Sie sind auf Seite 1von 6

®

Externer Bypass Switch erweitert IPS Lösung

Kurzzusammenfassung
Bypass-Funktionalitäten sichern die Netzwerkverfügbarkeit durch die Umgehung von
Inline-Geräten wie einem IPS, wenn diese aus den unterschiedlichsten Gründen gerade
nicht zur Verfügung stehen. Ein unabhängiger, zusammen mit einem IPS eingesetzter
externer Bypass Switch verbessert die allgemeine Zuverlässigkeit des Netzes und steigert
die Anwendungsverfügbarkeit. Zudem kann er Funktionalitäten zur Traffic-Messung und
die Bequemlichkeit und Kostenvorteile von Remote-Monitoring und -Kontrolle bieten. Diese
Vorteile rechtfertigen die Kosten eines externen Bypass Switches, selbst wenn die
Bypass-Funktionalität im IPS integriert ist.

White Paper
®

White Paper - Externer Bypass Switch erweitert IPS Lösung

Einführung
Dieses White Paper zeigt, welchen Nutzen ein externer Bypass Switch für eine IPS-Lösung hat, selbst wenn das IPS mit
einer internen Bypass-Schaltung erhältlich ist. Ein externer Bypass Switch erhöht die Zuverlässigkeit der Gesamtlösung
und verbessert die Betriebszeit kritischer Geschäftsanwendungen. Außerdem kann er die Geräteausstattung des
Systems verbessern und bietet die Bequemlichkeit und Kostenvorteile des Remote-Managements.

Doch betrachten wir zunächst, wozu Bypass Switches überhaupt benötigt werden.

Erforderlichkeit von Bypass-Funktionalitäten


Wird ein Netzwerk-Monitoring-Gerät wie ein Intrusion Prevention System (IPS) inline in einer Netzwerkverbindung
eingesetzt, muss sichergestellt werden, dass der Traffic in der Verbindung unter allen Umständen – selbst wenn
beispielsweise dem LSP kein Strom mehr zur Verfügung steht – weiterfließt, damit geschäftskritische Anwendungen
erreichbar bleiben. Ist die IPS-Funktionalität für die Anwendungssicherheit unerlässlich, muss der Traffic über ein
Backup-IPS-Gerät umgeleitet werden. In bestimmten Fällen kann es aber auch akzeptabel sein, die Verbindung über
einen bestimmten Zeitraum hinweg ohne das IPS zu betreiben. Dies ist beispielsweise immer dann der Fall, wenn das
IPS als zweitrangige Sicherheitsvorkehrung fungiert und eine Firewall an derselben Verbindung als primäres Sicherheits-
system dient. In diesem Falle kann die Anwendungsverfügbarkeit durch Bypass-Switch-Schaltungen gesichert werden.

Ein Bypass Switch ist eine passive Schaltung, die die Verbindung immer dann für den Datenverkehr öffnet, wenn das IPS
nicht verfügbar ist. Im einfachsten Falle ist dies bei Kupferverbindungen ein Relais, bei Glasfaserverbindungen ein
optischer Switch, die jeweils so konfiguriert sein müssen, dass bei einer Unterbrechung der Stromversorgung der
Datenverkehr durchgeleitet wird. Der Bypass Switch muss außerdem sicherstellen, dass die Signalintegrität der Verbind-
ung erhalten bleibt. Dies geschieht entweder durch die physische Abkoppelung des IPS oder andere Techniken.

Bypass Switch im “Bypass Off Mode”
Befindet sich der Bypass Switch im “Bypass Off Mode”
wird der gesamte Netzwerkverkehr durch die IPS
Appliance geleitet - als wenn diese selbst In-line wäre.

ON
OFF

Bypass Switch

IPS

Bypass Switch im “Bypass On Mode”
When the Bypass Switch is in Bypass On mode,
Befindet sich der Bypass Switch im “Bypass On Mode”
all in-line traffic continues to flow on the network
wird der gesamte In-line Netzwerkverkehr weitergeleitet
ohne direkt über die IPS Appliance zu fliessen

ON
OFF

Bypass Switch

Da der Verkehr nicht mehr durch das IPS fliesst,


nger flowing through
kann es entfernt oder ersetzt werden ohne
einen Netzausfall zu verursachen IPS

Bsp 1: Bypass Switch sorgt für unterbrechungsfreien Netzwerkverkehr


®

White Paper - Externer Bypass Switch erweitert IPS Lösung

Bypass-Schaltungen werden heutzutage in den IPS-Modellen vieler Hersteller verbaut. Weitere Bezeich-
nungen dafür sind Bypass-Switch, Bypass, Zero Power High Availability Feature, Fail-Open Device oder
Mechanismus, und noch einige mehr. Letztendlich bedeutet es nur, daß der Netzwerkverkehr ungestört
weiter fliesst, auch wenn das IPS ausfallen sollte. Diese werden wir nachfolgend als internen Bypass Switch
bezeichnen, da die Schaltung in das IPS integriert ist.

Die Bypass-Funktionalität kann aber auch ausserhalb der IPS durchgeführt werden - durch die Bereitstel-
lung eines externen Bypass Switches. Net Optics beispielsweise bietet eine ganze Produktfamilie von
Bypass Switchen für fast alle Medientypen an. Die sich dadurch ergebenden Vorteile werden nachfolgend
näher erörtert. Dieses White Paper begutachtet die Vorteile die sich durch den Einsatz eines externen BS
gegenüber einem internen ergeben. Wir zeigen auf wie mit Hilfe eines externen Bypass Switches die
Gesamtausfallsicherheit des Systems verbessert, die Anwendungsverfügbarkeit erhöht und die Analyse-
möglichkeiten erweitert werden können - und welche zusätzlichen Vorteile und Kostenersparnisse sich für
Remote Monitoring und Kontrolle ergeben.

Interner Bypass Switch

IPS

Externer Bypass Switch

ON
OFF

Bypass Switch

IPS

Bsp. 2: Mögliche Szenarien mit internen und externen Bypass-Geräten

Insgesamt höhere Zuverlässigkeit


Alles kann ausfallen. Die Frage ist nicht „Wird es ausfallen?“ sondern vielmehr „Wann wird es ausfallen?“
Ein externer Bypass Switch erhöht die Zuverlässigkeit von IPS-Lösungen, weil der Datenfluss aufrechter-
halten wird, wenn das IPS – weshalb auch immer – ausfällt. Das soll nicht implizieren, dass IPS-Module
häufig ausfallen. Ganz im Gegenteil: Die IPS-Lösungen führender Anbieter sind so konzipiert und gefertigt,
dass sie den höchsten Anforderungen an Zuverlässigkeit und Qualität entsprechen, und können durchaus
so zuverlässig sein, dass Sie die zusätzliche Sicherheit eines externen Bypass Switch gar nicht benötigen.
Doch sollten Sie Ihre Überlegungen nicht auf die MTBF der Hardware-Komponenten beschränken. Ausfälle
des IPS in einem Netzwerk können auch andere Ursachen haben. Zum Beispiel:

• Ein gelockertes Kabel am IPS


• Jemand nimmt am IPS falsche Einstellungen vor
• Ein Software-Fehler bremst das IPS oder führt zum Absturz
• Zu viel Traffic überlastet das IPS
®

White Paper - Externer Bypass Switch erweitert IPS Lösung

In einigen dieser Fälle – beispielsweise bei einem lockeren Kabel – bietet ein interner Bypass Switch keinen
Schutz. In anderen Fällen kann der interne Bypass Switch gegebenenfalls Schutz bieten. Doch IPS-
Designer sind nicht unbedingt Experten im Bypass-Design – ganz im Gegensatz zu den Konstrukteuren von
Bypass Switches. So bieten interne Bypass Switches unter Umständen nicht alle technologischen Vorteile
einer externen Lösung und können Ihr Netzwerk einfach nicht genau so gut schützen.

Eine der wichtigsten Technologien, mit der viele Bypass Switches von Net Optics ausgerüstet sind, ist das
HeartbeatTM-Paket. Dabei handelt es sich um ein kleines Datenpaket, das der Bypass Switch in regelmäßi-
gen Abständen durch das IPS schickt. Kommt das Heartbeat-Paket nicht innerhalb einer programmierten
Timeout-Periode (und einer Reihe wiederholter Versuche) zum Bypass Switch zurück, weiß der Switch,
dass das IPS – weshalb auch immer – nicht reagiert und öffnet umgehend die Verbindung, über die der
Netzwerk-Traffic direkt und am IPS vorbei weiterfließen kann. Das Heartbeat-Paket ist eine betriebssichere
Methode zum Bestimmen des Zustands des angeschlossenen IPS. Die Zuverlässigkeit der IPS-Lösung wird
durch die ständige unabhängige Prüfung des IPS-Status verbessert.

ON
OFF

Heartbeat Paket

IPS

Bsp 3: Ein externer Bypass Switch überwacht fortlaufend


das IPS durch das Senden eines Heartbeat-Pakets

Höhere Anwendungsverfügbarkeit
Neben der Verbesserung der Systemzuverlässigkeit durch die zusätzliche Überprüfung des IPS trägt der
externe Bypass Switch aber auch noch auf eine andere Weise zur Anwendungsverfügbarkeit bei. Wird ein
IPS mit einem externen Bypass Switch betrieben, so kann das IPS jederzeit offline gesetzt oder aus der
Verbindung genommen werden, ohne den Datenverkehr in dieser Verbindung zu beeinträchtigen.

Wird also beispielsweise eine neue Serie von Signaturen aktiviert und die Auswirkungen auf das Netzwerk
entsprechen nicht den Erwartungen – z. B. werden zu viele falsche Treffer erzeugt, die kritischen Traffic
blockieren – kann das IPS einfach gestoppt oder der Bypass Switch in den Bypass On-Modus geschaltet
werden. In jedem Falle sorgt der externe Bypass Switch dafür, dass der Datenverkehr weiterfließt. Diese
Möglichkeit bieten interne Bypass Switches unter Umständen auch.

In einem anderen Beispiel kann eine interne Bypass-Schaltung den Traffic aber in keinem Falle über-
nehmen. Gelegentlich ist es nötig, das IPS physisch von der Verbindung zu trennen – zur Wartung, für
Upgrades oder bei der Neukonfiguration des Netzwerks. Wurde das IPS mit einem externen Bypass Switch
genutzt, kann es physisch aus der Verbindung entfernt werden, ohne den Datenverkehr oder die Verfüg-
barkeit von Anwendungen zu beeinflussen. Mit einem internen Bypass Switch oder bei Systemen, die völlig
ohne Bypass Switch auskommen, müsste man stattdessen bis zu einem vorgesehenen Wartungsfenster
abwarten, unter Umständen eine Erlaubnis zu Änderungen am Netzwerk abzeichnen lassen und den
Nutzern aller von der Verbindung abhängigen Anwendungen mitteilen, dass der Dienst für einen bestimmten
Zeitraum nicht verfügbar sein wird. In solchen Fällen kann ein externer Bypass Switch also viel Zeit und
Aufwand sparen.
®

White Paper - Externer Bypass Switch erweitert IPS Lösung

Doch es geht noch schlimmer. Bisher gingen alle Beispiele von geplanten Ereignissen aus. Es kann aber
auch vorkommen, dass das IPS aufgrund einer ungeplanten Situation vom Netzwerk entfernt wird oder
entfernt werden muss.
So könnte beispielsweise bei Wartungsarbeiten versehentlich ein Kabel am IPS gelockert werden und der
Techniker diesen Umstand noch nicht einmal bemerken. Oder das IPS unterliegt einer physischen Störung –
zum Beispiel dem Ausfall einer elektrischen Komponente (etwas, das im IPS mit weit größerer Wahrschein-
lichkeit geschehen wird als im externen Bypass Switch, weil es ein weit komplexeres Gerät ist). Der externe
Bypass Switch stellt sicher, dass die Anwendung durch solche ungeplanten Ereignisse nicht ausfällt.

Erweiterte Funktionalität
Wie vorstehend gezeigt, ist der Einfluss eines mit grundlegenden Funktionalitäten ausgestatteten externen
Bypass Switches auf die Zuverlässigkeit der Gesamtlösung und die Anwendungsverfügbarkeit größer als
der eines IPS-internen Bypass Switches. Net Optics bietet Bypass Switches an, die die Lösung durch
Zusatzfunktionalitäten sogar noch weiter verbessern. Insbesondere die Bypass Switches der iBypass-
Familie integrieren zusätzliche Intelligenz in die Bypass-Lösung. Die Produkte beinhalten eine Schnittstelle
für das Remote-Management, über die Netzwerktechniker den Status des iBypass Switches selbst, der
damit verbundenen IPS-Lösung sowie die in den iBypass Switch hinein und wieder hinaus führenden
Verbindungen überwachen können.
Insbesondere die Möglichkeit, Traffic-Statistiken aus dem iBypass Switch zu erhalten, erweist sich als
besonders nützlich. Informationen zu Bandbreitennutzung, Spitzenlasten, Paket- und Byte-Aufkommen
sowie Fehlerprotokolle ermöglichen es Sicherheitsexperten, die Auswirkungen neuer Signaturen und
Konfigurationen auf das IPS zu messen, ohne dazu weitere Monitoring-Werkzeuge und Netzwerk-Taps
einzusetzen oder Span-Ports und Switches neu konfigurieren zu müssen.
Außerdem kann der iBypass Switch Warnungen generieren (SNMP Traps), wenn der Traffic an einem
bestimmten Port das vorgesehene Nutzungsniveau übersteigt. Diese Traps können von einem Netzwerk-
Management-System wie IBM Tivoli oder HP OpenView eingesetzt werden, um Betreiber auf ungewöhnliche
Vorkommnisse aufmerksam zu machen – z. B. wenn das Datenvolumen des Traffic die Kapazitäten des IPS
übersteigen könnte. Bei Umgebungen ohne umfassende SNMP-Management-Systeme werden die Warnun-
gen auch im System Manager (Plattform-basiert) und Web Manager (Webbrowser-basiert) angezeigt – zwei
Werkzeugen aus der Management-Software-Suite Net Optics IndigoTM, die im Lieferumfang aller iBypass
Switches enthalten ist. Zusätzlich machen LCDs am Frontpaneel des iBypass Switches auf Warnungen
aufmerksam, die Anzeige von Traffic-Statistiken im alphanumerischen LCD-Display bietet die Möglichkeit,
den Systemstatus auf einen Blick zu prüfen.

Bsp. 4: iBypass Frontanzeige mit Überwachungsinformationen - LEDs signalisieren


Alarm (erste Spalte), Link-Status (zweite Spalte), Bypass-Status (oberer Bereich,
dritte Spalte), und den Stromversorgungsstatus (dritte Spalte, unten),
mittels RESET können die Alarmkonditionen zurückgesetzt werden.
®

White Paper - Externer Bypass Switch erweitert IPS Lösung

Remote-Monitoring und -Kontrolle


Die Management-Schnittstellen der Produkte aus der Familie der iBypass Switches bieten zudem die
Bequemlichkeit und Kostenvorteile des Remote-Betriebs. Jeder Webbrowser oder Computer kann mit der in
das Gerät integrierten iBypass Switch-Web Manager-Software verbunden werden. Alternativ bildet System
Manager einen zentralen Server für das Management einer beliebigen Anzahl von iBypass Switches und
anderen Geräten mit der Net Optics iTap-Technologie. Für eine sichere Monitoring-Umgebung sind Web
Manager und System Manager passwortgeschützt und nur über den ausgewiesenen Management-Port des
Geräts zugänglich, der auf Wunsch in einem VLAN für sicheres Management isoliert werden kann.

Anlagenbetreiber können sich von jedem beliebigen Ort im Netzwerk aus beim Gerät anmelden, Traffic und
Gerätestatus überwachen sowie das Gerät konfigurieren und kontrollieren. Ein weiterer Aspekt der
Gerätekontrolle ist die Möglichkeit, den iBypass Switch in den Bypass On-Modus zu versetzen und das IPS
damit offline zu schalten. Diese Option kann sich als besonders praktisch erweisen, wenn das IPS deaktiviert
werden soll, ohne dass ein Techniker vor Ort ist. Das spart Zeit und Reisekosten.

Eine weitere wertvolle Funktionalität des iBypass Switches: Bei Betrieb im Bypass On-Modus, wenn also das
IPS offline ist, übernimmt der iBypass Switch die Funktion eines Vollduplex-Netzwerk-Taps. Der gesamte in
Netzwerk-Port A empfangene Traffic wird in Monitor-Port 1 abgebildet, der vollständige Datenverkehr aus
Netzwerk-Port B in Monitor-Port 2. So kann das IPS den Traffic weiter überwachen und als Out-of-Band-
Intrusion-Detection-System (IDS) dienen – eine praktische Möglichkeit zum Testen von Signaturen vor deren
Anwendung auf den Netzwerk-Traffic. Bei Betrieb im Bypass On-Modus kann das Gerät außerdem als
konventioneller Netzwerk-Tap eingesetzt werden. Dies macht es überflüssig, die Verbindung zum Installieren
eines Taps zu unterbrechen, wenn andere Monitoring-Werkzeuge benötigt werden, um ein Netzwerkproblem
zu untersuchen.

Schlussfolgerung
Es wurde gezeigt, dass ein externer Bypass Switch eine IPS-Lösung zuverlässiger und flexibler macht als
die im IPS integrierte Bypass-Schaltung. Die Kosten für einen externen Bypass Switch werden durch den
Mehrwert der verbesserten Geräteausstattung sowie Kosteneinsparungen durch die Möglichkeiten des
Remote-Managements gerechtfertigt. Außerdem können die Kosten unter Umständen zum Teil durch die
Anschaffung eines kostengünstigeren IPS-Modells ohne internen Bypass aufgewogen werden, sofern ein
solches vom Hersteller angeboten wird. Selbst wenn ein interner Bypass Switch Ihnen also die Zuverlässig-
keit und Flexibilität bietet, die Sie für Ihre Umgebung benötigen, macht es Sinn, darüber nachzudenken, ob
die zusätzlichen Vorteile eines externen Bypass Switches diesen nicht zur besseren Lösung machen.

Über Net Optics


Net Optics, ein weltweit führendes Unternehmen auf dem Gebiet der passiven Netzwerküberwachung, ist anerkannter Pionier in den
Bereichen Netzwerkmanagement und Netzwerksicherheit. Unsere innovativen Hardware-Lösungen versetzen Unternehmen in die Lage
sowohl auf sämtliche Netzwerkdaten zuzugreifen, als auch diese zu überwachen - sei es für ein IPS, ein IDS , via Protokollanalysatoren
oder mittels Network Probes. Net Optics Produkte ermöglichen unseren Kunden einen passiven Netzwerk-Zugriff bei 100% Sichtbarkeit
ohne eine potentielle Fehlerquelle zu generieren - und dies rund um die Uhr - 24 Stunden, 7 Tage die Woche.

Weiterführende Informationen über Bypass Switch Technologie: Distributor:

http://www.netoptics.com/support/whitepapers

Net Optics, Inc. BRAIN FORCE Software GmbH


5303 Betsy Ross Drive Ohmstraße 12
Santa Clara, CA 95054 D - 63225 Langen (bei Frankfurt/M.)

(408) 737-7777 Tel: +49 (0)6103 906-767


ts-support@netoptics.com Email: netoptics@brainforce.com
www.netoptics.com Web: www.network-taps.eu