that discuss this topic (although
it really doesn't tell you how to configure Snort:  <a href="http://erratasec.blogspot.com/2013/02/multi-core-scaling-its-not-multi.html"><font color="blue"><u>http://erratasec.blogspot.com/2013/02/multi-core-scaling-its-not-multi.html</u></font></a> )  Worth
a good read.  I believe the Security Onion distro does this now (<i>Doug, care to confirm?</i>)</span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div style="text-indent:-18pt;">3)<font face="Times New Roman" size="1"><span style="font-size:7pt;">      </span></font>Homebrew vs. Vendor.  Sourcefire makes what I consider to be the gold standard of snort based IDS … or IDS in general. </div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;">Thank you.</span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div style="text-indent:-18pt;">But, is the GUI and support necessary?  </div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;">Depends on your use case, but for an enterprise, at the speeds you are talking, a GUI would make things easier to manage and simpler to use.</span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div style="text-indent:-18pt;">If I can successfully demo and deploy this tech on a homebrew box could I get professional support without buying the hardware from a vendor like sourcefire, or should I skip the roll-your-own setup and go for broke with a fully
supported platform first?</div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;">I don't want to discuss our product on list, as vendor discussion is pretty much disallowed, but you are welcome to contact me off list.  </span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;">We do not offer a paid support offering for Snort from Sourcefire, but we do offer services for Snort: <a href="http://www.snort.org/services"><font color="blue"><u>http://www.snort.org/services</u></font></a>,
the VRT rules are always supported by the VRT at any time if you buy a subscription or not.</span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div><font face="Lucida Grande" size="2"><span style="font-size:9pt;">--<br>

<b>Joel Esler<br>

</b>Senior Research Engineer, VRT<br>

OpenSource Community Manager<br>

Sourcefire</span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
<div><font face="Times New Roman" size="3"><span style="font-size:12pt;"> </span></font></div>
</span></font>
</body>
</html>