<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Georgia;
        panose-1:2 4 5 2 5 4 5 2 3 3;}
@font-face
        {font-family:Candara;
        panose-1:2 14 5 2 3 3 3 2 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.EmailStyle19
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle20
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle21
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
..MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='color:#1F497D'>Hi Al,<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Thanks for responding to my query.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Here are the variables as in snort.conf<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>ipvar HOME_NET 10.10.10.1/24<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'># Set up the external network addresses. Leave as "any" in most situations<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>ipvar EXTERNAL_NET 10.10.20.1/24<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>#Setting up HTTP Serververs network<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>ipvar HTTP_SERVERS 10.10.10.1/32<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'># List of ports you run web servers on<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>portvar HTTP_PORTS [8080]<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>The rule once again for reference(This is in preproc_rules/preprocessor.rules)<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal>alert tcp !$HOME_NET any ->  $HTTP_SERVERS $HTTP_PORTS (msg: "Detected Traffic "; flow:to_server,established; sid: 1000001; rev:1; metadata: service http; session: printable;)<o:p></o:p></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>With the rule I mentioned above, the alerting is working fine, it logs the alert correctly i.e., If the IP is from HOME_NET (10.10.10.x), then it logs the alert (</span>msg: "Detected Traffic<span style='color:#1F497D'>) or else it dosen’t.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Problem is with the dumping of the HTTP Session , i.e., it’s dumping the session if the originating request is from outside i.e., !(10.10.10.x) as well as its  dumping the session for 10.10.10.x as well.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>What I wish for it to accomplish is that it ignore the HTTP Sessions for 10.10.10.x (HOME_NET) and just dump the Sessions for traffic / requests originating from other Networks like say 10.10.20.x,..<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>To explain what I mean by dumping of the HTTP Session:<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>I believe this part of the rule triggers it: </span>metadata: service http; session: printable;<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>In the snort log directory, a folder is created with the IP of the server from where the request originated from and it contains a SESSION:XXXX-8080 file with information like:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>GET  ( The actual HTTP Request)<o:p></o:p></p><p class=MsoNormal>Host: <o:p></o:p></p><p class=MsoNormal>User-Agent: <o:p></o:p></p><p class=MsoNormal>Accept: text:<o:p></o:p></p><p class=MsoNormal>Accept-Language:<o:p></o:p></p><p class=MsoNormal>Accept-Encoding: gzip, deflate<o:p></o:p></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div><p class=MsoNormal><span style='color:#1F497D'>Thanks<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Ravi Menon<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p></div><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Al Lewis (allewi) [mailto:allewi@...589...] <br><b>Sent:</b> Tuesday, April 07, 2015 11:15 AM<br><b>To:</b> Ravi Menon; snort-users@lists.sourceforge.net<br><b>Subject:</b> RE: [Snort-users] Reg: Snort Rule for HTTP traffic<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='color:#1F497D'>Hello,<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>                Is your HTTP_SERVERS listed under your HOME_NET variable definition?<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Can you give an example of the traffic that isn’t alerting as intended?<o:p></o:p></span></p><p class=MsoNormal style='text-indent:.5in'><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Thanks!<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D'>Albert Lewis<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Candara","sans-serif";color:#888888'>QA Software Engineer<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Georgia","serif";color:#999999'>SOURCE</span><b><span style='font-size:12.0pt;font-family:"Georgia","serif";color:red'>fire</span></b><span style='font-size:12.0pt;font-family:"Georgia","serif";color:#999999'>, Inc. </span><span style='font-size:12.0pt;font-family:"Georgia","serif";color:#888888'>now part of </span><b><span style='font-size:12.0pt;font-family:"Georgia","serif";color:#31849B'>Cisco</span></b><span style='font-size:12.0pt;font-family:"Georgia","serif";color:#888888'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Candara","sans-serif";color:#999999'>9780 Patuxent Woods Drive<br>Columbia, MD 21046 </span><span style='font-size:12.0pt;font-family:"Candara","sans-serif";color:#888888'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Candara","sans-serif";color:#999999'>Phone: (office) </span><span style='font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D'>443.430.7112<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Candara","sans-serif";color:#999999'>Email: </span><span style='font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D'><a href="mailto:allewi@...589...">allewi@...589...</a></span><span style='font-size:12.0pt;font-family:"Candara","sans-serif";color:#4F81BD'> </span><span style='font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D'><o:p></o:p></span></p></div><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Ravi Menon [<a href="mailto:ravi.menon@...17135...">mailto:ravi.menon@...17135...</a>] <br><b>Sent:</b> Tuesday, April 07, 2015 10:26 AM<br><b>To:</b> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...3893...t</a><br><b>Subject:</b> [Snort-users] Reg: Snort Rule for HTTP traffic<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Hi,<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I have been struggling with a particular rule for some time now and was hoping for some ideas to resolve my problem.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><b>Here is what I wish to achieve:<o:p></o:p></b></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>If any IP’s outside my $HOME_NET initiates HTTP communication with my $HTTP_SERVERS server, I want an alert to be generated for the same and the HTTP request dumped as well so that I can review it later.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><b>Here is what I am doing currently (preprocessor rule):<o:p></o:p></b></p><p class=MsoNormal><b><o:p> </o:p></b></p><p class=MsoNormal>alert tcp !$HOME_NET any ->  $HTTP_SERVERS $HTTP_PORTS (msg: "Detected Traffic "; flow:to_server,established; sid: 1000001; rev:1; metadata: service http; session: printable;)<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I have the stream5 , http_inspect preprocessors configured in snort.conf<o:p></o:p></p><p class=MsoNormal>What this does is although it generates alert correctly and prints the HTTP session for requests coming from outside $HOME_NET , it is also printing the HTTP session for traffic from within my $HOME_NET server ip’s , so basically all HTTP traffic is being dumped at this point. I am using a /24 mask for $HOME_NET and /32 mask for my $HTTP_SERVERS.<o:p></o:p></p><p class=MsoNormal>Is there something I am missing ? Or will another approach help?<o:p></o:p></p><p class=MsoNormal>Any help/guidance will be greatly appreciated.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Thanks<o:p></o:p></p><p class=MsoNormal>Ravi Menon<o:p></o:p></p><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman","serif"'>CONFIDENTIALITY NOTICE TO RECIPIENT: This transmission contains confidential information belonging to the sender that is legally privileged and proprietary and may be subject to protection under the law, including the Health Insurance Portability and Accountability Act (HIPAA). If you are not the intended recipient of this e-mail, you are prohibited from sharing, copying, or otherwise using or disclosing its contents. If you have received this e-mail in error, please notify the sender immediately by reply e-mail and permanently delete this e-mail and any attachments without reading, forwarding or saving them. Thank you. <o:p></o:p></span></p></div>
CONFIDENTIALITY NOTICE TO RECIPIENT: This transmission contains confidential information belonging to the sender that is legally privileged and proprietary and may be subject to protection under the law, including the Health Insurance Portability and Accountability Act (HIPAA). If you are not the intended recipient of this e-mail, you are prohibited from sharing, copying, or otherwise using or disclosing its contents. If you have received this e-mail in error, please notify the sender immediately by reply e-mail and permanently delete this e-mail and any attachments without reading, forwarding or saving them. Thank you.
</body></html>