La ubicación del sensor puede ser muy complicada, ya que hay muchas variables que considerar. Como mínimo, debes tener en cuenta
- Nivel de clasificación del recurso supervisado
- diseño de red
- Rendimiento del sistema
- Tiempo del personal (para administración y análisis)
- Disponibilidad de recursos
Lanzar todos esos en una licuadora y encenderlos en alto durante unos minutos le dará algunos datos interesantes para comenzar a determinar su implementación. La planificación de la implementación es un proceso multifase y, si bien no están intrínsecamente separados, es beneficioso recordar que son partes diferentes del mismo plan.
Recopilación y planificación de datos
Lo más probable es que lo que querrá hacer es construir una lista de todos los sistemas que desea monitorear, luego calificarlos según la importancia o el riesgo. Eso debería darle una prioridad de qué sistemas realmente necesita estar viendo ahora. En un mundo perfecto, tendríamos un sensor que controla el enlace conectado a todos y cada uno de los sistemas. Sin embargo, sería aterrador costoso, difícil de mantener y ruidoso. En su lugar, hable con su equipo de red y observe detenidamente el diseño de su red. Calcule en el mapa de la red donde viven sus sistemas priorizados y descubra dónde están los puntos de choque. Mira qué hardware tienes disponible para convertir en sensores. En un entorno increíble, podría tener una caja grande con algunas interfaces de 10 Gbps y hacer todo su monitoreo para toda una empresa usando un solo sensor. Sin embargo, lo más probable es que tengas algunos sistemas excedentes que solían usar los secretarios de departamento y necesitarán repartir la carga.
Diseño e implementación de arreglos
Ahora es el momento de pensar detenidamente qué es el umbral de aceptación del riesgo. ¿Qué tan cerca de los datos confidenciales siente que necesita para tener un sensor, y a qué distancia se siente cómodo al colocarlo? En algunos casos, es posible que realmente necesite monitorear el puerto del switch al que un servidor está conectado directamente. En otros casos, basta con colocar un solo sensor en un edificio o piso de enlace ascendente e ignorar cualquier tráfico dentro del conmutador. En otro caso, puede sentir que la duplicación de un puerto específico no es lo suficientemente buena, y en cambio duplicar una VLAN completa.
Carga de trabajo y otras consideraciones
Mientras construye nuestra estrategia de despliegue de su sensor, tenga en cuenta que puede ser muy complicado. Cuando decida dónde colocar sus sensores, asegúrese de tener en cuenta todos los demás problemas que surjan. Por cada sensor que implemente, habrá una sobrecarga de administración para un empleado que realmente mantenga el sistema (aplicar parches, reemplazo de hardware, etc.), una sobrecarga de administración de la aplicación (actualizar firmas, ajustar reglas, asegurarse de que snortd siga funcionando) y tiempo de analista (interpretación) Las alertas y la toma de acción). Dependiendo de su diseño y de cuánto tiempo esté dispuesto a cargar, estos números pueden variar enormemente. Por ejemplo, al usar las herramientas de administración / automatización de configuración correctas, no es tan difícil administrar varias docenas de sensores de snort usando una fracción de un FTE.