L'any 2019, la consultora Miercom va realitzar una avaluació tecnològica independent dels controladors Wi-Fi 6 de la sèrie Cisco Catalyst 9800. Per a aquest estudi, es va muntar un banc de proves a partir de controladors i punts d'accés Cisco Wi-Fi 6, i la solució tècnica va ser avaluats en les següents categories:
- Disponibilitat;
- Seguretat;
- Automatització.
Els resultats de l'estudi es mostren a continuació. Des del 2019, la funcionalitat dels controladors de la sèrie Cisco Catalyst 9800 s'ha millorat significativament; aquests punts també es reflecteixen en aquest article.
Podeu llegir altres avantatges de la tecnologia Wi-Fi 6, exemples d'implementació i àrees d'aplicació.
Visió general de la solució
Controladors Wi-Fi 6 Cisco Catalyst 9800 series
Els controladors sense fil Cisco Catalyst 9800 Series, basats en el sistema operatiu IOS-XE (també utilitzat per a commutadors i encaminadors Cisco), estan disponibles en una varietat d'opcions.
El model anterior del controlador 9800-80 admet un rendiment de xarxa sense fil de fins a 80 Gbps. Un controlador 9800-80 admet fins a 6000 punts d'accés i fins a 64 clients sense fil.
El model de gamma mitjana, el controlador 9800-40, admet un rendiment de fins a 40 Gbps, fins a 2000 punts d'accés i fins a 32 clients sense fil.
A més d'aquests models, l'anàlisi competitiva també va incloure el controlador sense fil 9800-CL (CL significa Cloud). El 9800-CL s'executa en entorns virtuals en hipervisors VMWare ESXI i KVM, i el seu rendiment depèn dels recursos de maquinari dedicats per a la màquina virtual del controlador. En la seva configuració màxima, el controlador Cisco 9800-CL, com el model anterior 9800-80, admet escalabilitat fins a 6000 punts d'accés i fins a 64 clients sense fil.
Quan es va dur a terme investigacions amb controladors, es van utilitzar els punts d'accés de la sèrie Cisco Aironet AP 4800, que admeten el funcionament a freqüències de 2,4 i 5 GHz amb la possibilitat de canviar dinàmicament al mode dual de 5 GHz.
banc de proves
Com a part de les proves, es va muntar un estand a partir de dos controladors sense fil Cisco Catalyst 9800-CL que operaven en un clúster i punts d'accés de la sèrie Cisco Aironet AP 4800.
Els ordinadors portàtils de Dell i Apple, així com un telèfon intel·ligent d'Apple iPhone, es van utilitzar com a dispositius client.
Prova d'accessibilitat
La disponibilitat es defineix com la capacitat dels usuaris per accedir i utilitzar un sistema o servei. L'alta disponibilitat implica un accés continu a un sistema o servei, independentment de determinats esdeveniments.
L'alta disponibilitat es va provar en quatre escenaris, els tres primers escenaris eren esdeveniments previsibles o programats que podrien ocórrer durant o després de l'horari comercial. El cinquè escenari és un fracàs clàssic, que és un esdeveniment imprevisible.
Descripció dels escenaris:
- Correcció d'errors: una microactualització del sistema (correcció d'errors o pedaç de seguretat), que us permet corregir un error o una vulnerabilitat en particular sense una actualització completa del programari del sistema;
- Actualització funcional: afegir o ampliar la funcionalitat actual del sistema mitjançant la instal·lació d'actualitzacions funcionals;
- Actualització completa: actualitzeu la imatge del programari del controlador;
- Afegir un punt d'accés: afegir un nou model de punt d'accés a una xarxa sense fil sense necessitat de reconfigurar o actualitzar el programari del controlador sense fil;
- Falla: fallada del controlador sense fil.
Correcció d'errors i vulnerabilitats
Sovint, amb moltes solucions competitives, l'aplicació de pedaços requereix una actualització de programari completa del sistema de controlador sense fil, que pot provocar temps d'inactivitat no planificat. En el cas de la solució Cisco, el pegat es realitza sense aturar el producte. Els pedaços es poden instal·lar a qualsevol dels components mentre la infraestructura sense fil continua funcionant.
El procediment en si és bastant senzill. El fitxer de pedaç es copia a la carpeta d'arrencada d'un dels controladors sense fil de Cisco i després es confirma l'operació mitjançant la GUI o la línia d'ordres. A més, també podeu desfer i eliminar la correcció mitjançant la GUI o la línia d'ordres, també sense interrompre el funcionament del sistema.
Actualització funcional
S'apliquen actualitzacions de programari funcional per habilitar noves funcions. Una d'aquestes millores és l'actualització de la base de dades de signatures de l'aplicació. Aquest paquet es va instal·lar als controladors Cisco com a prova. Igual que amb els pedaços, les actualitzacions de funcions s'apliquen, s'instal·len o s'eliminen sense cap temps d'inactivitat ni interrupció del sistema.
Actualització completa
De moment, una actualització completa de la imatge del programari del controlador es realitza de la mateixa manera que una actualització funcional, és a dir, sense temps d'inactivitat. Tanmateix, aquesta funció només està disponible en una configuració de clúster quan hi ha més d'un controlador. Una actualització completa es realitza seqüencialment: primer en un controlador i després en el segon.
Afegir un nou model de punt d'accés
Connectar nous punts d'accés, que no s'havien operat prèviament amb la imatge del programari del controlador utilitzat, a una xarxa sense fils és una operació força habitual, sobretot en xarxes grans (aeroports, hotels, fàbriques). Molt sovint, en solucions de la competència, aquesta operació requereix actualitzar el programari del sistema o reiniciar els controladors.
En connectar nous punts d'accés Wi-Fi 6 a un clúster de controladors de la sèrie Cisco Catalyst 9800, no s'observen aquests problemes. La connexió de nous punts al controlador es realitza sense actualitzar el programari del controlador, i aquest procés no requereix un reinici, de manera que no afecta de cap manera la xarxa sense fil.
Falla del controlador
L'entorn de prova utilitza dos controladors Wi-Fi 6 (Active/StandBy) i el punt d'accés té una connexió directa amb els dos controladors.
Un controlador sense fil està actiu i l'altre, respectivament, és una còpia de seguretat. Si el controlador actiu falla, el controlador de còpia de seguretat agafa el relleu i el seu estat canvia a actiu. Aquest procediment es produeix sense interrupcions per al punt d'accés i Wi-Fi per als clients.
Безопасность
Aquesta secció tracta aspectes de seguretat, que és un tema extremadament urgent a les xarxes sense fil. La seguretat de la solució s'avalua en funció de les característiques següents:
- Reconeixement de l'aplicació;
- Seguiment del flux;
- Anàlisi del trànsit xifrat;
- Detecció i prevenció d'intrusions;
- Mitjans d'autenticació;
- Eines de protecció del dispositiu client.
Reconeixement de l'aplicació
Entre la varietat de productes del mercat de Wi-Fi empresarial i industrial, hi ha diferències en la manera en què els productes identifiquen el trànsit per aplicació. Els productes de diferents fabricants poden identificar diferents nombres d'aplicacions. No obstant això, moltes de les aplicacions que les solucions competitives indiquen com a possibles per a la identificació són, de fet, llocs web i no aplicacions úniques.
Hi ha una altra característica interessant del reconeixement d'aplicacions: les solucions varien molt en la precisió d'identificació.
Tenint en compte totes les proves realitzades, podem afirmar amb responsabilitat que la solució Wi-Fi-6 de Cisco realitza el reconeixement d'aplicacions amb molta precisió: Jabber, Netflix, Dropbox, YouTube i altres aplicacions populars, així com serveis web, es van identificar amb precisió. Les solucions de Cisco també poden aprofundir en els paquets de dades mitjançant DPI (Deep Packet Inspection).
Seguiment del flux de trànsit
Es va realitzar una altra prova per veure si el sistema podia fer un seguiment i informar amb precisió dels fluxos de dades (com ara moviments de fitxers grans). Per provar-ho, es va enviar un fitxer de 6,5 megabytes a la xarxa mitjançant el protocol de transferència de fitxers (FTP).
La solució de Cisco va estar a l'altura de la tasca i va poder fer un seguiment d'aquest trànsit gràcies a NetFlow i les seves capacitats de maquinari. El trànsit es va detectar i identificar immediatament amb la quantitat exacta de dades transferides.
Anàlisi de trànsit xifrat
El trànsit de dades dels usuaris s'està xifrant cada cop més. Això es fa per tal de protegir-lo de ser rastrejat o interceptat per atacants. Però, al mateix temps, els pirates informàtics utilitzen cada cop més l'encriptació per ocultar el seu programari maliciós i dur a terme altres operacions dubtoses com ara Man-in-the-Middle (MiTM) o atacs de registre de tecles.
La majoria de les empreses inspeccionen part del seu trànsit xifrat desxifrant-lo primer mitjançant tallafocs o sistemes de prevenció d'intrusions. Però aquest procés requereix molt de temps i no beneficia el rendiment de la xarxa en el seu conjunt. A més, un cop desxifrades, aquestes dades esdevenen vulnerables a mirades indiscretes.
Els controladors de la sèrie Cisco Catalyst 9800 resolen amb èxit el problema d'analitzar el trànsit xifrat per altres mitjans. La solució s'anomena Anàlisi de trànsit xifrat (ETA). ETA és una tecnologia que actualment no té anàlegs en solucions competitives i que detecta malware en trànsit xifrat sense necessitat de desxifrar-lo. ETA és una característica bàsica d'IOS-XE que inclou Enhanced NetFlow i utilitza algorismes de comportament avançats per identificar patrons de trànsit maliciosos que s'amaguen al trànsit xifrat.
ETA no desxifra missatges, sinó que recull perfils de metadades dels fluxos de trànsit xifrats: mida del paquet, intervals de temps entre paquets i molt més. A continuació, les metadades s'exporten als registres de NetFlow v9 a Cisco Stealthwatch.
La funció clau de Stealthwatch és controlar constantment el trànsit, així com crear una línia de base de l'activitat normal de la xarxa. Mitjançant metadades de flux xifrades que li envia l'ETA, Stealthwatch aplica aprenentatge automàtic de diverses capes per identificar anomalies de comportament del trànsit que poden indicar esdeveniments sospitosos.
L'any passat, Cisco va contractar Miercom per avaluar de manera independent la seva solució Cisco Encrypted Traffic Analytics. Durant aquesta avaluació, Miercom va enviar per separat amenaces conegudes i desconegudes (virus, troians, ransomware) en trànsit xifrat i no xifrat a través de grans xarxes ETA i no ETA per identificar amenaces.
Per a la prova, es va llançar codi maliciós a les dues xarxes. En ambdós casos, es va anar descobrint activitat sospitosa. La xarxa ETA va detectar inicialment amenaces un 36% més ràpid que la xarxa no ETA. Paral·lelament, a mesura que avançaven els treballs, la productivitat de la detecció a la xarxa ETA va començar a augmentar. Com a resultat, després de diverses hores de treball, dos terços de les amenaces actives es van detectar amb èxit a la xarxa ETA, que és el doble que a la xarxa no ETA.
La funcionalitat ETA està ben integrada amb Stealthwatch. Les amenaces es classifiquen per gravetat i es mostren amb informació detallada, així com opcions de correcció un cop confirmades. Conclusió: ETA funciona!
Detecció i prevenció d'intrusions
Ara Cisco té una altra eina de seguretat eficaç: el sistema avançat de prevenció d'intrusions sense fil de Cisco (aWIPS): un mecanisme per detectar i prevenir amenaces a les xarxes sense fil. La solució aWIPS funciona a nivell de controladors, punts d'accés i programari de gestió de Cisco DNA Center. La detecció, l'alerta i la prevenció d'amenaces combina l'anàlisi del trànsit de la xarxa, la informació de topologia de la xarxa i del dispositiu de xarxa, tècniques basades en signatura i detecció d'anomalies per oferir amenaces sense fils altament precises i evitables.
Integrant completament aWIPS a la vostra infraestructura de xarxa, podeu supervisar contínuament el trànsit sense fil tant en xarxes amb cable com sense fil i utilitzar-lo per analitzar automàticament atacs potencials de diverses fonts per proporcionar la detecció i prevenció més completa possible.
Mitjans d'autenticació
De moment, a més de les eines d'autenticació clàssiques, les solucions de la sèrie Cisco Catalyst 9800 admeten WPA3. WPA3 és l'última versió de WPA, que és un conjunt de protocols i tecnologies que proporcionen autenticació i xifratge per a xarxes Wi-Fi.
WPA3 utilitza l'autenticació simultània d'iguals (SAE) per oferir la protecció més sòlida als usuaris contra els intents d'endevinar contrasenyes per part de tercers. Quan un client es connecta a un punt d'accés, realitza un intercanvi SAE. Si té èxit, cadascun d'ells crearà una clau criptogràficament forta de la qual es derivarà la clau de sessió i després entraran en l'estat de confirmació. Aleshores, el client i el punt d'accés poden introduir estats d'enllaç cada vegada que cal generar una clau de sessió. El mètode utilitza el secret directe, en què un atacant pot trencar una clau, però no totes les altres.
És a dir, SAE està dissenyat de manera que un atacant que intercepta trànsit només té un intent d'endevinar la contrasenya abans que les dades interceptades es tornin inútils. Per organitzar una recuperació de contrasenya llarga, necessitareu accés físic al punt d'accés.
Protecció del dispositiu client
Les solucions sense fil Cisco Catalyst 9800 Series ofereixen actualment la funció principal de protecció del client mitjançant Cisco Umbrella WLAN, un servei de seguretat de xarxa basat en núvol que funciona a nivell DNS amb detecció automàtica d'amenaces conegudes i emergents.
Cisco Umbrella WLAN proporciona als dispositius client una connexió segura a Internet. Això s'aconsegueix mitjançant el filtratge de contingut, és a dir, bloquejant l'accés als recursos d'Internet d'acord amb la política de l'empresa. Així, els dispositius client a Internet estan protegits de programari maliciós, ransomware i phishing. L'aplicació de les polítiques es basa en 60 categories de contingut actualitzades contínuament.
Automatització
Les xarxes sense fil actuals són molt més flexibles i complexes, de manera que els mètodes tradicionals de configuració i recuperació d'informació dels controladors sense fil no són suficients. Els administradors de xarxa i els professionals de la seguretat de la informació necessiten eines per a l'automatització i l'anàlisi, de manera que els venedors sense fils ofereixen aquestes eines.
Per resoldre aquests problemes, els controladors sense fil de la sèrie Cisco Catalyst 9800, juntament amb l'API tradicional, proporcionen suport per al protocol de configuració de xarxa RESTCONF / NETCONF amb el llenguatge de modelatge de dades YANG (Yet Another Next Generation).
NETCONF és un protocol basat en XML que les aplicacions poden utilitzar per consultar informació i canviar la configuració de dispositius de xarxa, com ara controladors sense fil.
A més d'aquests mètodes, els controladors de la sèrie Cisco Catalyst 9800 ofereixen la capacitat de capturar, recuperar i analitzar dades de flux d'informació mitjançant els protocols NetFlow i sFlow.
Per a la modelització de seguretat i trànsit, la capacitat de fer un seguiment de fluxos específics és una eina valuosa. Per solucionar aquest problema, es va implementar el protocol sFlow, que permet capturar dos paquets de cada cent. Tanmateix, de vegades això pot no ser suficient per analitzar i estudiar i avaluar adequadament el flux. Per tant, una alternativa és NetFlow, implementat per Cisco, que permet recollir i exportar al 100% tots els paquets en un flux específic per a l'anàlisi posterior.
Una altra característica, però, disponible només a la implementació de maquinari dels controladors, que us permet automatitzar el funcionament de la xarxa sense fil als controladors de la sèrie Cisco Catalyst 9800, és el suport integrat per al llenguatge Python com a complement per utilitzar-lo. scripts directament al propi controlador sense fil.
Finalment, els controladors de la sèrie Cisco Catalyst 9800 admeten el protocol provat SNMP versió 1, 2 i 3 per a les operacions de supervisió i gestió.
Així, pel que fa a l'automatització, les solucions de la sèrie Cisco Catalyst 9800 compleixen totalment els requisits empresarials moderns, oferint eines noves i úniques, així com eines provades en el temps per a operacions i anàlisis automatitzades en xarxes sense fil de qualsevol mida i complexitat.
Conclusió
En solucions basades en els controladors de la sèrie Cisco Catalyst 9800, Cisco va demostrar excel·lents resultats en les categories d'alta disponibilitat, seguretat i automatització.
La solució compleix totalment tots els requisits d'alta disponibilitat, com ara la migració per error de menys de segon durant esdeveniments no planificats i zero temps d'inactivitat per als esdeveniments programats.
Els controladors de la sèrie Cisco Catalyst 9800 ofereixen una seguretat completa que ofereix una inspecció profunda de paquets per al reconeixement i el control d'aplicacions, una visibilitat completa dels fluxos de dades i la identificació d'amenaces amagades en el trànsit xifrat, així com mecanismes avançats d'autenticació i seguretat per als dispositius client.
Per a l'automatització i l'anàlisi, la sèrie Cisco Catalyst 9800 ofereix potents capacitats utilitzant models estàndard populars: YANG, NETCONF, RESTCONF, API tradicionals i scripts Python integrats.
Així, Cisco torna a confirmar la seva condició de fabricant líder mundial de solucions de xarxa, seguint els temps i tenint en compte tots els reptes del negoci modern.
Per obtenir més informació sobre la família de commutadors Catalyst, visiteu cisco.
Font: www.habr.com