web-dev-qa-db-fra.com

Quel est le meilleur endroit pour mettre mon capteur de réseau IDS?

Je ne peux que placer un seul capteur de réseau quelque part dans mon réseau. Serait-il mieux placé entre le routeur frontalier et le pare-feu, ou entre le LAN interne du pare-feu?

3
sybind

Cela dépend de ce que vous voulez faire

  • Si vous voulez voir quelles menaces vise à viser votre internet. Vous pouvez mettre les identifiants en dehors du pare-feu (en supposant que vous l'avez durcie de manière appropriée) et derrière le routeur.

  • Si vous souhaitez voir quel trafic interne potentiellement malveillant vous avez dans votre périmètre, la surveillance d'un point entre le pare-feu et le réseau local interne est plus approprié.

Considérez quel trafic que vous souhaitez examiner, trouver le point pertinent de votre réseau que le trafic doit passer à y arriver. Depuis - Snort est un identifiant et un matériel gratuit est assez bon marché, il peut vous être possible d'investir dans plusieurs identifiants.

Je recommanderais également la lecture suivante - de Sans sur la configuration et la mise en place d'IDS

4
NULLZ