<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div>Hi,</div>
<div><br>
</div>
<div>An OpenFPC question, this gives me a chance to answer and add some quick project status info.</div>
<div><br>
</div>
<blockquote type="cite">Finally - I want to send all this information to a centralised Snorby GUI, so another question is, how do I get Snorby to differentiate between different sensor IP's to grab the pcaps from the difference OpenFPC instances?</blockquote>
<div><br>
</div>
<div>The first part is more of a Snorby question than one for OpenFPC, in that is there anything in the event that can be used to associate the event to a capture device? Not being a Snorby user I assume there must be something that identifies where the Snort
 event comes from?</div>
<div><br>
</div>
<div>If so, this should be doable. OFPC in a ‘proxy’ mode as to call it (really need to rename that to something more descriptive) can go process an extraction from a target device for you, then give it back to the requestor. There is a simple key/value text
 file that provides ‘routing’ information of how to connect to the device that has the pcaps you want to extract.</div>
<div><br>
</div>
<div>E.g.</div>
<div><br>
</div>
<div>new_york=1.1.1.1:4242:auth_data</div>
<div><br>
</div>
<div>So if the event comes from the snort device “new_york”, it can go grab the pcaps from that device for you. The API that is used by Snorby is pretty basic. I knocked it together in a hotel room one evening as a bit of a proof of concept rather than something
 robust. I just took a quick look at the code and it looks like it should correctly pass an argument of ‘device’ in the URI for extraction. That provides the above function. I’ve recently been working on an actual rest API, but it’s not ready for use yet (and
 I’ve not pushed it to Github), that will handle this use case for sure. I expect I’ll have that ready in the next week or so, but real work keeps getting in the way. That will have full documentation.</div>
<div><br>
</div>
<div>On a side note,  if you didn’t know that OpenFPC had moved to github, you’re clearly running some old code, perhaps you should take a look at some of the changes. </div>
<div><br>
</div>
<div>Cheers</div>
<div><br>
</div>
<div>-Leon</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div>
<div>On 3 Dec 2014, at 19:01, Matheus Condi'ez <<a href="mailto:conma293@...11827...">conma293@...11827...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<blockquote type="cite">
<p dir="ltr">Hey Doug,  yes I have, security onion is a powerful tool and will most likely use it for my bro implementation as a stand alone sensor. However it has some limitations and we require a central database partitioned away from the vm etc so seconion
 at this stage is in the mix hut won't be used in anger </p>
<div class="gmail_quote">On 4/12/2014 1:22 AM, "Doug Burks" <<a href="mailto:doug.burks@...11827...">doug.burks@...11827...</a>> wrote:<br type="attribution">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi Matheus,
<div><br>
</div>
<div>Have you considered Security Onion?  It includes Snort, Snorby, PF_RING, Bro, full packet capture, and many other tools.  </div>
<div><br>
</div>
<div><a href="http://securityonion.net/" target="_blank">http://securityonion.net</a></div>
<div><br>
</div>
<div><br>
<div><br>
On Wednesday, December 3, 2014, Matheus Condi'ez <<a href="mailto:conma293@...11827..." target="_blank">conma293@...11827...</a>> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<p dir="ltr">Excellent, Yeh I had actually thought it wouldn't be too strenuous to go and interrogate the individual sensors rather than rely on snorby as timings may wander anyways.<br>
</p>
<p dir="ltr">Ah good I very much intended to put bro in there as well, in a separate vm. What is n top? <br>
</p>
<p dir="ltr">The reason I like vms is so I can do hot swaps of new snort images, differentiate images between sensor points etc and roll back if something goes wrong (which it does)<br>
</p>
<p dir="ltr">But it sounds like you could give me some pointers :-)</p>
<p dir="ltr">Also Having said that jeremy if we had only 4-6 sensors that should be not timeout?
<br>
How did you get snorby to differentiate, there seems to be only one field for a single ip?<br>
</p>
<div class="gmail_quote">On 3/12/2014 7:06 PM, "Jeremy Hoel" <<a>jthoel@...11827...</a>> wrote:<br type="attribution">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">At my last job we ran OpenFPC (deamon logger) and snort on top of pf_ring along with bro and ntop..  all in the same user space.  Why run snort in a VM?
<div><br>
</div>
<div>We didn't use snorby to pull the packets, we used the openfpc-client directly with the sensor information.  The way snorby did it, if the sensor was to far down in the list (we had 50+) it would time out, so it was easier to query the target sensor individually
 rather then all of them.</div>
</div>
<div class="gmail_extra"><br>
<div class="gmail_quote">On Tue, Dec 2, 2014 at 8:52 PM, Matheus Condi'ez <span dir="ltr">
<<a>conma293@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">In short, after many builds of snort sensors I am about to start off on a new journey of discovery which will potentially send me mad.
<div><br>
</div>
<div>My goal is to create a sensor(s) which runs OpenFPC on PF_Ring native, with snort sitting on top as a guest vm.</div>
<div><br>
</div>
<div>Has anyone had any experience with PF_Ring and snort, or PF_Ring and snort?</div>
<div><br>
</div>
<div>Am aware that I will have to patch PF_Ring onto both the host and the guest OS's for this to work.</div>
<div><br>
</div>
<div>Am also aware that most likely will have to build and configure OpenFPC and/or Snort as PF_Ring aware?</div>
<div><br>
</div>
<div>If I do this but then attempt to run a version of Snort and/or OpenFPC that is not configured to handle PF_Ring, will it take it?</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>Finally - I want to send all this information to a centralised Snorby GUI, so another question is, how do I get Snorby to differentiate between different sensor IP's to grab the pcaps from the difference OpenFPC instances?</div>
<div><br>
</div>
<div>im sure someone has been overly ambitious and has attempted some, if not all of this before..</div>
<div><br>
</div>
<div>any guidance would be muchly appreciated.</div>
<div><br>
</div>
<div>-conma</div>
</div>
<br>
------------------------------------------------------------------------------<br>
Download BIRT iHub F-Type - The Free Enterprise-Grade BIRT Server<br>
from Actuate! Instantly Supercharge Your Business Reports and Dashboards<br>
with Interactivity, Sharing, Native Excel Exports, App Integration & more<br>
Get technology previously reserved for billion-dollar corporations, FREE<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=164703151&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=164703151&iu=/4140/ostg.clktrk</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a>Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org/" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote>
</div>
<br>
</div>
</blockquote>
</div>
</blockquote>
</div>
</div>
<br>
<br>
-- <br>
Doug Burks<br>
Need Security Onion Training or Commercial Support?<br>
<a href="http://securityonionsolutions.com/" target="_blank">http://securityonionsolutions.com</a><br>
Last day to register for 3-Day Training Class in Augusta GA is 12/11!<br>
</blockquote>
</div>
------------------------------------------------------------------------------<br>
Download BIRT iHub F-Type - The Free Enterprise-Grade BIRT Server<br>
from Actuate! Instantly Supercharge Your Business Reports and Dashboards<br>
with Interactivity, Sharing, Native Excel Exports, App Integration & more<br>
Get technology previously reserved for billion-dollar corporations, FREE<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=164703151&iu=/4140/ostg.clktrk_______________________________________________">http://pubads.g.doubleclick.net/gampad/clk?id=164703151&iu=/4140/ostg.clktrk_______________________________________________</a><br>
Snort-users mailing list<br>
Snort-users@lists.sourceforge.net<br>
Go to this URL to change user options or unsubscribe:<br>
https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users list archive:<br>
http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users<br>
<br>
Please visit http://blog.snort.org to stay current on all the latest Snort news!</blockquote>
</div>
<br>
<div apple-content-edited="true">
<div style="color: rgb(0, 0, 0); font-family: Helvetica;  font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div style="color: rgb(0, 0, 0); font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div><br>
</div>
<div><br>
</div>
</div>
</div>
</div>
<br>
</div>
</body>
</html>