Official word on Snort

I guess I got my answer.

asl is getting fatter and fatter, it shouldnt eat so much...     

just my 2cp (copper pieces)

Like any of the other services in ASL it could be shut off if the user doesn't want to use it.

Hi Jim,

We discussed the possibility of including Snort. In order to do it right, we would have had to add a kernel patch (since user-space mode is too slow) and a relational database to the firewall. We felt that this should go into a separate product on separate hardware.

We know many people would like to see Snort on ASL, and we also know that ASL has become a borderware like product, but putting in an IDS would have "pushed" the integration a bit too far.

We appreciate 3rd party "hacking" solutions for Snort, tho  [:)] 

/tom

Hi,

I would have thought an IDS to be an essential part of a firewall configuration, Maybe for home-users it isn't overly important, but would instead be a nice feature, but  certainly in a corporate environment I would consider it an essential tool.

id.

Dear Jim M,
I understand your desire for an IDS like snort and there is an argument for including an IDS with the firewall for cost saving BUT, give some consideration to security best practice and think about this. I do not believe that any firewall is completely immune to attack or compromise. If your IDS sits on your firewall (putting all your eggs in one basket) and the firewall is compromised you will never find out why. An IDS on another machine at least means you should have some record of the attack signature available for later inspection. I appreciate the discussion is more involved but the concept of the DEEP DEFENSE is probably more appropriate for security issues than saving a few dollars due to integration.

PS An IDS as a seperate product (as suggested by the Admin member) would be a nice extra, just build it on a modified ASL kernel, add the extra modules for db etc. Me thinks the ASL team probably have already done it as an alpha, the Admin member seems to know a fair bit about it already.

Regs PeterB.

I've hacked in Snort to 3.380 and it works quite well. I have the database running on a separate machine that I have running anyway. My problem now is that Snort tries to connect to the database before the packet filter rule is turned on that allows it to connect. I get log entries that the connection was denied. If I start it afterwards using the console, it starts perfectly.
How do I have a rule for snort start as soon as possible? Thanks for everyone's help.

Jim,
You could put some sort of sleep() statement in your startup script for snort.

Barry

Jim,
there is a more nifty way!
 
Checkout /sbin/init.d/beeps - there is a small function "startf" which waits for a complete middleware run (sets the iptables rules) with the file "/var/mdw/init".
Check this file in your script too and wait for a complete middleware run.

That does sound neat. I'll give it a go.

Thanks.

That does sound neat. I'll give it a go.

Thanks.

I'm not having good luck with the startf function. I'm not exactly how to implement it.
In all honesty, I'm not sure of the viability of this Snort thing in ASL. For it to be truly trustworthy, I'd have to write a program to query the MySQL database after the middleware starts and start snort if not already started. It would continually run a query or the equivalent of an Oracle TNSPING every minute and send an email if it didn't receive a reply. I'm not sure how to do this but would welcome the help in starting something like this.

Jim,

lop means that you could add the snort call below
the DONE of the STARTF section in /sbin/init.d/beeps.
Startf checks if a file init exists in /var/mdw, if yes the
middleware is still running and the beep script loops 
another 3s. As its last action the middleware removes
init and the beep script proceeds.

Hope it became clear
o|iver
 
 [size="1"][ 19 January 2003, 22:53: Message edited by: oliver.desch ][/size]

Ah, yes. Makes more sense now. I'll give it a try. I'll actually be calling the /sbin/init.d/snort file from "beeps" instead of using the rc3.d link. Correct?
Thanks, Oliver.