Устройство изменения пути прохождения трафика для обработки

Настоящее техническое решение относится к области работы с цифровой информацией, передаваемой по сети передачи данных. Предложено устройство для изменения пути прохождения трафика для обработки. Сущность которого, заключается в применении устройства имеющего физические интерфейсы, которые используются для подключения к сети передачи данных. С данных интерфейсов, модулем захвата трафика, берется сам трафик, путь которого был изменен путем применения методов изменения пути прохождения трафика, которые реализованы в программно-аппаратном блоке работы с сетевыми протоколам взаимодействия открытых систем (OSI). Полученный трафик перенаправляется либо ответвляется на системы обработки трафика. Техническим результатом, обеспечиваемым представленным техническим решением, является упрощенное подключение устройств обработки цифровой информации к сети передачи данных, которое осуществляется без изменения системы организации, системы работы и конфигурации сети передачи данных.

Область техники

Настоящее техническое решение относится к области работы с цифровой информацией, передаваемой по сети передачи данных, а именно к системам захвата, перенаправления или ответвления трафика методом изменения пути его прохождения с целью пропускания передаваемой информации через системы фильтрации, защиты от сетевых атак, анализа, архивирования или другие различные системы обработки цифровой информации. Заявляемое техническое решение может быть использовано, в сетях передачи данных различного масштаба.

Уровень техники

Из предшествующего уровня техники известно техническое решение по захвату трафика путем установки устройства в разрыв сети с целью контроля трафика и обеспечения безопасности проходящей цифровой информации (патент SECURE COMPUTER NETWORK WITH A NETWORK SCREEN, US 20020087889 A1, G06F 11/30, опубликовано 04.06.2002; патент ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ С МЕЖСЕТЕВЫМ ЭКРАНОМ И МЕЖСЕТЕВОЙ ЭКРАН RU 2214623, G06F 15/163 опубликовано 20.10.2003). Также известно устройство по обеспечению сетевой безопасности (патент NETWORK SECURITY APPLIANCE US 20120151558 A1, G06F 21/00, опубликовано 14.06.2012). Самым главным недостатком, предложенных решений по части захвата трафика, является установка устройства в разрыв сети, что влечет за собой изменение системы организации и системы работы защищаемой сети, которое неминуемо приводит к большим трудозатратам обслуживающего персонала сети, а так же прекращению нормального функционирования сети на время, необходимое для установки системы.

Наиболее близким к заявленному техническому решению является система захвата, анализа и хранения передаваемой по сети информации, которая использует устройство захвата трафика методом прослушивания ключевого сегмента сети (патент SYSTEM AND METHOD FOR THE CAPTURE AND ARCHIVAL OF ELECTRONIC COMMUNICATIONS, US 20080034049 A1, G06F 15/16 опубликовано 07.02.2008). В данном техническом решении подключение устройства для захвата трафика осуществляется не в разрыв сети, а путем подключения к ключевому сегменту сети посредством физического интерфейса подключения, выполненного в виде сетевого адаптера. Устройство состоит из физического интерфейса подключения, модуля работы со стеком протоколов TCP/IP, который соединен с модулем захвата трафика, передающего захваченный трафик на узлы анализа и архивирования захваченного трафика. Недостатками данного технического решения являются: использование для захвата трафика прослушивающего режима физического интерфейса подключения к сети, что влечет за собой необходимость выбора места подключения к сети, оно должно быть в ключевом сегменте, пропускающем весь трафик, который необходимо обрабатывать; невозможность применения данной системы на коммутируемой сети, так как в устройстве используется режим подключения к сети посредством физического интерфейса, работающего в режиме прослушивания, а такое решение не применимо на коммутируемой сети, так как не будет выполнять свою главную функцию по перехвату всего трафика; невозможность фильтрации и удаления вредоносной информации, так как процедура захвата трафика заключается в простом прослушивании, без изменения направления прохождения трафика сети для его обработки.

Раскрытие полезной модели

Технической задачей, на решение которой направленно заявляемое техническое решение, является подключение устройства к сети передачи данных без внесения изменений в систему организации, систему работы и конфигурацию самой сети, с целью захвата и перенаправления либо ответвления трафика для обработки.

Данная задача решается за счет того, что заявляемое устройство изменения пути прохождения трафика для обработки, содержащее входной и выходной физические интерфейсы, используемые для подключения к сети передачи данных, соединенные с модулем захвата трафика, имеющем в своем составе интерфейс подключения систем обработки захваченной информации, отличающееся тем, что с целью упрощения подключения устройства к сети передачи данных, в модуль захвата трафика добавлен программно-аппаратный блок работы с сетевыми протоколами модели взаимодействия открытых систем (OSI), который реализует методы изменения пути прохождения трафика, добавляя либо подставляя в обычный маршрут прохождения трафика устройство обработки информации, используя для этого протоколы определения адреса, такие как ARP, его модификации и аналоги, применяемые на определенных уровнях модели взаимодействия открытых систем. В качестве модуля для подключения к сети передачи данных, может быть использован один совмещенный входной/выходной интерфейс. В качестве процедуры, выполняемой программно-аппаратным блоком, могут быть процедуры захвата или ответвления трафика сети, а также процедура возврата трафика через подготовленные сетевые туннели.

Техническим результатом, обеспечиваемым приведенной совокупностью признаков, является упрощенное подключение устройств обработки цифровой информации к сети передачи данных, которое осуществляется без изменения системы организации, системы работы и конфигурации сети передачи данных.

Краткое описание чертежей

Сущность заявляемого технического решения поясняется чертежами, на которых изображены:

На Фиг.1 - Структурная схема устройства изменения пути прохождения трафика для обработки;

На Фиг.2 - Типовая схема подключения к сети передачи данных устройства изменения пути прохождения трафика для обработки;

На Фиг.3 - Блок схема процесса работы устройства изменения пути прохождения трафика для обработки.

На Фиг.4 - Пример изменения таблиц соответствия физических и сетевых адресов.

Осуществление полезной модели

Устройство изменения пути прохождения трафика для обработки имеет структурную схему, показанную на Фиг.1 и состоит из входного физического интерфейса (101) и выходного физического интерфейса (102), выполненных в виде сетевых адаптеров, имеющих физические адреса, обладающих пропускной способностью, необходимой для решения поставленных задач и возможностью работы с пакетами информации, имеющими установленные тэги виртуальной сети (VLAN), а так же модуля захвата трафика (103), имеющего в своем составе программно-аппаратный блок работы с сетевыми протоколами модели взаимодействия открытых систем OSI (104), который управляется, настраивается и контролируется модулем управления и настройки (106). Также модуль захвата трафика имеет интерфейс соединения с системами обработки перенаправляемого или ответвляемого трафика (105), через который происходит передача трафика для обработки от модуля захвата (103) к системе обработки трафика (107). Конструктивно устройство может быть выполнено как раздельно, так и совместно с системой обработки трафика.

Работает устройство следующим образом. Типовая схема подключения заявляемого устройства к сети передачи данных показана на Фиг.2. Заявляемое устройство изменения пути прохождения трафика для обработки (201) подключается к сетевому коммутатору (203) посредством физических входного (212) и выходного (213) интерфейсов. Также посредством интерфейса соединения с системами обработки (214), заявляемое устройство подключается к системе обработки информации (205). Типовая сеть, к которой подключается заявляемое устройство, может состоять из маршрутизирующих устройств (202, 204), коммутирующих устройств (203), оконечных устройств (206-211), таких как рабочие станции, серверы, принтеры и другие устройства, имеющие возможность подключения к сети передачи данных. Следует отметить, что устройства, подключенные к сети, могут передавать информацию, пакеты которой могут иметь теги виртуальной сети (VLAN). В зависимости от использования или не использования тегированной информации, типы соединений делятся на соединения типа trunk (215), имеющие возможность работать с тегированной информацией, и соединения типа access (216, 217), не работающие с тегированной информацией, либо работающие только с единственным тегом, обозначающим номер виртуальной сети (VLAN), в которой работает устройство. Заявляемое устройство имеет физические интерфейсы, работающие с тегированной информацией, поэтому подключается к сети соединениями типа trunk. Также следует отметить, что схема организации сети, представленная на Фиг.2, является частным случаем и служит только для пояснения принципа подключения заявляемого устройства. В сфере применения данного технического решения, сеть может иметь различную схему организации, различный набор устройств и связей между ними, соответствующих стандартам построения сетей передачи данных.

Процесс работы заявляемого устройства состоит и нескольких этапов, блок схема этого процесса показана на Фиг.3. После подключения заявляемого устройства к сети передачи данных, устройство начинает работать (301). Первой процедурой, которую оно выполняет, является инициализация работы (302), включающая в себя определение и применение настроек, сделанных модулем управления и настройки (106), показанным на Фиг.1. Данные настройки указывают заявляемому устройству, в трафике каких узлов сети необходимо изменить путь прохождения для обработки, а так же номера виртуальных сетей (VLAN), если такие сети присутствуют, в которых данные устройства находятся. После выполнения настроек и определения узлов, устройство начинает составлять таблицу соответствия физических адресов узлов их сетевым адресам (303-306), для ARP протокола данной таблицей является ARP-таблица. Выполнение данной процедуры происходит за счет посылки широковещательных запросов, для определения физических адресов устройств, в физическую сеть или если используются виртуальные сети, то виртуальную сеть (VLAN), содержащую узлы, для которых необходимо определить физические (MAC) адреса, с указанием сетевых (IP) адресов данных узлов. На данные запросы устройство получает ответы с указанием физических адресов (MAC), которые заносятся в таблицу соответствия физических и сетевых адресов (ARP-таблица). Если, через определенный промежуток времени, узел не ответил на запрос, он помечается как недоступный. Данная процедура повторяется для всех физических и виртуальных сетей (VLAN), выбранных при инициализации устройства. После составления ARP-таблицы, заявляемое устройство начинает процесс (307-314) по изменению пути прохождения трафика, который происходит следующим образом. Выбирается пара узлов сети (308), передающих трафик, путь прохождения которого необходимо изменить и перенаправить для обработки в систему обработки трафика. Сразу после выбора пары узлов (308), происходит проверка на признак активности процесса по изменению пути прохождения трафика (309), который устанавливается модулем управления и настройки (106) и служит для остановки процесса работы заявляемого устройства. Если данный признак указывает на активность процесса, то работа устройства продолжается, если признак указывает на остановку процесса, то работа устройства завершается (315-317). После положительной проверки на активность процесса по изменению пути прохождения трафика, проверяется доступность выбранной пары узлов (310), то есть проверяется отметка о доступности, которая устанавливается при составлении ARP-таблицы. Если узлы недоступны, то выбирается следующая пара узлов (313) и этапы 308-310 повторяются. Если узлы доступны, то начинается процедура отправки служебных сообщений этим узлам (311), о новом пути прохождения трафика, посредством протокола ARP, его модификаций или аналогов. Данную процедуру можно объяснить на примере. Допустим, маршрутизатор (202), показанный на Фиг.2, имеет сетевой адрес A и физический адрес A, оконечное устройство (206) имеет сетевой адрес B и физический адрес B, а заявляемое устройство (201) имеет сетевой адрес C и физический адрес C входного физического интерфейса (212), а так же сетевой адрес D и физический адрес D выходного физического интерфейса (213). До начала процесса по изменению пути прохождения трафика, таблицы соответствия физических и сетевых адресов у маршрутизатора (202) и оконечного устройства (206) выглядят, как показано на Фиг.4; 401 отражает таблицу для маршрутизатора, а 402 для оконечного устройства. Как видно из таблиц, сетевые адреса, рассматриваемых узлов сети, соответствуют физическим адресам, на которых они находятся, и трафик проходит напрямую от маршрутизатора (202) к оконечному устройству (206). После запуска процесса по изменению пути прохождения трафика, заявляемое устройство начинает посылать служебные сообщения (218, 219), о новом пути прохождения трафика, посредством протокола ARP, его модификаций или аналогов. Эти сообщения посылаются каждому узлу, участвующему в передаче трафика, путь которого необходимо изменить, и сообщают о новом пути прохождения. При чем, в выше описанном примере, для маршрутизатора (202) посылается сообщение (218), информирующее о том, что оконечное устройство (206), имеющее сетевой адрес B, находится на физическом адресе C. A для оконечного устройства (206) отправляется сообщение (219), информирующее о том, что маршрутизатор (202), имеющий сетевой адрес A, находится на физическом адресе D. Таким образом, маршрутизатор (202) и оконечное устройство (206), после получения служебных сообщений от заявляемого устройства, меняют свои таблицы соответствия физических и сетевых адресов, таким образом, что после изменения, они выглядят, как показано на Фиг.4. Таблица 403 показывает измененную таблицу маршрутизатора (202), а таблица 404 показывает измененную таблицу оконечного устройства (206). После данных изменений, маршрутизатор (202) и оконечное устройство (206) осуществляют передачу трафика между собой по новому маршруту, через входной (212) и выходной (213) физические интерфейсы заявляемого устройства. После этого, заявляемое устройство начинает получать указанный выше трафик на физические входной (212) и выходной (213) интерфейсы. После получения трафика, заявляемое устройство перенаправляет или ответвляет данный трафик для обработки (312) через интерфейс систем обработки трафика (105), который показан на Фиг.1, где сами системы обработки (107) выполняют с ним необходимые операции. Этот процесс повторяется для всех пар узлов, трафик которых необходимо обработать, до тех пор, пока не будет установлен признак остановки процесса по изменению пути прохождения трафика, проверка которого происходит на этапе 309. Установка данного признака производится модулем управления и настройки (106) в случае аварийного или планового завершения работы. После того, как признак остановки процесса по изменению пути прохождения трафика установлен, система переходит в завершающую стадию работы (315-317), где выбираются все пары узлов (315), трафик которых был перенаправлен либо ответвлен для обработки. Каждому узлу отправляются служебные сообщения, которые восстанавливают старый путь прохождения трафика, этот процесс является обратным процессу 311. После выполнения этапов с 315 по 317, работа заявляемого устройства прекращается (318). Следует отметить, что весь процесс работы заявляемого устройства, не требует внесения никаких изменений в систему организации и систему работы сети передачи данных, к которой заявляемое устройство подключается.

Таким образом, заявляемое устройство изменения пути прохождения трафика для обработки, подключается к сети передачи данных, и перенаправляет, либо ответвляет трафик на системы обработки трафика, без изменения системы организации, системы работы и конфигурации сети передачи данных. Следует отметить, что в качестве систем обработки трафика могут выступать различные системы, как частный случай, эго могут быть системы защиты от сетевых атак, системы фильтрации трафика, системы архивирования и многие другие системы, работающие с цифровой информацией, проходящей по сетям передачи данных.

1. Устройство изменения пути прохождения трафика для обработки, содержащее входной и выходной физические интерфейсы, используемые для подключения к сети передачи данных, соединенные с модулем захвата трафика, имеющим в своем составе интерфейс подключения систем обработки захваченной информации, отличающееся тем, что, с целью упрощения подключения устройства к сети передачи данных, в модуль захвата трафика добавлен программно-аппаратный блок работы с сетевыми протоколами модели взаимодействия открытых систем (OSI), который реализует методы изменения пути прохождения трафика, добавляя либо подставляя в обычный маршрут прохождения трафика устройство обработки информации, используя для этого протоколы определения адреса, такие как ARP, его модификации и аналоги, применяемые на определенных уровнях модели взаимодействия открытых систем.

2. Устройство изменения пути прохождения трафика для обработки по п.1, отличающееся тем, что для подключения к сети передачи данных используется один совмещенный входной/выходной интерфейс.

3. Устройство изменения пути прохождения трафика для обработки по п.1, отличающееся тем, что программно-аппаратный блок работы с сетевыми протоколами различных уровней модели взаимодействия открытых систем выполняет процедуру захвата трафика для обработки.

4. Устройство изменения пути прохождения трафика для обработки по п.1, отличающееся тем, что программно-аппаратный блок работы с сетевыми протоколами различных уровней модели взаимодействия открытых систем выполняет процедуру перенаправления трафика для обработки.

5. Устройство изменения пути прохождения трафика для обработки по п.1, отличающееся тем, что программно-аппаратный блок работы с сетевыми протоколами различных уровней модели взаимодействия открытых систем выполняет процедуру возврата трафика через подготовленный сетевой туннель.