I device TippingPoint prevedono tre tipi di HA da valutare a seconda del tipo di

continuità di servizio che si vuole predisporre. Le tre modalità sono:

• Transparent High Availability

• Intrinsic High Availability (Layer 2 Fallback)
• Zero Power High Availability (ZPHA)

Transparent High Availability

La Transparent Network High Availability (TNHA) prevede l’utilizzo di IPS multipli in

quelle configurazioni di rete ridondate dove gli apparati di rete prevedono l’utilizzo di
protocolli di routing o switching per determinare il percorso del traffico in modo da
garantire il resilient del network.

In questo caso ponendo una coppia di IPS e collegandoli tramite la rete di

management è possibile garantire la continuità del servizio in caso di fail e la
persistenza delle informazioni di stato registrate da ogni unità. Nel caso specifico
tramite la sincronizzazione vengono condivise:

• Blocked streams e Rate limited streams

• IP in quarantena

In questa configurazione non ha senso il concetto di Ha attivo-attivo o attivo-passivo,

dato che i due device lavorano indipendentemente analizzando e bloccando il traffico.
Configurando ciascun device come partner dell’altro ogni device è a conoscenza di
quella porzione limitata di informazioni riguardo a stream e IP bloccati del device
partner; in questo modo una volta che il traffico che attraversava un IPS viene
dirottato sull’altro in seguito a un fail, il device attivo è a conoscenza di quegli IP in
quarantena e di quegli streams che erano stati bloccati precedentemente e non deve
ripetere le analisi.
Intrinsic HA o Layer2 Fallback

Questo tipo di HA aziona un failover del device IPS in modo che il traffico non
attraversi più l’Inspection Engine interno. Ogni segmento può essere configurato per
bloccare il traffico o per farlo passare non ispezionato quando in modalità fallback.
Questa condizione può essere innescata manualmente dall’amministrarore in seguito
ad anomalie o in automatico dall’IPS nel caso si verifichino dei fault di sistema e il
monitoring interno ritenga necessario bypassare l’engine per non impattare sul traffico
di rete.
E’ molto importante pianificare bene il tipo di comportamento da applicare in caso di
fallback: block o pass.

Infatti se nel caso di una configurazione semplice in cui ci sia un singolo device IPS
posto in un segmento di rete, la configurazione più opportuna per l’L2FB è la modalità
pass. In questo modo in caso di problemi il device IPS farà passare tutto il traffico
come fosse un cavo passante e i servizi saranno garantiti.

In configurazioni in cui siano presenti dei device ridondatie la rete utilizzi protocolli di
routing o switching per determinare il percorso primario su cui instradare il traffico è
importante studiare bene la modalità di L2FB. In queste situazioni è consigliabile
bloccare il traffico in caso di fail, in questo modo i meccanismi di controllo della rete
rileveranno un’interruzione del traffico sul relativo path e devieranno tutto sul path
secondario, protetto anche esso da un IPS, garantendo sia la continuità dei servizi in
rete sia la sicurezza di tali servizi tramite i controlli effettuati sul secondo percorso.

Nella figura si vede come l’IPS3 entri in fail e il traffico in verde venga dirottato
sull’IPS4 dai protocolli di routing che rilevando il blocco sul link principale deviano il
traffico sul link secondario. Si può ipotizzare di configurare l’IPS sul link secondario in
modo che in caso si verifichi l’L2FB sia sul link pricipale che su quello secondario, il
traffico continui a passare sul secondario permettendo la continuità di servizio.
Zero Power High Availability

La Zero Power High Availability (ZPHA) è fornita da devices esterni compatibili con gli
apparati TippingPoint. Questi apparati esterni servono a garantire una continuità di
servizio tramite hardware bypass in caso si facciano upgrade al TOS, upgrade
hardware o si verifichino black out.

I device sono alimentati tramite connessione USB dall’IPS, in questo modo nelle
situazioni sopra menzionate gli apparati ZPHA bypassano l’IPS e permottono al traffico
di passare garantendo il servizio.

Autore: Fabrizio Rosina

Per ulteriore documentazione e articoli: www.gzone.it