Voy a responder a tus dos preguntas de una manera no específica, pero ten paciencia conmigo.
Su primera pregunta es "Estoy colocando un IDS, ¿qué debo decirle que haga?"
Bueno, lo estás haciendo al revés, pero no te preocupes, esta es una confusión de seguridad común.
Una IDS, como cualquier sistema de seguridad, no es una varita mágica. Usted no solo lo instala y todo es Hunky Dory. Es una herramienta que utiliza para tratar un riesgo específico.
Entonces tienes que comenzar con un análisis de riesgo. Identifique todas las amenazas a las que se enfrenta y las vulnerabilidades en su configuración que esas amenazas podrían usar para dañar sus activos. Esos son los riesgos. Identifique la probabilidad de que ocurran esos riesgos y el daño que podrían causar. Esos son los niveles de riesgo. Ahora puede saber con qué riesgos está satisfecho y cuáles necesita tratar.
Por ejemplo, si decide que " un empleado del CON no lleva inadvertidamente una computadora comprometida a la red " es un riesgo que actualmente se encuentra en un nivel inaceptable, entonces usted se sienta y encuentra una manera de arreglalo. Parte de esa solución podría ser tener un IDS sentado dentro del CON que analice todo el tráfico que pasa. Sin embargo, no todo: es probable que también busques un mejor escaneado de las máquinas antes de que ingresen, mejores procesos para los empleados, etc. Escoges el control en función de qué tan bien reduce el riesgo.
Luego, vuelve a realizar el mismo proceso para " exploits contra el servidor web " y todos los demás riesgos que tu análisis haya encontrado.
La clave es: Identifique y comprenda el riesgo primero, y luego aplique tratamientos para reducirlo.
Su segunda pregunta es "Tengo un perímetro fuerte, ¿necesito una IDS detrás de él?"
Hay un importante principio de seguridad llamado "defensa en profundidad". Básicamente, no confíes en un solo control para protegerte. La capa controla, y piensa en lo que pasa si uno falla.
Claro, tienes un perímetro fuerte y poco va a pasar, y eso es bueno. Pero si algo lo hace, ¿no sería bueno tener un IDS allí que lo vea?
Por supuesto, la pregunta es si vale la pena el gasto. Snort es gratis, claro, pero tu tiempo no lo es. Es algo para lo que debes trabajar, en función del nivel de riesgo: ¿qué posibilidades hay de superar, cuánto daño podría hacer? Tal vez valga la pena, tal vez no. Esa es una decisión comercial pura.