White paper network ids and ips deployment Strategies Nicholas Pappas




Download 2,67 Mb.
Pdf ko'rish
bet9/25
Sana14.05.2024
Hajmi2,67 Mb.
#233760
1   ...   5   6   7   8   9   10   11   12   ...   25
7.Connecting an IPS Device
 
 
Intrusion prevention systems are always connected inline. This requirement 
enables the IPS to drop select packets, and defend against an attack before it takes 
hold of the internal network (Hansteen, 2008). Here again, in Figure 4, we have red 
lines showing the network links being used to capture traffic.
Nicholas Pappas
18
@ 2021 SANS Institute
Author Retains Full Rights

© SANS Institute 200
8
,
Author retains full rights.
© SANS Institute 200
8
, Author retains full rights.
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Network IDS & IPS Deployment Strategies
Figure 4: IPS on the border of a network or zone.
The management interface, shown with a black dashed line, is once again an option 
but still commonly used to manage the system remotely. Updating signatures and 
otherwise adapting the system to defend against the latest threats is an ongoing 
task. Because of this, having an efficient means of administering the device is 
important.
The cons of having a system connected inline have been covered earlier in this 
document. However, some companies build systems to address this failure 
potential. For instance, TippingPoint Technologies Inc. sells products named Zero 
Power High Availability devices, designed to pass traffic even in the event their IPS 
loses electrical power. As you can imagine, during this type of failure the IPS is 
passing unfiltered traffic; much better than dropping all network connectivity. An 
optimally configured IPS will block unwanted traffic and, as a consequence, when the 
Nicholas Pappas
19
@ 2021 SANS Institute
Author Retains Full Rights

© SANS Institute 200
8
,
Author retains full rights.
© SANS Institute 200
8
, Author retains full rights.
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Network IDS & IPS Deployment Strategies
IPS fails the network will typically see an increase in activity. Something for network 
engineers and intrusion analysts alike to consider when a significant unexplained 
spike in network activity is noticed on internal networks.
Connecting an IPS is rather simple. After reading this section, you may wonder 
what can be done to monitor traffic when an IPS either fails entirely, or allows 
malicious traffic through; perhaps from not being strict enough. A layered approach 
is introduced in the next section.

Download 2,67 Mb.
1   ...   5   6   7   8   9   10   11   12   ...   25




Download 2,67 Mb.
Pdf ko'rish
Bosh sahifa
Aloqalar
    Bosh sahifa
Dərs
Mühazirə
Qaydalar
Referat
Xülasə
Yazı


White paper network ids and ips deployment Strategies Nicholas Pappas

Download 2,67 Mb.
Pdf ko'rish