<div dir="ltr">Did you create a bridged virtual interface? <div><br></div><div><a href="http://snortattack.org/node/303">http://snortattack.org/node/303</a><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Thu, Jun 13, 2013 at 12:08 AM, Nomad Esst <span dir="ltr"><<a href="mailto:noname.esst@...131..." target="_blank">noname.esst@...131...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div><div><div class="im"><div style="font-family:arial,helvetica,sans-serif;font-size:13px;color:rgb(69,69,69)">Thanks. You know, I've just decided to use it in inline mode. I gave that a try with these configurations :</div>
<div style="font-family:arial,helvetica,sans-serif;font-size:13px"><span></span></div><div style="font-family:arial,helvetica,sans-serif;font-size:13px;color:rgb(69,69,69)">Here is my custom snort.conf: (named snr.conf)</div>
</div><div><div class="im"><div><font color="#454545"><span style="white-space:pre-wrap">     </span>config daq: ipfw</font></div><div><font color="#454545"><span style="white-space:pre-wrap">      </span>config daq_mode: inline</font></div>
<div><font color="#454545"><span style="white-space:pre-wrap">    </span>config policy_mode:
 inline</font></div><div><font color="#454545"><span style="white-space:pre-wrap">    </span>output alert_full: stdout</font></div><div><font color="#454545"><span style="white-space:pre-wrap">     </span>include snort.rule</font></div>
</div><div><font color="#454545">Here is a simple rule file: (name snort.rule)</font></div><div class="im"><div><font color="#454545"><div><span style="white-space:pre-wrap">      </span>drop tcp any any -> any 23 (msg: "Drop telnet packets"; sid: 1000001)</div>
<div><span style="white-space:pre-wrap">  </span>pass ip any any -> any any</div><div>And here is what I do:</div><div><span style="white-space:pre-wrap">       </span>snort -c /root/snr.conf -Q --alert-before-pass<br></div><div>
And I expect the ICMP packets to pass and telnet packets to drop. But both packet types pass! Am I missing something?</div></font></div></div></div><div style="font-family:arial,helvetica,sans-serif;font-size:13px"><br></div>
  <div style="font-family:'times new roman','new york',times,serif;font-size:12pt"> <div style="font-family:'times new roman','new york',times,serif;font-size:12pt"><div class="im"> <div dir="ltr">
 <hr size="1">  <font face="Arial"> <b><span style="font-weight:bold">From:</span></b> Mike Miller <<a href="mailto:mike@...16027..." target="_blank">mike@...16027...</a>><br> <b><span style="font-weight:bold">To:</span></b> Nomad Esst <<a href="mailto:noname.esst@...131..." target="_blank">noname.esst@...131...</a>><b><span style="font-weight:bold">Sent:</span></b> Wednesday, June 12, 2013 7:30 PM<br>
 </font> </div> </div><div><div class="h5"><div><br><div><div dir="ltr">Long story short, you gang two network interfaces into a pair, have one network drop (in from Firewall) going to one interface, and the other network drop (out to LAN), going to your router/switchfabric, running snort in inline mode, you have additional actions in your snort
 rules, where before you can Alert, log, etc...you can also Pass, Drop, reject, and sdrop the packets, which prevent them from going from one interface to the other. <div>
<br></div><div>You can set snort up in inline mode, and so long as all the rules are set to alert, it'll act like snort that's just sniffing traffic. However, if the snort box goes offline, or you restart the snort processes, or snort hangs YOU WILL LOSE NETWORK CONNECTIVITY if you're not using a fail-open network card. </div>

<div><br></div><div>Gig Nics are $9 in the bargain bin. Fail open Gig NICs are closer to $2000, so you can see why people who don't care for uptime might cut a corner or two. Last I checked, there was no such thing as a fail-open Fiber NIC, that may have changed. A quick google shows they exist, are $10k MSRP, and I'm not sure HOW they work....because, you know, they use LIGHT and all that. (It's an admitted gap in my knowledge)</div>

<div><br></div><div>Gotchas:</div><div>1. Aforementioned fail-open behavior</div><div>2. Overly aggressive rulesets (if a Fase Positive is set to DROP or REJECT, you could cause a lot of oddball activity)</div>
<div>3. Another troubleshooting layer for Network Support. (Is the failure at the ISP, Firewall, Switchfabric...or Emerging Threats)</div><div>4. If the Bad Guy think's you're actively blacklisting based on IP, they can craft packets to make you go deaf. (Like making sure your Snort box is blocking access to the outside DNS server...because it received a UDP packet that was bad, that it thinks came from the DNS server.)</div>

<div><br></div><div>That said, having a good, tuned, IDP is a GREAT way to cut down on your day to day work. If it punts 98% of the sql injection attacks to your webfarm, you can devote your time to other things. </div>
<div><br></div><div><br></div><div><br></div><div><br></div></div><div><br><br><div>On Wed, Jun 12, 2013 at 1:44 AM, Nomad Esst <span dir="ltr"><<a rel="nofollow" href="mailto:noname.esst@...131..." target="_blank">noname.esst@...131...</a>></span> wrote:<br>

<blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div><div><span style="font-size:16px">>>Hi list</span><br>
</div><div style="font-size:16px"><br></div><div style="font-size:16px;background-color:transparent">>>Sorry for these questions, I'm a new snort user.</div>
<div style="font-size:16px;background-color:transparent">>>How can I enable IPS mode for snort? And is it possible to run snort in both IDS and IPS modes? How? </div><div style="font-size:16px;background-color:transparent">

<br></div><div style="font-size:16px;background-color:transparent">>>Thanks in advance</div><div style="font-size:16px;background-color:transparent"><br></div></div><div><div style="font-style:normal;font-size:16px;background-color:transparent">

<span style="font-size:12pt">>I wouldn't recommend leaping into IPS mode as a new snort user without familiarizing yourself with the environment. It's a sharp sword that would be >easy to cut yourself on. Can you run IPS/IDS at the same time? Sure, but it may not be the optimal way to go. </span></div>

<div style="font-style:normal;font-size:12pt;background-color:transparent"><span style="font-size:12pt"><br>
</span></div></div><div style="font-style:normal;font-size:16px;background-color:transparent">Thanks. Could you please tell me how can I have snort act as both IDS and IPS modes? What is the configuration?</div>
<div style="font-style:normal;font-size:12pt;background-color:transparent"><span style="font-size:12pt"><br>
</span></div><div style="font-style:normal;font-size:16px;background-color:transparent"><span style="font-size:12pt"><br>
</span></div><div style="font-size:12pt"><div style="font-size:12pt"><div><div><div>
<div><br></div></div></div><br><br></div> </div> </div>  </div></div></blockquote></div><br></div></div><br><br></div> </div></div></div> </div>  </div></div></blockquote></div><br></div>