Ethernet bypass что это

Обновлено: 07.07.2024

Рекомендуемая производителем схема установки системы глубокого анализа трафика (DPI) – в разрыв линии. Это означает, что весь сетевой трафик проходит через нее. Что произойдет, если оборудование DPI откажет? Сеть упадет? Нет. Благодаря сетевым картам с технологией Bypass трафик будет пропускаться с порта на порт даже при отключенном питании. Поговорим об этом подробнее.

Принцип Bypass

Принцип работы Bypass-модуля

Когда датчик (Watch Dog Timer) фиксирует отключение питания сервера, зависание операционной системы или программного обеспечения и другие критические ошибки, он переключает BP_SW1 и BP_SW2 в режим Bypass: трафик проходит через сетевую карту минуя серверное оборудование, переключение осуществляется на физическом уровне – Layer1.

Существуют три основных режима работы таких сетевых карт: Normal, Bypass, Disconnect. Определить, как плата поведет себя при возникновении критической ошибки, можно с помощью консоли.

В режиме Normal порты карты работают как два раздельных сетевых интерфейса.
2. В режиме Bypass порты замыкаются друг с другом, трафик идет напрямую между ними и не попадает на сетевые интерфейсы. Такой режим работает даже при полном отключении питания (выход из строя блоков питания).

Применение режима Bypass

В основном такие платы устанавливают на серверы Common Bridge: Firewall, IPS, IDS, DPI, серверы доступа, шлюзы и другие сетевые устройства, отключение которых может привести к падению всей сети. Режим Bypass позволяет обеспечить доступность сети, исключив из нее только ту функцию, за которую отвечало вышедшее из строя устройство. Например, если данная сетевая плата используется в системе DPI, то в случае отключения питания или поломки у абонентов интернет-провайдера сохранится доступ к сети, но пропадет возможность управления трафиком, фильтрации URL и другие функции DPI.

Работа Bypass на шлюзе доступа в сеть Интернет

Также операторы связи и интернет-провайдеры активно используют режим Bypass для проведения плановых работ на серверах с такими платами. При этом нет необходимости перенаправлять трафик в обход на сетевом оборудовании, можно просто выключить сервер из розетки и производить замену комплектующих.

Bypass-адаптеры на рынке

На российском рынке широко представлены Bypass-адаптеры израильского производителя Silicom, который предлагает решения для 1-, 10-, 40-гигабитных сетей с оптическими и медными интерфейсами.

топовый чип Intel® XL710 с поддержкой двух портов 40G, шиной PCI Express X8, поддержкой QoS, Virtual Machine Device queues (VMDq), PCI-SIG* SR-IOV и Intel® Data Direct I/O Technology;
чип для медных сетей Intel® x540 c поддержкой двух портов 10G, шиной PCI Express X8, всех функций для виртуализации сетей, а также iSCSI, FCoE, NFS;
чип для оптических сетей Intel® 82599ES c поддержкой двух портов 10G, Virtual Machine Device queues (VMDq), Fiber Channel over Ethernet, MACsec IEEE 802.1 AE, Intel® Data Direct I/O.

Silicom PE340G2BPI71 Bypass Card – 40G

Все адаптеры Silicom позволяют обеспечивать режим Bypass в случае сбоя питания, зависания сервера или программного обеспечения. Администратор самостоятельно задает режим работы Bypass на каждом из портов и устанавливает время задержки перед переключением.

Также в продаже можно найти оригинальные сетевые адаптеры с Bypass от Intel, модульные карты SonicWALL от Dell и других американских и восточных производителей. Но наибольшей популярностью пользуются именно Silicom.

Некоторые адаптеры Silicom (на чипах Intel 82598/99) поддерживают уникальную сетевую функцию DNA (Direct NIC Access), которая дает возможность системам DPI получать пакеты минуя ядро Linux, непосредственно из сетевого адаптера (no-Linux kernel interaction) с минимальной нагрузкой на процессор.

Функция DNA на адаптерах Silicom

Платформа СКАТ DPI может быть установлена на любой x86-сервер, но при подключении системы в разрыв линка использование сетевых адаптеров с поддержкой режима Bypass является обязательным требованием для обеспечения стабильной работы сети. Рекомендуем использовать адаптеры Silicom необходимой производительности из-за их надежности и стабильности в работе.

Более подробную информацию о преимуществах СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также о миграции с других платформ вы можете узнать у специалистов компании VAS Experts, разработчика и поставщика системы анализа трафика СКАТ DPI.

Подписывайтесь на рассылку новостей блога, чтобы не пропустить новые материалы.

В комментариях опубликованной ранее статьи один из пользователей спросил: «А можно добавить раздел про то, как нужно защитить свой, микротик чтобы управление им не ушло на сторону?». Один из пользователей написал на это следующее: «Универсальных принципов для любого сетевого устройства два – администрирование только с внутреннего интерфейса (снаружи закрыто все) и регулярно обновлять прошивку» (сохранена авторская орфография). А мы сразу поняли, что одним коротким ответом здесь не обойтись, и этот вопрос заслуживает полноценного отдельного рассмотрения с учётом широких возможностей операционной системы RouterOS, а также сопрягаемых с ней opensource решений, комплексно завершающих проблемный вопрос информационной безопасности. Кроме непосредственно настройки безопасности доступа до маршрутизатора, необходимо использовать его как полноценный барьер для разноуровневых атак, которые могут быть нацелены на защищаемую сеть. Технологий реализации этого достаточно много, поэтому разделим применяемые возможности на логические уровни и представим предметные рекомендации по администрированию сетей на базе оборудования MikroTik.

Для того, чтобы статья не была слишком громоздкой, разделим её на четыре части. В первой части рассмотрим общие рекомендации по настройке безопасности оборудования MikroTik, организацию безопасности L1 и L2. Во второй части продолжим говорить про L2, а именно про работу протокола Dot1X , рассмотрим безопасность L3. В третьей части покажем реализацию централизованного логирования. В четвёртой части (завершающей) расскажем про вариант настройки полноценной IDS , что в комплексе позволит достаточно широко осветить способы защиты оборудования MikroTik. Приступим к технической части.

2. Общие рекомендации

Первое, что мы всегда делаем с железкой — это обновляем прошивку:

Всегда интересно посмотреть, что же производитель там пофиксил. А если дело касается CVE , тогда вдвойне интереснее. Конечно, эксплойтов для каждой решённой проблемы в свободном доступе не найти, а может, их вообще не существует за пределами компании MikroTik. Кроме этого, можно встретить анонс долгожданных настроек, таких как UDP для OpenVPN, который уже есть в 7 ~~(not stable)~~ версии операционной системы.

Далее смотрим, сколько создано пользователей, лишних удаляем. Ставим пароли, соответствующие политике информационной безопасности компании, если такая есть, если нет, тогда просто посильнее:

Если паранойя зашкаливает, тогда используем SSH вход без ввода пароля (и пользователя admin можно заменить на другого). Сгенерим пару RSA ключей, размер укажем 4096 бит, что уж мелочиться:

На выходе будет закрытый ключ test_user:

И открытый ключ test_user.pub:

Привяжем открытый ключ к пользователю RouterOS:

Добавляем хардкор, запретив логиниться по паролю:

Важно отметить, что если есть пользователь, для которого не импортирован публичный ключ, то, несмотря на вышепоказанную настройку, RouterOS сохраняет возможность логиниться под ним с помощью пароля. С учётными записями разобрались, далее выключаем серверы различных протоколов управления, в том числе небезопасные, разумеется, есть ли они вам не нужны:

Можно поменять прослушиваемый порт для SSH сервера. Особенно на значение, не входящее в сканируемые по умолчанию nmap-ом, но мы в этом защиты не видим, скорее маскировка:

Поясним. Nmap, на наш взгляд, самый распространённый сетевой сканер. Если ваше устройство кто-то будет сканировать, то велика вероятность, что именно им. Nmap с параметрами по умолчанию сканирует не все 65535 портов, поэтому, указав серверу ssh прослушивать «редкий порт», вы отсеете большое число «любителей» пофлудить сеть. Дополнительно сюда можно прикрутить технологию port knocking :

Сканируем роутер и видим, что всё работает корректно. Сервер SSH будет недоступен, пока на роутер не пройдут попытки установления соединения на 28 порт, затем в течение 30 секунд на 29 порт, затем в течение 30 секунд на 30 порт. Если последовательность обращений верна и временные лимиты соблюдены, то IP адрес источника сможет в течение 30 секунд установить SSH сессию, а иначе drop:

Необходимо отметить, что если вы укажете порты стука примерно в таком порядке: 21, 80, 443, а прослушиваемый SSH порт перенесете на значение 8080 (все четыре входят в список по умолчанию для сканирования nmap), то ваш секретный порт 8080 определится при первом же сканировании. Если вы действительно хотите использовать технологию port knocking, то выбирайте порты в порядке уменьшения, а сами значения портов на «не сканируемые» nmap-ом: ни в режиме top 100, ни в режиме top 1000. Кроме этого, можно ограничить IP адреса, с которых доступны протоколы управления, на диапазон доверенных:

Таким образом, несмотря на то, что 22 порт готов принимать TCP соединение, однако с не доверенных IP адресов оно будет сброшено SSH сервером:

Делайте регулярные резервные копии конфигураций ваших устройств. В RouterOS есть два типа backup: бинарный *.backup

и текстовый конфигурационный файл *.rsc

Первый рекомендуется откатывать только на полностью идентичных устройствах, и не подлежит редактированию (при откате восстанавливается точный образ операционной системы). Второй же, наоборот, можно ~~вручную контролируемо построчно~~ обрабатывать (до получения необходимо результата), однако он может содержать чувствительную информацию (если не делать /export hide-sensitive), поэтому рекомендуем обезопасить хранение такого рода backup файлов. Ставить ли регулярный backup в планировщик заданий, или нет, тут уже каждый решает сам. Главное — не запутаться во всех резервных копиях и не передавать их на удалённый сервер по открытому интернет каналу посредством ftp.

3. Защита L1

Писать правила про установку сетевого оборудования в серверных помещениях, в защищённых телекоммуникационных ящиках, сейфах и т.д. мы не будем, это не тема статьи. Для защиты L1 на оборудовании MikroTik будет достаточно программно отключить не используемые сетевые интерфейсы:

Сюда же пойдёт организация безопасности беспроводных соединений. В идеале, конечно, следует настроить WPA2-Enterprise (подробно о настройке RADIUS сервера мы напишем во второй части статьи), так как реальных угроз безопасности таких сетей пока не известно:

Если такой вариант вам не подходит, тогда используйте WPA2-PSK со словарно неподбираемым паролем, который держите в тайне от третьих лиц, и отключённый PMKID:

Ещё можно запретить подключаться к точке доступа с низким уровнем сигнала, т.е. физически удалённым пользователям, которые, можно предположить, находятся за контролируемым периметром и не легитимны:

На этом свои рекомендации по поводу L1 безопасности остановим и перейдём к более интересным вещам.

4. Защита L2

Для начала ограничим работающие сервисы уровня L2:

Первый скрипт позволяет осуществлять mac-ping только для внутренней сети. Второй ограничивает L2 подключение посредством службы Winbox:

RouterOS поддерживает работу таких протоколов, как CDP, LLDP и MNDP. Чтобы не осуществлять широковещательную рассылку пакетов указанных протоколов во все стороны, ограничиваем их работу:

Чтобы со стороны провайдера не догадывались, что у вас стоит роутер MikroTik, можно сменить MAC адрес WAN интерфейса, но это скорее баловство:

Если в вашем L2 сегменте появится второй или более незаконный DHCP сервер, то это может здорово навредить работе всей сети. Так в примере видно, что работают две указанные службы (192.168.1.1 и 192.168.3.1), раздавая по факту разные сетевые настройки:

Для защиты от такого рода атак (ведь хакер может назначить и своё устройство в качестве шлюза) существует технология «DHCP snooping». После её активации бридж пропускает DHCP пакеты только в доверенную сторону:

Теперь поговорим о безопасности ARP протокола. Вмешаться в его работу можно, как в сторону роутера, так и в сторону оконечного устройства. Отправляя в сеть специально сгенерированные пакеты, можно отравлять ARP кэш. В результате шлюз может закипеть, от того, что его ARP таблица будет переполнена, а клиент может начать передавать свой трафик не туда, что для первого и второго случая делает хорошую почву для MITM . Попробуем реализовать описанные действия на практике:

В следующем примере показаны ложные записи ARP таблицы маршрутизатора, а ведь так намеренно можно заполнить весь имеющейся пул и втупить работу легитимного DHCP сервера:

Для защиты от таких действий в RouterOS необходимо, первым делом, настроить DHCP сервер, что позволит активировать функцию заполнения ARP таблицы, либо в результате его работы, либо в ручном режиме:

После этого настраиваем бридж, переводя маршрутизатор в режим только ответа на ARP запросы (если у вас работает hotspot, то от этой идеи придётся отказаться, так как он перестанет нормально функционировать), таким образом, сторонние манипуляции будут бессильны:

Теперь поговорим про настройку технологии port security , VLAN и VLAN security в контексте информационной безопасности. Когда сеть введена в эксплуатацию и известно, кто, где, за что отвечает, тогда можно смело ограничивать соединения по MAC адресам соседних свичей, жёстко закрепив их значения за конкретными портами (подходит для коммутаторов CRS1xx/2xx):

Дополнительно следует выключить режим обучения портов MAC адресам:

Если ваш маршрутизатор гоняет пакеты для логически разделённых сетей, в том числе с точки зрения безопасности, то их следует разнести по различным VLAN. Важно понимать, что если через ваше устройство проходят несколько VLAN, то в случае несанкционированного доступа к роутеру или коммутатору, могут быть скомпрометированы устройства во всех этих подсетях. Здесь всё понятно. Дополнительно можно указать устройству проверять tag трафика и дропать пакеты, у которых VLAN ID не найден в его таблице VLAN:

5. Заключение

На этой ~~админской~~ ноте прервём наши рассуждения, которые отображают подходы, применяемые нами в построении реальных сетей и обеспечении их информационной безопасности. Никакие ноухау статья не раскрывает, но в определённой мере систематизирует имеющиеся возможности и показывает их практическое применение. Дальше будет интереснее…

Класс изделий условно называемых «Байпас» разработан для обеспечения непрерывности информационных потоков между устройствами, использующими сеть « Ethernet ». Устройства («Байпас»), в зависимости от исполнения, могут включаться как в оптические, так и в электрические (витая пара) каналы связи.

Если в канал связи, последовательно, включено устройство, каким-либо образом обрабатывающее или ответвляющее сигнал сети « Ethernet », то при аварии такого устройства (например отключение питания, сбой, и т.д.) , если не приняты необходимые меры, информационный поток может быть потерян для пользователей сети, находящимися за этим устройством. «Байпас» позволяет избежать подобной ситуации, пуская информационный поток в обход аварийных устройств с минимальной задержкой по времени.

Линейка устройств «Байпас» содержит разные модификации для подключения оптических линий выполненных по разным стандартам, а так же несколько исполнений корпусов для различных применений, от полностью автономных, до включаемых в состав других изделий.

Например, «Байпас 3,5”» полностью соответствует габаритам стандартного, трехдюймового винчестера (включая разъем питания) и может быть помещен в ячейку винчестера без каких-либо переделок.

«Байпас» является активным устройством, не только анализирующим входные управляющие сигналы, но и ведущий журнал событий, записывающий в энергонезависимую память время, дату и событие, вызвавшее изменение состояния устройства.

Для управлением устройством используются 6 гальванически развязанных входов, включенных по правилу логического «И». Неиспользуемые входы можно отключить встроенным переключателем. Управляются выводы подачей на них напряжения в интервале от 3,3в до 24в., что удобно, для отслеживания работоспособности цепей питания обслуживаемого устройства.

Есть так же два гальванически связанных входа позволяющие директивно переключать режим работы устройства и вход « RST », позволяющий осуществлять сброс «байпаса» внешним сигналом.

Устройство («Байпас») может управляться по интерфейсам COM и USB , причем независимо от состояния других входов.

Есть возможность отслеживать работоспособность обслуживаемого устройства по пингам, которые это устройство может генерировать или транслировать ( интерфейсы COM и USB ) , и в случае их отсутствия, по истечению установленного интервала времени, «байпас» способен выдавать сигнал « RESET » на внешнее устройство, с целью его перезапуска. Возможен и обратный вариант, внешний компьютер может перезапустить «байпас», подав на вывод RST «байпаса» логический «0». (Случай обоюдного контроля: байпас передает пинги на обслуживаемое устройство, устройство их транслирует, при отсутствие пингов, рабочее устройство перезапускает нерабочее.)

Для использования в автономном режиме на лицевую панель, во всех модификациях, выведены две кнопки и два светодиода, служащие для управления и индикации режимов «байпаса».

Особенности работы конкретного изделия, описаны в техническом задании на данную модификацию устройства. Необходимо заметить, что основные функции устройства «Байпас», неизменны, но количество входов и выходов могут разниться, может отсутствовать (не выведен на внешний разъем) один из интерфейсов COM или USB , так же могут быть добавлены дополнительные интерфейсы, например, для объединения группы «байпасов» в сеть.

Устройство («Байпас») может управляться по интерфейсам COM и USB , причем независимо от состояния других входов.

Читайте также: