NBAR یا Network Based Application Recognition چیست ؟

همیشه تا حرفی از روتر به میان می آید لایه سوم مدل OSI در ذهن ما تداعی می شود ، Cisco NBAR یک قابلیت بسیار جالب در برخی از روترهای شرکت سیسکو است که این امکان را به روتر شما می دهد که بتواند به ترافیک لایه های بالاتری مانند لایه های 4 تا 7 نگاه کند. این بدین معناست که روتر هم می تواند Application ها را تشخیص دهد ، شاید در حرف ساده به نظر برسد اما در عمل بدین معناست که روتر شما می تواند ترافیک انواع Application ها را شناسایی کند و بر اساس همین شناسایی اعمالی را روی این ترافیک می تواند انجام دهد ، برای مثال می تواند اولویت ترافیکی بیشتری به یک سری از Application ها بدهد یا ترافیک یک سری از Application ها را کاملا مسدود کند و یا بسیاری دیگر از اعمالی از این قبیل را بتواند انجام دهد.

NBAR از IOS 12.0 به روترهای سیسکو اضافه شد اما در اوایل کار از Application های زیادی پشتیبانی نمی کرد تا اینکه IOS 12.3 ارائه شد که در این نسخه از IOS پیشرفت های بسیار زیادی در NBAR دیده می شد ، در نسخه جدید از NBAR تعداد بسیار زیادی از Application ها قابل شناسایی بودند زیرا قابلیت دیگری به نام Packet Description Language Module یا ماژول PDLM به IOS اضافه شده بود. IOS با استفاده از ماژول PDLM متوجه می شود که یک Application چیست و این را با استفاده از نگاه کردن به Traffic Flow تعیین می کند. سیسکو هر چند وقت یکبار مانند یک پایگاه داده یک PDLM جدید برای شناسایی Application های جدید معرفی می کند که شما براحتی می توانید آن را اینترنت دانلود و بر روی روتر های خود نصب کنید.

در چه مواقعی می توانیم از Cisco NBAR استفاده کنیم ؟


با اینکه ذاتا NBAR برای شناسایی Application ها برای ایجاد کردن و طراحی ساختار Quality Of Service یا QoS استفاده می شود اما کاربردهای بسیار زیاد دیگری نیز دارد. به نظر من با توجه به اینکه به تازگی در یکی از پروژه های امنیتی که داشتیم بسیاری از کاربردهای NBAR برای کنترل کردن ترافیک برای مسائل امنیتی می باشد ، کنترل کردن ترافیک های ناخواسته و همچنین کنترل کردن امنیتی ترافیک روترها از مهمترین کاربردهای NBAR است. زمانیکه صحبت از شناسایی ترافیک می شود محبوبترین نوع شناسایی ترافیک ، شناسایی فیلند های موجود در Packet ها پروتکل HTTP است ، فیلد هایی مثل URL ، Content Type یا User Agent از مهمترین این فیلد ها هستند. برای مثال ساده ترین حالتی که ما از NBAR برای اهداف امنیتی استفاده می کنیم این است که NBAR متوجه ورود کرم اینترنتی به نام Code Red Worm در ترافیک روتر شما می شود ، این کد را NBAR از طریق رد و بدل شدن سریع کدهای HTTP می تواند متوجه شود ، این نوع کرم اینترنتی در سال 2001 در اینترنت منتشر شد و شبکه های بسیاری را آلوده کرد.

وقتی شما در شبکه خود قایروال نسل جدید ندارید و از فایروال های قدیمی استفاده می کنید که نمی توانند داخل HTTP را مشاهده کنند و جلوی ورود چنین کدهای مخربی را بگیرند NBAR واقعا کاربردی است. مثلا در شبکه انجمن تخصصی فناوری اطلاعات ایران در زمانیکه ما از فایروال های قدیمی استفاده می کردیم از NBAR به عنوان یک نوع WAF در شبکه استفاده می کردیم. معمولا هرگونه ترافیکی که در لایه Application ایجاد شود و از جانب NBAR دارای Definition یا تعریف باشد قابل شناسایی است. برای بدست آوردن بروز ترین لیست پروتکل های پشتیبانی شده توسط NBAR می توانید به این لینک با عنوان Cisco NBAR Supported Protocols مراجعه کنید. چند کار است که NBAR نمی تواند آنها را انجام دهید و باید به آنها توجه کنید ، شما نمی توانید NBAR را روی interface های encrypt شده و tunnel شده استفاده کنید و همچنین شما نمی توانید ترافیک داخل HTTPS و URL هایی که از SSL استفاده می کنند استفاده کنید. امیدوارم مورد توجه شما قرار گرفته باشد. ITPRO باشید

نویسنده : محمد نصیری

منبع : جزیره سیسکو وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#مانیتورینگ_ترافیک_شبکه #کاربرد_ماژول_pdlm #مانیتورینگ_روتر_سیسکو #nbar_چیست #تفاوت_routed_protocol_و_routing_protocol
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....