שלום רב , ברשותי שאלה בנוגע למיקום מערכת ה-IDS\IPS בטופולוגית הרשת הארגונית , אני אשמח אם מישהו יענה לי בצורה מסודרת על השאלות הרבות.

רקע כללי:
הארגון שלנו מונה מספר מאות של תחנות קצה כאשר ה-Gateway של כולם הוא ה-Firewall .
לצורך הענין מדובר בפיירוול NGX R65 של צ'קפוינט.
אנו מעונינים להטמיע מערכת IDS\IPS כלשהי כדוגמת Snort .
אני מודע שיש חברות המתמחות בכך אך אני שואל שאלות אלו לצורך למידה והשכלה כללית.

1.האם ישנם מאמרים בנושא best practice לגבי מיקום ה-IDS ברשת? לא מצאתי בגוגל מאמרים רלוונטים(או שלא חיפשתי נכון).

2.בהנחה שהחוק הראשון שלי בפיירוול הוא stealth rule והאחרון שלי הוא cleanup rule איכן משתלב כאן חוק המפנה את כלל התקשורת לניתוח של מערכת ה-IDS ?

3.בהנחה שאנחנו לא עובדים עם HUB's למינהם האם אני חייב להגדיר Port Mirroring ב-Switch ?

4.האם כדאי לשלב את ה-IDS דרך OPSEC ? אם כן אילו הגדרות כלליות הייתם מגדירים?

5.האם נכון להגדיר בתחנות את ה-IDS כ-GATEWAY וב-IDS עצמו לבצע הפנייה של כל התקשורת ל-FIREWALL?
לאן התעבורה תחילה צריכה להגיע? ל-FIREWALL או ל-IDS לדעתכם ומדוע?

תודה מקרב לב