Intrusion Detection System: suricata, snort vast. asennus ja hyödyllisyys

[JA5U]

Moi

Itsellä, kun on niin vähän kokemusta sysadmin/verkon ylläpidosta, niin ajattelin kysellä aiheesta.

Ilmeisesti tuollainen IDS "kone" tulisi asettaa ennen palomuuria, kuten monissa "systeemikuvauksissa" esitetään.

Onko tämmöinen mahdollista tahi järkevää/turvallista tehdä virtuaalikoneilla?
Eli olisi instanssit

• ids
• muuri
• palvelin

Vai voisiko tahi kannattaisiko nämä kaikki olla yhdellä koneella?

Ja oletetaan, että puhutaan esim. uudelle yhteisöpalvelulle luodusta web-palvelimesta.
Mitä lisäarvoa IDS tuo? Soveltuvatko ne joihinkin tiettyihin tai tietyntyyppisiin ratkaisuihin paremmin?
Vaativatko ne jonkinlaista pidemmän ajan liikenteen seurantaa ja sen mukaista konfigurointia?