Debe seleccionar su ubicación de IDS según lo que necesite. Si tiene una red muy pequeña con un conmutador, esto puede ser fácil, pero para una red más grande hay algunas opciones:
- Puerta de enlace: conecte su IDS a su enrutador / firewall perimetral para que pueda monitorear todo lo que entra y sale de su red. Esto requiere una gran cantidad de ajustes, ya que hay muchas cosas automatizadas que intentan obtener acceso.
- Joyas de la corona: localice su IDS en la subred en la que se encuentran sus activos clave, de esta manera solo verá el tráfico que ha llegado tan lejos, por lo que desconectar los falsos positivos debería ser mucho más sencillo. El inconveniente es que no ves nada más en la red.
- Agentes: puede proporcionar a los enrutadores y conmutadores, o incluso a los escritorios, un agente que se alimenta en un IDS (a menudo a través de syslog u otro mecanismo común) y puede basarlo en sus requisitos específicos.
Recuerde que el mayor problema con cualquier IDS es mantenerlo sintonizado para rechazar tantos falsos positivos como pueda mientras alerta sobre tráfico sospechoso, y luego hacer que un equipo responda y evalúe esas alertas. La cantidad de tráfico, incluso en una red de tamaño mediano, puede ser increíblemente difícil de analizar a través de ...