Cos'è il bypass?
Le apparecchiature di sicurezza di rete sono comunemente utilizzate tra due o più reti, ad esempio tra una rete interna e una rete esterna. Attraverso l'analisi dei pacchetti di rete, le apparecchiature di sicurezza di rete determinano se vi è una minaccia, elaborandoli secondo determinate regole di routing per inoltrarli in uscita e, in caso di malfunzionamento delle apparecchiature di sicurezza di rete, ad esempio dopo un'interruzione di corrente o un crash, i segmenti di rete collegati al dispositivo vengono disconnessi l'uno dall'altro. In questo caso, se ciascuna rete deve essere connessa, è necessario attivare la funzione Bypass.
La funzione Bypass, come suggerisce il nome, consente alle due reti di connettersi fisicamente senza passare attraverso il sistema del dispositivo di sicurezza di rete attraverso uno specifico stato di attivazione (interruzione di corrente o crash). Pertanto, in caso di guasto del dispositivo di sicurezza di rete, le reti connesse al dispositivo Bypass possono comunicare tra loro. Naturalmente, il dispositivo di rete non elabora i pacchetti sulla rete.
Come classificare la modalità di applicazione Bypass?
Il bypass è suddiviso in modalità di controllo o di trigger, che sono le seguenti
1. Attivato dall'alimentazione. In questa modalità, la funzione Bypass si attiva allo spegnimento del dispositivo. Se il dispositivo viene acceso, la funzione Bypass verrà disattivata immediatamente.
2. Controllato da GPIO. Dopo aver effettuato l'accesso al sistema operativo, è possibile utilizzare GPIO per gestire porte specifiche e controllare lo switch di bypass.
3. Controllo tramite Watchdog. Questa è un'estensione della modalità 2. È possibile utilizzare il Watchdog per controllare l'abilitazione e la disabilitazione del programma di bypass GPIO per controllarne lo stato. In questo modo, in caso di crash della piattaforma, il bypass può essere attivato dal Watchdog.
Nelle applicazioni pratiche, questi tre stati spesso si verificano contemporaneamente, in particolare le due modalità 1 e 2. Il metodo applicativo generale è il seguente: quando il dispositivo è spento, il bypass è abilitato. Dopo l'accensione del dispositivo, il bypass viene abilitato dal BIOS. Dopo che il BIOS ha preso il controllo del dispositivo, il bypass rimane abilitato. Disattivare il bypass in modo che l'applicazione possa funzionare. Durante l'intero processo di avvio, non si verifica praticamente alcuna disconnessione dalla rete.
In cosa consiste l'implementazione del principio di bypass?
1. Livello hardware
A livello hardware, i relè vengono utilizzati principalmente per realizzare il bypass. Questi relè sono collegati ai cavi di segnale delle due porte di rete del bypass. La figura seguente mostra la modalità di funzionamento del relè utilizzando un solo cavo di segnale.
Prendiamo come esempio il trigger di alimentazione. In caso di interruzione di corrente, l'interruttore nel relè passerà allo stato 1, ovvero il ricevitore sull'interfaccia RJ45 di LAN1 si collegherà direttamente al trasmettitore RJ45 di LAN2 e, quando il dispositivo è acceso, l'interruttore si collegherà al 2. In questo modo, se è necessaria la comunicazione di rete tra LAN1 e LAN2, è necessario gestirla tramite un'applicazione sul dispositivo.
2. Livello software
Nella classificazione del bypass, GPIO e Watchdog sono menzionati per controllare e attivare il bypass. In effetti, entrambi questi metodi gestiscono il GPIO, che a sua volta controlla il relè sull'hardware per effettuare il salto corrispondente. Nello specifico, se il GPIO corrispondente è impostato a livello alto, il relè salterà alla posizione 1, mentre se il GPIO è impostato a livello basso, il relè salterà alla posizione 2.
Per il Watchdog Bypass, viene in realtà aggiunto il controllo Watchdog Bypass sulla base del controllo GPIO di cui sopra. Una volta che il watchdog è attivo, impostare l'azione su bypass nel BIOS. Il sistema attiva la funzione watchdog. Una volta che il watchdog è attivo, il bypass della porta di rete corrispondente viene abilitato e il dispositivo entra in stato di bypass. In realtà, anche il bypass è controllato dal GPIO, ma in questo caso la scrittura dei livelli bassi sul GPIO viene eseguita dal Watchdog e non è richiesta alcuna programmazione aggiuntiva per scrivere il GPIO.
La funzione di bypass hardware è una funzionalità obbligatoria dei prodotti per la sicurezza di rete. Quando il dispositivo viene spento o si blocca, le porte interne ed esterne vengono collegate fisicamente per formare un cavo di rete. In questo modo, il traffico dati può passare direttamente attraverso il dispositivo senza essere influenzato dallo stato corrente dello stesso.
Applicazione ad alta disponibilità (HA):
Mylinking™ offre due soluzioni ad alta disponibilità (HA): Active/Standby e Active/Active. La soluzione Active Standby (o Active/Passive) viene implementata su strumenti ausiliari per garantire il failover dai dispositivi primari a quelli di backup. La soluzione Active/Active viene implementata su collegamenti ridondanti per garantire il failover in caso di guasto di un dispositivo Active.
Mylinking™ Bypass TAP supporta due strumenti in linea ridondanti, che possono essere implementati nella soluzione Attivo/Standby. Uno funge da dispositivo primario o "Attivo". Il dispositivo in Standby o "Passivo" riceve comunque traffico in tempo reale tramite la serie Bypass, ma non è considerato un dispositivo in linea. Questo garantisce ridondanza "Hot Standby". In caso di guasto del dispositivo attivo e di interruzione della ricezione degli heartbeat da parte del Bypass TAP, il dispositivo in Standby assume automaticamente il ruolo di dispositivo primario e si riattiva immediatamente.
Quali sono i vantaggi che puoi ottenere con il nostro Bypass?
1-Assegnare il traffico prima e dopo lo strumento in linea (come WAF, NGFW o IPS) allo strumento fuori banda
2-La gestione simultanea di più strumenti in linea semplifica lo stack di sicurezza e riduce la complessità della rete
3-Fornisce filtraggio, aggregazione e bilanciamento del carico per i collegamenti in linea
4-Ridurre il rischio di tempi di inattività non pianificati
5-Failover, alta disponibilità [HA]
Data di pubblicazione: 23 dicembre 2021
