<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Helvetica,sans-serif;" dir="ltr">
<p>If I'm right u haven't an ITC Security knowledge and/or experience.</p>
<p>Yes FireWalls , IDS/IPS are "nice" but in the end if you don't know <br>
</p>
<p><br>
</p>
<p>- TCP/IP , troubleshouting TCP/IP (like ping work but not HTTPS in a router scenario).<br>
</p>
<p>- Vulnerabilities</p>
<p>- TCP/IP ports, services and so on</p>
<p>- knowledge at least of main RFC like FTP HTTP HTTPS POP3 IMAP SMTP ....</p>
<p>- SMTP and POP3 and FTP statement</p>
<p>- difference with ftp ftps sftp<br>
</p>
<p>- and so on</p>
<p><br>
</p>
<p>I think that are "right" the questions you done here. Suspicius domains are IP and domains , CIDR where is commonly detected suspicious activities. Each "ban" should be commented and you could be able to read it.</p>
<p><br>
</p>
<p>As last, IDS/IPS , FireWalls and more are not only used to "protect" and or to intercept malicious activities but can and are widely used even to control, monitor, shape and more more more (zombie hosts, malware, ...).</p>
<p><br>
</p>
<p>Was I good understanding your "doubts" about allertings?. Some Are even for fun like ICMP echo request and reply (if activated). In the end don't mean a lot in security but are informations. As last (again) take a look and unneded messages, supress on snort
 conf and see log increasing rate to not get ZERO BYTED.</p>
<p><br>
</p>
<p><br>
</p>
<p>ITC NetWork & Security Architect and Engineer<br>
</p>
<p><br>
</p>
<p><br>
</p>
<br>
<div style="color: rgb(0, 0, 0);">
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font style="font-size:11pt" color="#000000" face="Calibri, sans-serif"><b>From:</b> Snort-users <snort-users-bounces@lists.snort.org> on behalf of Matt Rogghe via Snort-users <snort-users@lists.snort.org><br>
<b>Sent:</b> Saturday, September 2, 2017 11:56 PM<br>
<b>To:</b> snort-users@lists.snort.org<br>
<b>Subject:</b> [Snort-users] Few questions from a new Snort user</font>
<div> </div>
</div>
<div>
<div class="">Snort “for home” (paid) running on Pfsense.  Works amazingly well.  Now I’m trying to understand all the ins and outs of alerting, syslog, various rules and settings.  I’ve spent a good chunk of the day reading and configuring and testing.  There
 are a couple of questions I have I couldn’t answer, at least answer simply, in my travels…</div>
<div class=""><br class="">
</div>
<div class="">1) One of the biggest wants I have is to automatically block known malicious domains and IPs using lists like at SANS and others.</div>
<div class=""><a href="https://isc.sans.edu/suspicious_domains.html" class="" id="LPlnk17298" previewremoved="true">https://isc.sans.edu/suspicious_domains.html</a></div>
<div id="LPBorder_GT_15043917053650.5990139671170593" style="margin-bottom: 20px; overflow: auto; width: 100%; text-indent: 0px;">
<table id="LPContainer_15043917053580.6323249013421157" style="width: 90%; background-color: rgb(255, 255, 255); position: relative; overflow: auto; padding-top: 20px; padding-bottom: 20px; margin-top: 20px; border-top: 1px dotted rgb(200, 200, 200); border-bottom: 1px dotted rgb(200, 200, 200);" role="presentation" cellspacing="0">
<tbody>
<tr style="border-spacing: 0px;" valign="top">
<td id="ImageCell_15043917053600.6551638789183355" style="width: 250px; position: relative; display: table-cell; padding-right: 20px;" colspan="1">
<div id="LPImageContainer_15043917053600.5887487070532912" style="background-color: rgb(255, 255, 255); height: 102px; position: relative; margin: auto; display: table; width: 150px;">
<a id="LPImageAnchor_15043917053610.35443564609932665" style="display: table-cell; text-align: center;" href="https://isc.sans.edu/suspicious_domains.html" target="_blank"><img style="display: inline-block; max-width: 250px; max-height: 250px; height: 102px; width: 150px; border-width: 0px; vertical-align: bottom;" id="LPThumbnailImageID_15043917053610.9351596667729672" width="150" height="102" src="https://isc.sans.edu/images/logos/isc/large.png"></a></div>
</td>
<td id="TextCell_15043917053620.24539625122515152" style="vertical-align: top; position: relative; padding: 0px; display: table-cell;" colspan="2">
<div id="LPRemovePreviewContainer_15043917053620.4514217761778355"></div>
<div id="LPTitle_15043917053620.28014351499373935" style="top: 0px; color: rgb(0, 1, 255); font-weight: 400; font-size: 21px; font-family: "wf_segoe-ui_normal","Segoe UI","Segoe WP",Tahoma,Arial,sans-serif; line-height: 21px;">
<a id="LPUrlAnchor_15043917053630.8791266359887167" style="text-decoration: none;" href="https://isc.sans.edu/suspicious_domains.html" target="_blank">Suspicious Domains - SANS Internet Storm Center</a></div>
<div id="LPMetadata_15043917053630.7266331000035242" style="margin: 10px 0px 16px; color: rgb(102, 102, 102); font-weight: 400; font-family: "wf_segoe-ui_semibold","Segoe UI Semibold","Segoe WP Semibold","Segoe UI","Segoe WP",Tahoma,Arial,sans-serif; font-size: 14px; line-height: 14px;">
isc.sans.edu</div>
<div id="LPDescription_15043917053640.5588840552541925" style="display: block; color: rgb(102, 102, 102); font-weight: 400; font-family: "wf_segoe-ui_semibold","Segoe UI Semibold","Segoe WP Semibold","Segoe UI","Segoe WP",Tahoma,Arial,sans-serif; font-size: 14px; line-height: 20px; max-height: 100px; overflow: hidden;">
Background. There are many suspicious domains on the internet. In an effort to identify them, as well as false positives, we have assembled weighted lists based ...</div>
</td>
</tr>
</tbody>
</table>
</div>
<div class="">I *think* Snort VRT rules do at least some of that, though I’m having difficulty at this early/noob stage parsing all the Snort rules.  I did enable the Emerging Threats rules for this type of traffic.  Is that the best/recommended way to go?</div>
<div class=""><br class="">
</div>
<div class="">2) On the topic of Emerging Threats, I read a whole host of conflicting information about it’s value and overlap with standard/VRT (the paid version) Snort rules.  I have only enabled a small sub-selection of the Emerging Threats categories as
 I test and get comfortable with it.  Is there in fact a good amount of overlap?  Perfectly fine and/or recommended to use the two together?</div>
<div class=""><br class="">
</div>
<div class="">3) Is there a simple explanation someplace of the alerts that Snort throws?  Example I parsed through today:</div>
<div class="">(http_inspect) MULTIPLE HOST HDRS DETECTED</div>
<div class="">Going all the way back to the HTTP specification, appears multiple host headers (multiple any headers really) are allowed, though of course this situation doesn't make a lot of sense.  Is this a general rule of thumb that “yeah sure allowed by
 spec, but us network admins know from experience it’s only ever used in attacks” ?  Any good collection of accumulated wisdom on this type of thing out there?</div>
<div class="">Interestingly, the traffic being alerted/blocked here is coming from an internal DirectTV device (properly VLAN’d off) out to the internets.  Suppose I should send them a nasty gram.</div>
<div class=""><br class="">
</div>
<div class="">Thanks folks.  Inner geek is very happy today with increased security :)</div>
</div>
</div>
</div>
</body>
</html>