Ako imate kontroler, nema problema: kako lako održavati svoju bežičnu mrežu

Konsultantska kuća Miercom je 2019. godine izvršila nezavisnu tehnološku procjenu Wi-Fi 6 kontrolera serije Cisco Catalyst 9800. Za ovu studiju sastavljena je testna stanica od Cisco Wi-Fi 6 kontrolera i pristupnih tačaka, a tehničko rješenje je ocjenjuje se u sljedećim kategorijama:

• Dostupnost;
• Bezbednost;
• Automatizacija.

Rezultati studije su prikazani u nastavku. Od 2019. godine funkcionalnost kontrolera serije Cisco Catalyst 9800 značajno je poboljšana - ove točke se također odražavaju u ovom članku.

Možete pročitati o ostalim prednostima Wi-Fi 6 tehnologije, primjerima implementacije i područjima primjene ovdje.

Pregled rješenja

Wi-Fi 6 kontrolera Cisco Catalyst serije 9800

Bežični kontroleri serije Cisco Catalyst 9800, zasnovani na IOS-XE operativnom sistemu (koji se takođe koriste za Cisco prekidače i rutere), dostupni su u raznim opcijama.

Stariji model kontrolera 9800-80 podržava protok bežične mreže do 80 Gbps. Jedan 9800-80 kontroler podržava do 6000 pristupnih tačaka i do 64 bežičnih klijenata.

Model srednjeg ranga, 9800-40 kontroler, podržava protok do 40 Gbps, do 2000 pristupnih tačaka i do 32 bežičnih klijenata.

Pored ovih modela, konkurentska analiza je uključila i bežični kontroler 9800-CL (CL je skraćenica od Cloud). 9800-CL radi u virtuelnim okruženjima na VMWare ESXI i KVM hipervizorima, a njegove performanse zavise od namenskih hardverskih resursa za virtuelnu mašinu kontrolera. U svojoj maksimalnoj konfiguraciji, Cisco 9800-CL kontroler, kao i stariji model 9800-80, podržava skalabilnost do 6000 pristupnih tačaka i do 64 bežičnih klijenata.

Prilikom sprovođenja istraživanja sa kontrolerima korišćene su pristupne tačke serije Cisco Aironet AP 4800 koje podržavaju rad na frekvencijama od 2,4 i 5 GHz sa mogućnošću dinamičkog prelaska na dvostruki režim od 5 GHz.

Test stalak

U sklopu testiranja, sastavljen je stalak od dva Cisco Catalyst 9800-CL bežična kontrolera koji rade u klasteru i Cisco Aironet AP 4800 serije pristupnih tačaka.

Kao klijentski uređaji korišćeni su laptopovi kompanija Dell i Apple, kao i Apple iPhone pametni telefon.

Testiranje pristupačnosti

Dostupnost se definiše kao mogućnost korisnika da pristupe i koriste sistem ili uslugu. Visoka dostupnost podrazumijeva kontinuirani pristup sistemu ili servisu, nezavisno od određenih događaja.

Visoka dostupnost testirana je u četiri scenarija, pri čemu su prva tri scenarija bili predvidljivi ili zakazani događaji koji bi se mogli dogoditi tokom ili nakon radnog vremena. Peti scenario je klasičan neuspeh, koji je nepredvidiv događaj.

Opis scenarija:

• Ispravljanje grešaka – mikro-ažuriranje sistema (popravka grešaka ili sigurnosna zakrpa), koje vam omogućava da popravite određenu grešku ili ranjivost bez potpunog ažuriranja sistemskog softvera;
• Funkcionalno ažuriranje – dodavanje ili proširenje trenutne funkcionalnosti sistema instaliranjem funkcionalnih ažuriranja;
• Potpuno ažuriranje – ažuriranje slike softvera kontrolera;
• Dodavanje pristupne tačke – dodavanje novog modela pristupne tačke bežičnoj mreži bez potrebe za rekonfiguracijom ili ažuriranjem softvera bežičnog kontrolera;
• Greška—kvar bežičnog kontrolera.

Ispravljanje grešaka i ranjivosti

Često, uz mnoga konkurentna rješenja, zakrpe zahtijevaju kompletno ažuriranje softvera bežičnog sistema kontrolera, što može rezultirati neplaniranim prekidima rada. U slučaju Cisco rješenja, zakrpa se izvodi bez zaustavljanja proizvoda. Zakrpe se mogu instalirati na bilo koju od komponenti dok bežična infrastruktura nastavlja da radi.

Sama procedura je prilično jednostavna. Datoteka zakrpe se kopira u fasciklu za pokretanje na jednom od Cisco bežičnih kontrolera, a operacija se zatim potvrđuje preko GUI ili komandne linije. Osim toga, također možete poništiti i ukloniti popravku putem GUI ili komandne linije, također bez prekida rada sistema.

Funkcionalno ažuriranje

Primjenjuju se funkcionalna ažuriranja softvera kako bi se omogućile nove funkcije. Jedno od ovih poboljšanja je ažuriranje baze podataka potpisa aplikacije. Ovaj paket je instaliran na Cisco kontrolere kao test. Baš kao i kod zakrpa, ažuriranja funkcija se primjenjuju, instaliraju ili uklanjaju bez zastoja ili prekida sistema.

Potpuno ažuriranje

Trenutno se potpuno ažuriranje softverske slike kontrolera vrši na isti način kao i funkcionalno ažuriranje, odnosno bez zastoja. Međutim, ova funkcija je dostupna samo u konfiguraciji klastera kada postoji više od jednog kontrolera. Kompletno ažuriranje se izvodi uzastopno: prvo na jednom kontroleru, zatim na drugom.

Dodavanje novog modela pristupne tačke

Povezivanje novih pristupnih tačaka, koje ranije nisu radile sa korišćenom slikom softvera kontrolera, na bežičnu mrežu je prilično uobičajena operacija, posebno u velikim mrežama (aerodromi, hoteli, fabrike). Vrlo često u konkurentskim rješenjima ova operacija zahtijeva ažuriranje sistemskog softvera ili ponovno pokretanje kontrolera.

Prilikom povezivanja novih Wi-Fi 6 pristupnih tačaka na klaster Cisco Catalyst serije 9800 kontrolera, takvi problemi se ne primećuju. Povezivanje novih tačaka na kontroler vrši se bez ažuriranja softvera kontrolera, a ovaj proces ne zahtijeva ponovno pokretanje, čime ni na koji način ne utiče na bežičnu mrežu.

Kvar kontrolera

Testno okruženje koristi dva Wi-Fi 6 kontrolera (Active/StandBy) i pristupna tačka ima direktnu vezu sa oba kontrolera.

Jedan bežični kontroler je aktivan, a drugi je rezervni. Ako aktivni kontroler pokvari, rezervni kontroler preuzima kontrolu i njegov status se mijenja u aktivan. Ova procedura se odvija bez prekida za pristupnu tačku i Wi-Fi za klijente.

Sigurnost

Ovaj odjeljak razmatra aspekte sigurnosti, što je izuzetno hitno pitanje u bežičnim mrežama. Sigurnost rješenja se procjenjuje na osnovu sljedećih karakteristika:

• Prepoznavanje aplikacija;
• Praćenje protoka;
• Analiza šifriranog prometa;
• Detekcija i prevencija upada;
• Sredstva za autentifikaciju;
• Alati za zaštitu klijentskih uređaja.

Prepoznavanje aplikacija

Među raznovrsnim proizvodima na poslovnom i industrijskom Wi-Fi tržištu, postoje razlike u tome koliko dobro proizvodi identificiraju promet prema primjeni. Proizvodi različitih proizvođača mogu identificirati različit broj aplikacija. Međutim, mnoge od aplikacija koje konkurentska rješenja navode kao moguće za identifikaciju su, u stvari, web stranice, a ne jedinstvene aplikacije.

Postoji još jedna zanimljiva karakteristika prepoznavanja aplikacija: rješenja se jako razlikuju u preciznosti identifikacije.

Uzimajući u obzir sva obavljena testiranja, sa odgovornošću možemo konstatovati da Ciscovo Wi-Fi-6 rješenje vrlo precizno vrši prepoznavanje aplikacija: Jabber, Netflix, Dropbox, YouTube i druge popularne aplikacije, kao i web servisi, precizno su identificirani. Cisco rješenja također mogu dublje zaroniti u pakete podataka koristeći DPI (Deep Packet Inspection).

Praćenje toka saobraćaja

Sproveden je još jedan test da se vidi da li sistem može precizno pratiti i izvesti tokove podataka (kao što su velika kretanja datoteka). Da bi se ovo testiralo, datoteka od 6,5 megabajta je poslana preko mreže pomoću protokola za prijenos datoteka (FTP).

Cisco rešenje je u potpunosti ispunilo zadatak i moglo je da prati ovaj saobraćaj zahvaljujući NetFlow-u i njegovim hardverskim mogućnostima. Saobraćaj je detektovan i odmah identifikovan sa tačnom količinom prenetih podataka.

Šifrovana analiza saobraćaja

Promet korisničkih podataka se sve više šifrira. Ovo se radi kako bi se zaštitilo od praćenja ili presretanja od strane napadača. Ali u isto vrijeme, hakeri sve više koriste enkripciju kako bi sakrili svoj zlonamjerni softver i izveli druge sumnjive operacije kao što su Man-in-the-Middle (MiTM) ili keylogging napadi.

Većina preduzeća proverava deo svog šifrovanog saobraćaja tako što ga prvo dešifruje korišćenjem zaštitnih zidova ili sistema za sprečavanje upada. Ali ovaj proces oduzima puno vremena i ne koristi performansama mreže u cjelini. Osim toga, nakon dešifriranja, ovi podaci postaju osjetljivi na znatiželjne oči.

Kontroleri Cisco Catalyst 9800 serije uspješno rješavaju problem analize šifriranog prometa na druge načine. Rješenje se zove Encrypted Traffic Analytics (ETA). ETA je tehnologija koja trenutno nema analoga u konkurentskim rješenjima i koja otkriva zlonamjerni softver u šifriranom prometu bez potrebe za dešifriranjem. ETA je osnovna karakteristika IOS-XE koja uključuje Enhanced NetFlow i koristi napredne algoritme ponašanja za identifikaciju zlonamjernih obrazaca prometa koji se kriju u šifriranom prometu.

ETA ne dešifruje poruke, već prikuplja profile metapodataka šifrovanih tokova saobraćaja – veličinu paketa, vremenske intervale između paketa i još mnogo toga. Metapodaci se zatim izvoze u NetFlow v9 zapise u Cisco Stealthwatch.

Ključna funkcija Stealthwatch-a je stalno praćenje prometa, kao i stvaranje osnove normalne mrežne aktivnosti. Koristeći šifrirane metapodatke toka koje mu šalje ETA, Stealthwatch primjenjuje višeslojno strojno učenje kako bi identificirao anomalije ponašanja u prometu koje mogu ukazivati ​​na sumnjive događaje.

Prošle godine, Cisco je angažovao Miercom da nezavisno proceni svoje rešenje Cisco Encrypted Traffic Analytics. Tokom ove procjene, Miercom je zasebno slao poznate i nepoznate prijetnje (virusi, trojanci, ransomware) u šifriranom i nešifriranom prometu preko velikih ETA i ne-ETA mreža kako bi identificirao prijetnje.

Za testiranje je na obje mreže pokrenut zlonamjerni kod. U oba slučaja postepeno je otkrivena sumnjiva aktivnost. ETA mreža je u početku otkrila prijetnje 36% brže od mreže koja nije ETA. Istovremeno, kako je posao napredovao, produktivnost detekcije u ETA mreži počela je da raste. Kao rezultat toga, nakon višesatnog rada, dvije trećine aktivnih prijetnji uspješno je otkriveno u ETA mreži, što je dvostruko više nego u ne-ETA mreži.

ETA funkcionalnost je dobro integrirana sa Stealthwatchom. Prijetnje su rangirane prema ozbiljnosti i prikazane s detaljnim informacijama, kao i opcijama popravljanja nakon potvrde. Zaključak – ETA radi!

Detekcija i prevencija upada

Cisco sada ima još jedan efikasan bezbednosni alat - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mehanizam za otkrivanje i sprečavanje pretnji bežičnim mrežama. Rešenje aWIPS radi na nivou kontrolera, pristupnih tačaka i softvera za upravljanje Cisco DNA Center. Otkrivanje prijetnji, upozorenje i prevencija kombinuje analizu mrežnog saobraćaja, informacije o mrežnim uređajima i topologiji mreže, tehnike zasnovane na potpisima i detekciju anomalija kako bi se isporučile vrlo precizne bežične prijetnje koje se mogu spriječiti.

Potpuno integrirajući aWIPS u vašu mrežnu infrastrukturu, možete kontinuirano pratiti bežični promet na žičanim i bežičnim mrežama i koristiti ga za automatsku analizu potencijalnih napada iz više izvora kako biste pružili najsveobuhvatnije moguće otkrivanje i prevenciju.

Autentifikacija znači

Trenutno, pored klasičnih alata za autentifikaciju, rešenja serije Cisco Catalyst 9800 podržavaju WPA3. WPA3 je najnovija verzija WPA, koji je skup protokola i tehnologija koje pružaju autentifikaciju i šifriranje za Wi-Fi mreže.

WPA3 koristi Simultaneous Authentication of Equals (SAE) kako bi pružio najjaču zaštitu korisnicima od pokušaja pogađanja lozinke od strane trećih strana. Kada se klijent poveže na pristupnu tačku, on vrši SAE razmjenu. Ako bude uspješan, svaki od njih će kreirati kriptografski jak ključ iz kojeg će biti izveden ključ sesije, a zatim će ući u stanje potvrde. Klijent i pristupna tačka tada mogu ući u stanja rukovanja svaki put kada je potrebno generirati ključ sesije. Metoda koristi unaprijednu tajnost, u kojoj napadač može provaliti jedan ključ, ali ne i sve ostale ključeve.

Odnosno, SAE je dizajniran na takav način da napadač koji presreće saobraćaj ima samo jedan pokušaj da pogodi lozinku prije nego što presretnuti podaci postanu beskorisni. Da biste organizirali dug oporavak lozinke, trebat će vam fizički pristup pristupnoj tački.

Zaštita klijentskog uređaja

Bežična rješenja serije Cisco Catalyst 9800 trenutno pružaju primarnu funkciju zaštite korisnika putem Cisco Umbrella WLAN-a, usluge mrežne sigurnosti zasnovane na oblaku koja radi na nivou DNS-a sa automatskim otkrivanjem poznatih i novih prijetnji.

Cisco Umbrella WLAN pruža klijentskim uređajima bezbednu vezu sa Internetom. To se postiže filtriranjem sadržaja, odnosno blokiranjem pristupa resursima na Internetu u skladu sa politikom preduzeća. Tako su klijentski uređaji na Internetu zaštićeni od zlonamjernog softvera, ransomwarea i krađe identiteta. Sprovođenje politike zasniva se na 60 kategorija sadržaja koji se kontinuirano ažuriraju.

Automatizacija

Današnje bežične mreže su mnogo fleksibilnije i složenije, tako da tradicionalne metode konfigurisanja i preuzimanja informacija iz bežičnih kontrolera nisu dovoljne. Mrežni administratori i profesionalci za sigurnost informacija zahtijevaju alate za automatizaciju i analitiku, što navodi proizvođače bežičnih mreža da ponude takve alate.

Da bi riješili ove probleme, bežični kontroleri serije Cisco Catalyst 9800, zajedno sa tradicionalnim API-jem, pružaju podršku za protokol konfiguracije mreže RESTCONF / NETCONF sa jezikom za modeliranje podataka YANG (Još jedna sljedeća generacija).

NETCONF je protokol zasnovan na XML-u koji aplikacije mogu koristiti za upite informacija i promjenu konfiguracije mrežnih uređaja kao što su bežični kontroleri.

Pored ovih metoda, kontroleri serije Cisco Catalyst 9800 pružaju mogućnost hvatanja, preuzimanja i analize podataka o protoku informacija koristeći NetFlow i sFlow protokole.

Za sigurnosno i prometno modeliranje, mogućnost praćenja specifičnih tokova je vrijedan alat. Za rješavanje ovog problema implementiran je sFlow protokol koji vam omogućava da uhvatite dva paketa od svakih sto. Međutim, ponekad to možda neće biti dovoljno za analizu i adekvatno proučavanje i evaluaciju toka. Stoga je alternativa NetFlow, implementiran od strane Cisco, koji vam omogućava da 100% prikupite i izvezete sve pakete u određenom toku za naknadnu analizu.

Još jedna značajka, međutim, dostupna samo u hardverskoj implementaciji kontrolera, koja vam omogućava automatizaciju rada bežične mreže u kontrolerima serije Cisco Catalyst 9800, je ugrađena podrška za jezik Python kao dodatak za korištenje skripte direktno na samom bežičnom kontroleru.

Konačno, kontroleri serije Cisco Catalyst 9800 podržavaju dokazani SNMP verzija 1, 2 i 3 protokol za nadzor i upravljanje operacijama.

Dakle, u smislu automatizacije, rješenja Cisco Catalyst serije 9800 u potpunosti ispunjavaju savremene poslovne zahtjeve, nudeći nove i jedinstvene, kao i vremenski testirane alate za automatizirane operacije i analitiku u bežičnim mrežama bilo koje veličine i složenosti.

zaključak

U rješenjima baziranim na Cisco Catalyst 9800 seriji kontrolera, Cisco je pokazao odlične rezultate u kategorijama visoke dostupnosti, sigurnosti i automatizacije.

Rješenje u potpunosti ispunjava sve zahtjeve visoke dostupnosti, kao što je prelazak na grešku ispod sekunde tokom neplaniranih događaja i nula zastoja za zakazane događaje.

Kontroleri Cisco Catalyst 9800 serije pružaju sveobuhvatnu sigurnost koja pruža duboku inspekciju paketa za prepoznavanje i upravljanje aplikacijama, potpunu vidljivost tokova podataka i identifikaciju prijetnji skrivenih u šifriranom prometu, kao i napredne mehanizme provjere autentičnosti i sigurnosti za klijentske uređaje.

Za automatizaciju i analitiku, Cisco Catalyst 9800 serija nudi moćne mogućnosti koristeći popularne standardne modele: YANG, NETCONF, RESTCONF, tradicionalne API-je i ugrađene Python skripte.

Time Cisco još jednom potvrđuje svoj status vodećeg svjetskog proizvođača mrežnih rješenja, koji ide u korak s vremenom i uzimajući u obzir sve izazove modernog poslovanja.

Za više informacija o porodici prekidača Catalyst posjetite site cisco.

izvor: www.habr.com

Konsultantska kuća Miercom je 2019. godine izvršila nezavisnu tehnološku procjenu Wi-Fi 6 kontrolera serije Cisco Catalyst 9800. Za ovu studiju sastavljena je testna stanica od Cisco Wi-Fi 6 kontrolera i pristupnih tačaka, a tehničko rješenje je ocjenjuje se u sljedećim kategorijama:

• Dostupnost;
• Bezbednost;
• Automatizacija.

Rezultati studije su prikazani u nastavku. Od 2019. godine funkcionalnost kontrolera serije Cisco Catalyst 9800 značajno je poboljšana - ove točke se također odražavaju u ovom članku.

Možete pročitati o ostalim prednostima Wi-Fi 6 tehnologije, primjerima implementacije i područjima primjene ovdje.

Pregled rješenja

Wi-Fi 6 kontrolera Cisco Catalyst serije 9800

Bežični kontroleri serije Cisco Catalyst 9800, zasnovani na IOS-XE operativnom sistemu (koji se takođe koriste za Cisco prekidače i rutere), dostupni su u raznim opcijama.

Stariji model kontrolera 9800-80 podržava protok bežične mreže do 80 Gbps. Jedan 9800-80 kontroler podržava do 6000 pristupnih tačaka i do 64 bežičnih klijenata.

Model srednjeg ranga, 9800-40 kontroler, podržava protok do 40 Gbps, do 2000 pristupnih tačaka i do 32 bežičnih klijenata.

Pored ovih modela, konkurentska analiza je uključila i bežični kontroler 9800-CL (CL je skraćenica od Cloud). 9800-CL radi u virtuelnim okruženjima na VMWare ESXI i KVM hipervizorima, a njegove performanse zavise od namenskih hardverskih resursa za virtuelnu mašinu kontrolera. U svojoj maksimalnoj konfiguraciji, Cisco 9800-CL kontroler, kao i stariji model 9800-80, podržava skalabilnost do 6000 pristupnih tačaka i do 64 bežičnih klijenata.

Prilikom sprovođenja istraživanja sa kontrolerima korišćene su pristupne tačke serije Cisco Aironet AP 4800 koje podržavaju rad na frekvencijama od 2,4 i 5 GHz sa mogućnošću dinamičkog prelaska na dvostruki režim od 5 GHz.

Test stalak

U sklopu testiranja, sastavljen je stalak od dva Cisco Catalyst 9800-CL bežična kontrolera koji rade u klasteru i Cisco Aironet AP 4800 serije pristupnih tačaka.

Kao klijentski uređaji korišćeni su laptopovi kompanija Dell i Apple, kao i Apple iPhone pametni telefon.

Testiranje pristupačnosti

Dostupnost se definiše kao mogućnost korisnika da pristupe i koriste sistem ili uslugu. Visoka dostupnost podrazumijeva kontinuirani pristup sistemu ili servisu, nezavisno od određenih događaja.

Visoka dostupnost testirana je u četiri scenarija, pri čemu su prva tri scenarija bili predvidljivi ili zakazani događaji koji bi se mogli dogoditi tokom ili nakon radnog vremena. Peti scenario je klasičan neuspeh, koji je nepredvidiv događaj.

Opis scenarija:

• Ispravljanje grešaka – mikro-ažuriranje sistema (popravka grešaka ili sigurnosna zakrpa), koje vam omogućava da popravite određenu grešku ili ranjivost bez potpunog ažuriranja sistemskog softvera;
• Funkcionalno ažuriranje – dodavanje ili proširenje trenutne funkcionalnosti sistema instaliranjem funkcionalnih ažuriranja;
• Potpuno ažuriranje – ažuriranje slike softvera kontrolera;
• Dodavanje pristupne tačke – dodavanje novog modela pristupne tačke bežičnoj mreži bez potrebe za rekonfiguracijom ili ažuriranjem softvera bežičnog kontrolera;
• Greška—kvar bežičnog kontrolera.

Ispravljanje grešaka i ranjivosti

Često, uz mnoga konkurentna rješenja, zakrpe zahtijevaju kompletno ažuriranje softvera bežičnog sistema kontrolera, što može rezultirati neplaniranim prekidima rada. U slučaju Cisco rješenja, zakrpa se izvodi bez zaustavljanja proizvoda. Zakrpe se mogu instalirati na bilo koju od komponenti dok bežična infrastruktura nastavlja da radi.

Sama procedura je prilično jednostavna. Datoteka zakrpe se kopira u fasciklu za pokretanje na jednom od Cisco bežičnih kontrolera, a operacija se zatim potvrđuje preko GUI ili komandne linije. Osim toga, također možete poništiti i ukloniti popravku putem GUI ili komandne linije, također bez prekida rada sistema.

Funkcionalno ažuriranje

Primjenjuju se funkcionalna ažuriranja softvera kako bi se omogućile nove funkcije. Jedno od ovih poboljšanja je ažuriranje baze podataka potpisa aplikacije. Ovaj paket je instaliran na Cisco kontrolere kao test. Baš kao i kod zakrpa, ažuriranja funkcija se primjenjuju, instaliraju ili uklanjaju bez zastoja ili prekida sistema.

Potpuno ažuriranje

Trenutno se potpuno ažuriranje softverske slike kontrolera vrši na isti način kao i funkcionalno ažuriranje, odnosno bez zastoja. Međutim, ova funkcija je dostupna samo u konfiguraciji klastera kada postoji više od jednog kontrolera. Kompletno ažuriranje se izvodi uzastopno: prvo na jednom kontroleru, zatim na drugom.

Dodavanje novog modela pristupne tačke

Povezivanje novih pristupnih tačaka, koje ranije nisu radile sa korišćenom slikom softvera kontrolera, na bežičnu mrežu je prilično uobičajena operacija, posebno u velikim mrežama (aerodromi, hoteli, fabrike). Vrlo često u konkurentskim rješenjima ova operacija zahtijeva ažuriranje sistemskog softvera ili ponovno pokretanje kontrolera.

Prilikom povezivanja novih Wi-Fi 6 pristupnih tačaka na klaster Cisco Catalyst serije 9800 kontrolera, takvi problemi se ne primećuju. Povezivanje novih tačaka na kontroler vrši se bez ažuriranja softvera kontrolera, a ovaj proces ne zahtijeva ponovno pokretanje, čime ni na koji način ne utiče na bežičnu mrežu.

Kvar kontrolera

Testno okruženje koristi dva Wi-Fi 6 kontrolera (Active/StandBy) i pristupna tačka ima direktnu vezu sa oba kontrolera.

Jedan bežični kontroler je aktivan, a drugi je rezervni. Ako aktivni kontroler pokvari, rezervni kontroler preuzima kontrolu i njegov status se mijenja u aktivan. Ova procedura se odvija bez prekida za pristupnu tačku i Wi-Fi za klijente.

Sigurnost

Ovaj odjeljak razmatra aspekte sigurnosti, što je izuzetno hitno pitanje u bežičnim mrežama. Sigurnost rješenja se procjenjuje na osnovu sljedećih karakteristika:

• Prepoznavanje aplikacija;
• Praćenje protoka;
• Analiza šifriranog prometa;
• Detekcija i prevencija upada;
• Sredstva za autentifikaciju;
• Alati za zaštitu klijentskih uređaja.

Prepoznavanje aplikacija

Među raznovrsnim proizvodima na poslovnom i industrijskom Wi-Fi tržištu, postoje razlike u tome koliko dobro proizvodi identificiraju promet prema primjeni. Proizvodi različitih proizvođača mogu identificirati različit broj aplikacija. Međutim, mnoge od aplikacija koje konkurentska rješenja navode kao moguće za identifikaciju su, u stvari, web stranice, a ne jedinstvene aplikacije.

Postoji još jedna zanimljiva karakteristika prepoznavanja aplikacija: rješenja se jako razlikuju u preciznosti identifikacije.

Uzimajući u obzir sva obavljena testiranja, sa odgovornošću možemo konstatovati da Ciscovo Wi-Fi-6 rješenje vrlo precizno vrši prepoznavanje aplikacija: Jabber, Netflix, Dropbox, YouTube i druge popularne aplikacije, kao i web servisi, precizno su identificirani. Cisco rješenja također mogu dublje zaroniti u pakete podataka koristeći DPI (Deep Packet Inspection).

Praćenje toka saobraćaja

Sproveden je još jedan test da se vidi da li sistem može precizno pratiti i izvesti tokove podataka (kao što su velika kretanja datoteka). Da bi se ovo testiralo, datoteka od 6,5 megabajta je poslana preko mreže pomoću protokola za prijenos datoteka (FTP).

Cisco rešenje je u potpunosti ispunilo zadatak i moglo je da prati ovaj saobraćaj zahvaljujući NetFlow-u i njegovim hardverskim mogućnostima. Saobraćaj je detektovan i odmah identifikovan sa tačnom količinom prenetih podataka.

Šifrovana analiza saobraćaja

Promet korisničkih podataka se sve više šifrira. Ovo se radi kako bi se zaštitilo od praćenja ili presretanja od strane napadača. Ali u isto vrijeme, hakeri sve više koriste enkripciju kako bi sakrili svoj zlonamjerni softver i izveli druge sumnjive operacije kao što su Man-in-the-Middle (MiTM) ili keylogging napadi.

Većina preduzeća proverava deo svog šifrovanog saobraćaja tako što ga prvo dešifruje korišćenjem zaštitnih zidova ili sistema za sprečavanje upada. Ali ovaj proces oduzima puno vremena i ne koristi performansama mreže u cjelini. Osim toga, nakon dešifriranja, ovi podaci postaju osjetljivi na znatiželjne oči.

Kontroleri Cisco Catalyst 9800 serije uspješno rješavaju problem analize šifriranog prometa na druge načine. Rješenje se zove Encrypted Traffic Analytics (ETA). ETA je tehnologija koja trenutno nema analoga u konkurentskim rješenjima i koja otkriva zlonamjerni softver u šifriranom prometu bez potrebe za dešifriranjem. ETA je osnovna karakteristika IOS-XE koja uključuje Enhanced NetFlow i koristi napredne algoritme ponašanja za identifikaciju zlonamjernih obrazaca prometa koji se kriju u šifriranom prometu.

ETA ne dešifruje poruke, već prikuplja profile metapodataka šifrovanih tokova saobraćaja – veličinu paketa, vremenske intervale između paketa i još mnogo toga. Metapodaci se zatim izvoze u NetFlow v9 zapise u Cisco Stealthwatch.

Ključna funkcija Stealthwatch-a je stalno praćenje prometa, kao i stvaranje osnove normalne mrežne aktivnosti. Koristeći šifrirane metapodatke toka koje mu šalje ETA, Stealthwatch primjenjuje višeslojno strojno učenje kako bi identificirao anomalije ponašanja u prometu koje mogu ukazivati ​​na sumnjive događaje.

Prošle godine, Cisco je angažovao Miercom da nezavisno proceni svoje rešenje Cisco Encrypted Traffic Analytics. Tokom ove procjene, Miercom je zasebno slao poznate i nepoznate prijetnje (virusi, trojanci, ransomware) u šifriranom i nešifriranom prometu preko velikih ETA i ne-ETA mreža kako bi identificirao prijetnje.

Za testiranje je na obje mreže pokrenut zlonamjerni kod. U oba slučaja postepeno je otkrivena sumnjiva aktivnost. ETA mreža je u početku otkrila prijetnje 36% brže od mreže koja nije ETA. Istovremeno, kako je posao napredovao, produktivnost detekcije u ETA mreži počela je da raste. Kao rezultat toga, nakon višesatnog rada, dvije trećine aktivnih prijetnji uspješno je otkriveno u ETA mreži, što je dvostruko više nego u ne-ETA mreži.

ETA funkcionalnost je dobro integrirana sa Stealthwatchom. Prijetnje su rangirane prema ozbiljnosti i prikazane s detaljnim informacijama, kao i opcijama popravljanja nakon potvrde. Zaključak – ETA radi!

Detekcija i prevencija upada

Cisco sada ima još jedan efikasan bezbednosni alat - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mehanizam za otkrivanje i sprečavanje pretnji bežičnim mrežama. Rešenje aWIPS radi na nivou kontrolera, pristupnih tačaka i softvera za upravljanje Cisco DNA Center. Otkrivanje prijetnji, upozorenje i prevencija kombinuje analizu mrežnog saobraćaja, informacije o mrežnim uređajima i topologiji mreže, tehnike zasnovane na potpisima i detekciju anomalija kako bi se isporučile vrlo precizne bežične prijetnje koje se mogu spriječiti.

Potpuno integrirajući aWIPS u vašu mrežnu infrastrukturu, možete kontinuirano pratiti bežični promet na žičanim i bežičnim mrežama i koristiti ga za automatsku analizu potencijalnih napada iz više izvora kako biste pružili najsveobuhvatnije moguće otkrivanje i prevenciju.

Autentifikacija znači

Trenutno, pored klasičnih alata za autentifikaciju, rešenja serije Cisco Catalyst 9800 podržavaju WPA3. WPA3 je najnovija verzija WPA, koji je skup protokola i tehnologija koje pružaju autentifikaciju i šifriranje za Wi-Fi mreže.

WPA3 koristi Simultaneous Authentication of Equals (SAE) kako bi pružio najjaču zaštitu korisnicima od pokušaja pogađanja lozinke od strane trećih strana. Kada se klijent poveže na pristupnu tačku, on vrši SAE razmjenu. Ako bude uspješan, svaki od njih će kreirati kriptografski jak ključ iz kojeg će biti izveden ključ sesije, a zatim će ući u stanje potvrde. Klijent i pristupna tačka tada mogu ući u stanja rukovanja svaki put kada je potrebno generirati ključ sesije. Metoda koristi unaprijednu tajnost, u kojoj napadač može provaliti jedan ključ, ali ne i sve ostale ključeve.

Odnosno, SAE je dizajniran na takav način da napadač koji presreće saobraćaj ima samo jedan pokušaj da pogodi lozinku prije nego što presretnuti podaci postanu beskorisni. Da biste organizirali dug oporavak lozinke, trebat će vam fizički pristup pristupnoj tački.

Zaštita klijentskog uređaja

Bežična rješenja serije Cisco Catalyst 9800 trenutno pružaju primarnu funkciju zaštite korisnika putem Cisco Umbrella WLAN-a, usluge mrežne sigurnosti zasnovane na oblaku koja radi na nivou DNS-a sa automatskim otkrivanjem poznatih i novih prijetnji.

Cisco Umbrella WLAN pruža klijentskim uređajima bezbednu vezu sa Internetom. To se postiže filtriranjem sadržaja, odnosno blokiranjem pristupa resursima na Internetu u skladu sa politikom preduzeća. Tako su klijentski uređaji na Internetu zaštićeni od zlonamjernog softvera, ransomwarea i krađe identiteta. Sprovođenje politike zasniva se na 60 kategorija sadržaja koji se kontinuirano ažuriraju.

Automatizacija

Današnje bežične mreže su mnogo fleksibilnije i složenije, tako da tradicionalne metode konfigurisanja i preuzimanja informacija iz bežičnih kontrolera nisu dovoljne. Mrežni administratori i profesionalci za sigurnost informacija zahtijevaju alate za automatizaciju i analitiku, što navodi proizvođače bežičnih mreža da ponude takve alate.

Da bi riješili ove probleme, bežični kontroleri serije Cisco Catalyst 9800, zajedno sa tradicionalnim API-jem, pružaju podršku za protokol konfiguracije mreže RESTCONF / NETCONF sa jezikom za modeliranje podataka YANG (Još jedna sljedeća generacija).

NETCONF je protokol zasnovan na XML-u koji aplikacije mogu koristiti za upite informacija i promjenu konfiguracije mrežnih uređaja kao što su bežični kontroleri.

Pored ovih metoda, kontroleri serije Cisco Catalyst 9800 pružaju mogućnost hvatanja, preuzimanja i analize podataka o protoku informacija koristeći NetFlow i sFlow protokole.

Za sigurnosno i prometno modeliranje, mogućnost praćenja specifičnih tokova je vrijedan alat. Za rješavanje ovog problema implementiran je sFlow protokol koji vam omogućava da uhvatite dva paketa od svakih sto. Međutim, ponekad to možda neće biti dovoljno za analizu i adekvatno proučavanje i evaluaciju toka. Stoga je alternativa NetFlow, implementiran od strane Cisco, koji vam omogućava da 100% prikupite i izvezete sve pakete u određenom toku za naknadnu analizu.

Još jedna značajka, međutim, dostupna samo u hardverskoj implementaciji kontrolera, koja vam omogućava automatizaciju rada bežične mreže u kontrolerima serije Cisco Catalyst 9800, je ugrađena podrška za jezik Python kao dodatak za korištenje skripte direktno na samom bežičnom kontroleru.

Konačno, kontroleri serije Cisco Catalyst 9800 podržavaju dokazani SNMP verzija 1, 2 i 3 protokol za nadzor i upravljanje operacijama.

Dakle, u smislu automatizacije, rješenja Cisco Catalyst serije 9800 u potpunosti ispunjavaju savremene poslovne zahtjeve, nudeći nove i jedinstvene, kao i vremenski testirane alate za automatizirane operacije i analitiku u bežičnim mrežama bilo koje veličine i složenosti.

zaključak

U rješenjima baziranim na Cisco Catalyst 9800 seriji kontrolera, Cisco je pokazao odlične rezultate u kategorijama visoke dostupnosti, sigurnosti i automatizacije.

Rješenje u potpunosti ispunjava sve zahtjeve visoke dostupnosti, kao što je prelazak na grešku ispod sekunde tokom neplaniranih događaja i nula zastoja za zakazane događaje.

Kontroleri Cisco Catalyst 9800 serije pružaju sveobuhvatnu sigurnost koja pruža duboku inspekciju paketa za prepoznavanje i upravljanje aplikacijama, potpunu vidljivost tokova podataka i identifikaciju prijetnji skrivenih u šifriranom prometu, kao i napredne mehanizme provjere autentičnosti i sigurnosti za klijentske uređaje.

Za automatizaciju i analitiku, Cisco Catalyst 9800 serija nudi moćne mogućnosti koristeći popularne standardne modele: YANG, NETCONF, RESTCONF, tradicionalne API-je i ugrađene Python skripte.

Time Cisco još jednom potvrđuje svoj status vodećeg svjetskog proizvođača mrežnih rješenja, koji ide u korak s vremenom i uzimajući u obzir sve izazove modernog poslovanja.

Za više informacija o porodici prekidača Catalyst posjetite site cisco.

izvor: www.habr.com