Najpierw wstępne rozpoznanie

Enterasys integruje w przełącznikach serii N swoje rozwiązanie Dragon IDS/IPS i wykrywanie anomalii ruchu. Zamiast jednak poddawać analizie cały ruch, przełącznik Enterasys najpierw określa, czy ruch jest podejrzany i jeśli tak, przesyła tylko ten ruch do modułu odpowiedzialnego za szczegółową analizę pakietów.

Ta niebawem dostępna funkcjonalność ma być wstępem do zmian, które przyniesie następna generacja układów scalonych poddających szczegółowej kontroli cały ruch.

Enterasys przy wprowadzaniu zmian w przełącznikach N-Series wykorzystał koncepcję kart przyspieszających, umożliwiających systemowi przekierowanie ruchu wymagającego analizy deep packet-inspection do modułu z funkcjami IPS/IDS i wykrywanie anomalii. Rozwiązanie oparto na ustalaniu reguł polityki bezpieczeństwa, obejmujących wiele czynników: tożsamość użytkownika, jego rolę w organizacji i lokalizację. Jeśli jakaś część ruchu łamie ustalone reguły, to tylko ona jest kierowana do IDS/IPS. Wstępna ocena ruchu i analiza tylko jego części ma rozwiązywać problemy z wydajnością na obecnym poziomie technologicznym.

Metoda nakładkowa

Dla 3Com najlepszym sposobem na dodanie inteligencji i nowych funkcji jest stworzenie czegoś w rodzaju nakładki na istniejącej architekturze przełączania. W swej koncepcji Intelligent Network Control (INC) zakłada istnienie warstwy kontrolnej (control plane), mającej funkcjonować pomiędzy znajdującą się niżej warstwą komunikacyjną a leżącą wyżej warstwą aplikacji. Takie rozwiązanie ma być oferowane albo w postaci appliance przeznaczonego do sieci zbudowanych z przełączników niepochodzących z 3Com, albo oddzielnego modułu do przełącznika 3Com. Wykorzystując technologię IPS z przejętej przez 3Com firmy TippingPoint, warstwa kontrolna ma poddawać ruch analizie deep packet inspection i inteligentnie określać, jak z nim postępować. Kluczem ma być to, że wprowadzenie warstwy kontrolnej nie będzie wymagało żadnych zmian w warstwach komunikacji i aplikacji.

3Com zdaje sobie sprawę, że problemem może wciąż być tworzenie się wąskich gardeł w sieci. Dlatego stawia na szybkość infrastruktury, deklarując, że ma gotowe rozwiązanie obsługujące technologię IPS z prędkością 5 Gb/s, a pracuje nad jeszcze szybszym. Pochodzące z TippingPoint rozwiązanie ma być wykorzystane właśnie w warstwie kontrolnej.

Podobne podejście ma firma Juniper, oferując różne technologie pełniące rolę nakładki. Producent skupia się na zapewnieniu zarówno bezpieczeństwa, jak i optymalizacji aplikacji w sieci - ale na zewnątrz przełącznika, w postaci oddzielnych urządzeń oferujących nowe w stosunku do klasycznego sprzętu zabezpieczającego funkcje.

Przykładowo urządzenie Juniper DX, zwykle umieszczane w centrach danych, teraz dodaje do obsługi SSL VPN akcelerację ruch webowego - funkcjonalność nabytą przez Junipera wraz z Redline Technologies. Juniper dodaje także do swych urządzeń z usługami SSL VPN i zaporą sieciową akcelerację WAN - technologię nabytą od Perabit.

Proste reguły gry

Poza sprawami architektury, ceny i wydajności dodana do przełączników inteligencja wymaga efektywnego zarządzania regułami polityki bezpieczeństwa i schematami działania. Z tym muszą zmierzyć się wszyscy dostawcy.

Skuteczne identyfikowanie ruchu i strumieni aplikacji jest tylko pierwszym etapem. Drugi musi opierać się na tworzeniu reguł, które zautomatyzują reakcje przełącznika na występowanie anomalii w ruchu albo na różne wymagania aplikacji. Podejrzany ruch może być tłumiony, otrzymując znikome pasmo, a w pewnych przypadkach całkowicie wstrzymywany. W ten sam sposób można tworzyć reguły zapewniające priorytet i wymagane pasmo najważniejszym strumieniom danych, np. pochodzącym z telefonii IP czy aplikacji finansowych, a mniej ważnym aplikacjom dające do dyspozycji jedynie pozostałe pasmo.

Producenci chcą, by reguły wynikające z inteligentnego switchingu były bardziej przyjazne użytkownikowi i łatwiejsze w ustalaniu niż reguły klasycznego QoS. W prosty, ogólny sposób powinny określać, jaką użytkownik dostaje jakość, jakie pasmo, jak jest chroniony. Dzisiaj np. ustalanie kwarantanny przy kontroli dostępu użytkownika do sieci nie jest jeszcze intuicyjnym ustalaniem reguły na poziomie ogólnym, tylko wciąż mniej lub bardziej skomplikowanym konfigurowaniem sieci VLAN (Virtual LAN).

Wiele pudełek kontra jedna skrzynia

Jak wspomniano nowe funkcje przełączników dotyczą dwóch zasadniczych problemów: poprawy bezpieczeństwa i optymalizacji aplikacji. Dziś oba problemy próbują rozwiązać rozmaite specjalizowane urządzenia (appliances). W dużych sieciach pozostają one pod kontrolą różnych zespołów zarządzających. Ludzie zajmujący się serwerami stosują sprzętowe rozwiązania do równoważenia obciążeń i do akceleracji ruchu www, osoby zajmujące się bezpieczeństwem mają pod opieką urządzenia, będące zaporami i systemami IPS, sprzęt realizujący połączenia VPN.

Kiedy usługi te będą zintegrowane w przełącznikach, to switch nowej generacji, zarządzany przez dział sieciowy firmy, może wchodzić w konflikt z urządzeniami stosowanymi przez inne działy. Powstaje problem kompetencji, przypominający dzisiejsze perturbacje z nakładającymi się obowiązkami działów informatycznych i telekomunikacji. Wdrażanie nowych rozwiązań staje się więc sprawą zarówno technologiczną, jak i polityczną. Integrowanie usług pokazuje kierunek zmian roli administratora sieciowego. Jak donoszą raporty analityków (m.in. Gartnera), w niedługim czasie będzie musiał on poznać wiele nowych technologii, dobrze komunikować się z innymi działami firmy, także jej klientami, a nawet orientować się w jej aspektach biznesowych.