Network Segregation & Trust Zones




Download 2,67 Mb.
Pdf ko'rish
bet7/25
Sana14.05.2024
Hajmi2,67 Mb.
#233760
1   2   3   4   5   6   7   8   9   10   ...   25
5.Network Segregation & Trust Zones
 
 
Realistically expecting security professionals to completely secure 
every
system 
on a network is unreasonable. Often times, security controls are in direct opposition 
to functionality inherent with today's feature-rich computing environments. All too 
often, 100% secure is congruent to 0% usable. An effective strategy to balance 
security with functionality is with network segregation. The resulting zones are 
associated with a level of trust based on the sensitivity of the data being processed. 
Each zone can have a different security policy (Rehman, 2003). This design structure 
promotes sound security and realistic risk reduction, while at the same time 
permitting just the right amount of functionality to effectively conduct business.
Figure 1 illustrates how a corporate network may be segregated by functional 
groups of system users. Finance and accounting staff have legitimate need for direct 
access to their respective systems during group collaboration efforts, or project 
Nicholas Pappas
10
@ 2021 SANS Institute
Author Retains Full Rights

© SANS Institute 200
8
,
Author retains full rights.
© SANS Institute 200
8
, Author retains full rights.
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Network IDS & IPS Deployment Strategies
teams efficiently conducting business. For many reasons it may be inadvisable 
allowing research and development engineers direct access to systems in the human 
relations department. Segregating networks as shown provides a layer of security 
and a means for the company to systematically enforce corporate or enterprise 
policy. Having a system enforce policy is much more effective than expecting 
humans to behave appropriately, or avoid mistakes of unintentionally compromising 
sensitive data.
Figure 1: Typical corporate network zone diagram.
Nicholas Pappas
11
@ 2021 SANS Institute
Author Retains Full Rights

© SANS Institute 200
8
,
Author retains full rights.
© SANS Institute 200
8
, Author retains full rights.
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Network IDS & IPS Deployment Strategies
Looking towards the center of Figure 1, you will find concentric circles 
exhibiting “circles of trust”. In this portion of the example, each department has 
direct
access to the front end application circle; perhaps in the form of a web 
application. This front-end application is then utilized to carefully grant or deny 
access to the organization's most critical data (e.g., file servers, databases). Any four 
of the sample departments are not capable of gaining direct access to the back end 
data storage. To view or modify this critically important data, personnel must first 
go through the middleware responsible for administering the most restrictive 
permissions. This model follows the principle of least privilege with respect to the 
innermost data storage zone. That is, giving subjects no more and no less access to 
objects than is required to exclusively conduct business related tasks (Harris, 2003).
IDS and IPS are great tools to leverage when defining, monitoring, auditing, 
and enforcing the circumference of each circle. Deploying an IDS and/or IPS at each 
of the department circles provides a means to monitor and block attempts to violate 
the policy of the system. If a system in the marketing department attempts to 
directly access systems in the human relations department it might be a sign of an 
employee trying to surreptitiously gather payroll information or personnel folders. If 
multiple systems, from say the research and development department, attempt to 
access systems in the other three segments it may signal a worm or virus attempting 
to propagate throughout the enterprise network. Both cases obviously require 
immediate attention to avoid potential compromise of personnel data or stability of 
Nicholas Pappas
12
@ 2021 SANS Institute
Author Retains Full Rights

© SANS Institute 200
8
,
Author retains full rights.
© SANS Institute 200
8
, Author retains full rights.
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Network IDS & IPS Deployment Strategies
systems enterprise-wide. Such segregation of a network in turn boosts the ability 
for response teams to isolate or quarantine system compromises, while the zones 
not compromised continue conducting business.
Not only does network segregation lend itself to access control, it also helps in 
throughput management across a large network. Imagine a university network 
where multiple academic departments (e.g., Arts & Sciences, School of Engineering) 
are collectively connected to a single backbone network. Figure 2 depicts an 
architecture where the backbone network provides conduit from one department to 
another department as well as connectivity for all departments to access the global 
Internet (i.e., Internet 1 and Internet 2). Network sessions over the backbone will 
likely outnumber sessions strictly within any single department network. Because of 
this, the backbone will be best served with network equipment capable of high levels 
of throughput and low latency. Hardware capable of 10 Gigabit throughput is rather 
expensive, perhaps too expensive to expect each department to purchase such 
equipment for their respective segment of the campus network. Without suffering 
significant performance loss, circuits connecting each department network to the 
university backbone may be capable of providing 1 Gigabit throughput. Following 
this model, the local area networks (LAN) within each department may be using 100 
Mb equipment. Of course overtime all information technology assets will eventually 
require an upgrade but the theory behind this model remains valid.
Nicholas Pappas
13
@ 2021 SANS Institute
Author Retains Full Rights

© SANS Institute 200
8
,
Author retains full rights.
© SANS Institute 200
8
, Author retains full rights.
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Network IDS & IPS Deployment Strategies
Figure 2: Throughput capabilities of a sizable network.
Consideration of enterprise architecture is important when deploying IPS and 
IDS. The reason being that many IPS and IDS will become bottlenecks or points of 
congestion when expected to efficiently handle 10 Gigabit throughput. It is unwise 
Nicholas Pappas
14
@ 2021 SANS Institute
Author Retains Full Rights

© SANS Institute 200
8
,
Author retains full rights.
© SANS Institute 200
8
, Author retains full rights.
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Network IDS & IPS Deployment Strategies
to place such systems on a backbone network capable of pushing large globs of data 
at extremely high transfer rates. To work around this issue, we place the IDS or IPS 
between each department level network and the university backbone. Acquiring 
systems capable of lower throughput will be more cost effective, and a distributed 
monitoring infrastructure will also provide awareness of network activity in each 
segment of the greater network. Figure 2 shows such a setup with circuits labeled 
with their associated data transmission capabilities. The magnified portion of Figure 
2 leads us into the next sections covering detailed explanation of IDS/IPS 
deployment.
This section was admittedly a digression from the main topic. However, the 
concentric circles and segmentation of the network described here are crucial to 
understand and consider when planning the logical placement of an IDS or IPS. The 
concepts explained here are referred to in the remaining sections of the document.

Download 2,67 Mb.
1   2   3   4   5   6   7   8   9   10   ...   25




Download 2,67 Mb.
Pdf ko'rish