Thread Info
  • State Not Answered
  • Replies 13 replies
  • Subscribers 0 subscribers
  • Views 2509 views
  • Users 0 members are here
Options
Suggested

Official word on Snort

JimmyM
Can anyone at Astaro tell me why Snort is not in ASL? I would have thought that Snort would be higher on the list of priorities than a POP3 proxy. I find this confusing. Snort has been on the "Wanted" list for a long time.
 
 [size="1"][ 07 January 2003, 08:08: Message edited by: Jim M. ][/size]
Parents Reply Children
  • 0 in reply to JimmyM
    Hi Jim,

    We discussed the possibility of including Snort. In order to do it right, we would have had to add a kernel patch (since user-space mode is too slow) and a relational database to the firewall. We felt that this should go into a separate product on separate hardware.

    We know many people would like to see Snort on ASL, and we also know that ASL has become a borderware like product, but putting in an IDS would have "pushed" the integration a bit too far.

    We appreciate 3rd party "hacking" solutions for Snort, tho  [:)] 

    /tom
  • 0 in reply to tom_01
    Hi,

    I would have thought an IDS to be an essential part of a firewall configuration, Maybe for home-users it isn't overly important, but would instead be a nice feature, but  certainly in a corporate environment I would consider it an essential tool.

    id.
  • 0 in reply to id_03
    Dear Jim M,
    I understand your desire for an IDS like snort and there is an argument for including an IDS with the firewall for cost saving BUT, give some consideration to security best practice and think about this. I do not believe that any firewall is completely immune to attack or compromise. If your IDS sits on your firewall (putting all your eggs in one basket) and the firewall is compromised you will never find out why. An IDS on another machine at least means you should have some record of the attack signature available for later inspection. I appreciate the discussion is more involved but the concept of the DEEP DEFENSE is probably more appropriate for security issues than saving a few dollars due to integration.

    PS An IDS as a seperate product (as suggested by the Admin member) would be a nice extra, just build it on a modified ASL kernel, add the extra modules for db etc. Me thinks the ASL team probably have already done it as an alpha, the Admin member seems to know a fair bit about it already.

    Regs PeterB.
  • 0 in reply to pbiorcia
    I've hacked in Snort to 3.380 and it works quite well. I have the database running on a separate machine that I have running anyway. My problem now is that Snort tries to connect to the database before the packet filter rule is turned on that allows it to connect. I get log entries that the connection was denied. If I start it afterwards using the console, it starts perfectly.
    How do I have a rule for snort start as soon as possible? Thanks for everyone's help.
  • 0 in reply to JimmyM
    Jim,
    You could put some sort of sleep() statement in your startup script for snort.

    Barry
  • 0 in reply to BarryG
    Jim,
    there is a more nifty way!
     
    Checkout /sbin/init.d/beeps - there is a small function "startf" which waits for a complete middleware run (sets the iptables rules) with the file "/var/mdw/init".
    Check this file in your script too and wait for a complete middleware run.
  • 0 in reply to lop
    That does sound neat. I'll give it a go.

    Thanks.
  • 0 in reply to JimmyM
    I'm not having good luck with the startf function. I'm not exactly how to implement it.
    In all honesty, I'm not sure of the viability of this Snort thing in ASL. For it to be truly trustworthy, I'd have to write a program to query the MySQL database after the middleware starts and start snort if not already started. It would continually run a query or the equivalent of an Oracle TNSPING every minute and send an email if it didn't receive a reply. I'm not sure how to do this but would welcome the help in starting something like this.
  • 0 in reply to JimmyM
    Jim,

    lop means that you could add the snort call below
    the DONE of the STARTF section in /sbin/init.d/beeps.
    Startf checks if a file init exists in /var/mdw, if yes the
    middleware is still running and the beep script loops 
    another 3s. As its last action the middleware removes
    init and the beep script proceeds.

    Hope it became clear
    o|iver
     
     [size="1"][ 19 January 2003, 22:53: Message edited by: oliver.desch ][/size]
  • 0 in reply to oliver.desch
    Ah, yes. Makes more sense now. I'll give it a try. I'll actually be calling the /sbin/init.d/snort file from "beeps" instead of using the rc3.d link. Correct?
    Thanks, Oliver.
Cookie Information Banner