Posso solo posizionare un singolo sensore di rete da qualche parte all'interno della mia rete. Sarebbe meglio posizionarlo tra il router di confine e il firewall, o tra la LAN interna del firewall?
Dipende da cosa vuoi fare
Se vuoi vedere quali minacce ti vengono indirizzate da Internet. Puoi mettere l'ID fuori dal firewall (supponendo che tu l'abbia indurito in modo appropriato) e dietro al router.
Se vuoi vedere quale traffico interno potenzialmente dannoso si ha all'interno del tuo perimetro, il monitoraggio da un punto tra il firewall e la LAN interna è più appropriato.
Considerare quale traffico si desidera esaminare, trovare il punto pertinente nella rete che il traffico deve attraversare per raggiungerlo. Poiché Snort è un IDS gratuito e l'hardware è abbastanza economico, potrebbe essere possibile investire in più di un ID.
Raccomando anche la seguente lettura da SANS sulla configurazione e l'immissione di IDS
Leggi altre domande sui tag ids