White paper network ids and ips deployment Strategies Nicholas Pappas

© SANS Institute 200
8
,
Author retains full rights.
© SANS Institute 200
8
, Author retains full rights.
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Network IDS & IPS Deployment Strategies
to be implemented on the IPS to block similar future attacks. The outcome is a 
multi-layered approach to monitoring network traffic passing through the boundary 
of a network or subnetwork.
The main intent is to have the IPS block traffic known to be unnecessary or 
malicious, while the IDS remains sensitive alerting on traffic that may be difficult to 
categorize without risking termination of legitimate communication. Conceptually, 
the IPS is tuned somewhat conservatively and the IDS has a more aggressive tuning. 
The IDS also provides a checks and balances of its respective IPS. Since the rules 
implemented in the IPS also exist in the IDS, if the IPS fails the IDS will continue 
monitoring. If the IDS suddenly sends numerous alerts the IPS is most likely in fail-
over mode or has witnessed a system crash. Without a layered approach, traffic 
would pass through the network unmonitored until the IPS was brought online again.
As shown in figures 5 and 6, the IPS is deployed on the external side of the 
router or network edge. This allows the IPS to drop packets prior to them hitting the 
router and prevents the router from having to process extraneous packets thus 
lightening the load on the routers processor(s). It also provides a means for the 
analyst to research traffic “in the wild”, as well as seeing any probes and scans 
coming from external systems. If a brute force attack is posed against the IPS, the 
router avoids having to deal with such nonsense as the IPS actively drops the attack 
traffic on the floor. Unsuccessful network reconnaissance attempts may be fed into 
a heuristic of other security controls. Perhaps the organization's competition is in 
Nicholas Pappas
25
@ 2021 SANS Institute
Author Retains Full Rights

© SANS Institute 200
8
,
Author retains full rights.
© SANS Institute 200
8
, Author retains full rights.
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Network IDS & IPS Deployment Strategies
the midst of staging an attack. Even a minimally tuned IPS would block this traffic, 
but the analyst monitoring traffic external to his or her network can gain great 
insight into the latest attacks and threat trends.
Both figures show the IDS placement on the internal side of the edge router. 
This is required to see traffic being passed from or within the internal network. 
Especially in the case where the internal network is using Network Address 
Translation (NAT). Pinpointing internal systems using NAT'd IP addresses would be 
impossible from the perspective of the IPS since it is on the outside. IDS placement 
is critical when the analyst needs to track down internal systems sending unwanted 
traffic. Internal systems sending unwanted traffic may be caused by a system not 
configured correctly or possibly a compromised system attempting to propagate 
virus infection. Likewise, if an internal employee is transferring data outside the 
network, the IDS placed internally will be able to see exactly where this data is 
coming from and can be configured to report such activity.
Deploying IDS and IPS in pairs is substantially beneficial. Having one without 
the other will undoubtedly leave gaps in the monitoring of network activity, or 
possibly lead to ambiguous alerts showing the front end of the NAT'd IP space rather 
than detailing the specific system responsible for causing questionable traffic. The 
next section goes over some practical uses of such a setup.
Nicholas Pappas
26
@ 2021 SANS Institute
Author Retains Full Rights

© SANS Institute 200
8
,
Author retains full rights.
© SANS Institute 200
8
, Author retains full rights.
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Network IDS & IPS Deployment Strategies

Download 2,67 Mb.