Цитата Sp1nal:
|
Обосновать наличие NIDS Snort в сети, перед Фаерволлом. »
|
Не обоснуете.
IDS не обязательно вставлять в разрыв движения трафика.
Достаточно чтобы сетевое оборудование отправляло на IDS весь трафик сегмента.
Вот IPS действительно втавляют в разрыв.
Вобще нужно представлять методологию использования подобных устройств (систем).
1) Развертывается защищаемая система
2) РАзвертывается IDS
3) Проводится длительная опытная эксплуатация (месяц и более). Целью опытной эксплуатации является формирование правил в пределах которой функционирование считается нормальным (обычным). Вендоры обычно поставляют такие инструменты в составе IDS.
По результатам опытной эксплуатации формируются шаблоны обнаружения аномалий (проникновений)
4) Шаблоны накатываются на IDS
5) Пункты 4, 5 могут повторяться несколько раз, для получения удовлетворительного результата.
Да, кстати, обычно для типового ПО (Exchange, MS SQL, Oracle и т.п.) уже идут типовые шаблоны в составе IDS/IPS (правда это больше относится к HIDS/HIPS чем NIDS/NIPS)
