Co očekavám od IDS je logické. Snifovat celej provoz sitě a hledat nebezpečné signatury.
Zrovna teď jsem v situaci kdy zjišťuji kam IPS umístit zda (mezi router a switch) a nebo (mezi ISP a router).
Zalezi co mas na IDS/IPS.
Standartne (low cost IPS/IDS) posloucha na routru, kde do nej odklanis trafic. tam je pak vyhodnocovan a spetne do routru je posilana informace zda dalsi komunikaci povolit nebo ne. (Mikrotik+Snort, 99% UTM firewallu)
HIGH END IPS/IDS funguji jako transparentni bridge ale pouze na optice (pres hranol mirroruji do engine, kdyz je vipnes nic se nedeje a provpz de dal, jen neni filtrovan) a jsou schopni uz na L2 zrat spatny provoz. to pak davas pred router.
Omezeni - optika only
Samostatnou tridu pak tvori IPS/IDS ktere se hraji na HIGH END a neco podobneho delaji na kabelu. (lepsi nez dratem do oka, ale drazsi nez low end a funkcne stejny)
tak ci tak kazde IPS/IDS se dava na, nebo pred hranicni router.
Mame spoustu klientu na air gapped sitich, tam ta hierarchie je trosku jina. Monitoruje se kazdy segment site tedy da se rict i pred routerem i za routerem.
