Sè vo avete un controller, senza prublema: cumu fà mantene facilmente a vostra rete wireless

In 2019, a cumpagnia di cunsulenza Miercom hà realizatu una valutazione tecnologica indipendente di i cuntrolli Wi-Fi 6 di a serie Cisco Catalyst 9800. Per stu studiu, un bancu di prova hè statu assemblatu da i cuntrolli Wi-Fi 6 è punti d'accessu da Cisco, è a suluzione tecnica. hè stata valutata in e seguenti categurie:

• Disponibilità;
• Seguretat;
• L'automatizazione.

I risultati di u studiu sò mostrati quì sottu. Dapoi u 2019, a funziunalità di i controller di a serie Cisco Catalyst 9800 hè stata migliurata significativamente - sti punti sò ancu riflessi in questu articulu.

Pudete leghje nantu à altri vantaghji di a tecnulugia Wi-Fi 6, esempi di implementazione è spazii di applicazione ccà.

Panoramica di a suluzione

Controller Wi-Fi 6 Cisco Catalyst serie 9800

I Controller Wireless Cisco Catalyst 9800 Series, basati nantu à u sistema operatore IOS-XE (utilizatu ancu per i switches è routers Cisco), sò dispunibuli in una varietà di opzioni.

U mudellu più anticu di u controller 9800-80 supporta u throughput di a rete wireless finu à 80 Gbps. Un controller 9800-80 supporta finu à 6000 punti d'accessu è finu à 64 clienti wireless.

U mudellu mid-range, u controller 9800-40, supporta finu à 40 Gbps throughput, finu à 2000 punti d'accessu è finu à 32 clienti wireless.

In più di questi mudelli, l'analisi cumpetitiva includenu ancu u controller wireless 9800-CL (CL significa Cloud). U 9800-CL funziona in ambienti virtuali nantu à ipervisori VMWare ESXI è KVM, è a so prestazione dipende da e risorse hardware dedicate per a macchina virtuale di u controller. In a so cunfigurazione massima, u controller Cisco 9800-CL, cum'è u vechju mudellu 9800-80, sustene a scalabilità finu à 6000 punti d'accessu è finu à 64 clienti wireless.

Quandu facianu a ricerca cù i cuntrolli, i punti d'accessu di a serie Cisco Aironet AP 4800 sò stati utilizati, chì sustene l'operazione à frequenze di 2,4 è 5 GHz cù a capacità di cambià dinamicamente à u modu duale 5-GHz.

banc d'essai

Comu parte di a prova, un stand hè statu assemblatu da dui controller wireless Cisco Catalyst 9800-CL chì operanu in un cluster è punti d'accessu di a serie Cisco Aironet AP 4800.

Laptops da Dell è Apple, è ancu un smartphone Apple iPhone, sò stati utilizati cum'è dispositi cliente.

Test d'accessibilità

A dispunibilità hè definita cum'è a capacità di l'utilizatori per accede è utilizà un sistema o serviziu. L'alta dispunibilità implica un accessu cuntinuu à un sistema o serviziu, indipendentemente da certi avvenimenti.

L'alta dispunibilità hè stata pruvata in quattru scenarii, i primi trè scenarii sò avvenimenti previdibili o pianificati chì puderanu accade durante o dopu l'ore di l'affari. U quintu scenariu hè un fallimentu classicu, chì hè un avvenimentu imprevisible.

Descrizzione di i scenarii:

• Correzione d'errore - una micro-aghjurnamentu di u sistema (bugfix o patch di sicurezza), chì permette di riparà un errore particulari o vulnerabilità senza un aghjurnamentu cumpletu di u software di u sistema;
• Actualizazione funzionale - aghjunghje o espansione a funziunalità attuale di u sistema installendu l'aghjurnamenti funziunali;
• Actualizazione cumpleta - aghjurnà l'imagine di u software di u controller;
• Aghjunghjendu un puntu d'accessu - aghjunghje un novu mudellu di puntu d'accessu à una rete wireless senza a necessità di cunfigurà o aghjurnà u software di u controller wireless;
• Fiascu - fallimentu di u controller wireless.

Riparazione di bug è vulnerabilità

Spessu, cù parechje suluzioni cumpetitive, u patching richiede un aghjurnamentu cumpletu di u software di u sistema di cuntrollu wireless, chì pò esse risultatu in un downtime imprevisu. In u casu di a suluzione Cisco, patching hè realizatu senza firmà u pruduttu. I patches ponu esse installati nantu à qualsiasi cumpunenti mentre l'infrastruttura wireless cuntinueghja à operare.

A prucedura stessa hè abbastanza sèmplice. U schedariu di patch hè copiatu à u cartulare di bootstrap in unu di i cuntrolli wireless Cisco, è l'operazione hè cunfirmata da a GUI o linea di cummanda. Inoltre, pudete ancu annullà è sguassà a correzione via a GUI o a linea di cummanda, ancu senza interrompe l'operazione di u sistema.

Actualizazione funzionale

L'aghjurnamenti di u software funziunale sò applicati per attivà e funzioni novi. Una di queste migliorie hè l'aghjurnamentu di a basa di dati di firma di l'applicazione. Stu pacchettu hè statu stallatu nantu à i cuntrolli Cisco cum'è una prova. Cum'è cù i patch, l'aghjurnamenti di e funzioni sò applicati, installati o sguassati senza alcunu downtime o interruzzione di u sistema.

Actualizazione cumpleta

À u mumentu, una aghjurnazione cumpleta di l'imaghjini di u software di u controller hè realizatu in u listessu modu cum'è un aghjurnamentu funziunale, vale à dì senza downtime. Tuttavia, sta funzione hè dispunibule solu in una cunfigurazione di cluster quandu ci hè più di un controller. Un aghjurnamentu cumpletu hè realizatu in sequenza: prima nantu à un controller, dopu nantu à u sicondu.

Aghjunghjendu un novu mudellu di puntu d'accessu

Cunnettendu novi punti d'accessu, chì ùn sò micca stati operati prima cù l'imaghjini di u software di cuntrollu utilizatu, à una rete wireless hè una operazione abbastanza cumuna, soprattuttu in grande rete (aeroporti, hotel, fabbriche). Piuttostu spessu in i suluzioni di i cuncurrenti, sta operazione richiede l'aghjurnamentu di u software di u sistema o rebooting i controller.

Quandu si cunnessu novi punti d'accessu Wi-Fi 6 à un cluster di controller di a serie Cisco Catalyst 9800, ùn sò micca osservati tali prublemi. A cunnessione di novi punti à u controller hè realizatu senza aghjurnà u software di u controller, è questu prucessu ùn hà micca bisognu di un reboot, cusì ùn affetta micca a rete wireless in ogni modu.

fallimentu di u controller

L'ambiente di prova usa dui controller Wi-Fi 6 (Active/StandBy) è u puntu d'accessu hà una cunnessione diretta à i dui controller.

Un controller wireless hè attivu, è l'altru, rispettivamente, hè una copia di salvezza. Se u controller attivu falla, u cuntrollu di salvezza piglia u so status è cambia in attivu. Sta prucedura si faci senza interruzzione per u puntu d'accessu è Wi-Fi per i clienti.

Seguretat

Questa sezione discute l'aspettu di a sicurità, chì hè un prublema estremamente pressante in e rete wireless. A sicurità di a suluzione hè valutata nantu à e seguenti caratteristiche:

• ricunniscenza di l'applicazioni;
• traccia di u flussu;
• Analisi di u trafficu criptatu;
• rilevazione è prevenzione di l'intrusioni;
• Autentificazione significa;
• Strumenti di prutezzione di i dispositi di u cliente.

Ricunniscenza di l'applicazione

Trà a varietà di prudutti in u mercatu di Wi-Fi di l'impresa è industriale, ci sò differenzi in quantu i prudutti identificanu u trafficu per applicazione. I prudutti di diversi fabricatori ponu identificà diversi numeri di applicazioni. In ogni casu, assai di l'applicazioni chì e soluzioni cumpetitive listanu cum'è pussibuli per l'identificazione sò, in fattu, siti web, è micca applicazioni uniche.

Ci hè una altra caratteristica interessante di ricunniscenza di l'applicazioni: e soluzioni varienu assai in a precisione d'identificazione.

Pigliendu tutte e teste realizate, pudemu dichjarà in modu rispunsevule chì a suluzione Wi-Fi-6 di Cisco eseguisce a ricunniscenza di l'applicazioni assai precisa: Jabber, Netflix, Dropbox, YouTube è altre applicazioni populari, è ancu i servizii web, sò stati identificati accuratamente. E soluzioni Cisco ponu ancu immersione più profonda in i pacchetti di dati utilizendu DPI (Deep Packet Inspection).

Tracciamentu di u flussu di trafficu

Un'altra prova hè stata realizata per vede s'ellu u sistema puderia seguità accuratamente è rapportà i flussi di dati (cum'è grandi movimenti di file). Per pruvà questu, un schedariu di 6,5 megabyte hè statu mandatu nantu à a reta cù u protocolu di trasferimentu di file (FTP).

A suluzione Cisco era cumplettamente à u compitu è ​​hà sappiutu seguità stu trafficu grazia à NetFlow è e so capacità hardware. U trafficu hè statu rilevatu è identificatu immediatamente cù a quantità esatta di dati trasferiti.

Analisi di u trafficu criptatu

U trafficu di dati di l'utilizatori hè sempre più criptatu. Questu hè fattu per prutege da esse tracciatu o interceptatu da l'attaccanti. Ma à u listessu tempu, i pirate sò sempre più utilizendu a criptografia per ammuccià u so malware è eseguisce altre operazioni dubbie cum'è Man-in-the-Middle (MiTM) o attacchi di keylogging.

A maiò parte di l'imprese inspeccione una parte di u so trafficu criptatu prima decifratu cù firewalls o sistemi di prevenzione di intrusioni. Ma stu prucessu pigghia assai tempu è ùn benefiziu micca u funziunamentu di a reta in tuttu. Inoltre, una volta decrypted, sta dati diventa vulnerabile à l'occhi indiscreti.

I cuntrolli Cisco Catalyst 9800 Series risolve bè u prublema di analizà u trafficu criptatu per altri mezi. A suluzione hè chjamata Encrypted Traffic Analytics (ETA). ETA hè una tecnulugia chì attualmente ùn hà micca analoghi in suluzioni cumpetitive è chì detecta malware in u trafficu criptatu senza bisognu di decifrallu. ETA hè una funzione core di IOS-XE chì include Enhanced NetFlow è usa algoritmi di cumportamentu avanzati per identificà mudelli di trafficu maliziusi chì si nascondenu in u trafficu criptatu.

ETA ùn decripta micca i missaghji, ma raccoglie profili di metadati di flussi di trafficu criptati - dimensione di pacchetti, intervalli di tempu trà i pacchetti, è assai di più. I metadati sò poi esportati in i registri NetFlow v9 à Cisco Stealthwatch.

A funzione chjave di Stealthwatch hè di monitorà constantemente u trafficu, è ancu di creà una basa di l'attività normale di a rete. Utilizendu metadati di flussu criptati mandati da l'ETA, Stealthwatch applica l'apprendimentu automaticu multi-layer per identificà anomalie di u trafficu di cumportamentu chì ponu indicà avvenimenti sospetti.

L'annu passatu, Cisco hà impegnatu Miercom per valutà indipindentamente a so soluzione Cisco Encrypted Traffic Analytics. Durante questa valutazione, Miercom hà mandatu separatamente minacce cunnisciute è scunnisciute (virus, Trojans, ransomware) in u trafficu criptatu è micca criptatu in e grande rete ETA è non-ETA per identificà e minacce.

Per a prova, u codice maliziusu hè statu lanciatu nantu à e duie rete. In i dui casi, l'attività sospetta hè stata scuperta gradualmente. A reta ETA hà inizialmente rilevatu minacce 36% più veloce cà a reta non-ETA. À u listessu tempu, cum'è u travagliu avanzava, a produtividade di a deteczione in a reta ETA hà cuminciatu à cresce. In u risultatu, dopu à parechje ore di travagliu, duie terze di e minacce attive sò state rilevate cù successu in a reta ETA, chì hè duie volte più cà in a reta non-ETA.

A funziunalità ETA hè ben integrata cù Stealthwatch. I minacce sò classificate per gravità è affissate cù informazioni dettagliate, è ancu l'opzioni di rimediazione una volta cunfirmata. Conclusioni - ETA travaglia!

Rilevazione è prevenzione di l'intrusioni

Cisco hà avà un altru strumentu di sicurezza efficace - u Cisco Advanced Wireless Intrusion Prevention System (aWIPS): un mecanismu per detectà è prevene e minacce à e rete wireless. A suluzione aWIPS opera à u livellu di cuntrolli, punti d'accessu è software di gestione Cisco DNA Center. A rilevazione, l'alerta è a prevenzione di e minacce combina l'analisi di u trafficu di a rete, l'infurmazioni di u dispositivu di a rete è di a topologia di a rete, tecniche basate nantu à a firma è a rilevazione di anomalie per furnisce minacce wireless altamente precise è prevenibili.

Integrando cumplettamente aWIPS in a vostra infrastruttura di rete, pudete monitorà continuamente u trafficu wireless in e rete cablate è wireless è aduprà per analizà automaticamente attacchi potenziali da parechje fonti per furnisce a rilevazione è a prevenzione più cumpleta pussibule.

Autentificazione significa

À u mumentu, in più di i strumenti di autentificazione classici, e soluzioni di a serie Cisco Catalyst 9800 supportanu WPA3. WPA3 hè l'ultima versione di WPA, chì hè un inseme di protokolli è tecnulugia chì furnisce l'autentificazione è a criptografia per e rete Wi-Fi.

WPA3 usa l'autenticazione simultanea di uguali (SAE) per furnisce a più forte prutezzione per l'utilizatori contr'à i tentativi di indovinazione di password da terze parti. Quandu un cliente si cunnetta à un puntu d'accessu, eseguisce un scambiu SAE. In casu di successu, ognuna di elli hà da creà una chjave criptograficamente forte da quale a chjave di sessione serà derivata, è dopu entreranu in u statu di cunferma. U cliente è u puntu d'accessu ponu allora entre in stati di handshake ogni volta chì una chjave di sessione deve esse generata. U metudu usa u sicretu avanti, in quale un attaccu pò cracke una chjave, ma micca tutte l'altri chjave.

Vale à dì, SAE hè cuncepitu in tale manera chì un attaccu chì intercepta u trafficu hà solu un tentativu di indovinà a password prima chì i dati interceptati diventanu inutili. Per urganizà una longa ricuperazione di password, avete bisognu di accessu fisicu à u puntu d'accessu.

Prutezzione di u dispositivu di u cliente

Soluzioni wireless Cisco Catalyst 9800 Series furnisce attualmente a funzione primaria di prutezzione di i clienti attraversu Cisco Umbrella WLAN, un serviziu di sicurezza di rete basatu in nuvola chì opera à u livellu DNS cù rilevazione automatica di e minacce cunnisciute è emergenti.

Cisco Umbrella WLAN furnisce i dispositi clienti cù una cunnessione sicura à Internet. Questu hè ottenutu per filtrazione di cuntenutu, vale à dì, bluccà l'accessu à e risorse in Internet in cunfurmità cù a pulitica di l'impresa. Cusì, i dispositi clientali in Internet sò prutetti da malware, ransomware è phishing. L'applicazione di e pulitiche hè basatu annantu à 60 categurie di cuntenutu aghjurnatu continuamente.

L'automatizazione

E rete wireless d'oghje sò assai più flessibili è cumplessi, cusì i metudi tradiziunali di cunfigurà è ricuperà l'infurmazioni da i controller wireless ùn sò micca abbastanza. L'amministratori di a rete è i prufessiunali di a sicurità di l'infurmazioni necessitanu strumenti per l'automatizazione è l'analisi, chì incitanu i venditori wireless à offre tali strumenti.

Per risolve questi prublemi, i cuntrolli wireless di a serie Cisco Catalyst 9800, inseme cù l'API tradiziunale, furniscenu supportu per u protocolu di cunfigurazione di rete RESTCONF / NETCONF cù a lingua di modellazione di dati YANG (Yet Another Next Generation).

NETCONF hè un protokollu basatu in XML chì l'applicazioni ponu utilizà per dumandà l'infurmazioni è cambià a cunfigurazione di i dispositi di rete cum'è i controller wireless.

In più di questi metudi, i Controller Cisco Catalyst 9800 Series furniscenu l'abilità di catturà, ricuperà è analizà e dati di flussu di l'infurmazioni utilizendu i protokolli NetFlow è sFlow.

Per u mudellu di sicurità è di trafficu, a capacità di seguità i flussi specifichi hè un strumentu preziosu. Per risolve stu prublema, hè statu implementatu u protocolu sFlow, chì permette di catturà dui pacchetti da ogni centu. In ogni casu, qualchì volta questu pò esse micca abbastanza per analizà è studià bè è valutà u flussu. Per quessa, una alternativa hè NetFlow, implementata da Cisco, chì vi permette di 100% di cullà è esportà tutti i pacchetti in un flussu specificu per l'analisi sussegwente.

Una altra funzione, però, dispunibule solu in l'implementazione hardware di i controller, chì permette di automatizà l'operazione di a rete wireless in i controller di a serie Cisco Catalyst 9800, hè un supportu integratu per a lingua Python cum'è un add-on per l'usu. scripts direttamente nantu à u controller wireless stessu.

Infine, i Controller Cisco Catalyst 9800 Series supportanu u protokollu provatu SNMP versione 1, 2 è 3 per operazioni di monitoraghju è gestione.

Cusì, in quantu à l'automatizazione, e soluzioni Cisco Catalyst 9800 Series rispondenu cumplettamente à i bisogni di l'affari muderni, chì offrenu strumenti novi è unichi, è ancu strumenti testati in u tempu per operazioni automatizate è analitiche in rete wireless di ogni dimensione è cumplessità.

cunchiusioni

In suluzioni basate nantu à i Controller Cisco Catalyst 9800 Series, Cisco hà dimustratu risultati eccellenti in e categurie di alta dispunibilità, sicurezza è automatizazione.

A suluzione risponde cumplettamente à tutti i requisiti di alta dispunibilità, cum'è un fallimentu sub-secondu durante l'avvenimenti imprevisti è zero downtime per l'avvenimenti pianificati.

I Controllers Cisco Catalyst 9800 Series furniscenu una sicurezza cumpleta chì furnisce l'ispezione di pacchetti profonda per u ricunniscenza è u cuntrollu di l'applicazioni, una visibilità cumpleta in i flussi di dati, è l'identificazione di e minacce nascoste in u trafficu criptatu, è dinò l'autentificazione avanzata è i meccanismi di sicurezza per i dispositi client.

Per l'automatizazione è l'analisi, a Serie Cisco Catalyst 9800 offre capacità putenti cù mudelli standard populari: YANG, NETCONF, RESTCONF, API tradiziunali è script Python integrati.

Cusì, Cisco cunfirma una volta di più u so statutu di u primu fabricatore di soluzioni di rete in u mondu, mantenendu u tempu è pigliate in contu tutte e sfide di l'affari muderni.

Per più infurmazione nantu à a famiglia di switch Catalyst, visitate situ Cisco.

Source: www.habr.com

In 2019, a cumpagnia di cunsulenza Miercom hà realizatu una valutazione tecnologica indipendente di i cuntrolli Wi-Fi 6 di a serie Cisco Catalyst 9800. Per stu studiu, un bancu di prova hè statu assemblatu da i cuntrolli Wi-Fi 6 è punti d'accessu da Cisco, è a suluzione tecnica. hè stata valutata in e seguenti categurie:

• Disponibilità;
• Seguretat;
• L'automatizazione.

I risultati di u studiu sò mostrati quì sottu. Dapoi u 2019, a funziunalità di i controller di a serie Cisco Catalyst 9800 hè stata migliurata significativamente - sti punti sò ancu riflessi in questu articulu.

Pudete leghje nantu à altri vantaghji di a tecnulugia Wi-Fi 6, esempi di implementazione è spazii di applicazione ccà.

Panoramica di a suluzione

Controller Wi-Fi 6 Cisco Catalyst serie 9800

I Controller Wireless Cisco Catalyst 9800 Series, basati nantu à u sistema operatore IOS-XE (utilizatu ancu per i switches è routers Cisco), sò dispunibuli in una varietà di opzioni.

U mudellu più anticu di u controller 9800-80 supporta u throughput di a rete wireless finu à 80 Gbps. Un controller 9800-80 supporta finu à 6000 punti d'accessu è finu à 64 clienti wireless.

U mudellu mid-range, u controller 9800-40, supporta finu à 40 Gbps throughput, finu à 2000 punti d'accessu è finu à 32 clienti wireless.

In più di questi mudelli, l'analisi cumpetitiva includenu ancu u controller wireless 9800-CL (CL significa Cloud). U 9800-CL funziona in ambienti virtuali nantu à ipervisori VMWare ESXI è KVM, è a so prestazione dipende da e risorse hardware dedicate per a macchina virtuale di u controller. In a so cunfigurazione massima, u controller Cisco 9800-CL, cum'è u vechju mudellu 9800-80, sustene a scalabilità finu à 6000 punti d'accessu è finu à 64 clienti wireless.

Quandu facianu a ricerca cù i cuntrolli, i punti d'accessu di a serie Cisco Aironet AP 4800 sò stati utilizati, chì sustene l'operazione à frequenze di 2,4 è 5 GHz cù a capacità di cambià dinamicamente à u modu duale 5-GHz.

banc d'essai

Comu parte di a prova, un stand hè statu assemblatu da dui controller wireless Cisco Catalyst 9800-CL chì operanu in un cluster è punti d'accessu di a serie Cisco Aironet AP 4800.

Laptops da Dell è Apple, è ancu un smartphone Apple iPhone, sò stati utilizati cum'è dispositi cliente.

Test d'accessibilità

A dispunibilità hè definita cum'è a capacità di l'utilizatori per accede è utilizà un sistema o serviziu. L'alta dispunibilità implica un accessu cuntinuu à un sistema o serviziu, indipendentemente da certi avvenimenti.

L'alta dispunibilità hè stata pruvata in quattru scenarii, i primi trè scenarii sò avvenimenti previdibili o pianificati chì puderanu accade durante o dopu l'ore di l'affari. U quintu scenariu hè un fallimentu classicu, chì hè un avvenimentu imprevisible.

Descrizzione di i scenarii:

• Correzione d'errore - una micro-aghjurnamentu di u sistema (bugfix o patch di sicurezza), chì permette di riparà un errore particulari o vulnerabilità senza un aghjurnamentu cumpletu di u software di u sistema;
• Actualizazione funzionale - aghjunghje o espansione a funziunalità attuale di u sistema installendu l'aghjurnamenti funziunali;
• Actualizazione cumpleta - aghjurnà l'imagine di u software di u controller;
• Aghjunghjendu un puntu d'accessu - aghjunghje un novu mudellu di puntu d'accessu à una rete wireless senza a necessità di cunfigurà o aghjurnà u software di u controller wireless;
• Fiascu - fallimentu di u controller wireless.

Riparazione di bug è vulnerabilità

Spessu, cù parechje suluzioni cumpetitive, u patching richiede un aghjurnamentu cumpletu di u software di u sistema di cuntrollu wireless, chì pò esse risultatu in un downtime imprevisu. In u casu di a suluzione Cisco, patching hè realizatu senza firmà u pruduttu. I patches ponu esse installati nantu à qualsiasi cumpunenti mentre l'infrastruttura wireless cuntinueghja à operare.

A prucedura stessa hè abbastanza sèmplice. U schedariu di patch hè copiatu à u cartulare di bootstrap in unu di i cuntrolli wireless Cisco, è l'operazione hè cunfirmata da a GUI o linea di cummanda. Inoltre, pudete ancu annullà è sguassà a correzione via a GUI o a linea di cummanda, ancu senza interrompe l'operazione di u sistema.

Actualizazione funzionale

L'aghjurnamenti di u software funziunale sò applicati per attivà e funzioni novi. Una di queste migliorie hè l'aghjurnamentu di a basa di dati di firma di l'applicazione. Stu pacchettu hè statu stallatu nantu à i cuntrolli Cisco cum'è una prova. Cum'è cù i patch, l'aghjurnamenti di e funzioni sò applicati, installati o sguassati senza alcunu downtime o interruzzione di u sistema.

Actualizazione cumpleta

À u mumentu, una aghjurnazione cumpleta di l'imaghjini di u software di u controller hè realizatu in u listessu modu cum'è un aghjurnamentu funziunale, vale à dì senza downtime. Tuttavia, sta funzione hè dispunibule solu in una cunfigurazione di cluster quandu ci hè più di un controller. Un aghjurnamentu cumpletu hè realizatu in sequenza: prima nantu à un controller, dopu nantu à u sicondu.

Aghjunghjendu un novu mudellu di puntu d'accessu

Cunnettendu novi punti d'accessu, chì ùn sò micca stati operati prima cù l'imaghjini di u software di cuntrollu utilizatu, à una rete wireless hè una operazione abbastanza cumuna, soprattuttu in grande rete (aeroporti, hotel, fabbriche). Piuttostu spessu in i suluzioni di i cuncurrenti, sta operazione richiede l'aghjurnamentu di u software di u sistema o rebooting i controller.

Quandu si cunnessu novi punti d'accessu Wi-Fi 6 à un cluster di controller di a serie Cisco Catalyst 9800, ùn sò micca osservati tali prublemi. A cunnessione di novi punti à u controller hè realizatu senza aghjurnà u software di u controller, è questu prucessu ùn hà micca bisognu di un reboot, cusì ùn affetta micca a rete wireless in ogni modu.

fallimentu di u controller

L'ambiente di prova usa dui controller Wi-Fi 6 (Active/StandBy) è u puntu d'accessu hà una cunnessione diretta à i dui controller.

Un controller wireless hè attivu, è l'altru, rispettivamente, hè una copia di salvezza. Se u controller attivu falla, u cuntrollu di salvezza piglia u so status è cambia in attivu. Sta prucedura si faci senza interruzzione per u puntu d'accessu è Wi-Fi per i clienti.

Seguretat

Questa sezione discute l'aspettu di a sicurità, chì hè un prublema estremamente pressante in e rete wireless. A sicurità di a suluzione hè valutata nantu à e seguenti caratteristiche:

• ricunniscenza di l'applicazioni;
• traccia di u flussu;
• Analisi di u trafficu criptatu;
• rilevazione è prevenzione di l'intrusioni;
• Autentificazione significa;
• Strumenti di prutezzione di i dispositi di u cliente.

Ricunniscenza di l'applicazione

Trà a varietà di prudutti in u mercatu di Wi-Fi di l'impresa è industriale, ci sò differenzi in quantu i prudutti identificanu u trafficu per applicazione. I prudutti di diversi fabricatori ponu identificà diversi numeri di applicazioni. In ogni casu, assai di l'applicazioni chì e soluzioni cumpetitive listanu cum'è pussibuli per l'identificazione sò, in fattu, siti web, è micca applicazioni uniche.

Ci hè una altra caratteristica interessante di ricunniscenza di l'applicazioni: e soluzioni varienu assai in a precisione d'identificazione.

Pigliendu tutte e teste realizate, pudemu dichjarà in modu rispunsevule chì a suluzione Wi-Fi-6 di Cisco eseguisce a ricunniscenza di l'applicazioni assai precisa: Jabber, Netflix, Dropbox, YouTube è altre applicazioni populari, è ancu i servizii web, sò stati identificati accuratamente. E soluzioni Cisco ponu ancu immersione più profonda in i pacchetti di dati utilizendu DPI (Deep Packet Inspection).

Tracciamentu di u flussu di trafficu

Un'altra prova hè stata realizata per vede s'ellu u sistema puderia seguità accuratamente è rapportà i flussi di dati (cum'è grandi movimenti di file). Per pruvà questu, un schedariu di 6,5 megabyte hè statu mandatu nantu à a reta cù u protocolu di trasferimentu di file (FTP).

A suluzione Cisco era cumplettamente à u compitu è ​​hà sappiutu seguità stu trafficu grazia à NetFlow è e so capacità hardware. U trafficu hè statu rilevatu è identificatu immediatamente cù a quantità esatta di dati trasferiti.

Analisi di u trafficu criptatu

U trafficu di dati di l'utilizatori hè sempre più criptatu. Questu hè fattu per prutege da esse tracciatu o interceptatu da l'attaccanti. Ma à u listessu tempu, i pirate sò sempre più utilizendu a criptografia per ammuccià u so malware è eseguisce altre operazioni dubbie cum'è Man-in-the-Middle (MiTM) o attacchi di keylogging.

A maiò parte di l'imprese inspeccione una parte di u so trafficu criptatu prima decifratu cù firewalls o sistemi di prevenzione di intrusioni. Ma stu prucessu pigghia assai tempu è ùn benefiziu micca u funziunamentu di a reta in tuttu. Inoltre, una volta decrypted, sta dati diventa vulnerabile à l'occhi indiscreti.

I cuntrolli Cisco Catalyst 9800 Series risolve bè u prublema di analizà u trafficu criptatu per altri mezi. A suluzione hè chjamata Encrypted Traffic Analytics (ETA). ETA hè una tecnulugia chì attualmente ùn hà micca analoghi in suluzioni cumpetitive è chì detecta malware in u trafficu criptatu senza bisognu di decifrallu. ETA hè una funzione core di IOS-XE chì include Enhanced NetFlow è usa algoritmi di cumportamentu avanzati per identificà mudelli di trafficu maliziusi chì si nascondenu in u trafficu criptatu.

ETA ùn decripta micca i missaghji, ma raccoglie profili di metadati di flussi di trafficu criptati - dimensione di pacchetti, intervalli di tempu trà i pacchetti, è assai di più. I metadati sò poi esportati in i registri NetFlow v9 à Cisco Stealthwatch.

A funzione chjave di Stealthwatch hè di monitorà constantemente u trafficu, è ancu di creà una basa di l'attività normale di a rete. Utilizendu metadati di flussu criptati mandati da l'ETA, Stealthwatch applica l'apprendimentu automaticu multi-layer per identificà anomalie di u trafficu di cumportamentu chì ponu indicà avvenimenti sospetti.

L'annu passatu, Cisco hà impegnatu Miercom per valutà indipindentamente a so soluzione Cisco Encrypted Traffic Analytics. Durante questa valutazione, Miercom hà mandatu separatamente minacce cunnisciute è scunnisciute (virus, Trojans, ransomware) in u trafficu criptatu è micca criptatu in e grande rete ETA è non-ETA per identificà e minacce.

Per a prova, u codice maliziusu hè statu lanciatu nantu à e duie rete. In i dui casi, l'attività sospetta hè stata scuperta gradualmente. A reta ETA hà inizialmente rilevatu minacce 36% più veloce cà a reta non-ETA. À u listessu tempu, cum'è u travagliu avanzava, a produtividade di a deteczione in a reta ETA hà cuminciatu à cresce. In u risultatu, dopu à parechje ore di travagliu, duie terze di e minacce attive sò state rilevate cù successu in a reta ETA, chì hè duie volte più cà in a reta non-ETA.

A funziunalità ETA hè ben integrata cù Stealthwatch. I minacce sò classificate per gravità è affissate cù informazioni dettagliate, è ancu l'opzioni di rimediazione una volta cunfirmata. Conclusioni - ETA travaglia!

Rilevazione è prevenzione di l'intrusioni

Cisco hà avà un altru strumentu di sicurezza efficace - u Cisco Advanced Wireless Intrusion Prevention System (aWIPS): un mecanismu per detectà è prevene e minacce à e rete wireless. A suluzione aWIPS opera à u livellu di cuntrolli, punti d'accessu è software di gestione Cisco DNA Center. A rilevazione, l'alerta è a prevenzione di e minacce combina l'analisi di u trafficu di a rete, l'infurmazioni di u dispositivu di a rete è di a topologia di a rete, tecniche basate nantu à a firma è a rilevazione di anomalie per furnisce minacce wireless altamente precise è prevenibili.

Integrando cumplettamente aWIPS in a vostra infrastruttura di rete, pudete monitorà continuamente u trafficu wireless in e rete cablate è wireless è aduprà per analizà automaticamente attacchi potenziali da parechje fonti per furnisce a rilevazione è a prevenzione più cumpleta pussibule.

Autentificazione significa

À u mumentu, in più di i strumenti di autentificazione classici, e soluzioni di a serie Cisco Catalyst 9800 supportanu WPA3. WPA3 hè l'ultima versione di WPA, chì hè un inseme di protokolli è tecnulugia chì furnisce l'autentificazione è a criptografia per e rete Wi-Fi.

WPA3 usa l'autenticazione simultanea di uguali (SAE) per furnisce a più forte prutezzione per l'utilizatori contr'à i tentativi di indovinazione di password da terze parti. Quandu un cliente si cunnetta à un puntu d'accessu, eseguisce un scambiu SAE. In casu di successu, ognuna di elli hà da creà una chjave criptograficamente forte da quale a chjave di sessione serà derivata, è dopu entreranu in u statu di cunferma. U cliente è u puntu d'accessu ponu allora entre in stati di handshake ogni volta chì una chjave di sessione deve esse generata. U metudu usa u sicretu avanti, in quale un attaccu pò cracke una chjave, ma micca tutte l'altri chjave.

Vale à dì, SAE hè cuncepitu in tale manera chì un attaccu chì intercepta u trafficu hà solu un tentativu di indovinà a password prima chì i dati interceptati diventanu inutili. Per urganizà una longa ricuperazione di password, avete bisognu di accessu fisicu à u puntu d'accessu.

Prutezzione di u dispositivu di u cliente

Soluzioni wireless Cisco Catalyst 9800 Series furnisce attualmente a funzione primaria di prutezzione di i clienti attraversu Cisco Umbrella WLAN, un serviziu di sicurezza di rete basatu in nuvola chì opera à u livellu DNS cù rilevazione automatica di e minacce cunnisciute è emergenti.

Cisco Umbrella WLAN furnisce i dispositi clienti cù una cunnessione sicura à Internet. Questu hè ottenutu per filtrazione di cuntenutu, vale à dì, bluccà l'accessu à e risorse in Internet in cunfurmità cù a pulitica di l'impresa. Cusì, i dispositi clientali in Internet sò prutetti da malware, ransomware è phishing. L'applicazione di e pulitiche hè basatu annantu à 60 categurie di cuntenutu aghjurnatu continuamente.

L'automatizazione

E rete wireless d'oghje sò assai più flessibili è cumplessi, cusì i metudi tradiziunali di cunfigurà è ricuperà l'infurmazioni da i controller wireless ùn sò micca abbastanza. L'amministratori di a rete è i prufessiunali di a sicurità di l'infurmazioni necessitanu strumenti per l'automatizazione è l'analisi, chì incitanu i venditori wireless à offre tali strumenti.

Per risolve questi prublemi, i cuntrolli wireless di a serie Cisco Catalyst 9800, inseme cù l'API tradiziunale, furniscenu supportu per u protocolu di cunfigurazione di rete RESTCONF / NETCONF cù a lingua di modellazione di dati YANG (Yet Another Next Generation).

NETCONF hè un protokollu basatu in XML chì l'applicazioni ponu utilizà per dumandà l'infurmazioni è cambià a cunfigurazione di i dispositi di rete cum'è i controller wireless.

In più di questi metudi, i Controller Cisco Catalyst 9800 Series furniscenu l'abilità di catturà, ricuperà è analizà e dati di flussu di l'infurmazioni utilizendu i protokolli NetFlow è sFlow.

Per u mudellu di sicurità è di trafficu, a capacità di seguità i flussi specifichi hè un strumentu preziosu. Per risolve stu prublema, hè statu implementatu u protocolu sFlow, chì permette di catturà dui pacchetti da ogni centu. In ogni casu, qualchì volta questu pò esse micca abbastanza per analizà è studià bè è valutà u flussu. Per quessa, una alternativa hè NetFlow, implementata da Cisco, chì vi permette di 100% di cullà è esportà tutti i pacchetti in un flussu specificu per l'analisi sussegwente.

Una altra funzione, però, dispunibule solu in l'implementazione hardware di i controller, chì permette di automatizà l'operazione di a rete wireless in i controller di a serie Cisco Catalyst 9800, hè un supportu integratu per a lingua Python cum'è un add-on per l'usu. scripts direttamente nantu à u controller wireless stessu.

Infine, i Controller Cisco Catalyst 9800 Series supportanu u protokollu provatu SNMP versione 1, 2 è 3 per operazioni di monitoraghju è gestione.

Cusì, in quantu à l'automatizazione, e soluzioni Cisco Catalyst 9800 Series rispondenu cumplettamente à i bisogni di l'affari muderni, chì offrenu strumenti novi è unichi, è ancu strumenti testati in u tempu per operazioni automatizate è analitiche in rete wireless di ogni dimensione è cumplessità.

cunchiusioni

In suluzioni basate nantu à i Controller Cisco Catalyst 9800 Series, Cisco hà dimustratu risultati eccellenti in e categurie di alta dispunibilità, sicurezza è automatizazione.

A suluzione risponde cumplettamente à tutti i requisiti di alta dispunibilità, cum'è un fallimentu sub-secondu durante l'avvenimenti imprevisti è zero downtime per l'avvenimenti pianificati.

I Controllers Cisco Catalyst 9800 Series furniscenu una sicurezza cumpleta chì furnisce l'ispezione di pacchetti profonda per u ricunniscenza è u cuntrollu di l'applicazioni, una visibilità cumpleta in i flussi di dati, è l'identificazione di e minacce nascoste in u trafficu criptatu, è dinò l'autentificazione avanzata è i meccanismi di sicurezza per i dispositi client.

Per l'automatizazione è l'analisi, a Serie Cisco Catalyst 9800 offre capacità putenti cù mudelli standard populari: YANG, NETCONF, RESTCONF, API tradiziunali è script Python integrati.

Cusì, Cisco cunfirma una volta di più u so statutu di u primu fabricatore di soluzioni di rete in u mondu, mantenendu u tempu è pigliate in contu tutte e sfide di l'affari muderni.

Per più infurmazione nantu à a famiglia di switch Catalyst, visitate situ Cisco.

Source: www.habr.com