Voglio proporre un'architettura di rilevamento delle intrusioni sullo schema mostrato di seguito. Devo posizionare un IDS davanti a ciascun server o uno sarebbe sufficiente per tutti i server?
Le informazioni principali che ricevo dalla tua domanda sono che non sai che tipo di minacce aspettarti nella tua rete, ma speri comunque di affrontarle usando una specie di IDS. Questo probabilmente fallirà.
Quindi la prima cosa sarebbe fare un'analisi dei rischi, sviluppare un modello di minaccia e poi fare un'analisi costi / benefici per decidere quali minacce dovrebbero essere affrontate e con quali rischi si può vivere. E poiché il panorama delle minacce si sta muovendo, dovresti rivalutare le tue decisioni abbastanza spesso.
Solo un esempio: se temi che un attaccante proveniente dall'esterno possa schierare un ID passivo centrale per rilevare le intrusioni. Sfortunatamente questo non impedirà le intrusioni, quindi probabilmente si diffonderanno attraverso la tua rete e potranno essere rilevate solo con IDS vicino all'host. Lo stesso IDS basato su host potrebbe funzionare anche se l'utente malintenzionato non è in grado di disabilitarli una volta che hanno posseduto il sistema. Invece di utilizzare IDS passivi, è possibile utilizzare componenti attivi che non solo cercano di rilevare ma anche di prevenire gli attacchi. Li trovi solitamente chiamati firewall, IPS, NGFW, UTM, Secure Gateway .... Ma attenzione che nessuno di questi rileva e impedisce tutto, e di solito rileva molto meno delle loro dichiarazioni di marketing.
E ovviamente dovresti ora a quale livello ti aspetti gli attacchi: un semplice filtro di pacchetti non rileverà attacchi a livello di applicazione e quanto di buono, come il drive-by-download o gli attacchi di waterholing con exploit 0-day, viene rilevato molto sulle funzionalità di IDS / IPS e anche sulla tua capacità di ottimizzarlo in base al tuo ambiente.
Quindi non aspettarti solo di mettere qualcosa lì ed essere sicuro - probabilmente devi investire un sacco di soldi in tecnologie, ma anche molta conoscenza e man-power per mantenere il sistema e stare al passo con le ultime minacce .
In breve: non esiste una risposta chiara al tuo problema. Solo dopo aver effettuato un'analisi approfondita dei rischi, puoi decidere quale sarebbe il modo migliore con la quantità di denaro, forza-uomo e conoscenza del tuo budget.
È possibile utilizzare IDS basati su host su ciascun sistema. Questo potrebbe essere già incluso nel software Anti-Virus che usi. In alternativa, è possibile avere IDS su una porta span sullo switch di rete utilizzato per l'ambiente. Questo dovrebbe monitorare tutto il traffico e avvisare sui problemi identificati.
L'IDS deve andare da qualche parte tra l'attaccante e il bersaglio, in modo che l'attaccante passi attraverso di esso durante l'attacco e attiva l'IDS.
Di conseguenza ci sono molti posti in qualsiasi rete in cui potresti mettere un IDS. In effetti, molte organizzazioni finiscono per collocarne più di uno.
A volte vuoi metterlo molto vicino al bersaglio. I sistemi IDS basati su host sono di solito qui, da cui il nome - siedono sull'host.
Oppure, potresti voler metterlo vicino all'attaccante, come nel perimetro della tua rete - I sistemi IDS basati sulla rete sono spesso qui, ma non sempre. Cosa succede se l'attaccante è già dentro?
Il punto in cui dovresti mettere il tuo IDS dipende dalla struttura della tua rete e dal tuo specifico modello di minaccia: da chi proteggi e da chi? Gli ID di rete sono abbastanza ampi e possono monitorare molti obiettivi; Gli IDS basati su host sono piuttosto stretti, proteggendo un target specifico, ma possono essere più efficaci per quel target poiché conoscono meglio il target.
Inoltre, un IDS aggiunge un sovraccarico alla tua rete e può potenzialmente costituire un collo di bottiglia, quindi devi prenderlo in considerazione quando lo inserisci.
Infine, se mi perdonerai per averlo detto, il diagramma di rete nella tua domanda rende assolutamente privo di senso , quindi probabilmente devi tornare indietro e chiarirti la testa prima di pensare a distribuire un IDS.
La migliore risposta sarebbe: entrambi ( NIDS e HIDS ), secondo il Difesa in profondità paradigma .
Ovviamente per qualche motivo sarebbe impossibile (cioè a causa dei costi). Quindi devi scegliere tra loro. Non hai fornito molti dettagli sul tuo infra, ma puoi fare una scelta adeguata in base a queste domande:
Sulla base di queste domande probabilmente scegli la soluzione migliore per la tua infrastruttura. Ad esempio, per i server Unix è possibile installare OSSEC HIDS sugli host. Snort è una buona soluzione come NIDS.
EDIT: In caso di Unix: guarda la distribuzione della cipolla di sicurezza .
Spero di aver aiutato in qualche modo.