Switch intelligenti, motore di regole e appliance “da guardia” sono gli ingredienti di Extreme Networks per una rete proattiva.
Gli apparati di networking stanno assumendo un ruolo sempre più centrale nella protezione dei sistemi e delle informazioni. Un ruolo preventivo e proattivo insieme, che viene giocato mediante dispositivi dotati sempre più di intelligenza propria. La visione di Extreme Networks in proposito è chiara, e si basa su un insieme di tecnologie inserite via via nell’offerta.
“Non vediamo la sicurezza come una cancellata ma come una serie di elementi da applicare a livello infrastrutturale – ha dichiarato Marco Pinna, pre-sales system consultant della socieità -. Ci occupiamo di trasporto dati e sfruttiamo le caratteristiche dei nostri apparati come complemento a un sistema di sicurezza globale. In sostanza, ci integriamo nei sistemi di security ma non li sostituiamo”. Ed è proprio in questo senso, secondo Pinna, che gli switch Lan layer 2 e 3 possono giocare un ruolo importante nel mettere in sicurezza i network aziendali.
Il cuore degli switch Extreme è costituito dal sistema operativo ExtremeWare Xos, che fornisce l’intelligenza di switching e routing per core e periferia e caratteristiche intrinseche per la sicurezza del network (protezione della memoria, prevenzione contro attacchi DoS, diagnostica). “Il sistema, oltre al trasporto dei dati, è anche in grado di fare una misura di ciò che fa, di controllare le azioni ed eventualmente di prendere contromisure”, ha precisato Pinna. È ciò che viene definito con l’acronimo Itc (Interactive threat containment) e che si basa su un network proattivo, in grado di identificare le anomalie e generare gli alert.
Attualmente montato su tre fasce di switch (i BlackDiamond 10K e serie 8800, più il nuovo Summit x450), sarà esteso a tutta la gamma Extreme. È basato su un kernel Posix (Portable Operating System Interface for Unix) sul quale ruotano, in ottica modulare, tutte le funzioni. La modularità consente di caricare aggiornamenti o nuove applicazioni durante il funzionamento.
Uno di questi “moduli” è costituito da Api Xml che permettono di dialogare all’esterno con altri dispositivi sulla rete. In sostanza, consentono di effettuare tuning sulla rete per ottimizzare sicurezza e prestazioni in relazione al tipo di applicazione, rendendola così “adattiva”. Un’ottica non dissimile, seppur differente nell’impostazione, a quella di Aon appena abbracciata da Cisco, a conferma che l’ambito del networking e quello della gestione applicativa si stanno avvicinando. Un esempio di questo ulteriore ambito di convergenza, nel caso di Extreme è rappresentato dall’integrazione con i centralini Avaya, quindi con la telefonia VoIp, che tra l’altro è stato uno dei fronti di miglioramento dell’ultima versione del sistema operativo, accanto al supporto di Ipv6.
ExtremeWare Xos è direttamente collegato al framework di sicurezza Clear-Flow security engine (Clear significa Continuous learning examination action & reporting), un insieme di meccanismi integrati proprio a livello di sistema operativo e di hardware. Funziona per gli attacchi di tipo “day zero” in combinazione con gli switch BlackDiamond 10K, ispezionando i pacchetti Layer 2/3, isolando il traffico sospetto e adottando azioni di neutralizzazione basate su policy (dal blocco del traffico alla variazione della banda assegnata).
Questo “motore di analisi” vede poi una particolare applicazione pratica in combinazione con l’appliance Sentriant Vsr (Virtualized security resources) per la protezione “integrata” di network 10g, pensata per prevenire attacchi che si propagano con molta rapidità all’interno della rete. L’appliance si connette direttamente agli switch senza passare per il network principale, non influendo sulle prestazioni della Lan.
La soluzione nel suo insieme, basata sull’analisi comportamentale della rete, lavora osservando il traffico e identificando anomalie come la violazione di protocolli e policy e attacchi ti tipo DoS. Una volta identificata una potenziale minaccia, utilizza una tecnologia denominata Cloaking che limita o evita i danni mediante un protocollo che “forza” computer e switch a reindirizzare i pacchetti sospetti verso Sentriant, evitando che raggiungano la loro destinazione
Rispetto ai sistemi di intrusion detection e prevention, che ispezionano i frame, in questo caso il traffico viene solamente analizzato, per rilevarne le variazioni. Fatto che comporta una reattività alle minacce nell’ordine di pochi secondi. Inoltre, la funzione di protezione viene in questo modo “centralizzata”, fruibile per più link, evitando di dover posizionare un dispositivo di prevenzione su ogni link.
