Eu experimentei vários sistemas IDS e IPS baseados em rede ao longo dos anos e nunca fiquei satisfeito com os resultados. Ou os sistemas eram muito difíceis de gerenciar, apenas acionados em explorações bem conhecidas baseadas em assinaturas antigas ou simplesmente conversavam muito com a saída.
De qualquer forma, não acho que eles forneceram proteção real para nossa rede. Em alguns casos, eles foram prejudiciais devido à queda de conexões válidas ou simplesmente falha.
Nos últimos anos, tenho certeza de que as coisas mudaram, então quais são os sistemas IDS recomendados atualmente? Eles têm heurísticas que funcionam e não alertam sobre tráfego legítimo?
Ou, é melhor confiar em bons firewalls e hosts reforçados?
Se você recomendar um sistema, como você sabe que está fazendo o seu trabalho?
Como alguns mencionaram nas respostas abaixo, vamos também obter algum feedback sobre os sistemas de detecção de invasão do host , pois eles estão intimamente relacionados ao IDS baseado em rede.
Para nossa configuração atual, precisaríamos monitorar duas redes separadas com uma largura de banda total de 50mbps. Eu estou procurando por algum feedback do mundo real aqui, não uma lista de dispositivos ou serviços capazes de fazer IDS.