Thread Info
  • State Not Answered
  • Replies 13 replies
  • Subscribers 0 subscribers
  • Views 2509 views
  • Users 0 members are here
Options
Suggested

Official word on Snort

JimmyM
Can anyone at Astaro tell me why Snort is not in ASL? I would have thought that Snort would be higher on the list of priorities than a POP3 proxy. I find this confusing. Snort has been on the "Wanted" list for a long time.
 
 [size="1"][ 07 January 2003, 08:08: Message edited by: Jim M. ][/size]
Parents
  • 0 in reply to JimmyM
    asl is getting fatter and fatter, it shouldnt eat so much...      

    just my 2cp (copper pieces)
  • 0 in reply to Tmor
    Like any of the other services in ASL it could be shut off if the user doesn't want to use it.
  • 0 in reply to JimmyM
    Hi Jim,

    We discussed the possibility of including Snort. In order to do it right, we would have had to add a kernel patch (since user-space mode is too slow) and a relational database to the firewall. We felt that this should go into a separate product on separate hardware.

    We know many people would like to see Snort on ASL, and we also know that ASL has become a borderware like product, but putting in an IDS would have "pushed" the integration a bit too far.

    We appreciate 3rd party "hacking" solutions for Snort, tho  [:)] 

    /tom
  • 0 in reply to tom_01
    Hi,

    I would have thought an IDS to be an essential part of a firewall configuration, Maybe for home-users it isn't overly important, but would instead be a nice feature, but  certainly in a corporate environment I would consider it an essential tool.

    id.
  • 0 in reply to id_03
    Dear Jim M,
    I understand your desire for an IDS like snort and there is an argument for including an IDS with the firewall for cost saving BUT, give some consideration to security best practice and think about this. I do not believe that any firewall is completely immune to attack or compromise. If your IDS sits on your firewall (putting all your eggs in one basket) and the firewall is compromised you will never find out why. An IDS on another machine at least means you should have some record of the attack signature available for later inspection. I appreciate the discussion is more involved but the concept of the DEEP DEFENSE is probably more appropriate for security issues than saving a few dollars due to integration.

    PS An IDS as a seperate product (as suggested by the Admin member) would be a nice extra, just build it on a modified ASL kernel, add the extra modules for db etc. Me thinks the ASL team probably have already done it as an alpha, the Admin member seems to know a fair bit about it already.

    Regs PeterB.
  • 0 in reply to pbiorcia
    I've hacked in Snort to 3.380 and it works quite well. I have the database running on a separate machine that I have running anyway. My problem now is that Snort tries to connect to the database before the packet filter rule is turned on that allows it to connect. I get log entries that the connection was denied. If I start it afterwards using the console, it starts perfectly.
    How do I have a rule for snort start as soon as possible? Thanks for everyone's help.
Reply
  • 0 in reply to pbiorcia
    I've hacked in Snort to 3.380 and it works quite well. I have the database running on a separate machine that I have running anyway. My problem now is that Snort tries to connect to the database before the packet filter rule is turned on that allows it to connect. I get log entries that the connection was denied. If I start it afterwards using the console, it starts perfectly.
    How do I have a rule for snort start as soon as possible? Thanks for everyone's help.
Children
Cookie Information Banner