آشنایی با پروتکل OpenFlow

پروتکل OpenFlow این امکان را برای سرور ها فراهم می کند که بتوانند مسیر انتقال packet ها را برای سوئیچ های شبکه تعیین کنند. در شبکه های مرسوم که بیشتر با آن برخورد داشته ایم، هر سوئیچی نرم افزار مختص خود را دارد که تعیین می کند چه عملی باید انجام شود. با استفاده از پروتکل OpenFlow، تصمیم گیری ها در مورد انتقال packet ها در یک نقطه متمرکز شده، از اینرو می توان شبکه را مستقل از هر سوئیچ و دیوایسی در دیتاسنتر برنامه ریزی کرد.

 

 

پروتکل OpenFlow و سوئیچ OpenFlow چیست؟

 

OpenFlow یک پروتکل شبکه ای قابل برنامه ریزی برای محیط SDN می باشد، که برای برقراری ارتباط میان سوئیچ های OpenFlow و controller ها استفاده می شود. پروتکل OpenFlow بخش نرم افزاری و قابل برنامه ریزی سوئیچ های شبکه را از سخت افزار آنها جدا می کند. این پروتکل روش استانداردی را برای ارائه ی یک شبکه ی متمرکز و قابل برنامه ریزی که می تواند سریعا خود را با نیاز های شبکه وفق دهد، ارائه می کند.

OpenFlow protocol

OpenFlow protocol

 

سوئیچ OpenFlow، سوئیچی است که پروتکل OpenFlow در آن فعال شده باشد.این سوئیچ از طریق کانالی که OpenFlow ایجاد می کند، با کنترلر بیرونی ارتباط برقرار می کند. این کنترلر از طریق پروتکل OpenFlow سوئیچ ها را مدیریت می کند. به صورت کلی سوئیچ های OpenFlow یا از پایه بر اساس پروتکل OpenFlow ساخته شده اند و یا اینکه فقط با آن سازگار هستند.

 

what is openflow switch

what is openflow switch

 

سوئیچ OpenFlow چگونه کار می کند؟

 

سوئیچ های OpenFlow با وجود سه عنصر و همکاری آنها می توانند به فعالیت خود ادامه دهند:  flow table هایی که بر روی سوئیچ ها قرار دارند، کنترلر و پروتکل OpenFlow اختصاصی برای برقراری ارتباطی امن میان کنترلر و سوئیچ ها. flow table ها بر روی سوئیچ ها تنظیم و نگهداری می شوند. کنترلرها با استفاده از پروتکل OpenFlow با سوئیچ ها ارتباط برقرار می کنند و از این طریق سیاست هایی را روی جریان ها اعمال می کنند و آنها را مدیریت می کنند. کنترلرها می توانند مسیر هایی که با توجه به مشخصه های خاصی (مانند سرعت، کمترین تعداد hop و کمترین میزان تاخیر) بهینه سازی شده اند را در شبکه تنظیم و برقرار کنند.

 

 

تفاوت سوئیچ OpenFlow با سوئیچ معمولی

 

در سوئیچ های معمولی، ارسال پکت ها (data plane) و مسیریابی در سطح های بالاتر (control plane)، هر دو در یک دیوایس انجام می شوند. این در حالیست که در سوئیچ های OpenFlow این دو از هم جدا می باشند. در سوئیچ های OpenFlow بخش Data plane سمت سوئیچ فعالیت می کند و بخش control plane به صورت جداشده و خارج از سوئیچ، در مورد مسیریابی اطلاعات تصمیم گیری می کند. سوئیچ و control plane از طریق پروتکل OpenFlow با یکدیگر ارتباط برقرار می کنند.

این روش که SDN1 نامیده می شود، این امکان را فراهم می کند تا نسبت به شبکه های معمولی استفاده مفیدتری از منابع  داشته باشیم. با توجه به قابلیت تکنولوژی SDN در بالا بردن چابکی و مقیاس پذیری شبکه، این تکنولوژی رغبت زیادی را در حوزه ی شبکه به خود ایجاد کرده است. در مرکز تکنولوژی SDN پروتکل OpenFlow قرار دارد، و SDN به همراه سوئیچ OpenFlow است که انعطاف پذیری و پیکربندی سریع شبکه های ارتباطی را فراهم می کند.

 

به این ترتیب سوئیچ OpenFlow مزایای زیر را ارائه می کند:

  • با داشتن سوئیچی که OpenFlow در آن فعال باشد، کنترلر SDN می تواند ترافیک های کم اهمیت را از مسیر های طولانی تری که کمتر برای ترافیک های اصلی استفاده می شوند، انتقال دهد.
  • کنترلر SDN می تواند به راحتی load balancing را در data rate بالا ارائه کند. کنترلر SDN این کار را با جهت دهی جریان های مختلف به هاست های مختلف، تنها با تنظیم جریان های اولیه انجام می دهد.
  • ترافیک داده ها می توانند بدون استفاده از VLAN ایزوله شوند، کنترلر SDN سوئیچ OpenFlow می تواند از connection های مشخصی امتناع کند.
  • سهولت در راه اندازی TAP یا Sniffer در شبکه برای هر پورت یا هر ترافیک خاصی، با تنظیم شبکه برای ارسال stream تکراری به یک دیوایس مانیتوریگ شبکه.
  • امکان گسترش و پیاده سازی سرویس های جدید، همه به صورت نرم افزاری بر روی کنترلر SDN، و همچنین سرعت بخشیدن به افزودن سرویس و قابلیت های جدید.

 

 جمع بندی

 

سوئیچ OpenFlow تنگناهای موجود در محیط SDN را به کارایی و مقیاس پذیری بالا تبدیل می کند. این پروتکل راهکاری کارآمد و مستقل از برند را برای مدیریت شبکه های پیچیده با نیاز های متفاوت ارائه می کند. این راهکار در حال تبدیل شدن به راهکاری متداول در شبکه های بزرگ امروزی و زیرساخت های ابری می باشد.

قابلیت مشاهده پذیری

فایروال شما چنین ویژگی‌هایی را دارد؟ – بخش دوم

در بخش نخست، به بررسی این موضوع پرداختیم که چگونه فایروال باید با استفاده از یک threat intelligence درجه یک، سیاست‌های امنیتی و ویژگی‌هایی همچون IPS را فراخواند تا به صورت پیشگیرانه، تهدیدها را متوقف نماید، پیش از آنکه بتوانند خودشان را در شبکه شما پنهان سازند. این تدابیر امنیتیِ پیشگیرانه اغلب 99 درصد از تهدیدهای موجود را متوقف می‌سازند.

اما تنها یک حمله موفق می تواند برای شما دردسرهایی ایجاد کند. چه اتفاقی رخ خواهد داد اگر یک مهاجم یا بدافزاری بسیار پیچیده که رویت نشده است به شبکه شما نفوذ کند؟

بهره‌مندی از قابلیت رویت به منظور شناسایی و متوقف نمودنِ سریع تهدید

بزرگترین نفوذهای قابل توجه در مواقعی پیش می‌آیند که مهاجمان در بخشی از یک شبکه نفوذ می‌کنند و سپس سال‌ها بدون اینکه شناسایی شوند آزادانه به فعالیت می‌پردازند. سازمان‌های متاثر، هیچ تصوری از این ندارند که آنها در کجای شبکه پنهان شده‌اند. به این خاطر است که بسیاری از تیم‌های شبکه و امنیت برای دستیابی به قابلیت مشاهده پذیریِ کافی در رابطه با فعالیت تهدیدها در کشمش‌اند. آنها از این مطمئن نیستند که ابزارهای امنیتی‌شان تصویر کاملی از شبکه را در اختیارشان می‌گذارد یا خیر. بدون وجود قابلیت مشاهده پذیری فراگیر، آنها نمی‌توانند تهدیدهای فعال را پیش از آنکه آسیبی وارد نمایند، با سرعتی کافی شناسایی و حذف کنند.

تا به حال از خودتان پرسیده‌اید که فایروال شما چگونه می‌تواند در این مورد موثر باشد؟

در بخش  دوم این نوشته، به این خواهیم پرداخت که چگونه یک فایروال NGFW سیسکو به عنوان یک مولفه اصلی در سیستم دفاعی شما، می تواند قابلیت مشاهده پذیری فوق‌العاده‌ای را برای شناسایی و متوقف نمودنِ سریع تهدیدها فراهم کند.

قابلیت مشاهده پذیری جامع و گسترده – مشاهده تصویری کامل‌تر از شبکه

مشاهده پذیری سودمند با برخورداری از قدرت دیدِ بیشتری آغاز می‌شود که امکانِ زیر نظر داشتنِ مکان‌های بیشتری را در سراسر شبکه به دست می‌دهد. به چه علت؟ به این خاطر که تهدیدها می توانند به شما از طریق چندین “محور حمله”، یعنی شبکه، endpoint، وب، ایمیل و …، هجوم آورند. هرچه بتوانید نواحی بیشتری را مشاهده نمایید، احتمال اینکه بتوانید یک حمله را به سرعت خنثی نمایید، بیشتر خواهد بود.

به این خاطر است که فایروال NGFW سیسکو ، مشاهده پذیری بیشتری را برای فعالیت فایل‌های به طور بالقوه مخرب در میان کاربرها، هاست‌ها، شبکه‌ها و زیرساخت در اختیار شما می‌گذارد. فایروال NGFW سیسکو به ویژه با بهره‌مندی از مزایای منابع گسترده‌ای از محصولات امنیتی سیسکو، کاربران، پروتکل‌های اپلیکیشن، انتقال فایل‌ها، اپلیکیشن‌های وب، تهدیدهای فعال، سیستم‌عامل‌ها، روترها و سوییچ‌ها، سرورهای شبکه، اپلیکیشن‌های کلاینت، دستگاه‌های موبایل و … را نمایش می‌دهد.

فایروال NGFW سیسکو از طریق “indications of compromise” (شکل 1)، شواهد رفتاری‌ای را شناسایی می‌کند که ممکن است بر هاست‌های معینی تاثیر گذاشته باشند. این شواهد را اولویت‌بندی می‌کند و آنها را به مدیر شبکه ارائه می‌کند. این بخش مهمی برای تیم امنیت است، چرا که می‌تواند در آن تنها با یک کلیک، فرآیند بازرسی را آغاز نماید.

همانطور که در بخش Network Information و Operating Systems از شکل 1 مشاهده می‌شود، فایروال سیسکو می‌تواند سیستم‌عامل‌های در حال اجرا بر روی شبکه (نیاز به هیچ agent بر روی endpoint نیست) را شناسایی کند. در اینجا برخی از دستگاه‌های موجود در شبکه را می‌بینید که سیستم‌عامل Win XP را اجرا می‌کنند. یک سیستم‌عامل قدیمی با وجود نقاط آسیب‌پذیر بیشتر، یک ریسک به شمار می‌آید در نتیجه شما می توانید به سرعت اطلاعات را برای شناسایی دستگاه‌ها استخراج کنید و تصمیم به ارتقا یا از رده خارج کردن آنها بگیرید.

Indications of Compromise and Network Information

شکل 1- Indications of Compromise and Network Information

منوی application protocol (در شکل 2) اپلیکیشن‌های در حال اجرا بر روی شبکه را نشان می‌دهد، این بخش به شما امکان اعمال کنترل‌هایی را می‌دهد که می‌خواهید بر روی اپلیکیشن‌ها قرار دهید. فایروال NGFW سیسکو می‌تواند بر اساس میزان ریسکِ هر اپلیکیشن و اهمیت‌شان برای کسب و کار، آنها را رتبه‌بندی نماید تا فرآیند کاهش ریسکِ اپلیکیشن‌ها به سرعت و سهولت انجام شود. اگر یک اپلیکیشن ریسک بالایی داشته باشد و از لحاظ کسب و کار کم اهمیت باشد، کاندیدای مناسبی برای مسدود شدن خواهد بود. با دوبار کلیک کردن بر روی هر اپلیکیشن در نمودار دایره‌ای، این امکان را خواهید داشت که جزییات بیشتری از هر کدام را مشاهده نمایید.

Application Protocol Information

شکل 2- Application Protocol Information

فایروال NGFW سیسکو یک تکنولوژی sandboxing را در خود یکپارچه نموده است که توسط Threat Grid (در شکل 3) پشتیبانی می‌شود. این تکنولوژی، فایل‌ها و رفتارهای مشکوک در سراسر محیط شما را در مقایسه با میلیون‌ها نمونه و میلیارد‌ها بدافزار دست‌ساخته آنالیز می‌کند. از طریق توضیحاتی درباره نوع بدافزار، آنچه که انجام می‌دهد و میزان تهدیدی که برای سازمان شما ایجاد می‌کند، از تیم امنیت شما حمایت می‌شود. حتی تیم امنیت با اطمینان می‌تواند با نمونه‌های بدافزار در تعامل باشد تا مستقیما رفتار آنها را بررسی کند.

تحلیل پویای بدافزار

شکل 3- تحلیل پویای بدافزار

تحلیل مستمر، پیوسته در حال نگهبانی از شبکه شما است

قابلیت مشاهده پذیری نمی‌تواند تنها snapshot هایی از فعالیت فایل در یک لحظه از زمان باشد. مشاهده پذیری باید پیوسته و جاری باشد با نظارتی همیشگی بر شبکه و فعالیت فایل تا به سرعت حملات مخفی را افشا نماید و زمینه را برای تشخیص یک حمله برای شما فراهم کند. از طریق یکپارچه‌سازیِ تکنولوژی Cisco AMP، فایروال NGFW سیسکو نه تنها فایل‌ها و ترافیک شبکه را در لحظه ورود بازرسی می‌کند، همچنین به طور پیوسته رفتار فایل را در سراسر طول عمر آن آنالیز می‌کند. این امر مشاهده پذیری کاملی را در اختیار شما می‌گذارد، در رابطه با اینکه فایل‌ها چه انجام می‌دهند و چگونه رفتار می‌کنند. تصویر کاملی از طول عمر یک تهدید از لایه Edge تا endpoint را به شما نشان می‌دهد. شما می‌توانید دریابید که تهدید در کجا ایجاد شده است، کجا بوده است و چه کاری انجام می‌دهد و به طور خودکار آن را متوقف نمایید.

حتی اگر یک فایل پس از بازرسی اولیه در وضعیت good یا unknown فرض شود، تکنولوژی AMP صرف نظر از وضعیت فایل با چشمی تیزبین مراقب رفتار فایل است. این تکنولوژی می‌تواند به طور خودکار یک تهدید بالقوه را مهار کند و اگر در آینده قصد یا رفتاری مخرب را شناسایی کرد، به شما هشدار دهد. این گذشته‌اندیشیِ خودکار (شکل 4) به فایروال NGFW سیسکو امکان می‌دهد تا اساسا ذهنیت خود را نسبت به تحلیل اولیه‌اش تغییر دهد، درصورتی که فایل دنباله‌ای از رفتارها را نمایش دهد که دلالتی بر نیات مخرب دارد یا اگر Talos intelligence بتواند اطلاعات جدیدی را در رابطه با یک فایل به‌دست‌آورد. این هوشمندی می‌تواند مستقیما از تحقیقات Talos نشات گیرد یا از طریق کاربری دیگر، کسی که عضوی از جامعه Cisco AMP است و فایلی مشابه را بر روی سیستم خود به عنوان فایل مخرب قلمداد می‌کند.

 تحلیل مستمر و با نگاهی به گذشته

شکل 4- تحلیل مستمر و با نگاهی به گذشته

ثابت شده است که این رویکرد مستمر به طور قابل ملاحظه‌ای زمانِ شناسایی تهدیدهای پیشرفته را کاهش می‌دهد. سیسکو زمان شناسایی1 یا TTD را به عنوان پنجره‌ای زمانی، میان سوظن به یک تهدید و شناسایی آن تعریف می‌کند. با توجه به اینکه فایروال NGFW سیسکو اکثر تهدیدها را در چند ثانیه یا دقیقه شناسایی می‌کند، در مقایسه با میانگین زمانیِ بیش از 100 روز برای TTD در صنعت، از میانگین زمانی 4.6 ساعت برخوردار است.

اولویت‌بندی و سفارشی‌سازیِ مشاهده پذیری

ممکن است شما به این فکر کنید که ” مشاهده پذیری بیشتر به من امکان شناسایی، افشاسازی و متوقف نمودن سریع‌تر تهدیدها را می‌دهد. اما این حجم از مشاهده پذیری خیلی زیاد است”. به همین خاطر است که فایروال NGFW سیسکو اطلاعات نمایش داده به شما را اولویت بندی می کند و ساده و موثر می‌سازد. در واقع اطلاعات مناسبی را در زمان مناسب برای مخاطب مناسب فراهم می‌کند. بنابراین مدیریت و بازرسی آسان‌تر، کاراتر و موثرتر خواهد شد که در نتیجه‌ی آن، تیم شما هوشیار نگاه داشته می‌شود و قادر خواهید بود نتیجه‌گیری‌ها و واکنش‌هایی سریعتر را در رابطه با حملات داشته باشید.

تهدیدها از طریق یک سیستم ساده‌ی امتیازدهی به تهدید، اولویت‌بندی می‌شوند. این سیستم پیش از همه، به شما اطمینانی را نسبت به رفع اضطراری‌ترین مسائل خواهد داد. دیگر مدیران در رابطه با هشدارهای عمومی نسبت به تهدیدها که همبستگی‌ای با یکدیگر ندارند و بستری برایشان مشخص نیست، دلواپس نخواهند بود. به جای آن، تهدیدها درون indication of compromise مرتب می‌شوند که تهدیدهای مجزا در یک مکان را به بدافزارهای مرتبط یا تکراری در هر جایی از سیستم شما پیوند می‌دهد. چند بخش از یک بدافزار می‌تواند به عنوان بخشی از یک حمله شناسایی شود به طوری که وقتی فایروال NGFW سیسکو یک تهدید را در یک مکان مشاهده می‌کند، می‌تواند به طور خودکار تمامیِ بدافزارهای مرتبط که از یک حمله مشترک سرچشمه می‌گیرند را متوقف، محدود و اصلاح سازد. در واقع یک بار آن تهدید را مشاهده می‌کند و در همه جا آن را متوقف می‌نماید.

همچنین برای کاهش سربار تحلیل و زمان به هدر رفته، امکان سفارشی‌سازیِ کنسول مدیریت موجود است. به عنوان نمونه به شکل 5 بنگرید. بر طبق اینکه چه اپلیکیشن‌ها و دستگاه‌هایی از بیشترین اهمیت برای کسب و کار شما برخوردارند، می توانید انتخاب کنید که چه tabها و اطلاعاتی برای نمایش بر روی داشبورد شما قرار گیرند. با توجه به شکل 5، در اینجا مدیر شبکه تصمیم گرفته است که از طریق سه tab اولیه در بالا، بیشترین هوشیاری را نسبت به فعالیت شبکه، تهدیدها و رویدادهای نفوذ داشته باشد. در tab مربوط به ترافیک شبکه، ادمین ترافیک را از طریق رابطه‌ی میانِ میزان اهمیت اپلیکیشن از لحاظ کسب و کار و میزان ریسک آن اولویت‌بندی کرده است (top web/server/client apps/operating system). با یکبار تنظیم داشبورد، می‌توانند بر آن اساس روزانه، هفتگی یا ماهانه گزارش تهیه نمایند.

سفارشی‌سازی کنسول مدیریت

شکل 5- سفارشی‌سازی کنسول مدیریت

پیشگیری از نفوذ

فایروال شما چنین ویژگی‌هایی را دارد؟ – بخش نخست

هنگامی که با هیئت رئیسه و مدیران فناوری اطلاعات در سازمان‌ها پیرامون امنیت سایبری گفتگو می‌شود، همگی آنها در رابطه با این مسئله نگران هستند و می‌خواهند بدانند که چگونه از سازمان، کارمندان و مشتریان خود محافظت کنند. در این میان به نظر می‌رسد، سه نگرانی عمده همیشه در بالای این لیست قرار می‌گیرد: فایروال NGFW سیسکو ادامه مطلب …

مروری بر سوئیچ‌ های Nexus سیسکو (بخش دوم)

در بخش اول این مقاله، خانواده سوئیچ‌ های Nexus سیسکو را معرفی کردیم. در این مقاله به بررسی سیستم عامل سوئیچ‌ های Nexus سیسکو و مقایسه این سری سوئیچ ها با سوئیچ های Catalyst می‌پردازیم. در انتهای این مقاله موقعیت های مناسب برای استفاده از هر کدام از سری سوئیچ های Nexus سیسکو را بررسی خواهیم کرد.

ادامه مطلب …

data consistency

مقایسه بکاپ crash-consistent و application-consistent

data consistency مجموعی از اعتبار1، صحت2، کاربردپذیری3 و انسجامِ4  داده‌ها در میان اپلیکیشن‌ها و در سراسر سیستم عامل است. نمی‌توان اذعان نداشت که حضور data consistency در فرآیند بکاپ از اهمیت بسیار بالایی برخوردار است. به عبارت دیگر، آیا داده‌هایی که از آنها بکاپ گرفته شده است، کاربردی‌اند؟ آیا در وضعیتی هستند که بتوانند یک نقطه بازیابی قابل اطمینان را فراهم نمایند؟ به طور کلی چند گزینه مختلف وجود دارد که برای ایجاد بکاپ کاربردی به ذهن خطور می‌کند و ممکن است به گوش شما رسیده باشد : crash-consistent و application-consistent. هر کدام از این انواع بکاپ چیست؟ چه زمانی به بکاپ application-consistent به جای crash-consistent نیاز دارید؟

ادامه مطلب …

معرفی HPE Memory-Driven flash

نوآوری جوهر حیات هر کسب و کاری است. در صنعت ذخیره سازی، سرعت پیشرفت نوآوری هیچ گاه بالا نبوده است. ده سال پیش، پیشروی از هارد دیسک هایی با سرعت 10K به 15K RPM نوآورانه به حساب می آمد. اما اکنون همه چیز تغییر کرده است. ادامه مطلب …

Data Center Designs

بررسی طراحی دیتاسنتر ToR و EoR

این مقاله بررسی و مقایسه دقیقی را از طراحی دیتاسنتر Top of Rack و End of Row، دو طرح فیزیکی معروف در دیتاسنترها، ارائه می‌دهد. همچنین یک طرح جایگزین دیگر با استفاده از Fabric Extender بررسی می‌شود.

ادامه مطلب …

خانواده کاتالیست 9000

بررسی سوییچ های کاتالیست 9000

خانواده کاتالیست 9000

پلتفرم جدیدِ catalyst 9000 از شرکت سیسکو نسل جدیدی از سوییچ ها در خانواده کاتالیست است. سوییچ های کاتالیست 9000 در لایه های access ،distribution و core از محیط های enterprise قرار می گیرند. این سری از سوییچ های سیسکو اولین پلتفرمی هستند که به منظور بهره گیری از ویژگی های SD طراحی شده اند. پلتفرم کاتالیست 9000 پیشرفت های مهمی را در زمینه امنیت، اینترنت اشیا، cloud و mobility ارائه می دهد. استفاده از تراشه های UADP ASIC در پلتفرم کاتالیست 9000 ،کارایی بسیار بالایی را در اختیار می گذارد، همچنین مجموعه ای از ویژگی های جدید را به این پلتفرم می افزاید.

ادامه مطلب …

مروری بر سوئیچ های Nexus سیسکو

در این مقاله قصد داریم خانواده سوئیچ‌ های دیتاسنتر سیسکو  که شامل سوئیچ های Nexus سیسکو  (Nexus 9000، Nexus 7000، Nexus 5000، Nexus 3000، Nexus 2000، Nexus 1000V) و سوئیچ MDS 9000 میشود را معرفی کنیم. پس از معرفی مختصر هر سری از این سوئیچ‌ها؛ تفاوت‌های بین سوئیچ‌های Catalyst و Nexus بررسی و commandها، نامگذاری و ظرفیت‌های سخت افزاری سیستم عامل Catalyst IOS  و Nexus NX-OS را مقایسه خواهیم کرد. برای اینکه بررسی کاملی داشته باشیم، برای هر کدام از مدل‌های سوئیچ‌های Nexus مناسب‌ترین موقعیت‌ها برای به کارگیری در دیتاسنتر را بررسی خواهیم کرد. در نهایت سوئیچ‌های high-end (رده بالا) خانواده Nexus و خانواده Catalyst را با هم مقایسه خواهیم کرد.

ادامه مطلب …

عملیات Read در Fast VP

عملیات خواندن و نوشتن در FAST VP

در مقالات قبل درباره ویژگی های FAST VP صحبت کردیم حال قصد داریم در این مقاله به تحلیل و بررسی عملیات خواندن و نوشتن در FAST VP بپردازیم. ادامه مطلب …