<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Sep 2, 2017 at 11:56 PM, Matt Rogghe via Snort-users <span dir="ltr"><<a href="mailto:snort-users@lists.snort.org" target="_blank">snort-users@lists.snort.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div>Snort “for home” (paid) running on Pfsense.  Works amazingly well.  Now I’m trying to understand all the ins and outs of alerting, syslog, various rules and settings.  I’ve spent a good chunk of the day reading and configuring and testing.  There are a couple of questions I have I couldn’t answer, at least answer simply, in my travels…</div><div><br></div><div>1) One of the biggest wants I have is to automatically block known malicious domains and IPs using lists like at SANS and others.</div><div><a href="https://isc.sans.edu/suspicious_domains.html" target="_blank">https://isc.sans.edu/<wbr>suspicious_domains.html</a></div><div>I *think* Snort VRT rules do at least some of that, though I’m having difficulty at this early/noob stage parsing all the Snort rules.  I did enable the Emerging Threats rules for this type of traffic.  Is that the best/recommended way to go?</div></div></blockquote><div><br></div><div>there are some documents describing how to use snort reputation preprocessor in pfsense, and this link explains the basic on a "real" snort instance</div><div><a href="http://sublimerobots.com/2015/12/the-snort-reputation-preprocessor/">http://sublimerobots.com/2015/12/the-snort-reputation-preprocessor/</a><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>2) On the topic of Emerging Threats, I read a whole host of conflicting information about it’s value and overlap with standard/VRT (the paid version) Snort rules.  I have only enabled a small sub-selection of the Emerging Threats categories as I test and get comfortable with it.  Is there in fact a good amount of overlap?  Perfectly fine and/or recommended to use the two together?</div><div><br></div><div>3) Is there a simple explanation someplace of the alerts that Snort throws?  Example I parsed through today:</div><div>(http_inspect) MULTIPLE HOST HDRS DETECTED</div><div>Going all the way back to the HTTP specification, appears multiple host headers (multiple any headers really) are allowed, though of course this situation doesn't make a lot of sense.  Is this a general rule of thumb that “yeah sure allowed by spec, but us network admins know from experience it’s only ever used in attacks” ?  Any good collection of accumulated wisdom on this type of thing out there?</div><div>Interestingly, the traffic being alerted/blocked here is coming from an internal DirectTV device (properly VLAN’d off) out to the internets.  Suppose I should send them a nasty gram.</div></div></blockquote><div><br></div><div>read about "multiple host headers" in google and decide whether to disable this gid/sid</div><div><a href="http://blog.snort.org/2011/09/snort-291-http-and-smtp-logging.html">http://blog.snort.org/2011/09/snort-291-http-and-smtp-logging.html</a><br></div><div><a href="https://www.snort.org/faq/readme-http_inspect">https://www.snort.org/faq/readme-http_inspect</a><br></div><div><br></div><div>Marcin</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><br></div><div>Thanks folks.  Inner geek is very happy today with increased security :)</div></div></blockquote><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">______________________________<wbr>_________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.snort.org">Snort-users@lists.snort.org</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.snort.org/mailman/listinfo/snort-users" rel="noreferrer" target="_blank">https://lists.snort.org/<wbr>mailman/listinfo/snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" rel="noreferrer" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
<br></blockquote></div><br></div></div>