Je ne peux que placer un seul capteur de réseau quelque part dans mon réseau. Serait-il mieux placé entre le routeur frontalier et le pare-feu, ou entre le LAN interne du pare-feu?
Cela dépend de ce que vous voulez faire
Si vous voulez voir quelles menaces vise à viser votre internet. Vous pouvez mettre les identifiants en dehors du pare-feu (en supposant que vous l'avez durcie de manière appropriée) et derrière le routeur.
Si vous souhaitez voir quel trafic interne potentiellement malveillant vous avez dans votre périmètre, la surveillance d'un point entre le pare-feu et le réseau local interne est plus approprié.
Considérez quel trafic que vous souhaitez examiner, trouver le point pertinent de votre réseau que le trafic doit passer à y arriver. Depuis - Snort est un identifiant et un matériel gratuit est assez bon marché, il peut vous être possible d'investir dans plusieurs identifiants.
Je recommanderais également la lecture suivante - de Sans sur la configuration et la mise en place d'IDS