Доброго времени суток!
Пишу диплом на тему Инф. Безопасности.
И столкнулся с такой проблемой:
Обосновать наличие NIDS Snort в сети, перед Фаерволлом.
Вижу практическое решение, нужно обойти фаерволл (не важно какой, только не Agnitum Outpost Firewall Pro версия 1.0 =) ) из внешний сети без установленного сенсора Snort.
Есть полноценная литература? Совет был бы супер.
Пытаюсь реализовать набором прог BackTrack 4.

Начало положено
http://www.securitylab.ru/forum/forum20/topic50557/#message404433

Обосновать наличие NIDS Snort в сети, перед Фаерволлом. »

Не обоснуете.
IDS не обязательно вставлять в разрыв движения трафика.
Достаточно чтобы сетевое оборудование отправляло на IDS весь трафик сегмента.

Вот IPS действительно втавляют в разрыв.

Вобще нужно представлять методологию использования подобных устройств (систем).

1) Развертывается защищаемая система
2) РАзвертывается IDS
3) Проводится длительная опытная эксплуатация (месяц и более). Целью опытной эксплуатации является формирование правил в пределах которой функционирование считается нормальным (обычным). Вендоры обычно поставляют такие инструменты в составе IDS.
По результатам опытной эксплуатации формируются шаблоны обнаружения аномалий (проникновений)
4) Шаблоны накатываются на IDS
5) Пункты 4, 5 могут повторяться несколько раз, для получения удовлетворительного результата.

Да, кстати, обычно для типового ПО (Exchange, MS SQL, Oracle и т.п.) уже идут типовые шаблоны в составе IDS/IPS (правда это больше относится к HIDS/HIPS чем NIDS/NIPS)