محل استفاده از سامانه پیشگیری/تشخیص نفوذ (NIDS)

استفاده از Network Intrusion Detection System با توجه به افزایش روزافزون مخاطرات ناشناخته و یا غیرقابل پیش بینی (حمله هایی که سرمنشا داخلی دارند و یا zero-day ها) انتخاب عاقلانه و در برخی موارد اجباری است. محل به کارگیری یک NIDS بر اساس این سه عامل قابل بررسی است:
    - بودجه
    - حساسیت و محرمانگی
    - توانایی ها و قابلیت های موجود در سازمان

اگر بتوان با عامل بودجه مقابله کرد، استفاده از سناریوی زیر به عنوان الگوی اولیه (برای ارتباطات LANبهWAN) همواره بهترین نقطه شروع برای شبکه هایی با حساسیت متوسط و بالا است (شبکه های سازمانی، شبکه های مالی و شبکه های نظامی_یا محرمانه_):
    - سامانه پیشگیری/تشخیص نفوذ خارجی (External NIDS)
    - پوشش امنیتی اولیه که به صورت پیش فرض تمامی درخواست ها را با حالت Deny پاسخ می دهد:
        1- Router با الزمات امنیتی و Access Control Lists
        2- فایروال
        3- پروکسی (Application aware proxies بسته به برنامه هایی که استفاده می شوند یا خواهند شد.)
    - سامانه پیشگیری/تشخیص نفوذ داخلی (Internal NIDS)
    - DMZ برای برنامه هایی که به صورت عمومی استفاده خواهند شد.
    - پیاده سازی سرویس های شبکه با دید امنیتی و به کار بردن شیوه نامه های موجود
    - سامانه پیشگیری/تشخیص نفوذ شبکه های بی سیم در صورت استفاده (Wireless IDS/IPS)

چرا از سامانه پیشگیری/تشخیص نفوذ خارجی (External NIDS) استفاده کنیم؟
NIDS خارجی به عنوان نقطه امنیتی صفر وظیفه تشخیص، تحلیل و جمع آوری (و در برخی سناریوها پیشگیری) مخاطرات امنیتی که از سمت شبکه های مبتنی بر IP خارجی (مانند اینترنت و شبکه های WAN مشترک) روی می دهند را دارد. داده های جمع آوری شده می تواند به صورت real-time تحلیل شود و همچنین برای پیگیری های آینده مورد استفاده قرار بگیرد. همچنین این سامانه می بایست توانایی تولید پیغام های خطر را پیش از بروز مشکل داشته باشد.  چهار هدف اولیه که منجر به استفاده از NIDS خارج از محدوده شبکه LAN در نقطه اتصال با WAN می شوند، عبارتند از:

    1- تحلیل نفوذ با استفاده از داده های جمع آوری شده در قبل
    2- تشخیص بی وقفه و real-time نفوذ
    3- جمع آوری مدارک (Evidence gathering) مستند
    4- جمع آوری آمار