Использование разветвителя (сплиттера)

Разветвитель (tap или splitter) — это устройство, которое дублирует трафик, передаваемый между двумя и более узлами сети (рис. 9,11).

Оборудование, подключенное на порт разветвителя, не может через него передавать данные, но и не может быть через этот порт атаковано и выведёно из строя (рис. 9.12), т.к. сплиттер не разрешает прямое обращение к сетевому сенсору или другому устройству, к нему подключенному.

Необходимо сразу отметить, что в России последние два варианта применяются очень редко. Широкое распространение разветвителей сдерживается тем фактом, что эти устройства не поставляются в Россию. Однако для целей обнаружения атак они идеальны и именно они в первую очередь рекомендуются различными производителями средств обнаружения атак. Разветвители:

q функционируют в коммутируемых сетях;

q позволяют обрабатывать трафик из разных VLAN;

q эффективны в полнодуплексных сетях.

Наиболее известным решением в этой области является семейство устройств Century компании Shomiti (http://www.shomiti.com),которые функционируют в полнодуплексных и полудуплексных сетях Ethernet и Fast Ethernet и сопровождаются следующими продуктами:

q Century Тар — обеспечивает дублирование трафика только с одного соединения Ethernet или Fast Ethernet на один сетевой сенсор (рис. 9.12);

q Century Fiber Tap — аналог Century Тар, но с поддержкой оптоволоконного кабеля;

q Century 12-Тар — дублирует трафик с двенадцати соединений Ethernet или Fast Ethernet на один сетевой сенсор (рис. 9.13).

Варианты применения Century Тар и Century 12-Тар показаны на рисунках ниже (рис. 9.14 и рис. 9.15).

Однако и у данного решения есть свои недостатки. Во-первых, система обнаружения атак не может реализовывать некоторые варианты реагирования (например, завершение соединения с атакующим узлом), — для этого необ­ходимо задействовать stealth-конфигурацию. И, во-вторых, сплиттер позво­ляет контролировать трафик, передаваемый только в одном направлении.

Интеграция в коммутатор

Еще одним очень интересным случаем использования сетевых сенсоров системы обнаружения атак в коммутируемых сетях является их непосредст­венная интеграция в коммутатор. По такому пути пошла компания Cisco Systems, - которая в конце 2000 года выпустила новый продукт своего семейства Cisco Secure IDS — модуль Catalyst 6000 IDS Module (ранее известный как Cisco Secure IDS blade), предназначенный для совместной работы с коммутатором Catalyst 6000 (рис. 9.16) компании Cisco (модели 6006, 6009, 6506 и 6509).

Рис. 9.16.Catalyst 6000 IDS Module

Помимо характеристик, свойственных другим сетевым системам обнаружения атак, Catalyst 600 IDS Module обладает двумя присущими только ему достоинствами:

q высокая производительность и отсутствие снижения пропускной способности коммутатора. Согласно информации компании Cisco System данный модуль может обрабатывать трафик со скоростью 47 000 пакетов в секунду. Проведенные в Network World Global Test Alliance испытания [Yocoml-00] показали, что Catalyst 600 IDS Module способен работать со скоростью 200 Мбит/с (в полнодуплексном режиме), что вдвое превышает оценку компании Cisco Systems.

q возможность анализа трафика нескольких VLAN.

Однако у рассматриваемого решения есть и немаловажный недостаток, такой модуль стоит очень дорого — более 15 000 долларов США, что является серьезной преградой для российских потребителей, которые строят системы защиты информации по остаточному принципу — "что осталось от других задач, на то и приобретаются средства защиты".