Sto studiando gli IDP e vorrei sapere dove i sensori IDPS basati sulla rete possono essere collocati nei segmenti della rete dell'organizzazione universitaria. Non vedo l'ora di analizzare diversi scenari di posizionamenti dei sensori e i vantaggi per ciascuno di essi. Qualcuno può dare un suggerimento? Grazie in anticipo!
Dipende molto dal layout di rete e da ciò che si desidera monitorare. Il traffico in entrata o in uscita è più interessante per te?
Per le organizzazioni più grandi, che probabilmente hanno diversi uffici e reti di server / infrastruttura, è opportuno disporre di sensori dedicati con una configurazione specifica della rete.
NID tradizionale (modalità passiva)
L'avrei messo su una porta mirror del core di quel segmento di rete. Assicurati che il tuo hardware (NIC, switch) possa gestirlo. Per l'affidabilità del sensore, vorrei prendere in considerazione due schede di rete e il collegamento di installazione.
NID tradizionale (P) S (modalità In-line)
L'impostazione tradizionale che ho incontrato spesso è che il sensore stesso funge da router e gestisce tutto il traffico che entra e esce. Quindi sarebbe il secondo salto sulla rete per la connettività in uscita, la seconda per l'inbound. Ci sono molte considerazioni sulla progettazione che devono essere fatte qui per non compromettere l'affidabilità (perdita di pacchetti addizionale), la disponibilità della rete, come un failover quando il sensore si ferma, involontariamente o durante la manutenzione.
Questo è difficile da scalare e devi prendere molto sul serio la configurazione del software e dell'hardware, solo abilitare le funzionalità e le regole applicabili al tuo modello di minaccia.
Una buona alternativa è quella di scegliere il percorso passivo e scrivere un agente che attiva l'azione su determinati eventi, come la connessione al firewall / router / server DNS ecc. e l'applicazione delle regole. In questo modo otterresti lo stesso effetto con meno rischi di compromettere la disponibilità della tua rete. Esiste un (vecchio) software noto come SnortSAM che può servire da buon esempio su come ottenere ciò.
Buona lettura
Minacce emergenti - Riepilogo SnortSAM
SANS Istituto - Come posizionare il sensore IDS nelle reti ridondanti
Posizionamento strategico del sensore per il rilevamento delle intrusioni in Network-Based_IDS
Spero che lo trovi utile, sentiti libero di fare qualsiasi domanda di follow-up. Sono molto interessato e sto cercando di mantenere il controllo del Network Security Monitoring, quindi il piacere è mio:)
Leggi altre domande sui tag network