Pokud máte ovladač, žádný problém: jak snadno udržovat bezdrátovou síť

Poradenská společnost Miercom provedla v roce 2019 nezávislé technologické posouzení řadičů Wi-Fi 6 řady Cisco Catalyst 9800. Pro tuto studii byla z řadičů a přístupových bodů Cisco Wi-Fi 6 sestavena testovací stolice a technické řešení bylo hodnoceno v těchto kategoriích:

• Dostupnost;
• Bezpečnost;
• Automatizace.

Výsledky studie jsou uvedeny níže. Od roku 2019 byla výrazně vylepšena funkcionalita řadičů Cisco Catalyst řady 9800 – tyto body odráží i tento článek.

Můžete si přečíst o dalších výhodách technologie Wi-Fi 6, příkladech implementace a oblastech použití zde.

Přehled řešení

Wi-Fi 6 řadičů Cisco Catalyst řady 9800

Bezdrátové ovladače Cisco Catalyst řady 9800 založené na operačním systému IOS-XE (také používané pro přepínače a směrovače Cisco) jsou k dispozici v různých možnostech.

Starší model řadiče 9800-80 podporuje propustnost bezdrátové sítě až 80 Gbps. Jeden řadič 9800-80 podporuje až 6000 64 přístupových bodů a až 000 XNUMX bezdrátových klientů.

Model střední třídy, řadič 9800-40, podporuje propustnost až 40 Gb/s, až 2000 32 přístupových bodů a až 000 XNUMX bezdrátových klientů.

Kromě těchto modelů zahrnovala konkurenční analýza také bezdrátový ovladač 9800-CL (CL je zkratka pro Cloud). 9800-CL běží ve virtuálních prostředích na hypervizorech VMWare ESXI a KVM a jeho výkon závisí na vyhrazených hardwarových prostředcích pro virtuální stroj řadiče. V maximální konfiguraci řadič Cisco 9800-CL, stejně jako starší model 9800-80, podporuje škálovatelnost až 6000 64 přístupových bodů a až 000 XNUMX bezdrátových klientů.

Při výzkumu s řadiči byly použity přístupové body Cisco Aironet řady AP 4800 podporující provoz na frekvencích 2,4 a 5 GHz s možností dynamického přepínání do duálního 5GHz režimu.

Zkušební stojan

V rámci testování byl sestaven stojan ze dvou bezdrátových ovladačů Cisco Catalyst 9800-CL pracujících v clusteru a přístupových bodů řady Cisco Aironet AP 4800.

Jako klientská zařízení byly použity notebooky od společností Dell a Apple a také smartphone Apple iPhone.

Testování přístupnosti

Dostupnost je definována jako schopnost uživatelů přistupovat a používat systém nebo službu. Vysoká dostupnost znamená nepřetržitý přístup k systému nebo službě, nezávislý na určitých událostech.

Vysoká dostupnost byla testována ve čtyřech scénářích, přičemž první tři scénáře byly předvídatelné nebo plánované události, které by mohly nastat během pracovní doby nebo po ní. Pátým scénářem je klasické selhání, což je nepředvídatelná událost.

Popis scénářů:

• Oprava chyb – mikroaktualizace systému (oprava chyb nebo bezpečnostní záplata), která umožňuje opravit konkrétní chybu nebo zranitelnost bez úplné aktualizace systémového softwaru;
• Funkční aktualizace – přidání nebo rozšíření aktuální funkčnosti systému instalací funkčních aktualizací;
• Úplná aktualizace – aktualizuje obraz softwaru ovladače;
• Přidání přístupového bodu – přidání nového modelu přístupového bodu do bezdrátové sítě bez nutnosti překonfigurování nebo aktualizace softwaru bezdrátového ovladače;
• Selhání—selhání bezdrátového ovladače.

Oprava chyb a zranitelností

U mnoha konkurenčních řešení často záplatování vyžaduje kompletní aktualizaci softwaru systému bezdrátového ovladače, což může vést k neplánovaným odstávkám. V případě řešení Cisco se záplatování provádí bez zastavení produktu. Záplaty lze nainstalovat na kteroukoli z komponent, zatímco bezdrátová infrastruktura pokračuje v provozu.

Samotný postup je celkem jednoduchý. Opravný soubor se zkopíruje do složky bootstrap na jednom z bezdrátových ovladačů Cisco a operace je poté potvrzena prostřednictvím grafického uživatelského rozhraní nebo příkazového řádku. Kromě toho můžete také vrátit a odstranit opravu prostřednictvím GUI nebo příkazového řádku, a to také bez přerušení provozu systému.

Funkční aktualizace

Pro umožnění nových funkcí jsou použity funkční aktualizace softwaru. Jedním z těchto vylepšení je aktualizace databáze podpisů aplikací. Tento balíček byl nainstalován na řadiče Cisco jako test. Stejně jako u oprav jsou aktualizace funkcí aplikovány, instalovány nebo odstraňovány bez jakéhokoli výpadku nebo přerušení systému.

Úplná aktualizace

V tuto chvíli probíhá úplná aktualizace softwaru ovladače stejným způsobem jako aktualizace funkčnosti, tedy bez prostojů. Tato funkce je však k dispozici pouze v konfiguraci clusteru, pokud existuje více než jeden řadič. Kompletní aktualizace se provádí postupně: nejprve na jednom ovladači, poté na druhém.

Přidání nového modelu přístupového bodu

Připojování nových přístupových bodů, které dosud nebyly provozovány pomocí použitého softwaru ovladače, k bezdrátové síti je poměrně běžnou operací, zejména ve velkých sítích (letiště, hotely, továrny). U konkurenčních řešení tato operace často vyžaduje aktualizaci systémového softwaru nebo restartování řídicích jednotek.

Při připojování nových přístupových bodů Wi-Fi 6 ke clusteru řadičů Cisco Catalyst řady 9800 nejsou žádné takové problémy pozorovány. Připojování nových bodů k ovladači se provádí bez aktualizace softwaru ovladače a tento proces nevyžaduje restart, takže bezdrátovou síť nijak neovlivňuje.

Selhání ovladače

Testovací prostředí využívá dva ovladače Wi-Fi 6 (Active/StandBy) a přístupový bod má přímé spojení s oběma ovladači.

Jeden bezdrátový ovladač je aktivní a druhý je záložní. Pokud aktivní ovladač selže, převezme řízení záložní ovladač a jeho stav se změní na aktivní. Tento postup probíhá bez přerušení pro přístupový bod a Wi-Fi pro klienty.

zabezpečení

Tato část pojednává o aspektech zabezpečení, což je v bezdrátových sítích mimořádně naléhavý problém. Bezpečnost řešení se posuzuje na základě následujících charakteristik:

• Rozpoznávání aplikací;
• Sledování toku;
• Analýza šifrovaného provozu;
• Detekce a prevence narušení;
• Autentizační prostředky;
• Nástroje ochrany klientských zařízení.

Rozpoznávání aplikací

Mezi různými produkty na trhu podnikových a průmyslových Wi-Fi existují rozdíly v tom, jak dobře produkty identifikují provoz podle aplikace. Produkty od různých výrobců mohou identifikovat různé počty aplikací. Mnoho aplikací, které konkurenční řešení uvádí jako možné pro identifikaci, jsou však ve skutečnosti webové stránky, a nikoli jedinečné aplikace.

Existuje další zajímavá vlastnost rozpoznávání aplikací: řešení se velmi liší v přesnosti identifikace.

S přihlédnutím ke všem provedeným testům můžeme zodpovědně prohlásit, že řešení Cisco Wi-Fi-6 provádí rozpoznávání aplikací velmi přesně: Jabber, Netflix, Dropbox, YouTube a další oblíbené aplikace, stejně jako webové služby, byly přesně identifikovány. Řešení Cisco se také mohou ponořit hlouběji do datových paketů pomocí DPI (Deep Packet Inspection).

Sledování dopravního proudu

Další test byl proveden, aby se zjistilo, zda systém dokáže přesně sledovat a hlásit toky dat (např. pohyby velkých souborů). Abychom to otestovali, byl přes síť odeslán 6,5 megabajtový soubor pomocí protokolu FTP (File Transfer Protocol).

Řešení Cisco plně vyhovovalo tomuto úkolu a dokázalo tento provoz sledovat díky NetFlow a jeho hardwarovým možnostem. Provoz byl detekován a okamžitě identifikován s přesným množstvím přenesených dat.

Šifrovaná analýza provozu

Provoz uživatelských dat je stále více šifrován. To se provádí za účelem ochrany před sledováním nebo zachycením útočníky. Zároveň však hackeři stále častěji používají šifrování, aby skryli svůj malware a prováděli další pochybné operace, jako je Man-in-the-Middle (MiTM) nebo útoky na keylogging.

Většina podniků kontroluje část svého šifrovaného provozu tak, že jej nejprve dešifruje pomocí firewallů nebo systémů prevence narušení. Tento proces však zabere spoustu času a neprospívá výkonu sítě jako celku. Po dešifrování se navíc tato data stávají zranitelnými pro zvědavé oči.

Kontroléry Cisco Catalyst 9800 Series úspěšně řeší problém analýzy šifrovaného provozu jinými prostředky. Řešení se nazývá Encrypted Traffic Analytics (ETA). ETA je technologie, která v současné době nemá v konkurenčních řešeních obdoby a která detekuje malware v šifrovaném provozu bez nutnosti jej dešifrovat. ETA je základní funkcí IOS-XE, která zahrnuje Enhanced NetFlow a používá pokročilé behaviorální algoritmy k identifikaci škodlivých vzorců provozu skrývajících se v šifrovaném provozu.

ETA nedešifruje zprávy, ale shromažďuje metadatové profily šifrovaných provozních toků – velikost paketů, časové intervaly mezi pakety a mnoho dalšího. Metadata jsou poté exportována v záznamech NetFlow v9 do Cisco Stealthwatch.

Klíčovou funkcí Stealthwatch je neustálé sledování provozu a také vytváření základní linie běžné síťové aktivity. Pomocí zašifrovaných metadat streamu, která mu posílá ETA, Stealthwatch používá vícevrstvé strojové učení k identifikaci anomálií chování, které mohou naznačovat podezřelé události.

V loňském roce společnost Cisco pověřila společnost Miercom, aby nezávisle vyhodnotila její řešení Cisco Encrypted Traffic Analytics. Během tohoto hodnocení Miercom samostatně odeslal známé a neznámé hrozby (viry, trojské koně, ransomware) v šifrovaném a nešifrovaném provozu napříč velkými sítěmi ETA a non-ETA, aby identifikoval hrozby.

Pro testování byl v obou sítích spuštěn škodlivý kód. V obou případech byla postupně odhalena podezřelá aktivita. Síť ETA zpočátku detekovala hrozby o 36 % rychleji než síť mimo ETA. S postupem prací se zároveň začala zvyšovat produktivita detekce v síti ETA. Výsledkem bylo, že po několika hodinách práce byly dvě třetiny aktivních hrozeb úspěšně detekovány v síti ETA, což je dvakrát více než v síti mimo ETA.

Funkce ETA je dobře integrována do Stealthwatch. Hrozby jsou seřazeny podle závažnosti a zobrazeny s podrobnými informacemi a po potvrzení možnosti nápravy. Závěr – ETA funguje!

Detekce a prevence narušení

Cisco má nyní další účinný bezpečnostní nástroj – Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mechanismus pro detekci a prevenci hrozeb pro bezdrátové sítě. Řešení aWIPS funguje na úrovni kontrolérů, přístupových bodů a softwaru pro správu Cisco DNA Center. Detekce hrozeb, výstrahy a prevence kombinují analýzu síťového provozu, informace o síťovém zařízení a topologii sítě, techniky založené na signaturách a detekci anomálií, aby poskytovaly vysoce přesné bezdrátové hrozby, kterým lze předcházet.

Díky plné integraci aWIPS do vaší síťové infrastruktury můžete nepřetržitě monitorovat bezdrátový provoz v drátových i bezdrátových sítích a používat jej k automatické analýze potenciálních útoků z více zdrojů, abyste zajistili co nejkomplexnější detekci a prevenci.

Autentizační prostředky

V současné době kromě klasických autentizačních nástrojů podporují řešení Cisco Catalyst řady 9800 WPA3. WPA3 je nejnovější verze WPA, což je soubor protokolů a technologií, které poskytují autentizaci a šifrování pro Wi-Fi sítě.

WPA3 používá Simultaneous Authentication of Equals (SAE) k zajištění nejsilnější ochrany uživatelů před pokusy o uhodnutí hesla třetími stranami. Když se klient připojí k přístupovému bodu, provede výměnu SAE. V případě úspěchu si každý z nich vytvoří kryptograficky silný klíč, ze kterého bude odvozen klíč relace, a poté vstoupí do stavu potvrzení. Klient a přístupový bod pak mohou zadat stavy handshake pokaždé, když je potřeba vygenerovat klíč relace. Metoda využívá dopředné utajení, při kterém může útočník prolomit jeden klíč, ale ne všechny ostatní klíče.

To znamená, že SAE je navrženo tak, aby útočník zachycující provoz měl pouze jeden pokus uhodnout heslo, než se zachycená data stanou nepoužitelnými. Chcete-li zorganizovat dlouhé obnovení hesla, budete potřebovat fyzický přístup k přístupovému bodu.

Ochrana klientského zařízení

Bezdrátová řešení Cisco Catalyst 9800 Series v současnosti poskytují primární funkci ochrany zákazníků prostřednictvím Cisco Umbrella WLAN, cloudové síťové bezpečnostní služby, která funguje na úrovni DNS s automatickou detekcí známých i nově vznikajících hrozeb.

Cisco Umbrella WLAN poskytuje klientským zařízením zabezpečené připojení k internetu. Toho je dosaženo filtrováním obsahu, tedy blokováním přístupu ke zdrojům na internetu v souladu s podnikovou politikou. Klientská zařízení na internetu jsou tak chráněna před malwarem, ransomwarem a phishingem. Prosazování zásad je založeno na 60 průběžně aktualizovaných kategoriích obsahu.

Automatizace

Dnešní bezdrátové sítě jsou mnohem flexibilnější a složitější, takže tradiční metody konfigurace a získávání informací z bezdrátových ovladačů nestačí. Správci sítí a odborníci na informační bezpečnost vyžadují nástroje pro automatizaci a analýzu, což nutí dodavatele bezdrátových zařízení, aby takové nástroje nabízeli.

K vyřešení těchto problémů poskytují bezdrátové ovladače Cisco Catalyst řady 9800 spolu s tradičním API podporu pro protokol konfigurace sítě RESTCONF / NETCONF s jazykem datového modelování YANG (Yet Another Next Generation).

NETCONF je protokol založený na XML, který mohou aplikace používat k dotazování na informace a změně konfigurace síťových zařízení, jako jsou bezdrátové ovladače.

Kromě těchto metod poskytují řadiče Cisco Catalyst 9800 Series možnost zachytit, načíst a analyzovat data toku informací pomocí protokolů NetFlow a sFlow.

Pro zabezpečení a modelování provozu je cenným nástrojem možnost sledovat konkrétní toky. K vyřešení tohoto problému byl implementován protokol sFlow, který umožňuje zachytit dva pakety z každých sta. Někdy to však nemusí stačit k analýze a adekvátnímu studiu a vyhodnocení toku. Alternativou je proto NetFlow implementovaný společností Cisco, který umožňuje 100% shromažďovat a exportovat všechny pakety v určeném toku pro následnou analýzu.

Další funkcí dostupnou pouze v hardwarové implementaci řadičů, která umožňuje automatizovat provoz bezdrátové sítě v řadičích Cisco Catalyst řady 9800, je vestavěná podpora jazyka Python jako doplněk pro použití skripty přímo na samotném bezdrátovém ovladači.

A konečně, řadiče Cisco Catalyst řady 9800 podporují osvědčený protokol SNMP verze 1, 2 a 3 pro monitorování a správu operací.

Z hlediska automatizace tedy řešení Cisco Catalyst 9800 Series plně splňují moderní obchodní požadavky a nabízejí jak nové a jedinečné, tak i časem prověřené nástroje pro automatizované operace a analýzy v bezdrátových sítích jakékoli velikosti a složitosti.

Závěr

V řešeních založených na Cisco Catalyst 9800 Series Controllers prokázalo Cisco vynikající výsledky v kategoriích vysoká dostupnost, zabezpečení a automatizace.

Řešení plně splňuje všechny požadavky na vysokou dostupnost, jako je subsekundové selhání během neplánovaných událostí a nulové prostoje u plánovaných událostí.

Řadiče Cisco Catalyst řady 9800 poskytují komplexní zabezpečení, které poskytuje hloubkovou kontrolu paketů pro rozpoznávání a řízení aplikací, kompletní přehled o datových tocích a identifikaci hrozeb skrytých v šifrovaném provozu, stejně jako pokročilé mechanismy ověřování a zabezpečení pro klientská zařízení.

Pro automatizaci a analýzu nabízí řada Cisco Catalyst 9800 výkonné funkce využívající oblíbené standardní modely: YANG, NETCONF, RESTCONF, tradiční rozhraní API a vestavěné skripty Python.

Cisco tak opět potvrzuje svůj status předního světového výrobce síťových řešení, drží krok s dobou a zohledňuje všechny výzvy moderního podnikání.

Pro více informací o rodině přepínačů Catalyst navštivte webové stránky cisco.

Zdroj: www.habr.com

Poradenská společnost Miercom provedla v roce 2019 nezávislé technologické posouzení řadičů Wi-Fi 6 řady Cisco Catalyst 9800. Pro tuto studii byla z řadičů a přístupových bodů Cisco Wi-Fi 6 sestavena testovací stolice a technické řešení bylo hodnoceno v těchto kategoriích:

• Dostupnost;
• Bezpečnost;
• Automatizace.

Výsledky studie jsou uvedeny níže. Od roku 2019 byla výrazně vylepšena funkcionalita řadičů Cisco Catalyst řady 9800 – tyto body odráží i tento článek.

Můžete si přečíst o dalších výhodách technologie Wi-Fi 6, příkladech implementace a oblastech použití zde.

Přehled řešení

Wi-Fi 6 řadičů Cisco Catalyst řady 9800

Bezdrátové ovladače Cisco Catalyst řady 9800 založené na operačním systému IOS-XE (také používané pro přepínače a směrovače Cisco) jsou k dispozici v různých možnostech.

Starší model řadiče 9800-80 podporuje propustnost bezdrátové sítě až 80 Gbps. Jeden řadič 9800-80 podporuje až 6000 64 přístupových bodů a až 000 XNUMX bezdrátových klientů.

Model střední třídy, řadič 9800-40, podporuje propustnost až 40 Gb/s, až 2000 32 přístupových bodů a až 000 XNUMX bezdrátových klientů.

Kromě těchto modelů zahrnovala konkurenční analýza také bezdrátový ovladač 9800-CL (CL je zkratka pro Cloud). 9800-CL běží ve virtuálních prostředích na hypervizorech VMWare ESXI a KVM a jeho výkon závisí na vyhrazených hardwarových prostředcích pro virtuální stroj řadiče. V maximální konfiguraci řadič Cisco 9800-CL, stejně jako starší model 9800-80, podporuje škálovatelnost až 6000 64 přístupových bodů a až 000 XNUMX bezdrátových klientů.

Při výzkumu s řadiči byly použity přístupové body Cisco Aironet řady AP 4800 podporující provoz na frekvencích 2,4 a 5 GHz s možností dynamického přepínání do duálního 5GHz režimu.

Zkušební stojan

V rámci testování byl sestaven stojan ze dvou bezdrátových ovladačů Cisco Catalyst 9800-CL pracujících v clusteru a přístupových bodů řady Cisco Aironet AP 4800.

Jako klientská zařízení byly použity notebooky od společností Dell a Apple a také smartphone Apple iPhone.

Testování přístupnosti

Dostupnost je definována jako schopnost uživatelů přistupovat a používat systém nebo službu. Vysoká dostupnost znamená nepřetržitý přístup k systému nebo službě, nezávislý na určitých událostech.

Vysoká dostupnost byla testována ve čtyřech scénářích, přičemž první tři scénáře byly předvídatelné nebo plánované události, které by mohly nastat během pracovní doby nebo po ní. Pátým scénářem je klasické selhání, což je nepředvídatelná událost.

Popis scénářů:

• Oprava chyb – mikroaktualizace systému (oprava chyb nebo bezpečnostní záplata), která umožňuje opravit konkrétní chybu nebo zranitelnost bez úplné aktualizace systémového softwaru;
• Funkční aktualizace – přidání nebo rozšíření aktuální funkčnosti systému instalací funkčních aktualizací;
• Úplná aktualizace – aktualizuje obraz softwaru ovladače;
• Přidání přístupového bodu – přidání nového modelu přístupového bodu do bezdrátové sítě bez nutnosti překonfigurování nebo aktualizace softwaru bezdrátového ovladače;
• Selhání—selhání bezdrátového ovladače.

Oprava chyb a zranitelností

U mnoha konkurenčních řešení často záplatování vyžaduje kompletní aktualizaci softwaru systému bezdrátového ovladače, což může vést k neplánovaným odstávkám. V případě řešení Cisco se záplatování provádí bez zastavení produktu. Záplaty lze nainstalovat na kteroukoli z komponent, zatímco bezdrátová infrastruktura pokračuje v provozu.

Samotný postup je celkem jednoduchý. Opravný soubor se zkopíruje do složky bootstrap na jednom z bezdrátových ovladačů Cisco a operace je poté potvrzena prostřednictvím grafického uživatelského rozhraní nebo příkazového řádku. Kromě toho můžete také vrátit a odstranit opravu prostřednictvím GUI nebo příkazového řádku, a to také bez přerušení provozu systému.

Funkční aktualizace

Pro umožnění nových funkcí jsou použity funkční aktualizace softwaru. Jedním z těchto vylepšení je aktualizace databáze podpisů aplikací. Tento balíček byl nainstalován na řadiče Cisco jako test. Stejně jako u oprav jsou aktualizace funkcí aplikovány, instalovány nebo odstraňovány bez jakéhokoli výpadku nebo přerušení systému.

Úplná aktualizace

V tuto chvíli probíhá úplná aktualizace softwaru ovladače stejným způsobem jako aktualizace funkčnosti, tedy bez prostojů. Tato funkce je však k dispozici pouze v konfiguraci clusteru, pokud existuje více než jeden řadič. Kompletní aktualizace se provádí postupně: nejprve na jednom ovladači, poté na druhém.

Přidání nového modelu přístupového bodu

Připojování nových přístupových bodů, které dosud nebyly provozovány pomocí použitého softwaru ovladače, k bezdrátové síti je poměrně běžnou operací, zejména ve velkých sítích (letiště, hotely, továrny). U konkurenčních řešení tato operace často vyžaduje aktualizaci systémového softwaru nebo restartování řídicích jednotek.

Při připojování nových přístupových bodů Wi-Fi 6 ke clusteru řadičů Cisco Catalyst řady 9800 nejsou žádné takové problémy pozorovány. Připojování nových bodů k ovladači se provádí bez aktualizace softwaru ovladače a tento proces nevyžaduje restart, takže bezdrátovou síť nijak neovlivňuje.

Selhání ovladače

Testovací prostředí využívá dva ovladače Wi-Fi 6 (Active/StandBy) a přístupový bod má přímé spojení s oběma ovladači.

Jeden bezdrátový ovladač je aktivní a druhý je záložní. Pokud aktivní ovladač selže, převezme řízení záložní ovladač a jeho stav se změní na aktivní. Tento postup probíhá bez přerušení pro přístupový bod a Wi-Fi pro klienty.

zabezpečení

Tato část pojednává o aspektech zabezpečení, což je v bezdrátových sítích mimořádně naléhavý problém. Bezpečnost řešení se posuzuje na základě následujících charakteristik:

• Rozpoznávání aplikací;
• Sledování toku;
• Analýza šifrovaného provozu;
• Detekce a prevence narušení;
• Autentizační prostředky;
• Nástroje ochrany klientských zařízení.

Rozpoznávání aplikací

Mezi různými produkty na trhu podnikových a průmyslových Wi-Fi existují rozdíly v tom, jak dobře produkty identifikují provoz podle aplikace. Produkty od různých výrobců mohou identifikovat různé počty aplikací. Mnoho aplikací, které konkurenční řešení uvádí jako možné pro identifikaci, jsou však ve skutečnosti webové stránky, a nikoli jedinečné aplikace.

Existuje další zajímavá vlastnost rozpoznávání aplikací: řešení se velmi liší v přesnosti identifikace.

S přihlédnutím ke všem provedeným testům můžeme zodpovědně prohlásit, že řešení Cisco Wi-Fi-6 provádí rozpoznávání aplikací velmi přesně: Jabber, Netflix, Dropbox, YouTube a další oblíbené aplikace, stejně jako webové služby, byly přesně identifikovány. Řešení Cisco se také mohou ponořit hlouběji do datových paketů pomocí DPI (Deep Packet Inspection).

Sledování dopravního proudu

Další test byl proveden, aby se zjistilo, zda systém dokáže přesně sledovat a hlásit toky dat (např. pohyby velkých souborů). Abychom to otestovali, byl přes síť odeslán 6,5 megabajtový soubor pomocí protokolu FTP (File Transfer Protocol).

Řešení Cisco plně vyhovovalo tomuto úkolu a dokázalo tento provoz sledovat díky NetFlow a jeho hardwarovým možnostem. Provoz byl detekován a okamžitě identifikován s přesným množstvím přenesených dat.

Šifrovaná analýza provozu

Provoz uživatelských dat je stále více šifrován. To se provádí za účelem ochrany před sledováním nebo zachycením útočníky. Zároveň však hackeři stále častěji používají šifrování, aby skryli svůj malware a prováděli další pochybné operace, jako je Man-in-the-Middle (MiTM) nebo útoky na keylogging.

Většina podniků kontroluje část svého šifrovaného provozu tak, že jej nejprve dešifruje pomocí firewallů nebo systémů prevence narušení. Tento proces však zabere spoustu času a neprospívá výkonu sítě jako celku. Po dešifrování se navíc tato data stávají zranitelnými pro zvědavé oči.

Kontroléry Cisco Catalyst 9800 Series úspěšně řeší problém analýzy šifrovaného provozu jinými prostředky. Řešení se nazývá Encrypted Traffic Analytics (ETA). ETA je technologie, která v současné době nemá v konkurenčních řešeních obdoby a která detekuje malware v šifrovaném provozu bez nutnosti jej dešifrovat. ETA je základní funkcí IOS-XE, která zahrnuje Enhanced NetFlow a používá pokročilé behaviorální algoritmy k identifikaci škodlivých vzorců provozu skrývajících se v šifrovaném provozu.

ETA nedešifruje zprávy, ale shromažďuje metadatové profily šifrovaných provozních toků – velikost paketů, časové intervaly mezi pakety a mnoho dalšího. Metadata jsou poté exportována v záznamech NetFlow v9 do Cisco Stealthwatch.

Klíčovou funkcí Stealthwatch je neustálé sledování provozu a také vytváření základní linie běžné síťové aktivity. Pomocí zašifrovaných metadat streamu, která mu posílá ETA, Stealthwatch používá vícevrstvé strojové učení k identifikaci anomálií chování, které mohou naznačovat podezřelé události.

V loňském roce společnost Cisco pověřila společnost Miercom, aby nezávisle vyhodnotila její řešení Cisco Encrypted Traffic Analytics. Během tohoto hodnocení Miercom samostatně odeslal známé a neznámé hrozby (viry, trojské koně, ransomware) v šifrovaném a nešifrovaném provozu napříč velkými sítěmi ETA a non-ETA, aby identifikoval hrozby.

Pro testování byl v obou sítích spuštěn škodlivý kód. V obou případech byla postupně odhalena podezřelá aktivita. Síť ETA zpočátku detekovala hrozby o 36 % rychleji než síť mimo ETA. S postupem prací se zároveň začala zvyšovat produktivita detekce v síti ETA. Výsledkem bylo, že po několika hodinách práce byly dvě třetiny aktivních hrozeb úspěšně detekovány v síti ETA, což je dvakrát více než v síti mimo ETA.

Funkce ETA je dobře integrována do Stealthwatch. Hrozby jsou seřazeny podle závažnosti a zobrazeny s podrobnými informacemi a po potvrzení možnosti nápravy. Závěr – ETA funguje!

Detekce a prevence narušení

Cisco má nyní další účinný bezpečnostní nástroj – Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mechanismus pro detekci a prevenci hrozeb pro bezdrátové sítě. Řešení aWIPS funguje na úrovni kontrolérů, přístupových bodů a softwaru pro správu Cisco DNA Center. Detekce hrozeb, výstrahy a prevence kombinují analýzu síťového provozu, informace o síťovém zařízení a topologii sítě, techniky založené na signaturách a detekci anomálií, aby poskytovaly vysoce přesné bezdrátové hrozby, kterým lze předcházet.

Díky plné integraci aWIPS do vaší síťové infrastruktury můžete nepřetržitě monitorovat bezdrátový provoz v drátových i bezdrátových sítích a používat jej k automatické analýze potenciálních útoků z více zdrojů, abyste zajistili co nejkomplexnější detekci a prevenci.

Autentizační prostředky

V současné době kromě klasických autentizačních nástrojů podporují řešení Cisco Catalyst řady 9800 WPA3. WPA3 je nejnovější verze WPA, což je soubor protokolů a technologií, které poskytují autentizaci a šifrování pro Wi-Fi sítě.

WPA3 používá Simultaneous Authentication of Equals (SAE) k zajištění nejsilnější ochrany uživatelů před pokusy o uhodnutí hesla třetími stranami. Když se klient připojí k přístupovému bodu, provede výměnu SAE. V případě úspěchu si každý z nich vytvoří kryptograficky silný klíč, ze kterého bude odvozen klíč relace, a poté vstoupí do stavu potvrzení. Klient a přístupový bod pak mohou zadat stavy handshake pokaždé, když je potřeba vygenerovat klíč relace. Metoda využívá dopředné utajení, při kterém může útočník prolomit jeden klíč, ale ne všechny ostatní klíče.

To znamená, že SAE je navrženo tak, aby útočník zachycující provoz měl pouze jeden pokus uhodnout heslo, než se zachycená data stanou nepoužitelnými. Chcete-li zorganizovat dlouhé obnovení hesla, budete potřebovat fyzický přístup k přístupovému bodu.

Ochrana klientského zařízení

Bezdrátová řešení Cisco Catalyst 9800 Series v současnosti poskytují primární funkci ochrany zákazníků prostřednictvím Cisco Umbrella WLAN, cloudové síťové bezpečnostní služby, která funguje na úrovni DNS s automatickou detekcí známých i nově vznikajících hrozeb.

Cisco Umbrella WLAN poskytuje klientským zařízením zabezpečené připojení k internetu. Toho je dosaženo filtrováním obsahu, tedy blokováním přístupu ke zdrojům na internetu v souladu s podnikovou politikou. Klientská zařízení na internetu jsou tak chráněna před malwarem, ransomwarem a phishingem. Prosazování zásad je založeno na 60 průběžně aktualizovaných kategoriích obsahu.

Automatizace

Dnešní bezdrátové sítě jsou mnohem flexibilnější a složitější, takže tradiční metody konfigurace a získávání informací z bezdrátových ovladačů nestačí. Správci sítí a odborníci na informační bezpečnost vyžadují nástroje pro automatizaci a analýzu, což nutí dodavatele bezdrátových zařízení, aby takové nástroje nabízeli.

K vyřešení těchto problémů poskytují bezdrátové ovladače Cisco Catalyst řady 9800 spolu s tradičním API podporu pro protokol konfigurace sítě RESTCONF / NETCONF s jazykem datového modelování YANG (Yet Another Next Generation).

NETCONF je protokol založený na XML, který mohou aplikace používat k dotazování na informace a změně konfigurace síťových zařízení, jako jsou bezdrátové ovladače.

Kromě těchto metod poskytují řadiče Cisco Catalyst 9800 Series možnost zachytit, načíst a analyzovat data toku informací pomocí protokolů NetFlow a sFlow.

Pro zabezpečení a modelování provozu je cenným nástrojem možnost sledovat konkrétní toky. K vyřešení tohoto problému byl implementován protokol sFlow, který umožňuje zachytit dva pakety z každých sta. Někdy to však nemusí stačit k analýze a adekvátnímu studiu a vyhodnocení toku. Alternativou je proto NetFlow implementovaný společností Cisco, který umožňuje 100% shromažďovat a exportovat všechny pakety v určeném toku pro následnou analýzu.

Další funkcí dostupnou pouze v hardwarové implementaci řadičů, která umožňuje automatizovat provoz bezdrátové sítě v řadičích Cisco Catalyst řady 9800, je vestavěná podpora jazyka Python jako doplněk pro použití skripty přímo na samotném bezdrátovém ovladači.

A konečně, řadiče Cisco Catalyst řady 9800 podporují osvědčený protokol SNMP verze 1, 2 a 3 pro monitorování a správu operací.

Z hlediska automatizace tedy řešení Cisco Catalyst 9800 Series plně splňují moderní obchodní požadavky a nabízejí jak nové a jedinečné, tak i časem prověřené nástroje pro automatizované operace a analýzy v bezdrátových sítích jakékoli velikosti a složitosti.

Závěr

V řešeních založených na Cisco Catalyst 9800 Series Controllers prokázalo Cisco vynikající výsledky v kategoriích vysoká dostupnost, zabezpečení a automatizace.

Řešení plně splňuje všechny požadavky na vysokou dostupnost, jako je subsekundové selhání během neplánovaných událostí a nulové prostoje u plánovaných událostí.

Řadiče Cisco Catalyst řady 9800 poskytují komplexní zabezpečení, které poskytuje hloubkovou kontrolu paketů pro rozpoznávání a řízení aplikací, kompletní přehled o datových tocích a identifikaci hrozeb skrytých v šifrovaném provozu, stejně jako pokročilé mechanismy ověřování a zabezpečení pro klientská zařízení.

Pro automatizaci a analýzu nabízí řada Cisco Catalyst 9800 výkonné funkce využívající oblíbené standardní modely: YANG, NETCONF, RESTCONF, tradiční rozhraní API a vestavěné skripty Python.

Cisco tak opět potvrzuje svůj status předního světového výrobce síťových řešení, drží krok s dobou a zohledňuje všechny výzvy moderního podnikání.

Pro více informací o rodině přepínačů Catalyst navštivte webové stránky cisco.

Zdroj: www.habr.com