Hvis du har en controller, er der ikke noget problem: Sådan vedligeholder du nemt dit trådløse netværk

I 2019 gennemførte konsulentvirksomheden Miercom en uafhængig teknologisk vurdering af Wi-Fi 6-controllere af Cisco Catalyst 9800-serien. Til denne undersøgelse blev der samlet en testbænk af Cisco Wi-Fi 6-controllere og adgangspunkter, og den tekniske løsning var vurderet i følgende kategorier:

• Tilgængelighed;
• sikkerhed;
• Automatisering.

Resultaterne af undersøgelsen er vist nedenfor. Siden 2019 er funktionaliteten af ​​Cisco Catalyst 9800-seriens controllere blevet væsentligt forbedret - disse punkter er også afspejlet i denne artikel.

Du kan læse om andre fordele ved Wi-Fi 6-teknologi, eksempler på implementering og anvendelsesområder her.

Løsningsoversigt

Wi-Fi 6 controllere Cisco Catalyst 9800-serien

Cisco Catalyst 9800-seriens trådløse controllere, der er baseret på IOS-XE-operativsystemet (også brugt til Cisco-switche og routere), er tilgængelige i en række forskellige muligheder.

Den ældre model af 9800-80 controlleren understøtter trådløs netværksgennemstrømning op til 80 Gbps. Én 9800-80 controller understøtter op til 6000 adgangspunkter og op til 64 trådløse klienter.

Mellemklassemodellen, 9800-40 controlleren, understøtter op til 40 Gbps gennemløb, op til 2000 adgangspunkter og op til 32 trådløse klienter.

Ud over disse modeller omfattede konkurrenceanalysen også den trådløse 9800-CL controller (CL står for Cloud). 9800-CL kører i virtuelle miljøer på VMWare ESXI og KVM hypervisorer, og dens ydeevne afhænger af de dedikerede hardwareressourcer til controllerens virtuelle maskine. I sin maksimale konfiguration understøtter Cisco 9800-CL-controlleren, ligesom den ældre model 9800-80, skalerbarhed op til 6000 adgangspunkter og op til 64 trådløse klienter.

Ved undersøgelser med controllere blev Cisco Aironet AP 4800-seriens adgangspunkter brugt, der understøttede drift ved frekvenser på 2,4 og 5 GHz med mulighed for dynamisk at skifte til dobbelt 5-GHz-tilstand.

Prøvestativ

Som en del af testen blev et stativ samlet af to Cisco Catalyst 9800-CL trådløse controllere, der opererede i en klynge og Cisco Aironet AP 4800-seriens adgangspunkter.

Bærbare computere fra Dell og Apple samt en Apple iPhone-smartphone blev brugt som klientenheder.

Tilgængelighedstest

Tilgængelighed er defineret som brugernes mulighed for at få adgang til og bruge et system eller en tjeneste. Høj tilgængelighed indebærer kontinuerlig adgang til et system eller en tjeneste, uafhængig af visse hændelser.

Høj tilgængelighed blev testet i fire scenarier, hvor de første tre scenarier var forudsigelige eller planlagte hændelser, der kunne forekomme i eller efter arbejdstiden. Det femte scenarie er en klassisk fiasko, som er en uforudsigelig begivenhed.

Beskrivelse af scenarier:

• Fejlrettelse – en mikro-opdatering af systemet (bugfix eller sikkerhedspatch), som giver dig mulighed for at rette en bestemt fejl eller sårbarhed uden en komplet opdatering af systemsoftwaren;
• Funktionel opdatering – tilføjelse eller udvidelse af systemets nuværende funktionalitet ved at installere funktionelle opdateringer;
• Fuld opdatering – opdater controllerens softwarebillede;
• Tilføjelse af et adgangspunkt – tilføjelse af en ny adgangspunktmodel til et trådløst netværk uden behov for at omkonfigurere eller opdatere den trådløse controller-software;
• Fejl – fejl i den trådløse controller.

Retter fejl og sårbarheder

Ofte, med mange konkurrencedygtige løsninger, kræver patching en komplet softwareopdatering af det trådløse controller-system, hvilket kan resultere i uplanlagt nedetid. I tilfælde af Cisco-løsningen udføres patching uden at stoppe produktet. Patches kan installeres på enhver af komponenterne, mens den trådløse infrastruktur fortsætter med at fungere.

Selve proceduren er ret enkel. Patch-filen kopieres til bootstrap-mappen på en af ​​Ciscos trådløse controllere, og handlingen bekræftes derefter via GUI eller kommandolinje. Derudover kan du også fortryde og fjerne rettelsen via GUI eller kommandolinje, også uden at afbryde systemdriften.

Funktionel opdatering

Funktionelle softwareopdateringer anvendes for at aktivere nye funktioner. En af disse forbedringer er opdatering af applikationssignaturdatabasen. Denne pakke blev installeret på Cisco-controllere som en test. Ligesom med patches anvendes, installeres eller fjernes funktionsopdateringer uden nedetid eller systemafbrydelse.

Fuld opdatering

I øjeblikket udføres en fuld opdatering af controllerens softwarebillede på samme måde som en funktionel opdatering, det vil sige uden nedetid. Denne funktion er dog kun tilgængelig i en klyngekonfiguration, når der er mere end én controller. En komplet opdatering udføres sekventielt: først på den ene controller, derefter på den anden.

Tilføjelse af en ny adgangspunktmodel

Tilslutning af nye adgangspunkter, som ikke tidligere har været betjent med det anvendte controllersoftwarebillede, til et trådløst netværk er en ret almindelig operation, især i store netværk (lufthavne, hoteller, fabrikker). Ganske ofte i konkurrerende løsninger kræver denne operation opdatering af systemsoftwaren eller genstart af controllerne.

Når du tilslutter nye Wi-Fi 6-adgangspunkter til en klynge af Cisco Catalyst 9800-seriens controllere, observeres ingen sådanne problemer. Tilslutning af nye punkter til controlleren udføres uden opdatering af controllersoftwaren, og denne proces kræver ikke en genstart og påvirker således ikke det trådløse netværk på nogen måde.

Controllerfejl

Testmiljøet bruger to Wi-Fi 6-controllere (Active/StandBy), og adgangspunktet har en direkte forbindelse til begge controllere.

Den ene trådløse controller er aktiv, og den anden er henholdsvis backup. Hvis den aktive controller svigter, overtager backup-controlleren, og dens status ændres til aktiv. Denne procedure sker uden afbrydelse for adgangspunktet og Wi-Fi for klienter.

Безопасность

Dette afsnit diskuterer aspekter af sikkerhed, som er et ekstremt presserende problem i trådløse netværk. Løsningens sikkerhed vurderes ud fra følgende egenskaber:

• Ansøgningsgenkendelse;
• Flow sporing;
• Analyse af krypteret trafik;
• Detektion og forebyggelse af indtrængen;
• Autentificering betyder;
• Værktøjer til beskyttelse af klientenheder.

Ansøgningsgenkendelse

Blandt de mange forskellige produkter på virksomhedens og industrielle Wi-Fi-markedet er der forskelle i, hvor godt produkterne identificerer trafik efter applikation. Produkter fra forskellige producenter kan identificere forskellige antal applikationer. Men mange af de applikationer, som konkurrerende løsninger angiver som mulige til identifikation, er faktisk websteder og ikke unikke applikationer.

Der er et andet interessant træk ved applikationsgenkendelse: løsninger varierer meget i identifikationsnøjagtighed.

Under hensyntagen til alle de udførte tests kan vi på en ansvarlig måde konstatere, at Ciscos Wi-Fi-6-løsning udfører applikationsgenkendelse meget præcist: Jabber, Netflix, Dropbox, YouTube og andre populære applikationer, samt webtjenester, blev nøjagtigt identificeret. Cisco-løsninger kan også dykke dybere ned i datapakker ved hjælp af DPI (Deep Packet Inspection).

Sporing af trafikstrøm

En anden test blev udført for at se, om systemet nøjagtigt kunne spore og rapportere datastrømme (såsom store filbevægelser). For at teste dette blev en 6,5 megabyte fil sendt over netværket ved hjælp af File Transfer Protocol (FTP).

Cisco-løsningen var fuldt ud op til opgaven og var i stand til at spore denne trafik takket være NetFlow og dets hardwarefunktioner. Trafik blev opdaget og identificeret med det samme med den nøjagtige mængde overførte data.

Krypteret trafikanalyse

Brugerdatatrafik bliver i stigende grad krypteret. Dette gøres for at beskytte det mod at blive sporet eller opsnappet af angribere. Men samtidig bruger hackere i stigende grad kryptering til at skjule deres malware og udføre andre tvivlsomme operationer såsom Man-in-the-Middle (MiTM) eller keylogging-angreb.

De fleste virksomheder inspicerer noget af deres krypterede trafik ved først at dekryptere den ved hjælp af firewalls eller systemer til forebyggelse af indtrængen. Men denne proces tager meget tid og gavner ikke netværkets ydeevne som helhed. Når de først er dekrypteret, bliver disse data desuden sårbare over for nysgerrige øjne.

Cisco Catalyst 9800-seriens controllere løser med succes problemet med at analysere krypteret trafik på andre måder. Løsningen hedder Encrypted Traffic Analytics (ETA). ETA er en teknologi, der i øjeblikket ikke har nogen analoger i konkurrencedygtige løsninger, og som detekterer malware i krypteret trafik uden at skulle dekryptere den. ETA er en kernefunktion i IOS-XE, der inkluderer Enhanced NetFlow og bruger avancerede adfærdsalgoritmer til at identificere ondsindede trafikmønstre, der gemmer sig i krypteret trafik.

ETA dekrypterer ikke beskeder, men indsamler metadataprofiler af krypterede trafikstrømme – pakkestørrelse, tidsintervaller mellem pakker og meget mere. Metadataene eksporteres derefter i NetFlow v9-poster til Cisco Stealthwatch.

Stealthwatch's nøglefunktion er konstant at overvåge trafikken samt skabe en basislinje for normal netværksaktivitet. Ved at bruge krypterede stream-metadata sendt til det af ETA anvender Stealthwatch flerlags maskinlæring til at identificere adfærdsmæssige trafikanomalier, der kan indikere mistænkelige hændelser.

Sidste år engagerede Cisco Miercom til uafhængigt at evaluere sin Cisco Encrypted Traffic Analytics-løsning. Under denne vurdering sendte Miercom særskilt kendte og ukendte trusler (virus, trojanske heste, ransomware) i krypteret og ukrypteret trafik på tværs af store ETA- og ikke-ETA-netværk for at identificere trusler.

Til test blev ondsindet kode lanceret på begge netværk. I begge tilfælde blev mistænkelig aktivitet gradvist opdaget. ETA-netværket opdagede oprindeligt trusler 36 % hurtigere end ikke-ETA-netværket. Samtidig, som arbejdet skred frem, begyndte produktiviteten af ​​detektion i ETA-netværket at stige. Som følge heraf blev to tredjedele af de aktive trusler efter flere timers arbejde opdaget i ETA-netværket, hvilket er dobbelt så meget som i ikke-ETA-netværket.

ETA-funktionalitet er godt integreret med Stealthwatch. Trusler rangeres efter sværhedsgrad og vises med detaljerede oplysninger samt afhjælpningsmuligheder, når de er bekræftet. Konklusion – ETA virker!

Indbrudsdetektion og forebyggelse

Cisco har nu endnu et effektivt sikkerhedsværktøj - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): en mekanisme til at opdage og forhindre trusler mod trådløse netværk. aWIPS-løsningen fungerer på niveau med controllere, adgangspunkter og Cisco DNA Center-administrationssoftware. Trusselsdetektion, alarmering og forebyggelse kombinerer netværkstrafikanalyse, netværksenheds- og netværkstopologioplysninger, signaturbaserede teknikker og anomalidetektion for at levere meget nøjagtige og forebyggelige trådløse trusler.

Ved at integrere aWIPS fuldt ud i din netværksinfrastruktur kan du kontinuerligt overvåge trådløs trafik på både kablede og trådløse netværk og bruge den til automatisk at analysere potentielle angreb fra flere kilder for at give den mest omfattende detektering og forebyggelse muligt.

Autentificering betyder

I øjeblikket understøtter Cisco Catalyst 9800-seriens løsninger udover klassiske godkendelsesværktøjer WPA3. WPA3 er den seneste version af WPA, som er et sæt protokoller og teknologier, der giver godkendelse og kryptering til Wi-Fi-netværk.

WPA3 bruger Simultaneous Authentication of Equals (SAE) til at yde den stærkeste beskyttelse for brugere mod adgangskodeforsøg fra tredjeparter. Når en klient opretter forbindelse til et adgangspunkt, udfører den en SAE-udveksling. Hvis det lykkes, vil hver af dem oprette en kryptografisk stærk nøgle, hvorfra sessionsnøglen vil blive afledt, og derefter vil de gå ind i bekræftelsestilstanden. Klienten og adgangspunktet kan derefter indtaste håndtryktilstande, hver gang en sessionsnøgle skal genereres. Metoden bruger fremadrettet hemmeligholdelse, hvor en angriber kan knække én nøgle, men ikke alle andre nøgler.

Det vil sige, at SAE er designet på en sådan måde, at en hacker, der opsnapper trafik, kun har ét forsøg på at gætte adgangskoden, før de opsnappede data bliver ubrugelige. For at organisere en lang adgangskodegendannelse skal du have fysisk adgang til adgangspunktet.

Beskyttelse af klientenheder

Cisco Catalyst 9800-seriens trådløse løsninger giver i øjeblikket den primære kundebeskyttelsesfunktion gennem Cisco Umbrella WLAN, en cloud-baseret netværkssikkerhedstjeneste, der opererer på DNS-niveau med automatisk registrering af både kendte og nye trusler.

Cisco Umbrella WLAN giver klientenheder en sikker forbindelse til internettet. Dette opnås gennem indholdsfiltrering, det vil sige ved at blokere adgangen til ressourcer på internettet i overensstemmelse med virksomhedens politik. Således er klientenheder på internettet beskyttet mod malware, ransomware og phishing. Håndhævelse af politik er baseret på 60 løbende opdaterede indholdskategorier.

Automation

Nutidens trådløse netværk er meget mere fleksible og komplekse, så traditionelle metoder til at konfigurere og hente information fra trådløse controllere er ikke nok. Netværksadministratorer og informationssikkerhedsprofessionelle kræver værktøjer til automatisering og analyse, hvilket får trådløse leverandører til at tilbyde sådanne værktøjer.

For at løse disse problemer yder Cisco Catalyst 9800-seriens trådløse controllere, sammen med den traditionelle API, understøttelse af RESTCONF / NETCONF netværkskonfigurationsprotokollen med datamodelleringssproget YANG (Yet Another Next Generation).

NETCONF er en XML-baseret protokol, som applikationer kan bruge til at forespørge efter oplysninger og ændre konfigurationen af ​​netværksenheder såsom trådløse controllere.

Ud over disse metoder giver Cisco Catalyst 9800-seriens controllere mulighed for at fange, hente og analysere informationsflowdata ved hjælp af NetFlow- og sFlow-protokollerne.

Til sikkerhed og trafikmodellering er evnen til at spore specifikke strømme et værdifuldt værktøj. For at løse dette problem blev sFlow-protokollen implementeret, som giver dig mulighed for at fange to pakker ud af hvert hundrede. Men nogle gange er dette måske ikke nok til at analysere og tilstrækkeligt studere og evaluere flowet. Derfor er et alternativ NetFlow, implementeret af Cisco, som giver dig mulighed for 100% at indsamle og eksportere alle pakker i et specificeret flow til efterfølgende analyse.

En anden funktion, der dog kun er tilgængelig i hardwareimplementeringen af ​​controllerne, som giver dig mulighed for at automatisere driften af ​​det trådløse netværk i Cisco Catalyst 9800-seriens controllere, er indbygget understøttelse af Python-sproget som en tilføjelse til brug scripts direkte på selve den trådløse controller.

Endelig understøtter Cisco Catalyst 9800-seriens controllere den gennemprøvede SNMP version 1, 2 og 3 protokol til overvågning og administration.

Med hensyn til automatisering opfylder Cisco Catalyst 9800-seriens løsninger således fuldt ud moderne forretningskrav og tilbyder både nye og unikke samt gennemtestede værktøjer til automatiserede operationer og analyser i trådløse netværk af enhver størrelse og kompleksitet.

Konklusion

I løsninger baseret på Cisco Catalyst 9800-seriens controllere viste Cisco fremragende resultater inden for kategorierne høj tilgængelighed, sikkerhed og automatisering.

Løsningen opfylder fuldt ud alle høje tilgængelighedskrav såsom sub-second failover under uplanlagte hændelser og nul nedetid for planlagte hændelser.

Cisco Catalyst 9800-seriens controllere giver omfattende sikkerhed, der giver dyb pakkeinspektion til applikationsgenkendelse og kontrol, fuldstændig synlighed i datastrømme og identifikation af trusler skjult i krypteret trafik, samt avancerede godkendelses- og sikkerhedsmekanismer til klientenheder.

Til automatisering og analyse tilbyder Cisco Catalyst 9800-serien kraftfulde funktioner ved hjælp af populære standardmodeller: YANG, NETCONF, RESTCONF, traditionelle API'er og indbyggede Python-scripts.

Dermed bekræfter Cisco endnu en gang sin status som verdens førende producent af netværksløsninger, der følger med tiden og tager højde for alle udfordringerne i moderne forretning.

For mere information om Catalyst switch-familien, besøg Online cisco.

Kilde: www.habr.com

I 2019 gennemførte konsulentvirksomheden Miercom en uafhængig teknologisk vurdering af Wi-Fi 6-controllere af Cisco Catalyst 9800-serien. Til denne undersøgelse blev der samlet en testbænk af Cisco Wi-Fi 6-controllere og adgangspunkter, og den tekniske løsning var vurderet i følgende kategorier:

• Tilgængelighed;
• sikkerhed;
• Automatisering.

Resultaterne af undersøgelsen er vist nedenfor. Siden 2019 er funktionaliteten af ​​Cisco Catalyst 9800-seriens controllere blevet væsentligt forbedret - disse punkter er også afspejlet i denne artikel.

Du kan læse om andre fordele ved Wi-Fi 6-teknologi, eksempler på implementering og anvendelsesområder her.

Løsningsoversigt

Wi-Fi 6 controllere Cisco Catalyst 9800-serien

Cisco Catalyst 9800-seriens trådløse controllere, der er baseret på IOS-XE-operativsystemet (også brugt til Cisco-switche og routere), er tilgængelige i en række forskellige muligheder.

Den ældre model af 9800-80 controlleren understøtter trådløs netværksgennemstrømning op til 80 Gbps. Én 9800-80 controller understøtter op til 6000 adgangspunkter og op til 64 trådløse klienter.

Mellemklassemodellen, 9800-40 controlleren, understøtter op til 40 Gbps gennemløb, op til 2000 adgangspunkter og op til 32 trådløse klienter.

Ud over disse modeller omfattede konkurrenceanalysen også den trådløse 9800-CL controller (CL står for Cloud). 9800-CL kører i virtuelle miljøer på VMWare ESXI og KVM hypervisorer, og dens ydeevne afhænger af de dedikerede hardwareressourcer til controllerens virtuelle maskine. I sin maksimale konfiguration understøtter Cisco 9800-CL-controlleren, ligesom den ældre model 9800-80, skalerbarhed op til 6000 adgangspunkter og op til 64 trådløse klienter.

Ved undersøgelser med controllere blev Cisco Aironet AP 4800-seriens adgangspunkter brugt, der understøttede drift ved frekvenser på 2,4 og 5 GHz med mulighed for dynamisk at skifte til dobbelt 5-GHz-tilstand.

Prøvestativ

Som en del af testen blev et stativ samlet af to Cisco Catalyst 9800-CL trådløse controllere, der opererede i en klynge og Cisco Aironet AP 4800-seriens adgangspunkter.

Bærbare computere fra Dell og Apple samt en Apple iPhone-smartphone blev brugt som klientenheder.

Tilgængelighedstest

Tilgængelighed er defineret som brugernes mulighed for at få adgang til og bruge et system eller en tjeneste. Høj tilgængelighed indebærer kontinuerlig adgang til et system eller en tjeneste, uafhængig af visse hændelser.

Høj tilgængelighed blev testet i fire scenarier, hvor de første tre scenarier var forudsigelige eller planlagte hændelser, der kunne forekomme i eller efter arbejdstiden. Det femte scenarie er en klassisk fiasko, som er en uforudsigelig begivenhed.

Beskrivelse af scenarier:

• Fejlrettelse – en mikro-opdatering af systemet (bugfix eller sikkerhedspatch), som giver dig mulighed for at rette en bestemt fejl eller sårbarhed uden en komplet opdatering af systemsoftwaren;
• Funktionel opdatering – tilføjelse eller udvidelse af systemets nuværende funktionalitet ved at installere funktionelle opdateringer;
• Fuld opdatering – opdater controllerens softwarebillede;
• Tilføjelse af et adgangspunkt – tilføjelse af en ny adgangspunktmodel til et trådløst netværk uden behov for at omkonfigurere eller opdatere den trådløse controller-software;
• Fejl – fejl i den trådløse controller.

Retter fejl og sårbarheder

Ofte, med mange konkurrencedygtige løsninger, kræver patching en komplet softwareopdatering af det trådløse controller-system, hvilket kan resultere i uplanlagt nedetid. I tilfælde af Cisco-løsningen udføres patching uden at stoppe produktet. Patches kan installeres på enhver af komponenterne, mens den trådløse infrastruktur fortsætter med at fungere.

Selve proceduren er ret enkel. Patch-filen kopieres til bootstrap-mappen på en af ​​Ciscos trådløse controllere, og handlingen bekræftes derefter via GUI eller kommandolinje. Derudover kan du også fortryde og fjerne rettelsen via GUI eller kommandolinje, også uden at afbryde systemdriften.

Funktionel opdatering

Funktionelle softwareopdateringer anvendes for at aktivere nye funktioner. En af disse forbedringer er opdatering af applikationssignaturdatabasen. Denne pakke blev installeret på Cisco-controllere som en test. Ligesom med patches anvendes, installeres eller fjernes funktionsopdateringer uden nedetid eller systemafbrydelse.

Fuld opdatering

I øjeblikket udføres en fuld opdatering af controllerens softwarebillede på samme måde som en funktionel opdatering, det vil sige uden nedetid. Denne funktion er dog kun tilgængelig i en klyngekonfiguration, når der er mere end én controller. En komplet opdatering udføres sekventielt: først på den ene controller, derefter på den anden.

Tilføjelse af en ny adgangspunktmodel

Tilslutning af nye adgangspunkter, som ikke tidligere har været betjent med det anvendte controllersoftwarebillede, til et trådløst netværk er en ret almindelig operation, især i store netværk (lufthavne, hoteller, fabrikker). Ganske ofte i konkurrerende løsninger kræver denne operation opdatering af systemsoftwaren eller genstart af controllerne.

Når du tilslutter nye Wi-Fi 6-adgangspunkter til en klynge af Cisco Catalyst 9800-seriens controllere, observeres ingen sådanne problemer. Tilslutning af nye punkter til controlleren udføres uden opdatering af controllersoftwaren, og denne proces kræver ikke en genstart og påvirker således ikke det trådløse netværk på nogen måde.

Controllerfejl

Testmiljøet bruger to Wi-Fi 6-controllere (Active/StandBy), og adgangspunktet har en direkte forbindelse til begge controllere.

Den ene trådløse controller er aktiv, og den anden er henholdsvis backup. Hvis den aktive controller svigter, overtager backup-controlleren, og dens status ændres til aktiv. Denne procedure sker uden afbrydelse for adgangspunktet og Wi-Fi for klienter.

Безопасность

Dette afsnit diskuterer aspekter af sikkerhed, som er et ekstremt presserende problem i trådløse netværk. Løsningens sikkerhed vurderes ud fra følgende egenskaber:

• Ansøgningsgenkendelse;
• Flow sporing;
• Analyse af krypteret trafik;
• Detektion og forebyggelse af indtrængen;
• Autentificering betyder;
• Værktøjer til beskyttelse af klientenheder.

Ansøgningsgenkendelse

Blandt de mange forskellige produkter på virksomhedens og industrielle Wi-Fi-markedet er der forskelle i, hvor godt produkterne identificerer trafik efter applikation. Produkter fra forskellige producenter kan identificere forskellige antal applikationer. Men mange af de applikationer, som konkurrerende løsninger angiver som mulige til identifikation, er faktisk websteder og ikke unikke applikationer.

Der er et andet interessant træk ved applikationsgenkendelse: løsninger varierer meget i identifikationsnøjagtighed.

Under hensyntagen til alle de udførte tests kan vi på en ansvarlig måde konstatere, at Ciscos Wi-Fi-6-løsning udfører applikationsgenkendelse meget præcist: Jabber, Netflix, Dropbox, YouTube og andre populære applikationer, samt webtjenester, blev nøjagtigt identificeret. Cisco-løsninger kan også dykke dybere ned i datapakker ved hjælp af DPI (Deep Packet Inspection).

Sporing af trafikstrøm

En anden test blev udført for at se, om systemet nøjagtigt kunne spore og rapportere datastrømme (såsom store filbevægelser). For at teste dette blev en 6,5 megabyte fil sendt over netværket ved hjælp af File Transfer Protocol (FTP).

Cisco-løsningen var fuldt ud op til opgaven og var i stand til at spore denne trafik takket være NetFlow og dets hardwarefunktioner. Trafik blev opdaget og identificeret med det samme med den nøjagtige mængde overførte data.

Krypteret trafikanalyse

Brugerdatatrafik bliver i stigende grad krypteret. Dette gøres for at beskytte det mod at blive sporet eller opsnappet af angribere. Men samtidig bruger hackere i stigende grad kryptering til at skjule deres malware og udføre andre tvivlsomme operationer såsom Man-in-the-Middle (MiTM) eller keylogging-angreb.

De fleste virksomheder inspicerer noget af deres krypterede trafik ved først at dekryptere den ved hjælp af firewalls eller systemer til forebyggelse af indtrængen. Men denne proces tager meget tid og gavner ikke netværkets ydeevne som helhed. Når de først er dekrypteret, bliver disse data desuden sårbare over for nysgerrige øjne.

Cisco Catalyst 9800-seriens controllere løser med succes problemet med at analysere krypteret trafik på andre måder. Løsningen hedder Encrypted Traffic Analytics (ETA). ETA er en teknologi, der i øjeblikket ikke har nogen analoger i konkurrencedygtige løsninger, og som detekterer malware i krypteret trafik uden at skulle dekryptere den. ETA er en kernefunktion i IOS-XE, der inkluderer Enhanced NetFlow og bruger avancerede adfærdsalgoritmer til at identificere ondsindede trafikmønstre, der gemmer sig i krypteret trafik.

ETA dekrypterer ikke beskeder, men indsamler metadataprofiler af krypterede trafikstrømme – pakkestørrelse, tidsintervaller mellem pakker og meget mere. Metadataene eksporteres derefter i NetFlow v9-poster til Cisco Stealthwatch.

Stealthwatch's nøglefunktion er konstant at overvåge trafikken samt skabe en basislinje for normal netværksaktivitet. Ved at bruge krypterede stream-metadata sendt til det af ETA anvender Stealthwatch flerlags maskinlæring til at identificere adfærdsmæssige trafikanomalier, der kan indikere mistænkelige hændelser.

Sidste år engagerede Cisco Miercom til uafhængigt at evaluere sin Cisco Encrypted Traffic Analytics-løsning. Under denne vurdering sendte Miercom særskilt kendte og ukendte trusler (virus, trojanske heste, ransomware) i krypteret og ukrypteret trafik på tværs af store ETA- og ikke-ETA-netværk for at identificere trusler.

Til test blev ondsindet kode lanceret på begge netværk. I begge tilfælde blev mistænkelig aktivitet gradvist opdaget. ETA-netværket opdagede oprindeligt trusler 36 % hurtigere end ikke-ETA-netværket. Samtidig, som arbejdet skred frem, begyndte produktiviteten af ​​detektion i ETA-netværket at stige. Som følge heraf blev to tredjedele af de aktive trusler efter flere timers arbejde opdaget i ETA-netværket, hvilket er dobbelt så meget som i ikke-ETA-netværket.

ETA-funktionalitet er godt integreret med Stealthwatch. Trusler rangeres efter sværhedsgrad og vises med detaljerede oplysninger samt afhjælpningsmuligheder, når de er bekræftet. Konklusion – ETA virker!

Indbrudsdetektion og forebyggelse

Cisco har nu endnu et effektivt sikkerhedsværktøj - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): en mekanisme til at opdage og forhindre trusler mod trådløse netværk. aWIPS-løsningen fungerer på niveau med controllere, adgangspunkter og Cisco DNA Center-administrationssoftware. Trusselsdetektion, alarmering og forebyggelse kombinerer netværkstrafikanalyse, netværksenheds- og netværkstopologioplysninger, signaturbaserede teknikker og anomalidetektion for at levere meget nøjagtige og forebyggelige trådløse trusler.

Ved at integrere aWIPS fuldt ud i din netværksinfrastruktur kan du kontinuerligt overvåge trådløs trafik på både kablede og trådløse netværk og bruge den til automatisk at analysere potentielle angreb fra flere kilder for at give den mest omfattende detektering og forebyggelse muligt.

Autentificering betyder

I øjeblikket understøtter Cisco Catalyst 9800-seriens løsninger udover klassiske godkendelsesværktøjer WPA3. WPA3 er den seneste version af WPA, som er et sæt protokoller og teknologier, der giver godkendelse og kryptering til Wi-Fi-netværk.

WPA3 bruger Simultaneous Authentication of Equals (SAE) til at yde den stærkeste beskyttelse for brugere mod adgangskodeforsøg fra tredjeparter. Når en klient opretter forbindelse til et adgangspunkt, udfører den en SAE-udveksling. Hvis det lykkes, vil hver af dem oprette en kryptografisk stærk nøgle, hvorfra sessionsnøglen vil blive afledt, og derefter vil de gå ind i bekræftelsestilstanden. Klienten og adgangspunktet kan derefter indtaste håndtryktilstande, hver gang en sessionsnøgle skal genereres. Metoden bruger fremadrettet hemmeligholdelse, hvor en angriber kan knække én nøgle, men ikke alle andre nøgler.

Det vil sige, at SAE er designet på en sådan måde, at en hacker, der opsnapper trafik, kun har ét forsøg på at gætte adgangskoden, før de opsnappede data bliver ubrugelige. For at organisere en lang adgangskodegendannelse skal du have fysisk adgang til adgangspunktet.

Beskyttelse af klientenheder

Cisco Catalyst 9800-seriens trådløse løsninger giver i øjeblikket den primære kundebeskyttelsesfunktion gennem Cisco Umbrella WLAN, en cloud-baseret netværkssikkerhedstjeneste, der opererer på DNS-niveau med automatisk registrering af både kendte og nye trusler.

Cisco Umbrella WLAN giver klientenheder en sikker forbindelse til internettet. Dette opnås gennem indholdsfiltrering, det vil sige ved at blokere adgangen til ressourcer på internettet i overensstemmelse med virksomhedens politik. Således er klientenheder på internettet beskyttet mod malware, ransomware og phishing. Håndhævelse af politik er baseret på 60 løbende opdaterede indholdskategorier.

Automation

Nutidens trådløse netværk er meget mere fleksible og komplekse, så traditionelle metoder til at konfigurere og hente information fra trådløse controllere er ikke nok. Netværksadministratorer og informationssikkerhedsprofessionelle kræver værktøjer til automatisering og analyse, hvilket får trådløse leverandører til at tilbyde sådanne værktøjer.

For at løse disse problemer yder Cisco Catalyst 9800-seriens trådløse controllere, sammen med den traditionelle API, understøttelse af RESTCONF / NETCONF netværkskonfigurationsprotokollen med datamodelleringssproget YANG (Yet Another Next Generation).

NETCONF er en XML-baseret protokol, som applikationer kan bruge til at forespørge efter oplysninger og ændre konfigurationen af ​​netværksenheder såsom trådløse controllere.

Ud over disse metoder giver Cisco Catalyst 9800-seriens controllere mulighed for at fange, hente og analysere informationsflowdata ved hjælp af NetFlow- og sFlow-protokollerne.

Til sikkerhed og trafikmodellering er evnen til at spore specifikke strømme et værdifuldt værktøj. For at løse dette problem blev sFlow-protokollen implementeret, som giver dig mulighed for at fange to pakker ud af hvert hundrede. Men nogle gange er dette måske ikke nok til at analysere og tilstrækkeligt studere og evaluere flowet. Derfor er et alternativ NetFlow, implementeret af Cisco, som giver dig mulighed for 100% at indsamle og eksportere alle pakker i et specificeret flow til efterfølgende analyse.

En anden funktion, der dog kun er tilgængelig i hardwareimplementeringen af ​​controllerne, som giver dig mulighed for at automatisere driften af ​​det trådløse netværk i Cisco Catalyst 9800-seriens controllere, er indbygget understøttelse af Python-sproget som en tilføjelse til brug scripts direkte på selve den trådløse controller.

Endelig understøtter Cisco Catalyst 9800-seriens controllere den gennemprøvede SNMP version 1, 2 og 3 protokol til overvågning og administration.

Med hensyn til automatisering opfylder Cisco Catalyst 9800-seriens løsninger således fuldt ud moderne forretningskrav og tilbyder både nye og unikke samt gennemtestede værktøjer til automatiserede operationer og analyser i trådløse netværk af enhver størrelse og kompleksitet.

Konklusion

I løsninger baseret på Cisco Catalyst 9800-seriens controllere viste Cisco fremragende resultater inden for kategorierne høj tilgængelighed, sikkerhed og automatisering.

Løsningen opfylder fuldt ud alle høje tilgængelighedskrav såsom sub-second failover under uplanlagte hændelser og nul nedetid for planlagte hændelser.

Cisco Catalyst 9800-seriens controllere giver omfattende sikkerhed, der giver dyb pakkeinspektion til applikationsgenkendelse og kontrol, fuldstændig synlighed i datastrømme og identifikation af trusler skjult i krypteret trafik, samt avancerede godkendelses- og sikkerhedsmekanismer til klientenheder.

Til automatisering og analyse tilbyder Cisco Catalyst 9800-serien kraftfulde funktioner ved hjælp af populære standardmodeller: YANG, NETCONF, RESTCONF, traditionelle API'er og indbyggede Python-scripts.

Dermed bekræfter Cisco endnu en gang sin status som verdens førende producent af netværksløsninger, der følger med tiden og tager højde for alle udfordringerne i moderne forretning.

For mere information om Catalyst switch-familien, besøg Online cisco.

Kilde: www.habr.com