Un conmutador de derivación (o TAP de derivación) es un dispositivo de hardware que proporciona un puerto de acceso a prueba de fallos para un dispositivo de seguridad activa en línea, como un sistema de prevención de intrusiones (IPS), un cortafuegos de próxima generación (NGFW), etc. Los dispositivos de seguridad activos en línea son puntos únicos de falla en redes informáticas activas porque si el dispositivo pierde energía, experimenta una falla de software o se desconecta para realizar actualizaciones o mejoras, el tráfico ya no puede fluir a través del enlace crítico. El conmutador de derivación o el TAP de derivación elimina este punto de falla al "cambiar automáticamente el tráfico a través del modo de derivación" para mantener activo el enlace de red crítico.
Un conmutador de derivación tiene cuatro puertos. Dos puertos de red crean una conexión en línea en el enlace de red que se va a supervisar. Esta conexión es completamente pasiva; si el conmutador de derivación pierde energía, el tráfico continúa fluyendo sin impedimentos a través del enlace. Se utilizan dos puertos de monitorización para conectar el dispositivo de monitorización en línea. Durante el funcionamiento normal, el conmutador de derivación pasa todo el tráfico de red a través del dispositivo como si estuviera directamente en línea. Pero cuando el dispositivo en línea pierde energía, se desconecta o falla de alguna otra manera, el conmutador de derivación pasa el tráfico directamente entre sus puertos de red, evitando el dispositivo y asegurando que el tráfico continúe fluyendo en el enlace de red.
Un conmutador de derivación o TAP monitorea el estado del dispositivo activo en línea enviando latidos al dispositivo de seguridad en línea mientras el dispositivo de seguridad en banda esté en línea; los paquetes de latidos se devolverán al conmutador/TAP y el tráfico del enlace continuará fluyendo a través del dispositivo de seguridad en línea.
Si los paquetes de latido no se devuelven al TAP (lo que indica que el dispositivo de seguridad en línea se ha desconectado), el TAP omitirá automáticamente el dispositivo de seguridad en banda y mantendrá el flujo del tráfico del enlace. El TAP también elimina los paquetes de latido antes de enviar el tráfico de red de vuelta al enlace crítico.
En algunos productos, cuando el conmutador de derivación desvía el tráfico alrededor del dispositivo de monitoreo, los puertos de monitoreo vuelven a actuar como un punto de acceso de red , reflejando el tráfico semidúplex recibido en los puertos de red a los puertos de monitoreo. En este modo, un dispositivo IPS conectado se puede utilizar como un sistema de detección de intrusiones (IDS) para monitorear pasivamente el tráfico sin afectarlo. Este modo es útil para analizar la efectividad de un conjunto de firmas antes de cambiar al modo IPS y potencialmente interrumpir el tráfico de red.
Los conmutadores de derivación multisegmento proporcionan una cantidad de conmutadores de derivación independientes en un solo chasis, lo que proporciona una mayor densidad en el rack del equipo.
Bypass TAP - Modo normal: el tráfico fluye a través del TAP de la red antes de pasar por el dispositivo y regresar a la red.
Bypass TAP - Modo Bypass: los paquetes de latidos se envían al dispositivo de seguridad en línea. Una vez que el dispositivo vuelve a estar en línea, comenzará a devolver los paquetes de latidos al TAP, lo que indica que el dispositivo está listo para reanudar el modo normal de bypass TAP. Luego, el TAP dirigirá el tráfico de red nuevamente a través del dispositivo de seguridad en línea junto con los paquetes de latidos, lo que hará que el dispositivo vuelva a estar en línea.
El uso de un interruptor de derivación externo para conectar un dispositivo en línea como un NGFW, IPS o DDoS tiene varios beneficios. [1]
Mantiene el flujo del tráfico de la red cuando falla el dispositivo en línea.
Permite quitar o reparar el dispositivo en línea sin afectar el tráfico de la red. Por ejemplo, se puede desconectar un IPS para realizar actualizaciones, mantenimiento o resolución de problemas.
El dispositivo en línea se puede mover de un segmento de red a otro sin afectar el tráfico de la red.
Tenga en cuenta que las dos últimas ventajas no las proporciona la funcionalidad del interruptor de derivación interno que puede estar integrado en algunos dispositivos NGFW/IPS.
Algunos TAP de derivación admiten múltiples modos y pueden utilizarse durante toda la vida útil de la red, es decir: agregación, regeneración/SPAN, ruptura/normal.
Los conmutadores de derivación y los TAP agregan costos de adquisición a la solución de monitoreo, aunque pueden ahorrar costos a largo plazo al aumentar el tiempo de actividad de la red.
Los interruptores de derivación trasladan el punto único de falla del dispositivo de monitoreo en línea al propio interruptor de derivación. Esto debería representar una ganancia neta en confiabilidad, porque el interruptor de derivación es un dispositivo más simple que el dispositivo de monitoreo y porque está diseñado para tolerar fallas. Sin embargo, la confiabilidad es un criterio importante al evaluar las soluciones de interruptores de derivación.
Los conmutadores de derivación aumentan la confiabilidad de la red a través de varios mecanismos, incluidas conexiones en línea pasivas, detección de enlaces y paquetes de latidos.
Los dos puertos de red de un conmutador de derivación crean una conexión en línea totalmente pasiva que mantiene el flujo de tráfico incluso en ausencia de energía. En el caso de los enlaces de fibra, un conmutador óptico normalmente cerrado crea una ruta para que la luz fluya sin impedimentos a través del dispositivo cuando no hay energía. En el caso de los enlaces de cobre, los microrelés conectan los dos puertos cuando no hay energía.
El conmutador de derivación supervisa el estado de los enlaces entre sus puertos de monitorización y el dispositivo en línea. Si un enlace se cae, el conmutador de derivación cambia inmediatamente al modo de derivación. Algunos fabricantes de conmutadores/TAP de derivación aún envían tráfico al dispositivo durante el modo de derivación. Cuando el enlace se restablece, el conmutador de derivación vuelve al modo normal de desconexión de derivación.
Algunos conmutadores de derivación envían un paquete de latido a través del dispositivo de supervisión para garantizar que el dispositivo esté transmitiendo tráfico. Si el paquete de latido no regresa al conmutador de derivación, se supone que el dispositivo está inactivo y el conmutador pasa al modo de derivación activada, lo que excluye al dispositivo de la ruta de tráfico. El conmutador de derivación continúa transmitiendo paquetes de latido al dispositivo y, cuando el dispositivo los devuelve nuevamente, el conmutador de derivación cambia nuevamente al modo de derivación desactivada y el dispositivo reanuda la recepción de tráfico.
Siempre que el conmutador de derivación pasa al modo de derivación por cualquier motivo, el enlace puede interrumpirse temporalmente. Un buen conmutador de derivación reconecta el enlace en menos de 1 segundo, [2] pero la red puede tardar varios segundos en restablecer las comunicaciones en el enlace.
Los conmutadores de derivación se pueden gestionar a través de varias interfaces: una interfaz de línea de comandos (CLI), una interfaz basada en navegador web o una herramienta SNMP basada en plataforma . Las funciones de gestión pueden incluir la configuración de una dirección IP para las trampas SNMP, la recuperación de estadísticas RMON y la configuración de parámetros para el paquete de latidos, como el contenido del paquete, el tiempo y la cantidad de reintentos.