Navigatie overslaan.
Start

Fail open, Fail closed?

Als je netwerkapparatuur om de een of andere reden "inline" moet plaatsen (IDS, IPS, proxy, traffic shaper,...) is dat soms een risico, want als dit apparaat zou falen, dan wordt de netwerkconnectie onderbroken.
Gelukkig is daar een oplossing voor...

De meeste apparatuur die inline geplaatst wordt heeft een speciale netwerkkaart die, als het apparaat uitgeschakeld is, een gesloten circuit vormt, zodanig dat de twee aangesloten apparaten rechtstreeks met elkaar verbonden zijn. Meestal kan men op het apparaat zelf instellen wat er moet gebeuren bij een failure: "Fail Open", of "Fail Closed".

Een Proxyserver die enkel caching doet, mag er zonder problemen tussenuit vallen bij een failure. (Je moet natuurlijk wel monitoren om te weten dat er een failure is opgetreden.)
Doet die proxy echter als enige ook anti-virus en scanning, dan is het soms beter om wel alles te blokeren bij een failure.

En daar wringt nu net het schoentje, want wat is wat?
Sommige vendors zien "Fail Open" en "Fail Closed" als een deur: Open wil zeggen traffiek kan door, en omgekeerd, terwijl andere vendors "Fail Open" en "Fail Closed" zien als een electrisch circuit: "Fail Closed" wil zeggen dat de traffiek door mag.

Gelukkig staat dit meestal wel uitgelegd in de handleiding, en moet je dit toch testen, want er zijn enkele bemerkingen...

In normale omstandigheden, zal deze bridgecard zich voordoen als 2 aparte NICs. Dat wil zeggen: Met autodetection van speed, duplex en polariteit.
Je moet er dus voor zorgen dat je de juiste kabels gebruikt (crossed of straight) al naargelang van de aangesloten apparatuur, maar ook dat de duplex en speed settings van die apparaten overeenkomen. (Vergeet niet dat 2 crossed kabels, hetzelfde gaat ziijn als 2 straight kabels bij een failure.)
10Mb/HD aan de ene kant, en 100Mb/FD aan de andere zal werken zolang het inline aparaat ook werkt, maar bij een failure zal de link falen, want de settings komen niet meer overeen.

Ten tweede moet je ook denken aan de rest van je failover omgeving als je die hebt.
Stel dat je een inline apparaat, een IPS, geplaatst hebt tussen je router en je firewall.
Als nu om de een of andere reden de link van de firewall down gaat, dan gaat nog niet noodzakelijk de link down van de router, aangezien de IPS ertussen staat en mooi blijft werken.
Als de failover van de router enkel gebeurt als de link down gaat, ga je heel lang mogen wachten...

Gelukkig is ook hier een oplossing voor.
De meeste van dergelijke inline apparaten kunnen (link) failures aan de ene zijde simuleren als ze aan de andere zijde optreden, zelfs corrupte datapacketjes!
In het bovenstaande geval zal de IPS de link naar de router zelf down brengen, als de link naar de firewall down is gegaan, en terug up brengen als de link aan de andere zijde ook terug up komt.