Solo puedo colocar un único sensor de red en algún lugar dentro de mi red. ¿Se colocaría mejor entre el enrutador de borde y el firewall, o entre la LAN interna del firewall?
Depende de lo que quieras hacer
Si desea ver qué amenazas están dirigidas a usted desde Internet. Puede colocar el IDS fuera del firewall (suponiendo que lo haya endurecido adecuadamente) y detrás del enrutador.
Si desea ver qué tráfico interno potencialmente malicioso tiene dentro de su perímetro, es más apropiado monitorear desde un punto entre el firewall y la LAN interna.
Considere qué tráfico desea examinar, busque el punto relevante en su red en el que el tráfico TIENE que fluir para llegar allí. Dado que Snort es un IDS gratuito y el hardware es bastante barato, es posible que pueda invertir en más de un IDS.
También recomendaría lo siguiente, lea de SANS acerca de la configuración y la colocación de IDS
Lea otras preguntas en las etiquetas ids