¿Qué es el Bypass?
El equipo de seguridad de red se utiliza comúnmente entre dos o más redes, como entre una red interna y una externa. Mediante el análisis de paquetes de red, el equipo determina si existe una amenaza y, tras procesarlos según ciertas reglas de enrutamiento, los reenvía. En caso de mal funcionamiento, por ejemplo, tras un corte de energía o una caída, los segmentos de red conectados al dispositivo se desconectan. En este caso, si es necesario conectar ambas redes, se requiere la función de bypass.
La función Bypass, como su nombre indica, permite que dos redes se conecten físicamente sin pasar por el sistema del dispositivo de seguridad de red durante un estado de activación específico (fallo de alimentación o caída). Por lo tanto, cuando el dispositivo de seguridad de red falla, las redes conectadas al Bypass pueden comunicarse entre sí. Por supuesto, el dispositivo de red no procesa paquetes en la red.
¿Cómo clasificar el modo de aplicación Bypass?
El bypass se divide en modos de control o disparo, que son los siguientes
1. Activado por la alimentación. En este modo, la función de derivación se activa al apagar el dispositivo. Si el dispositivo se enciende, la función de derivación se desactiva inmediatamente.
2. Controlado por GPIO. Tras iniciar sesión en el sistema operativo, puede usar GPIO para operar puertos específicos y controlar el interruptor de bypass.
3. Control mediante Watchdog. Esta es una extensión del modo 2. Puede usar Watchdog para controlar la activación y desactivación del programa GPIO Bypass y así controlar el estado del bypass. De esta forma, si la plataforma falla, Watchdog puede activar el bypass.
En aplicaciones prácticas, estos tres estados suelen coexistir, especialmente los modos 1 y 2. El método general de aplicación es el siguiente: al apagar el dispositivo, se activa la derivación. Tras encenderlo, la BIOS activa la derivación. Una vez que la BIOS toma el control del dispositivo, la derivación permanece activada. Desactive la derivación para que la aplicación pueda funcionar. Durante todo el proceso de arranque, prácticamente no se produce desconexión de la red.
¿Qué es la implementación del Principio de Bypass?
1. Nivel de hardware
A nivel de hardware, los relés se utilizan principalmente para lograr la derivación. Estos relés se conectan a los cables de señal de los dos puertos de red de derivación. La siguiente figura muestra el funcionamiento del relé con un solo cable de señal.
Tomemos como ejemplo el disparador de alimentación. En caso de un fallo de alimentación, el interruptor del relé pasará al estado 1, es decir, el receptor de la interfaz RJ45 de LAN1 se conectará directamente al transmisor RJ45 de LAN2. Al encender el dispositivo, el interruptor se conectará al estado 2. De esta forma, si se requiere la comunicación de red entre LAN1 y LAN2, se debe realizar mediante una aplicación en el dispositivo.
2. Nivel de software
En la clasificación de bypass, se mencionan GPIO y Watchdog para controlar y activar el bypass. De hecho, ambos métodos operan el GPIO, y este controla el relé en el hardware para realizar el salto correspondiente. Específicamente, si el GPIO correspondiente está configurado en nivel alto, el relé saltará a la posición 1, mientras que si el GPIO está configurado en nivel bajo, el relé saltará a la posición 2.
Para la omisión del watchdog, se añade la omisión del control del watchdog basándose en el control GPIO mencionado anteriormente. Una vez que el watchdog entra en vigor, configure la acción en omisión en la BIOS. El sistema activa la función watchdog. Una vez que el watchdog entra en vigor, se habilita la omisión del puerto de red correspondiente y el dispositivo entra en estado de omisión. De hecho, la omisión también está controlada por GPIO, pero en este caso, la escritura de niveles bajos en GPIO la realiza el watchdog, sin necesidad de programación adicional.
La función de bypass de hardware es obligatoria en los productos de seguridad de red. Cuando el dispositivo se apaga o falla, los puertos internos y externos se conectan físicamente para formar un cable de red. De esta forma, el tráfico de datos puede pasar directamente a través del dispositivo sin verse afectado por su estado actual.
Aplicación de alta disponibilidad (HA):
Mylinking™ ofrece dos soluciones de alta disponibilidad (HA): Activa/En espera y Activa/Activa. La solución Activa/En espera (o activa/pasiva) se implementa en herramientas auxiliares para proporcionar conmutación por error desde los dispositivos principales a los de respaldo. La solución Activa/Activa se implementa en enlaces redundantes para proporcionar conmutación por error cuando falla un dispositivo activo.
Mylinking™ Bypass TAP admite dos herramientas en línea redundantes que pueden implementarse en la solución Activa/En Espera. Una funciona como dispositivo principal o "Activo". El dispositivo en Espera o "Pasivo" sigue recibiendo tráfico en tiempo real a través de la serie Bypass, pero no se considera un dispositivo en línea. Esto proporciona redundancia de "En Espera Activa". Si el dispositivo activo falla y el Bypass TAP deja de recibir latidos, el dispositivo en espera asume automáticamente el control como dispositivo principal y se conecta inmediatamente.
¿Cuales son las ventajas que puedes obtener con nuestro Bypass?
1-Asignar tráfico antes y después de la herramienta en línea (como WAF, NGFW o IPS) a la herramienta fuera de banda
2-Administrar múltiples herramientas en línea simultáneamente simplifica la pila de seguridad y reduce la complejidad de la red
3-Proporciona filtrado, agregación y equilibrio de carga para enlaces en línea
4-Reducir el riesgo de tiempos de inactividad no planificados
5- Conmutación por error, alta disponibilidad [HA]
Hora de publicación: 23 de diciembre de 2021
