Cos'è il bypass?
Le apparecchiature di sicurezza di rete vengono comunemente utilizzate tra due o più reti, ad esempio tra una rete interna e una rete esterna. Attraverso l'analisi dei pacchetti di rete, le apparecchiature di sicurezza di rete determinano la presenza di minacce, elaborano i pacchetti secondo determinate regole di routing e li inoltrano all'esterno. Inoltre, se le apparecchiature di sicurezza di rete non funzionano correttamente, ad esempio a seguito di un'interruzione di corrente o di un guasto, i segmenti di rete collegati al dispositivo si disconnettono tra loro. In questo caso, se è necessario che ciascuna rete rimanga connessa alle altre, è necessario un bypass.
La funzione Bypass, come suggerisce il nome, consente alle due reti di connettersi fisicamente senza passare attraverso il sistema del dispositivo di sicurezza di rete, anche in presenza di uno specifico evento scatenante (interruzione di corrente o guasto del sistema). Pertanto, in caso di guasto del dispositivo di sicurezza di rete, le reti connesse al dispositivo Bypass possono comunicare tra loro. Naturalmente, il dispositivo di rete non elabora i pacchetti di rete.
Come si classifica la modalità di applicazione Bypass?
Il bypass è suddiviso in modalità di controllo o di attivazione, che sono le seguenti
1. Attivato dall'alimentazione. In questa modalità, la funzione Bypass si attiva quando il dispositivo è spento. Se il dispositivo viene acceso, la funzione Bypass si disattiva immediatamente.
2. Controllato tramite GPIO. Dopo aver effettuato l'accesso al sistema operativo, è possibile utilizzare i GPIO per azionare porte specifiche e controllare l'interruttore Bypass.
3. Controllo tramite Watchdog. Questa è un'estensione della modalità 2. È possibile utilizzare il Watchdog per controllare l'attivazione e la disattivazione del programma GPIO Bypass e quindi lo stato del Bypass. In questo modo, se la piattaforma si blocca, il Bypass può essere riattivato tramite Watchdog.
Nelle applicazioni pratiche, questi tre stati spesso coesistono, soprattutto le due modalità 1 e 2. Il metodo di applicazione generale è il seguente: quando il dispositivo è spento, il Bypass è abilitato. Dopo l'accensione del dispositivo, il Bypass viene abilitato dal BIOS. Dopo che il BIOS ha preso il controllo del dispositivo, il Bypass rimane abilitato. Disattivare il Bypass per consentire il funzionamento dell'applicazione. Durante l'intero processo di avvio, non si verifica praticamente alcuna disconnessione di rete.
Qual è il principio di implementazione del bypass?
1. Livello hardware
A livello hardware, i relè vengono utilizzati principalmente per realizzare il bypass. Questi relè sono collegati ai cavi di segnale delle due porte di rete di bypass. La figura seguente mostra la modalità di funzionamento del relè utilizzando un singolo cavo di segnale.
Prendiamo come esempio il trigger di alimentazione. In caso di interruzione di corrente, l'interruttore del relè passerà allo stato 1, ovvero il connettore Rx sull'interfaccia RJ45 di LAN1 si collegherà direttamente al connettore Tx RJ45 di LAN2. Quando il dispositivo viene alimentato, l'interruttore tornerà allo stato 2. In questo modo, se è necessaria la comunicazione di rete tra LAN1 e LAN2, è necessario gestirla tramite un'applicazione sul dispositivo.
2. Livello software
Nella classificazione del bypass, GPIO e Watchdog vengono menzionati per controllare e attivare il bypass. In effetti, entrambi questi metodi azionano il GPIO, che a sua volta controlla il relè sull'hardware per effettuare il salto corrispondente. Nello specifico, se il GPIO corrispondente è impostato a livello alto, il relè salterà nella posizione 1, mentre se il GPIO è impostato a livello basso, il relè salterà nella posizione 2.
Per il bypass del watchdog, in realtà si aggiunge il controllo del watchdog al bypass sulla base del controllo GPIO descritto sopra. Dopo l'attivazione del watchdog, si imposta l'azione di bypass nel BIOS. Il sistema attiva la funzione watchdog. Una volta attivato il watchdog, il bypass della porta di rete corrispondente viene abilitato e il dispositivo entra nello stato di bypass. In realtà, anche il bypass è controllato dai GPIO, ma in questo caso la scrittura a livello basso sui GPIO viene eseguita dal watchdog e non è necessaria alcuna programmazione aggiuntiva per scrivere sui GPIO.
La funzione di bypass hardware è una caratteristica imprescindibile dei prodotti per la sicurezza di rete. Quando il dispositivo è spento o si blocca, le porte interne ed esterne vengono fisicamente collegate a formare un cavo di rete. In questo modo, il traffico dati può attraversare direttamente il dispositivo senza essere influenzato dal suo stato attuale.
Applicazione ad alta disponibilità (HA):
Mylinking™ offre due soluzioni di alta disponibilità (HA): Active/Standby e Active/Active. La soluzione Active/Standby (o attivo/passivo) viene implementata su strumenti ausiliari per garantire il failover dai dispositivi primari a quelli di backup. La soluzione Active/Active, invece, viene implementata su collegamenti ridondanti per garantire il failover in caso di guasto di un dispositivo attivo.
Mylinking™ Bypass TAP supporta due dispositivi in linea ridondanti e può essere implementato in una soluzione Active/Standby. Uno funge da dispositivo primario o "attivo". Il dispositivo di standby o "passivo" continua a ricevere traffico in tempo reale attraverso la serie Bypass, ma non viene considerato come un dispositivo in linea. Ciò garantisce la ridondanza "Hot Standby". Se il dispositivo attivo si guasta e il Bypass TAP smette di ricevere heartbeat, il dispositivo di standby subentra automaticamente come dispositivo primario e si connette immediatamente.
Quali vantaggi puoi ottenere grazie al nostro bypass?
1-Assegnare il traffico prima e dopo lo strumento in linea (come WAF, NGFW o IPS) allo strumento fuori banda
2. La gestione simultanea di più strumenti inline semplifica lo stack di sicurezza e riduce la complessità della rete.
3-Fornisce filtraggio, aggregazione e bilanciamento del carico per i collegamenti in linea
4. Ridurre il rischio di tempi di inattività imprevisti
5-Failover, alta disponibilità [HA]
Data di pubblicazione: 23 dicembre 2021
