Quiero proponer una arquitectura de detección de intrusiones en el esquema que se muestra a continuación. ¿Debo colocar un IDS frente a cada servidor, o sería suficiente uno para todos los servidores?
La información principal que obtengo de su pregunta es que no sabe qué tipo de amenazas puede esperar en su red, pero, sin embargo, espera abordarlas utilizando algún tipo de IDS. Esto probablemente fallará.
Entonces, lo primero sería hacer un análisis de riesgo, desarrollar un modelo de amenaza y luego hacer un análisis de costo / beneficio para decidir qué amenazas deben abordarse y con qué riesgos puede vivir. Y debido a que el panorama de amenazas se está moviendo, debe reevaluar sus decisiones con la frecuencia suficiente.
Solo un ejemplo: si teme que un atacante provenga del exterior, puede implementar un IDS central pasivo para detectar intrusiones. Desafortunadamente, esto no evitará las intrusiones, por lo que probablemente se propagarán a través de su red y solo podrán detectarse con IDS que se encuentren cerca del host. El propio IDS basado en host también podría funcionar a menos que el atacante pueda deshabilitarlos una vez que sean dueños del sistema. En lugar de usar IDS pasivos, puede usar componentes activos que no solo intentan detectar sino también prevenir ataques. Los encuentra usualmente nombrados como cortafuegos, IPS, NGFW, UTM, Secure Gateway .... Pero tenga en cuenta que ninguno de estos detectará y evitará todo, y generalmente detectan mucho menos que sus afirmaciones de marketing.
Y, por supuesto, ahora deberías saber en qué nivel esperas los ataques: un simple filtro de paquetes no detectará los ataques a nivel de la aplicación, y la detección de ataques tipo "drow-by-dr" o "waterholing" con ataques de 0 días depende mucho sobre las capacidades de IDS / IPS y también mucho sobre su capacidad para ajustarlo específicamente a su entorno.
Así que no esperes solo poner algo allí y estar seguro. Probablemente tengas que invertir mucho dinero en tecnologías, pero también mucho conocimiento y personal para mantener el sistema y mantenerte al día con las últimas amenazas. .
En resumen: no hay una respuesta clara a su problema. Solo después de haber realizado un análisis de riesgos en profundidad, puede decidir cuál sería la mejor manera con la cantidad de dinero, personal y conocimiento de su presupuesto.
Podrías usar IDS basados en Host en cada sistema. Es posible que esto ya esté incluido en el software antivirus que utilice. Alternativamente, podría tener IDS en un puerto de tramo en el conmutador de red utilizado para el entorno. Esto debería monitorear todo el tráfico y alertar sobre los problemas identificados.
El IDS debe ir a algún lugar entre el atacante y el objetivo, de modo que el atacante lo atraviese durante el ataque y active el IDS.
En consecuencia, hay muchos lugares en cualquier red donde podría colocar un IDS. De hecho, muchas organizaciones terminan colocando más de una.
A veces quieres ponerlo muy cerca del objetivo. Los sistemas IDS basados en host suelen estar aquí, de ahí el nombre, se sientan en el host.
O, es posible que desee ubicarlo cerca del atacante, como en el perímetro de su red: los sistemas IDS basados en la red a menudo están aquí, pero no siempre. ¿Y si el atacante ya está dentro?
El lugar donde debe colocar su IDS depende de la estructura de su red y de su modelo de amenaza específico. ¿De qué está protegiendo y de quién es? Los IDS de red son bastante amplios y pueden monitorear muchos objetivos; Los IDS basados en host son bastante estrechos, protegen un objetivo específico, pero pueden ser más efectivos para ese objetivo ya que conocen mejor el objetivo.
Además, un IDS agrega sobrecarga a su red, y potencialmente puede ser un cuello de botella, por lo que debe tenerlo en cuenta al colocarlo.
Por último, si me disculpas por decirlo, el diagrama de red en tu pregunta no tiene ningún sentido, no tiene ningún sentido , por lo que es probable que tengas que volver atrás y aclararlo antes de pensar. desplegando un IDS.
La mejor respuesta sería: ambos ( NIDS y HIDS ), según paradigma de defensa en profundidad .
Por supuesto, por alguna razón sería imposible (es decir, debido a los costos). Entonces tienes que elegir entre ellos. No has dado muchos detalles sobre tu infraestructura, pero puedes elegir la solución adecuada en base a estas preguntas:
Según estas preguntas, probablemente elegiría la mejor solución para su infraestructura. Por ejemplo, para los servidores Unix, puede instalar OSSEC HIDS en los hosts. Snort es una buena solución como NIDS.
EDITAR: En el caso de Unix: consulte la distribución Security Onion .
Espero haber ayudado de alguna manera.