La transparence IP

L'ActivStation rend possible l'insertion de services dans un réseau de façon Transparent et Invisible. Un tel service peut donc intercepter une connexion TCP/IP et lui appliquer un traitement pouvant porter aussi bien sur le protocole que sur les données.

"Transparent" signifie que le service inséré dans le réseau reroute dynamiquement les connexions vers la destination d'origine sans qu'aucune configuration ne soit nécessaire.

"Invisible" veut dire, du point de vue IP, que le service inséré est indétectable.

Insérer un service de cette manière dans un réseau est l'opération élémentaire qui permet de le rendre actif. De l'insertion de nombreux services émerge la notion de réseau actif. On peut imaginer que le câblage réseau devient intelligent et traite le trafic qui le traverse.

l'ActivStation est une appliance qui de fait agit comme un câble intelligent. C'est l'endroit où résident les services. Elle est connectée en coupure. Tout le traffic réseau qui transitait sur le câble, traverse désormais l'ActivStation. Ceci la rend incontournable. L'incontournabilité est un élément décisif lorsque les services insérés dans le réseau ont un lien avec la sécurité.

L'ActivStation est portée sur un système d'exploitation dédié, sous Unix. Son noyau et sa stack IP améliorée permettent à une application d'intercepter les connexions TCP. De fait, une application s'appelle un service.

Interception VS Terminaison

On parle d'interception car le terme est imagé mais en réalité il s'agit d'une interception de la connexion. C'est à dire que BoostEdge accepte une connexion qui ne lui est pas destiné. Elle se substitue donc au destinataire d'origine. Le client, c'est à dire le dispositif qui a initié la connexion "voit" le destinataire.

Par ailleurs, l'API de l'A.O.S permet de connaître l'adresse et le port de destination d'origine. Ceci permet donc aux services de se connecter à l'adresse. Toutefois ceci n'est pas obligatoire car le service peut traiter la connexion par ses propres moyens ou se connecter sur une autre adresse et/ou à un autre port.

Le premier cas se produit par exemple lorsque le service HTTP de BoostEdge répond aux requêtes au moyen de son code. Le second cas se produit dans le cas du Load-Balancing.

Spider: le mode coopératif

Lorsqu'une ActivStation se connecte à une adresse IP quelconque, elle est capable de déterminer si une autre ActivStation se trouve sur le trajet et si la connexion a été interceptée pour cette ActivStation. Ceci permet de faire coopérer des ActivStation sans connaissance à priori de la topologie du réseau et donc sans configuration.

Ce mode cooperatif est utilisé par SpiderOne afin d'encapsuler les protocoles et de les décompresser.

L'avantage de ce système est immédiat. La plupart des protocoles ne sont pas prévues pour négocier une compression (FTP, Telnet, SNMP...). Il n'est donc pas possible de compresser en mode central comme pour le protocole HTTP. Il est nécessaire "d'encapsuler" le protocole pour lui appliquer une compression ou du cryptage.

SpiderOne utilise le mécanisme d'auto reconnaissance des ActivStation Il n'est par conséquent pas nécessaire de les configurer afin d'indiquer l'équipement qui se trouve en vis-à-vis.

ActivStation et Services

La transparence IP est le coeur de la technologie de l'ActivStation Le mécanisme de transparence IP permet à un programme, fonctionnant en " USER LAN " de reprendre une connexion, traiter la donnée, et réinjecter la donnée dans le réseau. Comme un programme qui est compatible avec l'architecture ActivStation et ses API est un service.

l'ActivStation implémente actuellement la transparence IP. C'est une appliance puissante et dédiée qui embarque l'architecture système dans laquelle tournent les services. L'architecture système est dérivée d'un noyau Unix avec une Pile IP spécifique qui permet la transparence. L'ActivStation expose une API utilisée par les services afin de manipuler les connexions.

L'ActivStation comporte également deux ports éthernet gigabits, la carte réseau "fail over". Quand l'ActivStation n'est pas allumée, la carte "fail over" devient l'équivalent d'un simple câble: les deux ports sont électroniquement reliés et le signal éthernet traverse la carte.

La connexion interceptée est configurée par un ensemble de règles. Une règle définit un ensemble de sources IP et un ensemble de destinations IP et ports. Elle indique également quel service sera concerné pour le traitement.

Le mécanisme d'interception, que l'on appelle interception bridge, est le coeur de l'ActivStation. Il est responsable de l'examen des paquets, les comparant aux règles d'interception, et pour celles qui matchent, les passe au service associé.

Par exemple, si nous souhaitons intercepter une connexion depuis le réseau 192.186.5 vers un serveur SMTP 192.168.1.50 et configurons un service pour la traiter, la règle ressemble :

192.168.5.* — 192.168.1.50:25 → 8

Dans la figure ci-dessous, la première connexion sera traitée, car la règle d'interception matche. La deuxième connexion ne matchant pas la règle mise en place, elle passe sans être traitée. Elle est bridgée.

Les connexions ne matchant aucune règle d'interception sont simplement renvoyées d'un port vers un autre. Dans ce cas, le paquet est simplement copié au niveau noyau. Dans ce cas, l'appliance agit comme un switch à la vitesse du réseau.

C'est typiquement une règle d'interception pour un service de détection de spam.

Le mode transparent facilite l'insertion d'un service devant un où plusieurs serveurs. La condition obligatoire étant qu'il doit exister une route physique unique où passe l'ensemble du trafic entre les serveurs et le reste du réseau. Dans les faits, cette route est un simple câble Ethernet.

Les services peuvent être déployés de façon incrémentale en ajoutant des règles d'interception. Un service peut être testé pour un seul poste (une seule source IP). Puis généralisé pour un ensemble d'adresses IP.

Exemple

Dans la configuration initiale, il y a 3 serveurs connectés au réseau à travers un switch.

l'ActivStation est insérée entre le switch et le réseau. Le câble Ethernet est déconnecté du switch et connecté sur l'un des deux ports de l'ActivStation.

La seule chose à faire est de "couper" le câble et de faire une "épissure" dans le sens de l'ActivStation