White paper network ids and ips deployment Strategies Nicholas Pappas




Download 2,67 Mb.
Pdf ko'rish
bet12/25
Sana14.05.2024
Hajmi2,67 Mb.
#233760
1   ...   8   9   10   11   12   13   14   15   ...   25
9.Practical Applications and Uses
 
 
Using an IDS/IPS paired deployment for researching traffic hitting the external 
side of a network was briefly discussed in the previous section. What was not 
mentioned was the fact that having such a system on the external side of the 
network can actually help other administrators world wide. Consider sharing traffic 
profile information with collaborative groups such as the SANS Internet Storm Center 
by submitting activity logs. Or participate in the DSheild Cooperative Network 
Security Community. DSheild allows you to report malicious activity while remaining 
anonymous. Often times, system administrators do not know when their respective 
systems are wreaking havoc outside their network. With so many worms and other 
automated attacks occurring on the Internet, if your system is being threatened, 
chances are other innocent systems are being attacked in the same manner.
In organizations required to test applications or carefully examine the effect of 
new patches prior to being applied to critical servers, it is good practice to setup a 
test computing environment. In such an environment it is best to ensure traffic is 
not transmitted outside the test network Having an IDS/IPS paired deployment on 
the edge of the test environment allows you to prove no traffic has left the 
environment (implement a drop-all rule on the IPS), as well as the ability to monitor 
network activity being passed on the inside of the test environment. Ever wonder 
what anomalous network traffic, if any, the latest prototype of your company's 
product is causing? How is the latest operating system patch going to effect your 
Nicholas Pappas
27
@ 2021 SANS Institute
Author Retains Full Rights

© SANS Institute 200
8
,
Author retains full rights.
© SANS Institute 200
8
, Author retains full rights.
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Network IDS & IPS Deployment Strategies
network? Clearly the test environment is an important piece of modern information 
technology shops.
For information security professionals attempting to evade IDS and IPS 
detection a test case is very useful. Once such an individual feels they have their IPS 
and IDS configured just right, they should seek a method to evade their 
implementation. Likewise with someone who thinks they can sneak in, penetrating 
the network unnoticed. They should then devise a method to block their covert 
attack. This is an invaluable means to make even the smartest security professional 
more capable.
As far as the Blackhats go, setting up a test case of an IDS/IPS to launch 
attacks against may be beneficial in honing their craft. As most security folks know
being an effective member of any security team involves routinely wearing a black 
hat (offensive) and then swapping it with that of a lighter shade of grey or white 
(defensive); not unlike centuries of weapons development versus armor 
development.
Outside the test environment, larger networks will find the administration of 
numerous IDS/IPS sensors deployed across their enterprise network a daunting task. 
Maintaining multiple IDS/IPS pairings is best done by utilizing a central database to 
store the data gathered. In this case the sensors merely collect data and send it up 
to a centralized database. Figure 8 shows a high level view of such an 
implementation.
Nicholas Pappas
28
@ 2021 SANS Institute
Author Retains Full Rights

© SANS Institute 200
8
,
Author retains full rights.
© SANS Institute 200
8
, Author retains full rights.
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Network IDS & IPS Deployment Strategies
Figure 8: Distributed infrastructure of IPS/IDS sensors feeding a centralized database.
It is important to note, that each IDS/IPS pairing will have their own security 
policy or rule set. What applies to Segment-1 may not apply to Segment-2 and so 
on. Furthermore, having the data sent to a centralized location, will minimize the 
number of highly skilled analysts the organization has to train and keep on the 
payroll. This will obviously bring about the highest return on investment. On that 
note, having one instance of data storage cuts down on the number of required 
systems capable of storing mass amounts of data, not to mention the systems 
required to conduct analysis on those large data stores. Centralizing analysis efforts 
also leads to a more consistent interpretation.
The uses mentioned here are just a few of the many. In reality the uses of 
Nicholas Pappas
29
@ 2021 SANS Institute
Author Retains Full Rights

© SANS Institute 200
8
,
Author retains full rights.
© SANS Institute 200
8
, Author retains full rights.
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Network IDS & IPS Deployment Strategies
such a system are only limited to one's imagination or task orders.

Download 2,67 Mb.
1   ...   8   9   10   11   12   13   14   15   ...   25




Download 2,67 Mb.
Pdf ko'rish
Bosh sahifa
Aloqalar
    Bosh sahifa
Dərs
Mühazirə
Qaydalar
Referat
Xülasə
Yazı


White paper network ids and ips deployment Strategies Nicholas Pappas

Download 2,67 Mb.
Pdf ko'rish