Sieci > Bezpieczeństwo > Rozwiązania firmy Cisco > Cisco PIX Firewall
Kontrola dostępu Zapobieganie atakom Konfiguracja i administracja
Ściany ogniowe z rodziny PIX (ang. Private Internet Exchange) stanowią zintegrowane rozwiązanie sprzętowo-programowe, które pozwala na dobre i łatwe w konfiguracji zabezpieczenie sieci wewnętrznej. Programowe ściany ogniowe wykorzystują złożone i skomplikowane systemy operacyjne ogólnego przeznaczenia. Nie stanowią one odpowiedniej platformy dla systemów bezpieczeństwa i są często celem ataków. Zastosowany w urządzeniach PIX własny, wbudowany system operacyjny jest prostszy, bezpieczniejszy oraz łatwiejszy w obsłudze i utrzymaniu. Zmniejszenie złożoności systemu operacyjnego przekłada się także na zminimalizowanie ryzyka wystąpienia błędów programistycznych [1]. Należy zaznaczyć, że nie jest to system otwarty, jego architektura jest tajna. Firma Cisco oferuje bogatą gamę firewalli skierowaną do szerokiego grona klientów, od domowych użytkowników po wymagające wysokiego poziomu bezpieczeństwa przedsiębiorstwa. Najwydajniejsze z urządzeń rodziny PIX posiadają przepustowość rzędu 1.7 Gbps i pozwalają na utrzymanie do 500 tysięcy jednoczesnych połączeń [1].
Firewalle PIX chronią sieć wewnętrzną przed nieautoryzowanym dostępem z sieci zewnętrznej. Polityka bezpieczeństwa musi gwarantować, że cały ruch sieciowy pomiędzy siecią wewnętrzną i zewnętrzną odbywa się przez ścianę ogniową. W takich warunkach firewall będzie mógł efektywnie spełniać swoją rolę decydując kto i na jakich prawach może mieć dostęp do sieci. Zadanie to ściany ogniowe PIX realizują na wielu poziomach, wykorzystują różne technologie.
Każdy z portów sieciowych ma przypisany poziom bezpieczeństwa i unikalną nazwę. Wszystkie modele z rodziny PIX posiadają co najmniej dwa takie porty. Domyślnie Ethernet0 nazywany jest zewnętrznym (ang. outside) i ma poziom bezpieczeństwa 0, a Ethernet1 nazywany jest wewnętrznym (ang. inside) i ma poziom bezpieczeństwa 100. W typowej konfiguracji (rysunek 4.1) chroniona sieć wewnętrzna jest podłączana do portu wewnętrznego, a publiczna sieć Internet do portu zewnętrznego. Połączenia inicjowane z sieci wewnętrznej są przepuszczane, a blokowane są próby nawiązywania połączeń z sieci Internet.
Rysunek 4.1 Typowa konfiguracja ściany ogniowej PIX z dwoma portami sieciowymi
Większość ścian ogniowych PIX potrafi dodatkowo chronić jedną lub więcej sieci peryferyjnych. Sieci takie, zwane też strefami zdemilitaryzowanymi, strzeżone są mniej restrykcyjnie niż sieci wewnętrzne. Bezpieczeństwo każdej z takich stref może być łatwo określone poprzez przypisanie odpowiedniego poziomu bezpieczeństwa z zakresu od 0 do 100. W sieciach peryferyjnych najczęściej umieszcza się serwery, które świadczą usługi na potrzeby użytkowników Internetu (rysunek 4.2). Taka lokalizacja pozwala na ochronę serwerów i kontrolowanie dostępu do nich zgodnie z zaplanowaną polityką bezpieczeństwa.
Rysunek 4.2 Ochrona sieci peryferyjnej
Algorytm analizy pakietów ASA (ang. Adaptive Security Algorithm) chroni wewnętrzne i peryferyjne sieci podłączone do ściany ogniowej przed nieautoryzowanym dostępem. Mechanizm ten realizuje dynamiczne (stanowe) filtrowanie przechodzących pakietów. Wymaga to większych zasobów i jest bardziej złożone od prostego filtrowania, ale jednocześnie zapewnia wyższy poziom bezpieczeństwa. Architekturę analizy pakietów TCP przedstawia rysunek 4.3, pakiety UDP analizowane są w podobny sposób. Do realizacji filtrowania ASA wykorzystuje informacje pochodzące z trzech źródeł:
- listy kontroli dostępu (ang. Access Control Lists) – używane do uwierzytelniania i autoryzacji połączeń,
- inspekcje (ang. Inspections) – zawierają predefiniowany zbiór funkcji przeprowadzających inspekcje na poziomie aplikacji,
- połączenia (ang. Connections) – przechowują stan i inne informacje dotyczące nawiązanego połączenia.
Rysunek 4.3 Architektura analizy pakietów TCP [1]
1. Pakiet TCP SYN dociera do firewalla, aby nawiązać nowe połączenie.
2. Firewall sprawdza listy dostępu (ACL) i ustala czy połączenie jest dozwolone.
3. Firewall tworzy nowy wpis w bazie połączeń.
4. Firewall sprawdza bazę inspekcji, aby sprawdzić czy połączenie wymaga inspekcji na poziomie aplikacji.
5. Po zakończeniu przez funkcję dokonującą inspekcji wszystkich wymaganych operacji pakiet przekazywany jest do docelowego serwera.
6. Docelowy system odpowiada na inicjujące żądanie.
7. Firewall odbiera pakiet stanowiący odpowiedź, sprawdza połączenie w bazie połączeń i przekazuje pakiet do klienta, ponieważ należy on do wcześniej ustanowionej sesji.
Zbiór funkcji przeprowadzających inspekcje powiązany jest z numerami odpowiednich portów TCP i UDP, co pozwala na wyspecjalizowaną analizę każdego z protokołów (tabela 4.1). Dla pewnych protokołów i aplikacji można zmienić przypisany port oraz włączyć lub wyłączyć przeprowadzanie inspekcji. Należy zaznaczyć, że nie dla wszystkich aplikacji funkcje przeprowadzające inspekcje współpracują z translacją adresów i portów sieciowych.
Tabela 4.1 Inspekcja na poziomie aplikacji najpopularniejszych protokołów [1]
Ściany ogniowe PIX pozwalają na translacje adresów i portów sieciowych. Dynamiczna translacja wewnętrznych adresów sieciowych (ang. inside dynamic NAT) pozwala ukryć architekturę chronionej sieci i współdzielić zbiór adresów IP. Adresy w pakietach przychodzących z portu sieciowego o wyższym poziomie bezpieczeństwa są zamieniane na adresy z ustalonego wcześniej zbioru. Tak zmodyfikowane pakiety trafiają do portu sieciowego o niższym poziomie bezpieczeństwa. W sytuacji, kiedy serwer umieszczony w sieci wewnętrznej ma być dostępny w sieci zewnętrznej mamy do dyspozycji statyczną translację wewnętrznych adresów sieciowych (ang. inside static NAT). Może się także zdarzyć, że liczba żądań połączeń z sieci wewnętrznej do zewnętrznej przekroczy liczbę dostępnych adresów IP. Wówczas nie wszystkie połączenia będą mogły być realizowane w tym samym czasie. Rozwiązaniem tego problemu może być dynamiczna translacja wewnętrznych portów i adresów (ang. inside dynamic PAT), która umożliwia wewnętrznym użytkownikom współdzielenie jednego zewnętrznego adresu IP.
Nowością wprowadzoną w wersji 6.2 jest translacja zewnętrznych adresów i portów sieciowych. Dynamiczna translacja zewnętrznych adresów sieciowych (ang. outside dynamic NAT) jest bardzo użyteczna przy łączeniu sieci prywatnych, w których adresy IP zachodzą na siebie. Technologia ta pozwala również kontrolować adresy IP, które pojawiają się na wewnętrznym porcie sieciowym firewalla PIX. Statyczna translacja zewnętrznych adresów sieciowych (ang. outside static NAT) umożliwia stałą wymianę adresów, a dynamiczna translacja zewnętrznych adresów i portów (ang. outside dynamic PAT) pozwala używać jednego wewnętrznego adresu IP wszystkim zewnętrznym użytkownikom.
Jednym z mechanizmów, który zapewnia ścianom ogniowym firmy Cisco tak dużą wydajność jest Cut-Through Proxy [1] (rysunek 4.4). Technologia ta wykorzystuje zupełnie inną filozofię przetwarzania pakietów. W konwencjonalnych serwerach proxy każdy pakiet podlega kontroli na poziomie aplikacji modelu OSI. Jest to złożona, czasochłonna operacja, która bardzo obciąża firewalle stosujące tą technologię. Pakiet musi zostać przesłany na sam szczyt stosu TCP/IP, a potem w razie pomyślnej autoryzacji wraca tą samą drogą w dół stosu. W ścianach ogniowych z rodziny PIX wygląda to zupełnie inaczej. Podczas nawiązywania sesji transmisji dokonywane jest uwierzytelnianie i autoryzacja połączenia z wykorzystaniem bazy danych serwera TACACS+ lub RADIUS. Po pomyślnej autoryzacji połączenia dokonywany jest wpis w dynamicznej tablicy połączeń. W dalszej komunikacji sprawdzany jest tylko ten wpis, co zapewnia, że wszystko przebiega szybko i efektywnie. Cut-Through Proxy pozwala, aby połączenia były uwierzytelniane na podstawie identyfikatora użytkownika i hasła. Możliwe jest jednak również wykorzystanie haseł jednorazowych (ang. one-time dynamic passwords) lub znaczników uwierzytelniających (ang. security tokens). Jednym z najpopularniejszych systemów haseł jednorazowych jest protokół S/Key firmy Bellcore [6].
Rysunek 4.4 Działanie Cut-Through Proxy [1]
1. Klient próbuje nawiązać nowe połączenie.
2. Firewall blokuje połączenie.
3. Firewall uwierzytelnia i autoryzuje użytkownika na serwerze RADIUS lub TACACS+.
4. Firewall inicjalizuje połączenie do serwera.
5. Komunikacja pomiędzy klientem i serwerem.
Firewalle PIX umożliwiają różne sposoby uwierzytelniania i autoryzacji połączeń. Jedną z możliwości stanowi współpraca ściany ogniowej z serwerami AAA. Serwery AAA udostępniają scentralizowany mechanizm uwierzytelniania, autoryzacji i ewidencjonowania użytkowników. Firewalle PIX potrafią współpracować z serwerami TACACS+ lub RADIUS. Podczas konfiguracji wprowadza się adres serwera AAA wraz z kluczem. Wówczas kontrola dostępu dla protokołów FTP, Telnet lub HTTP jest obsługiwana przez serwer AAA.
Innym sposobem kontroli dostępu są listy dostępu (ang. Access Lists), które opierają się na typie protokołu, adresie i porcie źródłowym oraz adresie i porcie docelowym. Nowością wprowadzoną w wersji 6.2 są szybkie listy dostępu (ang. TurboACL), które umożliwiają szybsze wyszukiwanie w listach zawierających duże ilości wpisów. Przyśpieszenie wyszukiwania uzyskiwane jest w wyniku kompilacji list dostępu, co wymaga odpowiedniej ilości pamięci. Szybkie listy dostępu potrafią obsługiwać do 16 tysięcy wpisów [1].
Nową możliwością jaka pojawiła się w wersji 6.2 jest grupowanie obiektów (ang. Object Grouping). Własność ta pozwala zredukować liczbę reguł opisujących złożoną politykę bezpieczeństwa. Przykładowo firewall może pozwolić klientowi A na dostęp do usługi B na serwerze C. Sytuację tą opisywać będzie jedna reguła, ale w przypadku większej liczby klientów, usług i serwerów liczba reguł rosnąć będzie wykładniczo. W takich właśnie sytuacjach zastosowanie znajduje grupowanie obiektów. Grupowane mogą być następujące typy obiektów:
- protokoły (grupa protokołów ICMP, TCP, UDP lub IP),
- usługi (grupa portów TCP lub UDP),
- wiadomości ICMP (grupa typów wiadomości ICMP),
- identyfikacja sieciowa (grupa komputerów lub podsieci).
Grupowanie może być również zagnieżdżane, co pozwala tworzyć logiczne struktury obiektów.
Firma Cisco opracowała wiele technologii, których celem jest maksymalne zabezpieczenie sieci przed znanymi typami ataków. Zabezpieczenia te wbudowane są w wiele elementów architektury bezpieczeństwa firmy Cisco i odnajdujemy je nie tylko w firewallach rodziny PIX.
Algorytm ASA sprawdza numery porządkowe w pakietach TCP, aby upewnić się czy znajdują się one we właściwym zakresie. ASA dokonuje też wyboru losowych wartości numerów porządkowych, aby w ten sposób zminimalizować ryzyko wystąpienia ataków wykorzystujących możliwość przewidywania tych numerów w pakietach TCP (ang. TCP sequence number attack).
Sprawdzanie drogi powrotnej (ang. Unicast Reverse Path Forwarding - Unicast RPF) pomaga filtrować pakiety ze sfałszowanymi adresami IP (ang. IP spoofing), które często wykorzystywane są przez ataki typu blokada usług. Warunkiem działania tej metody jest obecność danych służących do weryfikacji (ang. Forwarding Information Base - FIB), które są tworzone po włączeniu opcji CEF (ang. Cisco Express Forwarding). Działanie Unicast RPF polega na weryfikowaniu źródłowego adresu IP. W sytuacji, kiedy ścieżka powrotna jest odnajdywana pakiet przekazywany jest normalnie, w przeciwnym przypadku jest on wycinany. Rysunek 4.5 ilustruje działanie tej metody. Pakiet o adresie źródłowym IP 209.165.200.225 otrzymywany przez interfejs FDDI jest usuwany, ponieważ ścieżka powrotna nie została znaleziona.
Rysunek 4.5 Działanie Unicast RPF [1]
Flood Guard kontroluje liczbę prób uwierzytelnienia pozostających bez odpowiedzi, chroniąc w ten sposób serwer AAA przed atakiem typu DoS. Drugi mechanizm zapobiegający atakom tego typu na wewnętrzne serwery to Flood Defender. Chodzi tutaj o ataki wykorzystujące pakiety TCP SYN, które inicjalizują połączenie. W czasie konfiguracji ustala się maksymalną liczbę połączeń półotwartych (ang. half-open connection, embryonic connection). Połączenia tego typu powstają w sytuacji, kiedy serwer wyśle pakiet SYN-ACK w odpowiedzi na żądanie połączenia, ale nie otrzyma jeszcze potwierdzenia ACK od klienta. Flood Defender kontroluje liczbę takich właśnie połączeń. Po przekroczeniu ustalonego progu „zalążków połączeń” firewall odpowiada na każdy nowy pakiet TCP SYN w imieniu serwera. Pakiet przesyłany przez klienta jest wycinany, a firewall czeka na potwierdzenie od klienta. Dopiero po jego otrzymaniu PIX łączy się z serwerem w imieniu klienta, a następnie „związuje” oba połączenia (rysunek 4.6).
Rysunek 4.6 Przechwytywanie TCP (TCP Intercept)
1. Firewall przechwytuje pakiet SYN i nawiązuje połączenie z klientem w imieniu serwera.
2. Firewall nawiązuje połączenie z serwerem w imieniu klienta.
3. Firewall „związuje” oba połączenia, kontroluje dalszy przebieg nawiązanej sesji.
FragGuard i Virtual Re-assembly zapewniają ochronę przed atakami, które wykorzystują fragmentację pakietów IP. Zabezpieczenie polega na pełnej przebudowie wszystkich wiadomości błędów ICMP oraz na wirtualnej przebudowie pozostałych pakietów IP. Firewall czeka na wszystkie fragmenty pakietu IP, składa pakiet, a następnie sprawdza czy może on zostać przepuszczony. Jeśli tak to do celu przesyłane są otrzymane fragmenty, a nie złożony pakiet. Pokrywanie się pakietów IP oraz inne nieprawidłowości związane z fragmentacją IP są rejestrowane.
Kontrolki ActiveX są zestawami pewnych elementów funkcjonalnych umieszczonych w obiekcie COM (ang. Component Object Model). Obiekty takie są w pełni samowystarczalne, ale nie mają możliwości samodzielnego wykonywania się. Mogą one pracować tylko wewnątrz jakiegoś pojemnika ActiveX. Są one wykorzystywane przez różne aplikacje, a także umieszczane na stronach WWW. Wadą tej technologii jest jednak wiele potencjalnych problemów z bezpieczeństwem. Kontrolki ActiveX, jak również aplety języka Java mogą zawierać kod planowany do przeprowadzenia różnego typu ataków. Z tego powodu firewalle PIX dają możliwość filtrowania kontrolek ActiveX i apletów języka Java. Przy konfiguracji podaje się numer portu, zakres wewnętrznych adresów IP i zakres zewnętrznych adresów IP, co pozwala na zabezpieczenie określonych komputerów przed kontrolkami i apletami z wybranych serwerów WWW. Filtrowanie realizowane jest przez zastępowanie odpowiednich znaczników (<APPLET>, <OBJECT CLASSID>) komentarzami. W wyniku tej zamiany do klienta trafia zawartość strony WWW bez potencjalnie niebezpiecznych apletów języka Java i kontrolek ActiveX.
Dodatkową możliwość zabezpieczenia połączeń wychodzących daje filtrowanie adresów URL (ang. Uniform Resource Locator). Pozwala ono ograniczyć dostęp użytkowników do zasobów WWW. Ściany ogniowe PIX potrafią współpracować z dwoma aplikacjami filtrowania adresów URL [1]:
- Websense Enterprise (www.websense.com),
- N2H2 (www.n2h2.com).
W momencie, kiedy użytkownik wysyła żądanie HTTP PIX firewall wysyła je jednocześnie do serwera WWW i do serwera filtrowania. Jeśli serwer filtrowania wyda pozwolenie na połączenie przez klienta to jest ono przez firewall akceptowane. W przeciwnym przypadku klient jest kierowany do strony WWW, która informuje go, że dostęp do danej strony WWW jest zabroniony.
Firma Cisco posiada w swojej ofercie szeroką gamę ścian ogniowych z rodziny PIX. Poszczególne modele różnią się między sobą wydajnością, możliwościami i ceną. Tabela 4.2 przedstawia podstawowe parametry techniczne i orientacyjne ceny firewalli PIX.
Tabela 4.2 Specyfikacja techniczna Cisco PIX Firewall [1]
PIX firewall w wersji 6.3 obsługuje do szesnastu poziomów bezpieczeństwa. Do każdego z tych poziomów można przyporządkować wybrane polecenia CLI (ang. Command Line Interface), jak również użytkowników administrujących firewallem. Pozwala to na precyzyjne dostosowanie przywilejów dostępu do potrzeb osób zarządzających ścianą ogniową. Uwierzytelnianie oraz autoryzacja użytkowników i poleceń może odbywać się lokalnie w firewallu, ale możliwe jest też wykorzystanie w tym celu serwera AAA. Dostępne jest także rejestrowanie zdarzeń, na przykład historii użycia poleceń CLI.
Port konsoli pozwala pojedynczemu użytkownikowi na bezpośredni dostęp do ściany ogniowej, ale wygodniejszym rozwiązaniem jest dostęp zdalny. Taki dostęp możliwy jest wykorzystując Telnet, SSH lub przeglądarkę stron WWW. Podczas konfiguracji ustala się adresy IP komputerów z których taki dostęp będzie realizowany. Dostęp poprzez Telnet możliwy jest z dowolnego komputera w sieci wewnętrznej, a po konfiguracji protokołu IPSec także z portu sieciowego o niższym poziomie bezpieczeństwa. Alternatywną możliwość zdalnego dostępu daje SSH. PIX firewall potrafi obsłużyć do pięciu jednoczesnych połączeń z szyfrowaniem DES lub 3DES. Uwierzytelnianie i autoryzacja połączeń możliwa jest lokalnie lub z wykorzystaniem serwera AAA. PDM (ang. PIX Device Manager) pozwala na trzecią, najprostszą możliwość zdalnej administracji. Odbywa się ona z wykorzystaniem przeglądarki stron WWW. Dostęp do PDM zabezpiecza hasło, a połączenie jest szyfrowane (SSL). Dzięki PDM firewall może być konfigurowany i nadzorowany korzystając z graficznego interfejsu użytkownika (ang. Graphics User Interface - GUI). Ułatwia to pracę mniej doświadczonym administratorom ściany ogniowej, ponieważ obsługa PDM nie wymagana zaawansowanej znajomości składni poleceń CLI.
Śledzenie funkcjonowania ściany ogniowej możliwe jest także z wykorzystaniem protokołu SNMP (ang. Simple Network Management Protocol), który jest uniwersalnym protokołem pozwalającym na zdalne zarządzanie urządzeniami sieciowymi [12]. Jest to dostęp w trybie tylko do odczytu (ang. read-only access), który dostarcza wiele dodatkowych informacji na temat funkcjonowania firewalla. Przykładowo dostępne są informacje o stanie „gorącej rezerwy” (ang. failover status), ilości wykorzystanej pomięci, a także o aktualnym obciążeniu procesora ściany ogniowej.
Dokładna synchronizacja czasu jest bardzo ważna z wielu powodów. Jest ona na przykład niezbędna dla prawidłowego funkcjonowania wielu systemów uwierzytelniania. Zwiększa również dokładność wszystkich rejestrowanych przez firewall zdarzeń, które są potem analizowane przez administratora. Z tego powodu firewall PIX może być klientem usług zegarowych (ang. Network Time Protocol, NTP). Zegary radiowe lub GPS nie są bardzo drogie, więc mogą być użyte jako źródło dla NTP w wewnętrznej, chronionej sieci.
Przechwytywanie pakietów jest bardzo pomocną funkcją firewalli PIX. Pomaga rozwiązywać wiele problemów sieciowych lub śledzić podejrzaną aktywność w sieci. PIX firewall potrafi przechwytywać pakiety spełniające zadane kryteria z dowolnego interfejsu sieciowego. Każdy z przechwyconych pakietów otrzymuje znacznik czasowy z dokładnością do milisekund na podstawie wskazań wewnętrznego zegara firewalla. Zarejestrowane pakiety mogą być później przeglądane (na konsoli lub korzystając z przeglądarki stron WWW) lub zapisane na serwerze TFTP. Możliwe jest także zapisanie zarejestrowanych pakietów w formacie libpcap, co pozwala przeglądać je na przykład za pomocą programu Tcpdump. Rysunek 4.7 przedstawia przykład przechwytywania pakietów przy pomocy ściany ogniowej PIX.
Rysunek 4.7 Przechwytywanie pakietów ARP [1]
Wysyłanie wiadomości do serwera logów (ang. syslog server) jest kolejną funkcją przydatną w administrowaniu ścianą ogniową. Jeśli jest to serwer logów pracujący pod kontrolą Windows NT to możliwa jest konfiguracja awaryjnego zatrzymania firewalla PIX. Może to nastąpić w sytuacji, kiedy wiadomości przestaną docierać do serwera logów lub też, kiedy skończy się miejsce na dysku przechowującym zarejestrowane wiadomości.
Nadmiarowość wyposażenia jest bardzo istotną kwestią. Każde urządzenie sieciowe, które ma być dostępne przez sto procent czasu powinno być całkowicie nadmiarowe. Ściana ogniowa jest zwykle urządzeniem krytycznym. Polityka bezpieczeństwa może wymagać więc dodatkowej ściany ogniowej, która w razie awarii przejmie funkcje firewalla podstawowego. W przypadku, kiedy chcemy stworzyć farmę firewalli mamy do dyspozycji technologię Content Switching. Kiedy potrzebujemy połączyć dwie ściany ogniowe możemy skorzystać z możliwości jakie daje funkcja PIX Firewall Failover, która jest dostępna dla modeli 515, 525, i 535 rodziny PIX. Opcja ta wymaga, aby firewalle spełniały określone wymagania. Muszą one być identyczne pod względem:
- modelu firewalla,
- wersji systemu operacyjnego,
- szyfrowania (DES lub 3DES),
- pojemności pamięci FLASH,
- pojemności pamięci RAM.
Dodatkowo jedna z jednostek musi posiadać licencję UR (ang. unrestricted licence), a druga może posiadać licencję FO (ang. failover licence) lub UR. Sposób połączenia dwóch firewalli przedstawia rysunek 4.8.
Rysunek 4.8 Stateful Failover [1]
Po włączeniu trybu „gorącej rezerwy” obie jednostki komunikują się między sobą wykorzystując dedykowane połączenie LAN (ang. LAN-based failover) lub też specjalny kabel podłączony do portu szeregowego RS-232 (ang. cable-based failover). W przypadku korzystania z drugiego typu połączenia wymagane jest dodatkowe połączenie, aby obsłużyć funkcję Stateful Failover. Funkcja ta powoduje synchronizowanie konfiguracji oraz informacji o stanie połączeń, aby w razie awarii mogła nastąpić zmiana urządzenia bez przerywania ruchu sieciowego. Komunikacja polega na przesyłaniu do siebie specjalnego pakietu „hello” co określony czas (domyślnie jest to piętnaście sekund). Jeżeli dwa kolejne pakiety nie zostaną odebrane w odpowiednim czasie to rozpoczynane są testy sprawdzające, które z urządzeń zawiodło.
Port sieciowy jest uznawany za uszkodzony, jeśli interfejs karty nie jest podłączony do sieci. Sytuacja taka może wystąpić na przykład, kiedy jest uszkodzony switch, uszkodzony port lub też nie jest podłączony kabel sieciowy.
Przez pięć sekund zliczane są wszystkie pakiety otrzymywane z danego portu sieciowego. Jeśli jakikolwiek pakiet zostanie odebrany to interfejs uznawany jest za sprawny. W przeciwnym przypadku rozpoczynany jest ARP test.
Z pamięci cache ARP odczytywanych jest dziesięć ostatnich wpisów. Po kolei wysyłane jest żądanie ARP do każdego z tych urządzeń. Ma to na celu sprowokowanie ruchu w sieci. Po każdym wysłanym żądaniu przez pięć sekund zliczane są otrzymywane pakiety. Jeśli ruch sieciowy zostanie zauważony to port sieciowy uznawany jest za sprawny. W przeciwnym przypadku badany jest następny adres z pamięci cache ARP. Jeśli żaden ruch w sieci się nie pojawi to wykonywany jest Broadcast Ping test.
Test polegający na wysyłaniu na adres rozgłoszeniowy żądania ping. Jeśli w ciągu pięciu sekund jakikolwiek pakiet zostanie odebrany port uznawany jest za sprawny.
Zmiana trybu pracy może być zainicjowana przez każde z urządzeń. Urządzenie przechodzące w stan aktywny przejmuje adres IP i MAC urządzenia, które dotychczas było aktywne. Zmiana w zależności od uszkodzenia zajmuje od piętnastu do czterdziestu pięciu sekund [1].