Problème de positionnement des sondes

La mise en place est importante. Il faut bien définir là où placer les sondes. Il ne s'agit pas de mettre une sonde partout où l'on veut surveiller. Il faut étudier les champs de vision des sondes suivant leur placement, si on veut recouper ces champs de vision (pour par exemple faire des doublons de surveillance ou faire un suivi d'attaque), quel détail d'analyse (à l'entrée d'un réseau, ou dans chaque domaine de colision). On découpe souvent le réseau global en un LAN, une DMZ, puis Internet. Mais il faut aussi envisager les domaines de collisions, les sous-réseaux, ...

Étant donné que la sonde travaille en mode promiscuité, elle utilise la librairie libpacap ou winpcap qui fait qu'une sonde ne pourra pas être installée sur les firewalls. Et la mise en place sur la sonde même d'un filtrage pour la protéger contre certaines attaques directes aura une efficacité très réduite.

L'utilisation de tunnel est aussi à envisager lors du positionnement des sondes : inutile de placer une sonde où tout le traffic est crypté.

Les connaissances réseaux sont importantes. Il faut aussi faire attention à comment sont remontées les alertes (si on passe par une ligne RNIS, éviter de la monter et la fermer à chaque alerte). Même si la plupart des schémas montrent un manager et N sondes, nous pouvons très bien utiliser M manager et N sondes.