Wenn Sie einen Controller haben, kein Problem: So warten Sie Ihr drahtloses Netzwerk ganz einfach

Im Jahr 2019 führte das Beratungsunternehmen Miercom eine unabhängige technologische Bewertung von Wi-Fi 6-Controllern der Cisco Catalyst 9800-Serie durch. Für diese Studie wurde ein Prüfstand aus Cisco Wi-Fi 6-Controllern und Access Points zusammengestellt und die technische Lösung erstellt bewertet in folgenden Kategorien:

• Verfügbarkeit;
• Sicherheit;
• Automatisierung.

Die Ergebnisse der Studie sind unten aufgeführt. Seit 2019 wurde die Funktionalität der Controller der Cisco Catalyst 9800-Serie deutlich verbessert – diese Punkte spiegeln sich auch in diesem Artikel wider.

Weitere Vorteile der Wi-Fi 6-Technologie, Umsetzungsbeispiele und Einsatzgebiete erfahren Sie hier hier.

Lösungsüberblick

Wi-Fi 6-Controller der Cisco Catalyst 9800-Serie

Die Wireless-Controller der Cisco Catalyst 9800-Serie basieren auf dem Betriebssystem IOS-XE (das auch für Cisco-Switches und -Router verwendet wird) und sind in verschiedenen Optionen erhältlich.

Das ältere Modell des 9800-80-Controllers unterstützt einen drahtlosen Netzwerkdurchsatz von bis zu 80 Gbit/s. Ein 9800-80-Controller unterstützt bis zu 6000 Access Points und bis zu 64 Wireless-Clients.

Das Mittelklassemodell, der 9800-40-Controller, unterstützt einen Durchsatz von bis zu 40 Gbit/s, bis zu 2000 Zugangspunkte und bis zu 32 WLAN-Clients.

Neben diesen Modellen umfasste die Wettbewerbsanalyse auch den Wireless-Controller 9800-CL (CL steht für Cloud). Der 9800-CL läuft in virtuellen Umgebungen auf VMWare ESXI- und KVM-Hypervisoren und seine Leistung hängt von den dedizierten Hardwareressourcen für die virtuelle Controller-Maschine ab. In seiner Maximalkonfiguration unterstützt der Cisco 9800-CL-Controller wie das ältere Modell 9800-80 eine Skalierbarkeit auf bis zu 6000 Access Points und bis zu 64 Wireless-Clients.

Bei der Forschung mit Controllern wurden Access Points der Cisco Aironet AP 4800-Serie verwendet, die den Betrieb bei Frequenzen von 2,4 und 5 GHz unterstützen und die Möglichkeit bieten, dynamisch in den dualen 5-GHz-Modus zu wechseln.

Prüfstand

Im Rahmen der Tests wurde ein Ständer aus zwei in einem Cluster betriebenen Cisco Catalyst 9800-CL Wireless-Controllern und Access Points der Cisco Aironet AP 4800-Serie zusammengestellt.

Als Client-Geräte kamen Laptops von Dell und Apple sowie ein Apple iPhone-Smartphone zum Einsatz.

Barrierefreiheitstests

Unter Verfügbarkeit versteht man die Fähigkeit von Benutzern, auf ein System oder einen Dienst zuzugreifen und es zu nutzen. Unter Hochverfügbarkeit versteht man den kontinuierlichen Zugriff auf ein System oder einen Dienst, unabhängig von bestimmten Ereignissen.

Die Hochverfügbarkeit wurde in vier Szenarien getestet, wobei es sich bei den ersten drei Szenarien um vorhersehbare oder geplante Ereignisse handelte, die während oder nach den Geschäftszeiten auftreten könnten. Das fünfte Szenario ist ein klassischer Fehler, also ein unvorhersehbares Ereignis.

Beschreibung der Szenarien:

• Fehlerkorrektur – ein Mikro-Update des Systems (Bugfix oder Sicherheitspatch), das es Ihnen ermöglicht, einen bestimmten Fehler oder eine Schwachstelle zu beheben, ohne die Systemsoftware vollständig zu aktualisieren;
• Funktionsupdate – Hinzufügen oder Erweitern der aktuellen Funktionalität des Systems durch die Installation von Funktionsupdates;
• Vollständiges Update – Aktualisieren Sie das Controller-Software-Image;
• Hinzufügen eines Zugangspunkts – Hinzufügen eines neuen Zugangspunktmodells zu einem drahtlosen Netzwerk, ohne dass die Software des drahtlosen Controllers neu konfiguriert oder aktualisiert werden muss;
• Fehler – Fehler des Wireless-Controllers.

Behebung von Fehlern und Schwachstellen

Bei vielen Konkurrenzlösungen erfordert das Patchen häufig ein vollständiges Software-Update des Wireless-Controller-Systems, was zu ungeplanten Ausfallzeiten führen kann. Bei der Cisco-Lösung erfolgt das Patchen ohne Anhalten des Produkts. Patches können auf allen Komponenten installiert werden, während die drahtlose Infrastruktur weiterhin in Betrieb ist.

Das Verfahren selbst ist recht einfach. Die Patchdatei wird in den Bootstrap-Ordner auf einem der Cisco Wireless Controller kopiert und der Vorgang wird dann über die GUI oder Befehlszeile bestätigt. Darüber hinaus können Sie den Fix auch über die GUI oder die Befehlszeile rückgängig machen und entfernen, ebenfalls ohne Unterbrechung des Systembetriebs.

Funktionsupdate

Um neue Funktionen zu ermöglichen, werden funktionale Software-Updates durchgeführt. Eine dieser Verbesserungen ist die Aktualisierung der Anwendungssignaturdatenbank. Dieses Paket wurde testweise auf Cisco-Controllern installiert. Genau wie bei Patches werden Funktionsaktualisierungen ohne Ausfallzeiten oder Systemunterbrechungen angewendet, installiert oder entfernt.

Vollständiges Update

Derzeit erfolgt ein vollständiges Update des Controller-Software-Images auf die gleiche Weise wie ein Funktionsupdate, also ohne Ausfallzeiten. Diese Funktion ist jedoch nur in einer Clusterkonfiguration verfügbar, wenn mehr als ein Controller vorhanden ist. Ein vollständiges Update wird nacheinander durchgeführt: zuerst auf einem Controller, dann auf dem zweiten.

Hinzufügen eines neuen Access Point-Modells

Das Anschließen neuer Access Points, die bisher nicht mit dem verwendeten Controller-Software-Image betrieben wurden, an ein drahtloses Netzwerk ist ein recht häufiger Vorgang, insbesondere in großen Netzwerken (Flughäfen, Hotels, Fabriken). Bei Konkurrenzlösungen erfordert dieser Vorgang häufig eine Aktualisierung der Systemsoftware oder einen Neustart der Controller.

Beim Verbinden neuer Wi-Fi 6-Zugangspunkte mit einem Cluster von Controllern der Cisco Catalyst 9800-Serie werden keine derartigen Probleme beobachtet. Das Anschließen neuer Punkte an den Controller erfolgt ohne Aktualisierung der Controller-Software. Für diesen Vorgang ist kein Neustart erforderlich, sodass das drahtlose Netzwerk in keiner Weise beeinträchtigt wird.

Controller-Fehler

Die Testumgebung verwendet zwei Wi-Fi 6-Controller (Active/StandBy) und der Access Point verfügt über eine direkte Verbindung zu beiden Controllern.

Ein Wireless-Controller ist aktiv und der andere dient als Backup. Fällt der aktive Controller aus, übernimmt der Backup-Controller und sein Status ändert sich in „aktiv“. Dieser Vorgang erfolgt ohne Unterbrechung für den Access Point und WLAN für Clients.

Sicherheit

In diesem Abschnitt werden Aspekte der Sicherheit erörtert, die in drahtlosen Netzwerken ein äußerst dringendes Thema darstellt. Die Sicherheit der Lösung wird anhand folgender Merkmale beurteilt:

• Bewerbungsanerkennung;
• Flussverfolgung;
• Analyse des verschlüsselten Datenverkehrs;
• Erkennung und Verhinderung von Einbrüchen;
• Authentifizierungsmittel;
• Tools zum Schutz von Client-Geräten.

Bewerbungsanerkennung

Bei der Vielfalt der Produkte auf dem Wi-Fi-Markt für Unternehmen und Industrie gibt es Unterschiede darin, wie gut die Produkte den Datenverkehr je nach Anwendung identifizieren. Produkte verschiedener Hersteller können unterschiedlich viele Anwendungen identifizieren. Allerdings handelt es sich bei vielen der Anwendungen, die konkurrierende Lösungen zur Identifizierung als möglich auflisten, tatsächlich um Websites und nicht um eindeutige Anwendungen.

Es gibt noch ein weiteres interessantes Merkmal der Anwendungserkennung: Die Erkennungsgenauigkeit der Lösungen variiert stark.

Unter Berücksichtigung aller durchgeführten Tests können wir mit Fug und Recht sagen, dass die Wi-Fi-6-Lösung von Cisco die Anwendungserkennung sehr genau durchführt: Jabber, Netflix, Dropbox, YouTube und andere beliebte Anwendungen sowie Webdienste wurden genau identifiziert. Cisco-Lösungen können mithilfe von DPI (Deep Packet Inspection) auch tiefer in Datenpakete eintauchen.

Verfolgung des Verkehrsflusses

Ein weiterer Test wurde durchgeführt, um zu sehen, ob das System Datenflüsse (z. B. große Dateibewegungen) genau verfolgen und melden kann. Um dies zu testen, wurde eine 6,5 Megabyte große Datei mithilfe des File Transfer Protocol (FTP) über das Netzwerk gesendet.

Die Cisco-Lösung war dieser Aufgabe voll gewachsen und konnte diesen Datenverkehr dank NetFlow und seinen Hardwarefunktionen verfolgen. Der Datenverkehr wurde sofort erkannt und mit der genauen übertragenen Datenmenge identifiziert.

Verschlüsselte Verkehrsanalyse

Der Datenverkehr der Nutzer wird zunehmend verschlüsselt. Dies geschieht, um sie vor der Verfolgung oder dem Abfangen durch Angreifer zu schützen. Doch gleichzeitig nutzen Hacker zunehmend Verschlüsselung, um ihre Schadsoftware zu verbergen und andere zweifelhafte Operationen wie Man-in-the-Middle (MiTM) oder Keylogging-Angriffe durchzuführen.

Die meisten Unternehmen überprüfen einen Teil ihres verschlüsselten Datenverkehrs, indem sie ihn zunächst mithilfe von Firewalls oder Intrusion-Prevention-Systemen entschlüsseln. Dieser Vorgang nimmt jedoch viel Zeit in Anspruch und kommt der Leistung des gesamten Netzwerks nicht zugute. Darüber hinaus sind diese Daten nach der Entschlüsselung anfällig für neugierige Blicke.

Die Controller der Cisco Catalyst 9800-Serie lösen erfolgreich das Problem der Analyse des verschlüsselten Datenverkehrs auf andere Weise. Die Lösung heißt Encrypted Traffic Analytics (ETA). ETA ist eine Technologie, die derzeit in Konkurrenzlösungen keine Entsprechung hat und Malware im verschlüsselten Datenverkehr erkennt, ohne dass diese entschlüsselt werden muss. ETA ist eine Kernfunktion von IOS-XE, die Enhanced NetFlow umfasst und fortschrittliche Verhaltensalgorithmen verwendet, um bösartige Verkehrsmuster zu identifizieren, die sich im verschlüsselten Datenverkehr verstecken.

ETA entschlüsselt keine Nachrichten, sondern sammelt Metadatenprofile verschlüsselter Verkehrsströme – Paketgröße, Zeitintervalle zwischen Paketen und vieles mehr. Die Metadaten werden dann in NetFlow v9-Datensätzen nach Cisco Stealthwatch exportiert.

Die Hauptfunktion von Stealthwatch besteht darin, den Datenverkehr ständig zu überwachen und eine Grundlage für die normale Netzwerkaktivität zu erstellen. Mithilfe verschlüsselter Stream-Metadaten, die von der ETA an Stealthwatch gesendet werden, wendet Stealthwatch mehrschichtiges maschinelles Lernen an, um Verhaltensanomalien im Datenverkehr zu identifizieren, die auf verdächtige Ereignisse hinweisen können.

Letztes Jahr beauftragte Cisco Miercom mit der unabhängigen Bewertung seiner Cisco Encrypted Traffic Analytics-Lösung. Während dieser Bewertung hat Miercom bekannte und unbekannte Bedrohungen (Viren, Trojaner, Ransomware) getrennt im verschlüsselten und unverschlüsselten Datenverkehr über große ETA- und Nicht-ETA-Netzwerke gesendet, um Bedrohungen zu identifizieren.

Zu Testzwecken wurde in beiden Netzwerken Schadcode gestartet. In beiden Fällen wurden nach und nach verdächtige Aktivitäten entdeckt. Das ETA-Netzwerk erkannte Bedrohungen zunächst 36 % schneller als das Nicht-ETA-Netzwerk. Gleichzeitig begann mit fortschreitender Arbeit die Produktivität der Erkennung im ETA-Netzwerk zu steigen. Im Ergebnis wurden nach mehrstündiger Arbeit zwei Drittel der aktiven Bedrohungen im ETA-Netzwerk erfolgreich erkannt, also doppelt so viele wie im Nicht-ETA-Netzwerk.

Die ETA-Funktionalität ist gut in Stealthwatch integriert. Bedrohungen werden nach Schweregrad geordnet und mit detaillierten Informationen sowie Abhilfemaßnahmen angezeigt, sobald sie bestätigt sind. Fazit – ETA funktioniert!

Erkennung und Verhinderung von Einbrüchen

Cisco verfügt nun über ein weiteres wirksames Sicherheitstool – das Cisco Advanced Wireless Intrusion Prevention System (aWIPS): einen Mechanismus zur Erkennung und Abwehr von Bedrohungen für drahtlose Netzwerke. Die aWIPS-Lösung arbeitet auf der Ebene von Controllern, Access Points und der Cisco DNA Center-Verwaltungssoftware. Bedrohungserkennung, -warnung und -prävention kombinieren Netzwerkverkehrsanalyse, Informationen zu Netzwerkgeräten und Netzwerktopologie, signaturbasierte Techniken und Anomalieerkennung, um hochpräzise und vermeidbare drahtlose Bedrohungen bereitzustellen.

Durch die vollständige Integration von aWIPS in Ihre Netzwerkinfrastruktur können Sie den drahtlosen Datenverkehr sowohl in kabelgebundenen als auch in drahtlosen Netzwerken kontinuierlich überwachen und damit potenzielle Angriffe aus mehreren Quellen automatisch analysieren, um eine möglichst umfassende Erkennung und Prävention zu gewährleisten.

Authentifizierungsmittel

Derzeit unterstützen die Lösungen der Cisco Catalyst 9800-Serie zusätzlich zu den klassischen Authentifizierungstools WPA3. WPA3 ist die neueste Version von WPA, einer Reihe von Protokollen und Technologien, die Authentifizierung und Verschlüsselung für Wi-Fi-Netzwerke ermöglichen.

WPA3 nutzt Simultaneous Authentication of Equals (SAE), um Benutzern den stärksten Schutz vor Passwort-Erratungsversuchen Dritter zu bieten. Wenn ein Client eine Verbindung zu einem Access Point herstellt, führt er einen SAE-Austausch durch. Bei Erfolg erstellt jeder von ihnen einen kryptografisch starken Schlüssel, aus dem der Sitzungsschlüssel abgeleitet wird, und wechselt dann in den Bestätigungsstatus. Der Client und der Access Point können dann jedes Mal in den Handshake-Zustand wechseln, wenn ein Sitzungsschlüssel generiert werden muss. Die Methode nutzt die Vorwärtsgeheimhaltung, bei der ein Angreifer einen Schlüssel knacken kann, nicht jedoch alle anderen Schlüssel.

Das heißt, SAE ist so konzipiert, dass ein Angreifer, der Datenverkehr abfängt, nur einen Versuch hat, das Passwort zu erraten, bevor die abgefangenen Daten unbrauchbar werden. Um eine lange Passwortwiederherstellung zu organisieren, benötigen Sie physischen Zugang zum Zugangspunkt.

Schutz des Client-Geräts

Die drahtlosen Lösungen der Cisco Catalyst 9800-Serie bieten derzeit den zentralen Kundenschutz durch Cisco Umbrella WLAN, einen cloudbasierten Netzwerksicherheitsdienst, der auf DNS-Ebene arbeitet und sowohl bekannte als auch neu auftretende Bedrohungen automatisch erkennt.

Cisco Umbrella WLAN bietet Client-Geräten eine sichere Verbindung zum Internet. Dies wird durch Inhaltsfilterung erreicht, d. h. durch die Blockierung des Zugriffs auf Ressourcen im Internet gemäß den Unternehmensrichtlinien. Somit sind Client-Geräte im Internet vor Malware, Ransomware und Phishing geschützt. Die Durchsetzung der Richtlinien basiert auf 60 kontinuierlich aktualisierten Inhaltskategorien.

Automatisierung

Heutige drahtlose Netzwerke sind viel flexibler und komplexer, sodass herkömmliche Methoden zum Konfigurieren und Abrufen von Informationen von drahtlosen Controllern nicht ausreichen. Netzwerkadministratoren und Informationssicherheitsexperten benötigen Tools für die Automatisierung und Analyse, was Mobilfunkanbieter dazu veranlasst, solche Tools anzubieten.

Um diese Probleme zu lösen, bieten die Wireless-Controller der Cisco Catalyst 9800-Serie zusammen mit der herkömmlichen API Unterstützung für das Netzwerkkonfigurationsprotokoll RESTCONF/NETCONF mit der Datenmodellierungssprache YANG (Yet Another Next Generation).

NETCONF ist ein XML-basiertes Protokoll, mit dem Anwendungen Informationen abfragen und die Konfiguration von Netzwerkgeräten wie drahtlosen Controllern ändern können.

Zusätzlich zu diesen Methoden bieten die Controller der Cisco Catalyst 9800-Serie die Möglichkeit, Informationsflussdaten mithilfe der NetFlow- und sFlow-Protokolle zu erfassen, abzurufen und zu analysieren.

Für die Sicherheits- und Verkehrsmodellierung ist die Möglichkeit, bestimmte Verkehrsströme zu verfolgen, ein wertvolles Werkzeug. Um dieses Problem zu lösen, wurde das sFlow-Protokoll implementiert, mit dem Sie zwei von hundert Paketen erfassen können. Manchmal reicht dies jedoch möglicherweise nicht aus, um den Fluss zu analysieren, angemessen zu untersuchen und zu bewerten. Eine Alternative ist daher NetFlow, implementiert von Cisco, das es Ihnen ermöglicht, alle Pakete in einem bestimmten Fluss zu 100 % zu sammeln und für die anschließende Analyse zu exportieren.

Eine weitere Funktion, die jedoch nur in der Hardware-Implementierung der Controller verfügbar ist und die es Ihnen ermöglicht, den Betrieb des drahtlosen Netzwerks in den Controllern der Cisco Catalyst 9800-Serie zu automatisieren, ist die integrierte Unterstützung der Python-Sprache als Add-on für die Verwendung Skripte direkt auf dem Wireless-Controller selbst.

Schließlich unterstützen die Controller der Cisco Catalyst 9800-Serie das bewährte SNMP-Protokoll Version 1, 2 und 3 für Überwachungs- und Verwaltungsvorgänge.

Somit erfüllen die Lösungen der Cisco Catalyst 9800-Serie im Hinblick auf die Automatisierung die modernen Geschäftsanforderungen vollständig und bieten sowohl neue und einzigartige als auch bewährte Tools für automatisierte Abläufe und Analysen in drahtlosen Netzwerken jeder Größe und Komplexität.

Abschluss

Bei Lösungen auf Basis der Cisco Catalyst 9800 Series Controller zeigte Cisco hervorragende Ergebnisse in den Kategorien Hochverfügbarkeit, Sicherheit und Automatisierung.

Die Lösung erfüllt alle Hochverfügbarkeitsanforderungen vollständig, wie z. B. Failover in weniger als einer Sekunde bei ungeplanten Ereignissen und keine Ausfallzeit bei geplanten Ereignissen.

Die Controller der Cisco Catalyst 9800-Serie bieten umfassende Sicherheit, die eine umfassende Paketinspektion für die Anwendungserkennung und -verwaltung, vollständige Transparenz der Datenflüsse und die Identifizierung von im verschlüsselten Datenverkehr verborgenen Bedrohungen sowie erweiterte Authentifizierungs- und Sicherheitsmechanismen für Client-Geräte bietet.

Für Automatisierung und Analyse bietet die Cisco Catalyst 9800-Serie leistungsstarke Funktionen unter Verwendung beliebter Standardmodelle: YANG, NETCONF, RESTCONF, traditionelle APIs und integrierte Python-Skripte.

Damit bestätigt Cisco einmal mehr seinen Status als weltweit führender Hersteller von Netzwerklösungen, der am Puls der Zeit ist und alle Herausforderungen des modernen Geschäftslebens berücksichtigt.

Weitere Informationen zur Catalyst-Switch-Familie finden Sie unter Webseite cisco.

Source: habr.com

Im Jahr 2019 führte das Beratungsunternehmen Miercom eine unabhängige technologische Bewertung von Wi-Fi 6-Controllern der Cisco Catalyst 9800-Serie durch. Für diese Studie wurde ein Prüfstand aus Cisco Wi-Fi 6-Controllern und Access Points zusammengestellt und die technische Lösung erstellt bewertet in folgenden Kategorien:

• Verfügbarkeit;
• Sicherheit;
• Automatisierung.

Die Ergebnisse der Studie sind unten aufgeführt. Seit 2019 wurde die Funktionalität der Controller der Cisco Catalyst 9800-Serie deutlich verbessert – diese Punkte spiegeln sich auch in diesem Artikel wider.

Weitere Vorteile der Wi-Fi 6-Technologie, Umsetzungsbeispiele und Einsatzgebiete erfahren Sie hier hier.

Lösungsüberblick

Wi-Fi 6-Controller der Cisco Catalyst 9800-Serie

Die Wireless-Controller der Cisco Catalyst 9800-Serie basieren auf dem Betriebssystem IOS-XE (das auch für Cisco-Switches und -Router verwendet wird) und sind in verschiedenen Optionen erhältlich.

Das ältere Modell des 9800-80-Controllers unterstützt einen drahtlosen Netzwerkdurchsatz von bis zu 80 Gbit/s. Ein 9800-80-Controller unterstützt bis zu 6000 Access Points und bis zu 64 Wireless-Clients.

Das Mittelklassemodell, der 9800-40-Controller, unterstützt einen Durchsatz von bis zu 40 Gbit/s, bis zu 2000 Zugangspunkte und bis zu 32 WLAN-Clients.

Neben diesen Modellen umfasste die Wettbewerbsanalyse auch den Wireless-Controller 9800-CL (CL steht für Cloud). Der 9800-CL läuft in virtuellen Umgebungen auf VMWare ESXI- und KVM-Hypervisoren und seine Leistung hängt von den dedizierten Hardwareressourcen für die virtuelle Controller-Maschine ab. In seiner Maximalkonfiguration unterstützt der Cisco 9800-CL-Controller wie das ältere Modell 9800-80 eine Skalierbarkeit auf bis zu 6000 Access Points und bis zu 64 Wireless-Clients.

Bei der Forschung mit Controllern wurden Access Points der Cisco Aironet AP 4800-Serie verwendet, die den Betrieb bei Frequenzen von 2,4 und 5 GHz unterstützen und die Möglichkeit bieten, dynamisch in den dualen 5-GHz-Modus zu wechseln.

Prüfstand

Im Rahmen der Tests wurde ein Ständer aus zwei in einem Cluster betriebenen Cisco Catalyst 9800-CL Wireless-Controllern und Access Points der Cisco Aironet AP 4800-Serie zusammengestellt.

Als Client-Geräte kamen Laptops von Dell und Apple sowie ein Apple iPhone-Smartphone zum Einsatz.

Barrierefreiheitstests

Unter Verfügbarkeit versteht man die Fähigkeit von Benutzern, auf ein System oder einen Dienst zuzugreifen und es zu nutzen. Unter Hochverfügbarkeit versteht man den kontinuierlichen Zugriff auf ein System oder einen Dienst, unabhängig von bestimmten Ereignissen.

Die Hochverfügbarkeit wurde in vier Szenarien getestet, wobei es sich bei den ersten drei Szenarien um vorhersehbare oder geplante Ereignisse handelte, die während oder nach den Geschäftszeiten auftreten könnten. Das fünfte Szenario ist ein klassischer Fehler, also ein unvorhersehbares Ereignis.

Beschreibung der Szenarien:

• Fehlerkorrektur – ein Mikro-Update des Systems (Bugfix oder Sicherheitspatch), das es Ihnen ermöglicht, einen bestimmten Fehler oder eine Schwachstelle zu beheben, ohne die Systemsoftware vollständig zu aktualisieren;
• Funktionsupdate – Hinzufügen oder Erweitern der aktuellen Funktionalität des Systems durch die Installation von Funktionsupdates;
• Vollständiges Update – Aktualisieren Sie das Controller-Software-Image;
• Hinzufügen eines Zugangspunkts – Hinzufügen eines neuen Zugangspunktmodells zu einem drahtlosen Netzwerk, ohne dass die Software des drahtlosen Controllers neu konfiguriert oder aktualisiert werden muss;
• Fehler – Fehler des Wireless-Controllers.

Behebung von Fehlern und Schwachstellen

Bei vielen Konkurrenzlösungen erfordert das Patchen häufig ein vollständiges Software-Update des Wireless-Controller-Systems, was zu ungeplanten Ausfallzeiten führen kann. Bei der Cisco-Lösung erfolgt das Patchen ohne Anhalten des Produkts. Patches können auf allen Komponenten installiert werden, während die drahtlose Infrastruktur weiterhin in Betrieb ist.

Das Verfahren selbst ist recht einfach. Die Patchdatei wird in den Bootstrap-Ordner auf einem der Cisco Wireless Controller kopiert und der Vorgang wird dann über die GUI oder Befehlszeile bestätigt. Darüber hinaus können Sie den Fix auch über die GUI oder die Befehlszeile rückgängig machen und entfernen, ebenfalls ohne Unterbrechung des Systembetriebs.

Funktionsupdate

Um neue Funktionen zu ermöglichen, werden funktionale Software-Updates durchgeführt. Eine dieser Verbesserungen ist die Aktualisierung der Anwendungssignaturdatenbank. Dieses Paket wurde testweise auf Cisco-Controllern installiert. Genau wie bei Patches werden Funktionsaktualisierungen ohne Ausfallzeiten oder Systemunterbrechungen angewendet, installiert oder entfernt.

Vollständiges Update

Derzeit erfolgt ein vollständiges Update des Controller-Software-Images auf die gleiche Weise wie ein Funktionsupdate, also ohne Ausfallzeiten. Diese Funktion ist jedoch nur in einer Clusterkonfiguration verfügbar, wenn mehr als ein Controller vorhanden ist. Ein vollständiges Update wird nacheinander durchgeführt: zuerst auf einem Controller, dann auf dem zweiten.

Hinzufügen eines neuen Access Point-Modells

Das Anschließen neuer Access Points, die bisher nicht mit dem verwendeten Controller-Software-Image betrieben wurden, an ein drahtloses Netzwerk ist ein recht häufiger Vorgang, insbesondere in großen Netzwerken (Flughäfen, Hotels, Fabriken). Bei Konkurrenzlösungen erfordert dieser Vorgang häufig eine Aktualisierung der Systemsoftware oder einen Neustart der Controller.

Beim Verbinden neuer Wi-Fi 6-Zugangspunkte mit einem Cluster von Controllern der Cisco Catalyst 9800-Serie werden keine derartigen Probleme beobachtet. Das Anschließen neuer Punkte an den Controller erfolgt ohne Aktualisierung der Controller-Software. Für diesen Vorgang ist kein Neustart erforderlich, sodass das drahtlose Netzwerk in keiner Weise beeinträchtigt wird.

Controller-Fehler

Die Testumgebung verwendet zwei Wi-Fi 6-Controller (Active/StandBy) und der Access Point verfügt über eine direkte Verbindung zu beiden Controllern.

Ein Wireless-Controller ist aktiv und der andere dient als Backup. Fällt der aktive Controller aus, übernimmt der Backup-Controller und sein Status ändert sich in „aktiv“. Dieser Vorgang erfolgt ohne Unterbrechung für den Access Point und WLAN für Clients.

Sicherheit

In diesem Abschnitt werden Aspekte der Sicherheit erörtert, die in drahtlosen Netzwerken ein äußerst dringendes Thema darstellt. Die Sicherheit der Lösung wird anhand folgender Merkmale beurteilt:

• Bewerbungsanerkennung;
• Flussverfolgung;
• Analyse des verschlüsselten Datenverkehrs;
• Erkennung und Verhinderung von Einbrüchen;
• Authentifizierungsmittel;
• Tools zum Schutz von Client-Geräten.

Bewerbungsanerkennung

Bei der Vielfalt der Produkte auf dem Wi-Fi-Markt für Unternehmen und Industrie gibt es Unterschiede darin, wie gut die Produkte den Datenverkehr je nach Anwendung identifizieren. Produkte verschiedener Hersteller können unterschiedlich viele Anwendungen identifizieren. Allerdings handelt es sich bei vielen der Anwendungen, die konkurrierende Lösungen zur Identifizierung als möglich auflisten, tatsächlich um Websites und nicht um eindeutige Anwendungen.

Es gibt noch ein weiteres interessantes Merkmal der Anwendungserkennung: Die Erkennungsgenauigkeit der Lösungen variiert stark.

Unter Berücksichtigung aller durchgeführten Tests können wir mit Fug und Recht sagen, dass die Wi-Fi-6-Lösung von Cisco die Anwendungserkennung sehr genau durchführt: Jabber, Netflix, Dropbox, YouTube und andere beliebte Anwendungen sowie Webdienste wurden genau identifiziert. Cisco-Lösungen können mithilfe von DPI (Deep Packet Inspection) auch tiefer in Datenpakete eintauchen.

Verfolgung des Verkehrsflusses

Ein weiterer Test wurde durchgeführt, um zu sehen, ob das System Datenflüsse (z. B. große Dateibewegungen) genau verfolgen und melden kann. Um dies zu testen, wurde eine 6,5 Megabyte große Datei mithilfe des File Transfer Protocol (FTP) über das Netzwerk gesendet.

Die Cisco-Lösung war dieser Aufgabe voll gewachsen und konnte diesen Datenverkehr dank NetFlow und seinen Hardwarefunktionen verfolgen. Der Datenverkehr wurde sofort erkannt und mit der genauen übertragenen Datenmenge identifiziert.

Verschlüsselte Verkehrsanalyse

Der Datenverkehr der Nutzer wird zunehmend verschlüsselt. Dies geschieht, um sie vor der Verfolgung oder dem Abfangen durch Angreifer zu schützen. Doch gleichzeitig nutzen Hacker zunehmend Verschlüsselung, um ihre Schadsoftware zu verbergen und andere zweifelhafte Operationen wie Man-in-the-Middle (MiTM) oder Keylogging-Angriffe durchzuführen.

Die meisten Unternehmen überprüfen einen Teil ihres verschlüsselten Datenverkehrs, indem sie ihn zunächst mithilfe von Firewalls oder Intrusion-Prevention-Systemen entschlüsseln. Dieser Vorgang nimmt jedoch viel Zeit in Anspruch und kommt der Leistung des gesamten Netzwerks nicht zugute. Darüber hinaus sind diese Daten nach der Entschlüsselung anfällig für neugierige Blicke.

Die Controller der Cisco Catalyst 9800-Serie lösen erfolgreich das Problem der Analyse des verschlüsselten Datenverkehrs auf andere Weise. Die Lösung heißt Encrypted Traffic Analytics (ETA). ETA ist eine Technologie, die derzeit in Konkurrenzlösungen keine Entsprechung hat und Malware im verschlüsselten Datenverkehr erkennt, ohne dass diese entschlüsselt werden muss. ETA ist eine Kernfunktion von IOS-XE, die Enhanced NetFlow umfasst und fortschrittliche Verhaltensalgorithmen verwendet, um bösartige Verkehrsmuster zu identifizieren, die sich im verschlüsselten Datenverkehr verstecken.

ETA entschlüsselt keine Nachrichten, sondern sammelt Metadatenprofile verschlüsselter Verkehrsströme – Paketgröße, Zeitintervalle zwischen Paketen und vieles mehr. Die Metadaten werden dann in NetFlow v9-Datensätzen nach Cisco Stealthwatch exportiert.

Die Hauptfunktion von Stealthwatch besteht darin, den Datenverkehr ständig zu überwachen und eine Grundlage für die normale Netzwerkaktivität zu erstellen. Mithilfe verschlüsselter Stream-Metadaten, die von der ETA an Stealthwatch gesendet werden, wendet Stealthwatch mehrschichtiges maschinelles Lernen an, um Verhaltensanomalien im Datenverkehr zu identifizieren, die auf verdächtige Ereignisse hinweisen können.

Letztes Jahr beauftragte Cisco Miercom mit der unabhängigen Bewertung seiner Cisco Encrypted Traffic Analytics-Lösung. Während dieser Bewertung hat Miercom bekannte und unbekannte Bedrohungen (Viren, Trojaner, Ransomware) getrennt im verschlüsselten und unverschlüsselten Datenverkehr über große ETA- und Nicht-ETA-Netzwerke gesendet, um Bedrohungen zu identifizieren.

Zu Testzwecken wurde in beiden Netzwerken Schadcode gestartet. In beiden Fällen wurden nach und nach verdächtige Aktivitäten entdeckt. Das ETA-Netzwerk erkannte Bedrohungen zunächst 36 % schneller als das Nicht-ETA-Netzwerk. Gleichzeitig begann mit fortschreitender Arbeit die Produktivität der Erkennung im ETA-Netzwerk zu steigen. Im Ergebnis wurden nach mehrstündiger Arbeit zwei Drittel der aktiven Bedrohungen im ETA-Netzwerk erfolgreich erkannt, also doppelt so viele wie im Nicht-ETA-Netzwerk.

Die ETA-Funktionalität ist gut in Stealthwatch integriert. Bedrohungen werden nach Schweregrad geordnet und mit detaillierten Informationen sowie Abhilfemaßnahmen angezeigt, sobald sie bestätigt sind. Fazit – ETA funktioniert!

Erkennung und Verhinderung von Einbrüchen

Cisco verfügt nun über ein weiteres wirksames Sicherheitstool – das Cisco Advanced Wireless Intrusion Prevention System (aWIPS): einen Mechanismus zur Erkennung und Abwehr von Bedrohungen für drahtlose Netzwerke. Die aWIPS-Lösung arbeitet auf der Ebene von Controllern, Access Points und der Cisco DNA Center-Verwaltungssoftware. Bedrohungserkennung, -warnung und -prävention kombinieren Netzwerkverkehrsanalyse, Informationen zu Netzwerkgeräten und Netzwerktopologie, signaturbasierte Techniken und Anomalieerkennung, um hochpräzise und vermeidbare drahtlose Bedrohungen bereitzustellen.

Durch die vollständige Integration von aWIPS in Ihre Netzwerkinfrastruktur können Sie den drahtlosen Datenverkehr sowohl in kabelgebundenen als auch in drahtlosen Netzwerken kontinuierlich überwachen und damit potenzielle Angriffe aus mehreren Quellen automatisch analysieren, um eine möglichst umfassende Erkennung und Prävention zu gewährleisten.

Authentifizierungsmittel

Derzeit unterstützen die Lösungen der Cisco Catalyst 9800-Serie zusätzlich zu den klassischen Authentifizierungstools WPA3. WPA3 ist die neueste Version von WPA, einer Reihe von Protokollen und Technologien, die Authentifizierung und Verschlüsselung für Wi-Fi-Netzwerke ermöglichen.

WPA3 nutzt Simultaneous Authentication of Equals (SAE), um Benutzern den stärksten Schutz vor Passwort-Erratungsversuchen Dritter zu bieten. Wenn ein Client eine Verbindung zu einem Access Point herstellt, führt er einen SAE-Austausch durch. Bei Erfolg erstellt jeder von ihnen einen kryptografisch starken Schlüssel, aus dem der Sitzungsschlüssel abgeleitet wird, und wechselt dann in den Bestätigungsstatus. Der Client und der Access Point können dann jedes Mal in den Handshake-Zustand wechseln, wenn ein Sitzungsschlüssel generiert werden muss. Die Methode nutzt die Vorwärtsgeheimhaltung, bei der ein Angreifer einen Schlüssel knacken kann, nicht jedoch alle anderen Schlüssel.

Das heißt, SAE ist so konzipiert, dass ein Angreifer, der Datenverkehr abfängt, nur einen Versuch hat, das Passwort zu erraten, bevor die abgefangenen Daten unbrauchbar werden. Um eine lange Passwortwiederherstellung zu organisieren, benötigen Sie physischen Zugang zum Zugangspunkt.

Schutz des Client-Geräts

Die drahtlosen Lösungen der Cisco Catalyst 9800-Serie bieten derzeit den zentralen Kundenschutz durch Cisco Umbrella WLAN, einen cloudbasierten Netzwerksicherheitsdienst, der auf DNS-Ebene arbeitet und sowohl bekannte als auch neu auftretende Bedrohungen automatisch erkennt.

Cisco Umbrella WLAN bietet Client-Geräten eine sichere Verbindung zum Internet. Dies wird durch Inhaltsfilterung erreicht, d. h. durch die Blockierung des Zugriffs auf Ressourcen im Internet gemäß den Unternehmensrichtlinien. Somit sind Client-Geräte im Internet vor Malware, Ransomware und Phishing geschützt. Die Durchsetzung der Richtlinien basiert auf 60 kontinuierlich aktualisierten Inhaltskategorien.

Automatisierung

Heutige drahtlose Netzwerke sind viel flexibler und komplexer, sodass herkömmliche Methoden zum Konfigurieren und Abrufen von Informationen von drahtlosen Controllern nicht ausreichen. Netzwerkadministratoren und Informationssicherheitsexperten benötigen Tools für die Automatisierung und Analyse, was Mobilfunkanbieter dazu veranlasst, solche Tools anzubieten.

Um diese Probleme zu lösen, bieten die Wireless-Controller der Cisco Catalyst 9800-Serie zusammen mit der herkömmlichen API Unterstützung für das Netzwerkkonfigurationsprotokoll RESTCONF/NETCONF mit der Datenmodellierungssprache YANG (Yet Another Next Generation).

NETCONF ist ein XML-basiertes Protokoll, mit dem Anwendungen Informationen abfragen und die Konfiguration von Netzwerkgeräten wie drahtlosen Controllern ändern können.

Zusätzlich zu diesen Methoden bieten die Controller der Cisco Catalyst 9800-Serie die Möglichkeit, Informationsflussdaten mithilfe der NetFlow- und sFlow-Protokolle zu erfassen, abzurufen und zu analysieren.

Für die Sicherheits- und Verkehrsmodellierung ist die Möglichkeit, bestimmte Verkehrsströme zu verfolgen, ein wertvolles Werkzeug. Um dieses Problem zu lösen, wurde das sFlow-Protokoll implementiert, mit dem Sie zwei von hundert Paketen erfassen können. Manchmal reicht dies jedoch möglicherweise nicht aus, um den Fluss zu analysieren, angemessen zu untersuchen und zu bewerten. Eine Alternative ist daher NetFlow, implementiert von Cisco, das es Ihnen ermöglicht, alle Pakete in einem bestimmten Fluss zu 100 % zu sammeln und für die anschließende Analyse zu exportieren.

Eine weitere Funktion, die jedoch nur in der Hardware-Implementierung der Controller verfügbar ist und die es Ihnen ermöglicht, den Betrieb des drahtlosen Netzwerks in den Controllern der Cisco Catalyst 9800-Serie zu automatisieren, ist die integrierte Unterstützung der Python-Sprache als Add-on für die Verwendung Skripte direkt auf dem Wireless-Controller selbst.

Schließlich unterstützen die Controller der Cisco Catalyst 9800-Serie das bewährte SNMP-Protokoll Version 1, 2 und 3 für Überwachungs- und Verwaltungsvorgänge.

Somit erfüllen die Lösungen der Cisco Catalyst 9800-Serie im Hinblick auf die Automatisierung die modernen Geschäftsanforderungen vollständig und bieten sowohl neue und einzigartige als auch bewährte Tools für automatisierte Abläufe und Analysen in drahtlosen Netzwerken jeder Größe und Komplexität.

Abschluss

Bei Lösungen auf Basis der Cisco Catalyst 9800 Series Controller zeigte Cisco hervorragende Ergebnisse in den Kategorien Hochverfügbarkeit, Sicherheit und Automatisierung.

Die Lösung erfüllt alle Hochverfügbarkeitsanforderungen vollständig, wie z. B. Failover in weniger als einer Sekunde bei ungeplanten Ereignissen und keine Ausfallzeit bei geplanten Ereignissen.

Die Controller der Cisco Catalyst 9800-Serie bieten umfassende Sicherheit, die eine umfassende Paketinspektion für die Anwendungserkennung und -verwaltung, vollständige Transparenz der Datenflüsse und die Identifizierung von im verschlüsselten Datenverkehr verborgenen Bedrohungen sowie erweiterte Authentifizierungs- und Sicherheitsmechanismen für Client-Geräte bietet.

Für Automatisierung und Analyse bietet die Cisco Catalyst 9800-Serie leistungsstarke Funktionen unter Verwendung beliebter Standardmodelle: YANG, NETCONF, RESTCONF, traditionelle APIs und integrierte Python-Skripte.

Damit bestätigt Cisco einmal mehr seinen Status als weltweit führender Hersteller von Netzwerklösungen, der am Puls der Zeit ist und alle Herausforderungen des modernen Geschäftslebens berücksichtigt.

Weitere Informationen zur Catalyst-Switch-Familie finden Sie unter Webseite cisco.

Source: habr.com