【TechTarget中国原创】在决定安装Snort等IDS设备、确定了预算、选定了产品并理解了NIDSes(网络入侵检测系统)如何与网络架构(特别是网络交换机和VLAN),就需要确定把IDS传感器放置在哪里。IDS传感器实际上是“嗅探”网络并监控网络流量的。为了做出决定,需要回答三个问题:有什么风险、想要监控和保护什么、以及流量如何在环境中流动。
在《Snort:如何使用交换器和分段处理网络设计》中提到,入侵检测系统和网络交换机不是在一起的,所以需要理解你需要保护的流向和流出的资源的流来能够式如何工作的,这样可以确定监控的最好位置。放置IDS传感器的最明显的位置是靠近防火墙的地方。但是,是把网络传感器放在防火墙里面、外面、还是里外都放呢?如果你想要查看在连接到互联网时带进来了什么样的恶意邻居,那么一定要把IDS传感器放置在防火墙外面。确保它经过了恰当的加固。如果想要关注对边界内部潜在的恶意流量,那么就从内部监控。
因为一些合法的政策、预算和研究的因素,需要查看对连接的“攻击”,但是如果已经留意并反馈了Snort等IDS请求,就需要把IDS传感器放置在防火墙内部。我们都知道互联网上存在很多恶意流量,所以通常不需要浪费资源证明它。
因为Snort(免费)和运行Snort的硬件(便宜)的成本很低,实际的成本是安装、配置和进行监控的时间和劳动力。理想的情况是在DMZ中的所有公共服务器都配置IDS传感器,在防火墙内的LAN上、在以太网上(如果有),以这种顺序。这都取决于环境。要考虑瓶颈、可能的攻击途径和风险。考虑任何可能有用的位置,区分先后顺序,然后按照资源的允许根据列表执行。任何经过良好的策划和调制的入侵检测系统可以成为深度防御策略的优良辅助。而策划不够好而繁琐的IDS可能成为麻烦。