Εάν έχετε ελεγκτή, κανένα πρόβλημα: πώς να διατηρήσετε εύκολα το ασύρματο δίκτυό σας

Το 2019, η εταιρεία συμβούλων Miercom πραγματοποίησε μια ανεξάρτητη τεχνολογική αξιολόγηση των ελεγκτών Wi-Fi 6 της σειράς Cisco Catalyst 9800. Για αυτήν τη μελέτη, συναρμολογήθηκε ένας πάγκος δοκιμών από ελεγκτές και σημεία πρόσβασης Cisco Wi-Fi 6 και η τεχνική λύση ήταν αξιολογούνται στις ακόλουθες κατηγορίες:

• Διαθεσιμότητα;
• Ασφάλεια.
• Αυτοματοποίηση.

Τα αποτελέσματα της μελέτης φαίνονται παρακάτω. Από το 2019, η λειτουργικότητα των ελεγκτών της σειράς Cisco Catalyst 9800 έχει βελτιωθεί σημαντικά - αυτά τα σημεία αντικατοπτρίζονται επίσης σε αυτό το άρθρο.

Μπορείτε να διαβάσετε για άλλα πλεονεκτήματα της τεχνολογίας Wi-Fi 6, παραδείγματα υλοποίησης και τομείς εφαρμογής εδώ.

Επισκόπηση λύσης

Ελεγκτές Wi-Fi 6 Cisco Catalyst 9800 series

Οι ασύρματοι ελεγκτές Cisco Catalyst 9800 Series, βασισμένοι στο λειτουργικό σύστημα IOS-XE (χρησιμοποιούνται επίσης για διακόπτες και δρομολογητές Cisco), είναι διαθέσιμοι σε μια ποικιλία επιλογών.

Το παλαιότερο μοντέλο του ελεγκτή 9800-80 υποστηρίζει παροχή ασύρματου δικτύου έως και 80 Gbps. Ένας ελεγκτής 9800-80 υποστηρίζει έως και 6000 σημεία πρόσβασης και έως 64 ασύρματους πελάτες.

Το μοντέλο μεσαίας εμβέλειας, ο ελεγκτής 9800-40, υποστηρίζει απόδοση έως και 40 Gbps, έως 2000 σημεία πρόσβασης και έως 32 ασύρματους πελάτες.

Εκτός από αυτά τα μοντέλα, η ανταγωνιστική ανάλυση περιελάμβανε επίσης τον ασύρματο ελεγκτή 9800-CL (CL σημαίνει Cloud). Το 9800-CL εκτελείται σε εικονικά περιβάλλοντα σε υπερεπόπτες VMWare ESXI και KVM και η απόδοσή του εξαρτάται από τους αποκλειστικούς πόρους υλικού για την εικονική μηχανή ελεγκτή. Στη μέγιστη διαμόρφωσή του, ο ελεγκτής Cisco 9800-CL, όπως και το παλαιότερο μοντέλο 9800-80, υποστηρίζει επεκτασιμότητα έως 6000 σημεία πρόσβασης και έως 64 ασύρματους πελάτες.

Κατά τη διεξαγωγή έρευνας με ελεγκτές, χρησιμοποιήθηκαν σημεία πρόσβασης της σειράς Cisco Aironet AP 4800, που υποστηρίζουν λειτουργία σε συχνότητες 2,4 και 5 GHz με δυνατότητα δυναμικής μετάβασης σε λειτουργία διπλής λειτουργίας 5 GHz.

Περίπτερο δοκιμής

Ως μέρος της δοκιμής, συναρμολογήθηκε μια βάση από δύο ασύρματους ελεγκτές Cisco Catalyst 9800-CL που λειτουργούν σε ένα σύμπλεγμα και σημεία πρόσβασης της σειράς Cisco Aironet AP 4800.

Φορητοί υπολογιστές από την Dell και την Apple, καθώς και ένα smartphone Apple iPhone, χρησιμοποιήθηκαν ως συσκευές-πελάτες.

Δοκιμή προσβασιμότητας

Η διαθεσιμότητα ορίζεται ως η ικανότητα των χρηστών να έχουν πρόσβαση και να χρησιμοποιούν ένα σύστημα ή υπηρεσία. Η υψηλή διαθεσιμότητα συνεπάγεται συνεχή πρόσβαση σε ένα σύστημα ή υπηρεσία, ανεξάρτητα από ορισμένα συμβάντα.

Η υψηλή διαθεσιμότητα δοκιμάστηκε σε τέσσερα σενάρια, με τα τρία πρώτα σενάρια να είναι προβλέψιμα ή προγραμματισμένα συμβάντα που θα μπορούσαν να συμβούν κατά τη διάρκεια ή μετά τις εργάσιμες ώρες. Το πέμπτο σενάριο είναι μια κλασική αποτυχία, η οποία είναι ένα απρόβλεπτο γεγονός.

Περιγραφή σεναρίων:

• Διόρθωση σφαλμάτων – μια μικρο-ενημέρωση του συστήματος (επιδιόρθωση σφαλμάτων ή ενημερωμένη έκδοση κώδικα ασφαλείας), η οποία σας επιτρέπει να διορθώσετε ένα συγκεκριμένο σφάλμα ή ευπάθεια χωρίς πλήρη ενημέρωση του λογισμικού του συστήματος.
• Λειτουργική ενημέρωση – προσθήκη ή επέκταση της τρέχουσας λειτουργικότητας του συστήματος με την εγκατάσταση λειτουργικών ενημερώσεων.
• Πλήρης ενημέρωση – ενημέρωση της εικόνας λογισμικού του ελεγκτή.
• Προσθήκη σημείου πρόσβασης – προσθήκη νέου μοντέλου σημείου πρόσβασης σε ασύρματο δίκτυο χωρίς την ανάγκη επαναδιαμόρφωσης ή ενημέρωσης του λογισμικού του ασύρματου ελεγκτή.
• Αποτυχία—αστοχία του ασύρματου ελεγκτή.

Διόρθωση σφαλμάτων και τρωτών σημείων

Συχνά, με πολλές ανταγωνιστικές λύσεις, η ενημέρωση κώδικα απαιτεί πλήρη ενημέρωση λογισμικού του συστήματος ασύρματου ελεγκτή, η οποία μπορεί να οδηγήσει σε απρογραμμάτιστο χρόνο διακοπής λειτουργίας. Στην περίπτωση της λύσης Cisco, η επιδιόρθωση πραγματοποιείται χωρίς διακοπή του προϊόντος. Οι ενημερώσεις κώδικα μπορούν να εγκατασταθούν σε οποιοδήποτε από τα στοιχεία, ενώ η ασύρματη υποδομή συνεχίζει να λειτουργεί.

Η ίδια η διαδικασία είναι αρκετά απλή. Το αρχείο ενημερωμένης έκδοσης κώδικα αντιγράφεται στο φάκελο bootstrap σε έναν από τους ασύρματους ελεγκτές Cisco και στη συνέχεια η λειτουργία επιβεβαιώνεται μέσω του GUI ή της γραμμής εντολών. Επιπλέον, μπορείτε επίσης να αναιρέσετε και να καταργήσετε την επιδιόρθωση μέσω του GUI ή της γραμμής εντολών, επίσης χωρίς να διακόψετε τη λειτουργία του συστήματος.

Λειτουργική ενημέρωση

Εφαρμόζονται λειτουργικές ενημερώσεις λογισμικού για την ενεργοποίηση νέων λειτουργιών. Μία από αυτές τις βελτιώσεις είναι η ενημέρωση της βάσης δεδομένων υπογραφών της εφαρμογής. Αυτό το πακέτο εγκαταστάθηκε σε ελεγκτές Cisco ως δοκιμαστικό. Όπως και με τις ενημερώσεις κώδικα, οι ενημερώσεις λειτουργιών εφαρμόζονται, εγκαθίστανται ή αφαιρούνται χωρίς διακοπές λειτουργίας ή διακοπή του συστήματος.

Πλήρης ενημέρωση

Αυτή τη στιγμή, μια πλήρης ενημέρωση της εικόνας λογισμικού του ελεγκτή πραγματοποιείται με τον ίδιο τρόπο όπως μια λειτουργική ενημέρωση, δηλαδή χωρίς χρόνο διακοπής λειτουργίας. Ωστόσο, αυτή η δυνατότητα είναι διαθέσιμη μόνο σε μια διαμόρφωση συμπλέγματος όταν υπάρχουν περισσότεροι από ένας ελεγκτές. Μια πλήρης ενημέρωση εκτελείται διαδοχικά: πρώτα σε έναν ελεγκτή και μετά στον δεύτερο.

Προσθήκη νέου μοντέλου σημείου πρόσβασης

Η σύνδεση νέων σημείων πρόσβασης, τα οποία δεν είχαν λειτουργήσει προηγουμένως με την εικόνα λογισμικού του ελεγκτή που χρησιμοποιήθηκε, σε ένα ασύρματο δίκτυο είναι μια αρκετά κοινή λειτουργία, ειδικά σε μεγάλα δίκτυα (αεροδρόμια, ξενοδοχεία, εργοστάσια). Αρκετά συχνά σε ανταγωνιστικές λύσεις, αυτή η λειτουργία απαιτεί ενημέρωση του λογισμικού συστήματος ή επανεκκίνηση των ελεγκτών.

Κατά τη σύνδεση νέων σημείων πρόσβασης Wi-Fi 6 σε ένα σύμπλεγμα ελεγκτών της σειράς Cisco Catalyst 9800, δεν παρατηρούνται τέτοια προβλήματα. Η σύνδεση νέων σημείων στον ελεγκτή πραγματοποιείται χωρίς ενημέρωση του λογισμικού του ελεγκτή και αυτή η διαδικασία δεν απαιτεί επανεκκίνηση, επομένως δεν επηρεάζει με κανέναν τρόπο το ασύρματο δίκτυο.

Αστοχία ελεγκτή

Το περιβάλλον δοκιμής χρησιμοποιεί δύο ελεγκτές Wi-Fi 6 (Active/StandBy) και το σημείο πρόσβασης έχει άμεση σύνδεση και με τους δύο ελεγκτές.

Ο ένας ασύρματος ελεγκτής είναι ενεργός και ο άλλος, αντίστοιχα, είναι εφεδρικός. Εάν ο ενεργός ελεγκτής αποτύχει, ο εφεδρικός ελεγκτής αναλαμβάνει και η κατάστασή του αλλάζει σε ενεργό. Αυτή η διαδικασία πραγματοποιείται χωρίς διακοπή για το σημείο πρόσβασης και το Wi-Fi για τους πελάτες.

Ασφάλεια

Αυτή η ενότητα εξετάζει πτυχές ασφάλειας, το οποίο είναι ένα εξαιρετικά πιεστικό ζήτημα στα ασύρματα δίκτυα. Η ασφάλεια της λύσης αξιολογείται με βάση τα ακόλουθα χαρακτηριστικά:

• Αναγνώριση εφαρμογών;
• Παρακολούθηση ροής;
• Ανάλυση κρυπτογραφημένης κίνησης.
• Ανίχνευση και πρόληψη εισβολών.
• Μέσα ελέγχου ταυτότητας.
• Εργαλεία προστασίας συσκευών πελάτη.

Αναγνώριση εφαρμογής

Μεταξύ της ποικιλίας προϊόντων στην επιχειρηματική και βιομηχανική αγορά Wi-Fi, υπάρχουν διαφορές στο πόσο καλά τα προϊόντα προσδιορίζουν την επισκεψιμότητα ανά εφαρμογή. Προϊόντα από διαφορετικούς κατασκευαστές ενδέχεται να προσδιορίζουν διαφορετικούς αριθμούς εφαρμογών. Ωστόσο, πολλές από τις εφαρμογές που οι ανταγωνιστικές λύσεις παραθέτουν ως πιθανές για αναγνώριση είναι, στην πραγματικότητα, ιστότοποι και όχι μοναδικές εφαρμογές.

Υπάρχει ένα άλλο ενδιαφέρον χαρακτηριστικό της αναγνώρισης εφαρμογών: οι λύσεις διαφέρουν πολύ ως προς την ακρίβεια αναγνώρισης.

Λαμβάνοντας υπόψη όλες τις δοκιμές που πραγματοποιήθηκαν, μπορούμε υπεύθυνα να δηλώσουμε ότι η λύση Wi-Fi-6 της Cisco εκτελεί την αναγνώριση εφαρμογών με μεγάλη ακρίβεια: Jabber, Netflix, Dropbox, YouTube και άλλες δημοφιλείς εφαρμογές, καθώς και υπηρεσίες web, εντοπίστηκαν με ακρίβεια. Οι λύσεις της Cisco μπορούν επίσης να βουτήξουν βαθύτερα σε πακέτα δεδομένων χρησιμοποιώντας DPI (Deep Packet Inspection).

Παρακολούθηση ροής κυκλοφορίας

Πραγματοποιήθηκε μια άλλη δοκιμή για να διαπιστωθεί εάν το σύστημα μπορούσε να παρακολουθεί και να αναφέρει με ακρίβεια τις ροές δεδομένων (όπως κινήσεις μεγάλων αρχείων). Για να το ελέγξετε αυτό, ένα αρχείο 6,5 megabyte στάλθηκε μέσω του δικτύου χρησιμοποιώντας το Πρωτόκολλο μεταφοράς αρχείων (FTP).

Η λύση της Cisco ανταποκρίθηκε πλήρως στην εργασία και ήταν σε θέση να παρακολουθεί αυτήν την κίνηση χάρη στο NetFlow και τις δυνατότητες υλικού του. Η κίνηση εντοπίστηκε και αναγνωρίστηκε αμέσως με τον ακριβή όγκο των δεδομένων που μεταφέρθηκαν.

Κρυπτογραφημένη ανάλυση κυκλοφορίας

Η κίνηση δεδομένων χρήστη κρυπτογραφείται όλο και περισσότερο. Αυτό γίνεται για να το προστατεύσουμε από την παρακολούθηση ή την αναχαίτιση από επιτιθέμενους. Ταυτόχρονα, όμως, οι χάκερ χρησιμοποιούν όλο και περισσότερο την κρυπτογράφηση για να κρύψουν το κακόβουλο λογισμικό τους και να πραγματοποιήσουν άλλες αμφίβολες λειτουργίες, όπως επιθέσεις Man-in-the-Middle (MiTM) ή keylogging.

Οι περισσότερες επιχειρήσεις επιθεωρούν μέρος της κρυπτογραφημένης κυκλοφορίας τους αποκρυπτογραφώντας την πρώτα χρησιμοποιώντας τείχη προστασίας ή συστήματα πρόληψης εισβολών. Αλλά αυτή η διαδικασία απαιτεί πολύ χρόνο και δεν ωφελεί την απόδοση του δικτύου στο σύνολό του. Επιπλέον, μόλις αποκρυπτογραφηθούν, αυτά τα δεδομένα γίνονται ευάλωτα στα αδιάκριτα βλέμματα.

Οι ελεγκτές Cisco Catalyst 9800 Series λύνουν με επιτυχία το πρόβλημα της ανάλυσης της κρυπτογραφημένης κίνησης με άλλα μέσα. Η λύση ονομάζεται Encrypted Traffic Analytics (ETA). Η ETA είναι μια τεχνολογία που επί του παρόντος δεν έχει ανάλογες ανταγωνιστικές λύσεις και η οποία εντοπίζει κακόβουλο λογισμικό σε κρυπτογραφημένη κίνηση χωρίς να χρειάζεται να το αποκρυπτογραφήσει. Το ETA είναι ένα βασικό χαρακτηριστικό του IOS-XE που περιλαμβάνει το Enhanced NetFlow και χρησιμοποιεί προηγμένους αλγόριθμους συμπεριφοράς για τον εντοπισμό κακόβουλων μοτίβων κυκλοφορίας που κρύβονται σε κρυπτογραφημένη κίνηση.

Το ETA δεν αποκρυπτογραφεί μηνύματα, αλλά συλλέγει προφίλ μεταδεδομένων κρυπτογραφημένων ροών κυκλοφορίας - μέγεθος πακέτου, χρονικά διαστήματα μεταξύ των πακέτων και πολλά άλλα. Στη συνέχεια, τα μεταδεδομένα εξάγονται σε εγγραφές NetFlow v9 στο Cisco Stealthwatch.

Η βασική λειτουργία του Stealthwatch είναι να παρακολουθεί συνεχώς την κυκλοφορία, καθώς και να δημιουργεί μια βασική γραμμή κανονικής δραστηριότητας δικτύου. Χρησιμοποιώντας κρυπτογραφημένα μεταδεδομένα ροής που του αποστέλλονται από το ETA, το Stealthwatch εφαρμόζει μηχανική εκμάθηση πολλαπλών επιπέδων για τον εντοπισμό συμπεριφορικών ανωμαλιών κυκλοφορίας που μπορεί να υποδηλώνουν ύποπτα συμβάντα.

Πέρυσι, η Cisco δέσμευσε τη Miercom να αξιολογήσει ανεξάρτητα τη λύση Cisco Encrypted Traffic Analytics. Κατά τη διάρκεια αυτής της αξιολόγησης, η Miercom έστειλε ξεχωριστά γνωστές και άγνωστες απειλές (ιούς, Trojans, ransomware) σε κρυπτογραφημένη και μη κρυπτογραφημένη κίνηση σε μεγάλα δίκτυα ETA και μη ETA για τον εντοπισμό απειλών.

Για δοκιμή, εκκινήθηκε κακόβουλος κώδικας και στα δύο δίκτυα. Και στις δύο περιπτώσεις, σταδιακά ανακαλύφθηκε ύποπτη δραστηριότητα. Το δίκτυο ETA αρχικά εντόπισε απειλές 36% γρηγορότερα από το δίκτυο χωρίς ETA. Ταυτόχρονα, καθώς προχωρούσαν οι εργασίες, άρχισε να αυξάνεται η παραγωγικότητα της ανίχνευσης στο δίκτυο ETA. Ως αποτέλεσμα, μετά από αρκετές ώρες εργασίας, τα δύο τρίτα των ενεργών απειλών εντοπίστηκαν επιτυχώς στο δίκτυο ETA, το οποίο είναι διπλάσιο από ό,τι στο δίκτυο εκτός ETA.

Η λειτουργία ETA είναι καλά ενσωματωμένη στο Stealthwatch. Οι απειλές ταξινομούνται με βάση τη σοβαρότητα και εμφανίζονται με λεπτομερείς πληροφορίες, καθώς και επιλογές αποκατάστασης μόλις επιβεβαιωθούν. Συμπέρασμα – Η ΕΤΑ λειτουργεί!

Ανίχνευση και πρόληψη εισβολών

Η Cisco έχει τώρα ένα άλλο αποτελεσματικό εργαλείο ασφαλείας - το Cisco Advanced Wireless Intrusion Prevention System (aWIPS): έναν μηχανισμό για τον εντοπισμό και την πρόληψη απειλών για ασύρματα δίκτυα. Η λύση aWIPS λειτουργεί σε επίπεδο ελεγκτών, σημείων πρόσβασης και λογισμικού διαχείρισης Cisco DNA Center. Η ανίχνευση, η ειδοποίηση και η πρόληψη απειλών συνδυάζουν ανάλυση κυκλοφορίας δικτύου, πληροφορίες τοπολογίας συσκευών και δικτύου, τεχνικές που βασίζονται σε υπογραφές και ανίχνευση ανωμαλιών για την παροχή εξαιρετικά ακριβών και αποτρέψιμων ασύρματων απειλών.

Ενσωματώνοντας πλήρως το aWIPS στην υποδομή του δικτύου σας, μπορείτε να παρακολουθείτε συνεχώς την ασύρματη κίνηση τόσο σε ενσύρματα όσο και σε ασύρματα δίκτυα και να το χρησιμοποιείτε για να αναλύετε αυτόματα πιθανές επιθέσεις από πολλές πηγές για να παρέχετε την πιο ολοκληρωμένη ανίχνευση και πρόληψη.

Έλεγχος ταυτότητας σημαίνει

Αυτή τη στιγμή, εκτός από τα κλασικά εργαλεία ελέγχου ταυτότητας, οι λύσεις της σειράς Cisco Catalyst 9800 υποστηρίζουν το WPA3. Το WPA3 είναι η πιο πρόσφατη έκδοση του WPA, η οποία είναι ένα σύνολο πρωτοκόλλων και τεχνολογιών που παρέχουν έλεγχο ταυτότητας και κρυπτογράφηση για δίκτυα Wi-Fi.

Το WPA3 χρησιμοποιεί ταυτόχρονο έλεγχο ταυτότητας ίσων (SAE) για να παρέχει την ισχυρότερη προστασία στους χρήστες από προσπάθειες εικασίας κωδικού πρόσβασης από τρίτα μέρη. Όταν ένας πελάτης συνδέεται σε ένα σημείο πρόσβασης, εκτελεί μια ανταλλαγή SAE. Εάν είναι επιτυχής, καθένα από αυτά θα δημιουργήσει ένα κρυπτογραφικά ισχυρό κλειδί από το οποίο θα προέρχεται το κλειδί συνεδρίας και, στη συνέχεια, θα εισέλθει στην κατάσταση επιβεβαίωσης. Ο πελάτης και το σημείο πρόσβασης μπορούν στη συνέχεια να εισάγουν καταστάσεις χειραψίας κάθε φορά που χρειάζεται να δημιουργηθεί ένα κλειδί συνεδρίας. Η μέθοδος χρησιμοποιεί εμπρός μυστικότητα, στην οποία ένας εισβολέας μπορεί να σπάσει ένα κλειδί, αλλά όχι όλα τα άλλα κλειδιά.

Δηλαδή, το SAE έχει σχεδιαστεί με τέτοιο τρόπο ώστε ένας εισβολέας που παρεμποδίζει την κυκλοφορία έχει μόνο μία προσπάθεια να μαντέψει τον κωδικό πρόσβασης πριν τα υποκλαπεί δεδομένα καταστούν άχρηστα. Για να οργανώσετε μια μακρά ανάκτηση κωδικού πρόσβασης, θα χρειαστείτε φυσική πρόσβαση στο σημείο πρόσβασης.

Προστασία συσκευής πελάτη

Οι ασύρματες λύσεις Cisco Catalyst 9800 Series παρέχουν επί του παρόντος την κύρια δυνατότητα προστασίας πελατών μέσω του Cisco Umbrella WLAN, μιας υπηρεσίας ασφάλειας δικτύου που βασίζεται σε σύννεφο που λειτουργεί σε επίπεδο DNS με αυτόματη ανίχνευση τόσο γνωστών όσο και αναδυόμενων απειλών.

Το Cisco Umbrella WLAN παρέχει στις συσκευές-πελάτες μια ασφαλή σύνδεση στο Διαδίκτυο. Αυτό επιτυγχάνεται μέσω του φιλτραρίσματος περιεχομένου, δηλαδή με τον αποκλεισμό της πρόσβασης σε πόρους στο Διαδίκτυο σύμφωνα με την εταιρική πολιτική. Έτσι, οι συσκευές-πελάτες στο Διαδίκτυο προστατεύονται από κακόβουλο λογισμικό, ransomware και phishing. Η επιβολή της πολιτικής βασίζεται σε 60 κατηγορίες περιεχομένου που ενημερώνονται συνεχώς.

Αυτοματοποίηση

Τα σημερινά ασύρματα δίκτυα είναι πολύ πιο ευέλικτα και πολύπλοκα, επομένως οι παραδοσιακές μέθοδοι διαμόρφωσης και ανάκτησης πληροφοριών από ασύρματους ελεγκτές δεν επαρκούν. Οι διαχειριστές δικτύων και οι επαγγελματίες ασφάλειας πληροφοριών απαιτούν εργαλεία για αυτοματισμό και ανάλυση, ωθώντας τους προμηθευτές ασύρματων δικτύων να προσφέρουν τέτοια εργαλεία.

Για την επίλυση αυτών των προβλημάτων, οι ασύρματοι ελεγκτές Cisco Catalyst 9800 series, μαζί με το παραδοσιακό API, παρέχουν υποστήριξη για το πρωτόκολλο διαμόρφωσης δικτύου RESTCONF / NETCONF με τη γλώσσα μοντελοποίησης δεδομένων YANG (Ακόμα άλλη επόμενη γενιά).

Το NETCONF είναι ένα πρωτόκολλο που βασίζεται σε XML το οποίο οι εφαρμογές μπορούν να χρησιμοποιήσουν για να αναζητήσουν πληροφορίες και να αλλάξουν τη διαμόρφωση των συσκευών δικτύου, όπως οι ασύρματοι ελεγκτές.

Εκτός από αυτές τις μεθόδους, οι ελεγκτές Cisco Catalyst 9800 Series παρέχουν τη δυνατότητα λήψης, ανάκτησης και ανάλυσης δεδομένων ροής πληροφοριών χρησιμοποιώντας τα πρωτόκολλα NetFlow και sFlow.

Για τη μοντελοποίηση της ασφάλειας και της κυκλοφορίας, η δυνατότητα παρακολούθησης συγκεκριμένων ροών είναι ένα πολύτιμο εργαλείο. Για να λυθεί αυτό το πρόβλημα, εφαρμόστηκε το πρωτόκολλο sFlow, το οποίο σας επιτρέπει να συλλάβετε δύο πακέτα από κάθε εκατό. Ωστόσο, μερικές φορές αυτό μπορεί να μην είναι αρκετό για την ανάλυση και την επαρκή μελέτη και αξιολόγηση της ροής. Επομένως, μια εναλλακτική λύση είναι το NetFlow, που υλοποιείται από τη Cisco, το οποίο σας επιτρέπει να συλλέγετε και να εξάγετε 100% όλα τα πακέτα σε μια καθορισμένη ροή για μεταγενέστερη ανάλυση.

Μια άλλη δυνατότητα, ωστόσο, διαθέσιμη μόνο στην υλοποίηση υλικού των ελεγκτών, η οποία σας επιτρέπει να αυτοματοποιήσετε τη λειτουργία του ασύρματου δικτύου στους ελεγκτές της σειράς Cisco Catalyst 9800, είναι η ενσωματωμένη υποστήριξη για τη γλώσσα Python ως πρόσθετο για χρήση δέσμες ενεργειών απευθείας στον ίδιο τον ασύρματο ελεγκτή.

Τέλος, οι ελεγκτές Cisco Catalyst 9800 Series υποστηρίζουν το δοκιμασμένο πρωτόκολλο SNMP έκδοσης 1, 2 και 3 για λειτουργίες παρακολούθησης και διαχείρισης.

Έτσι, όσον αφορά την αυτοματοποίηση, οι λύσεις Cisco Catalyst 9800 Series ανταποκρίνονται πλήρως στις σύγχρονες επιχειρηματικές απαιτήσεις, προσφέροντας νέα και μοναδικά, καθώς και δοκιμασμένα στο χρόνο εργαλεία για αυτοματοποιημένες λειτουργίες και ανάλυση σε ασύρματα δίκτυα οποιουδήποτε μεγέθους και πολυπλοκότητας.

Συμπέρασμα

Σε λύσεις που βασίζονται στους ελεγκτές Cisco Catalyst 9800 Series, η Cisco επέδειξε εξαιρετικά αποτελέσματα στις κατηγορίες υψηλής διαθεσιμότητας, ασφάλειας και αυτοματισμού.

Η λύση ανταποκρίνεται πλήρως σε όλες τις απαιτήσεις υψηλής διαθεσιμότητας, όπως δευτερεύουσα ανακατεύθυνση κατά τη διάρκεια μη προγραμματισμένων συμβάντων και μηδενικό χρόνο διακοπής λειτουργίας για προγραμματισμένα συμβάντα.

Οι ελεγκτές Cisco Catalyst 9800 Series παρέχουν ολοκληρωμένη ασφάλεια που παρέχει βαθιά επιθεώρηση πακέτων για αναγνώριση και έλεγχο εφαρμογών, πλήρη ορατότητα στις ροές δεδομένων και αναγνώριση απειλών που κρύβονται στην κρυπτογραφημένη κίνηση, καθώς και προηγμένους μηχανισμούς ελέγχου ταυτότητας και ασφάλειας για συσκευές-πελάτες.

Για αυτοματισμό και ανάλυση, η σειρά Cisco Catalyst 9800 προσφέρει ισχυρές δυνατότητες χρησιμοποιώντας δημοφιλή τυπικά μοντέλα: YANG, NETCONF, RESTCONF, παραδοσιακά API και ενσωματωμένα σενάρια Python.

Έτσι, η Cisco επιβεβαιώνει για άλλη μια φορά τη θέση της ως ο κορυφαίος κατασκευαστής λύσεων δικτύωσης στον κόσμο, συμβαδίζοντας με την εποχή και λαμβάνοντας υπόψη όλες τις προκλήσεις των σύγχρονων επιχειρήσεων.

Για περισσότερες πληροφορίες σχετικά με την οικογένεια διακοπτών Catalyst, επισκεφτείτε Σε απευθείας σύνδεση cisco.

Πηγή: www.habr.com

Το 2019, η εταιρεία συμβούλων Miercom πραγματοποίησε μια ανεξάρτητη τεχνολογική αξιολόγηση των ελεγκτών Wi-Fi 6 της σειράς Cisco Catalyst 9800. Για αυτήν τη μελέτη, συναρμολογήθηκε ένας πάγκος δοκιμών από ελεγκτές και σημεία πρόσβασης Cisco Wi-Fi 6 και η τεχνική λύση ήταν αξιολογούνται στις ακόλουθες κατηγορίες:

• Διαθεσιμότητα;
• Ασφάλεια.
• Αυτοματοποίηση.

Τα αποτελέσματα της μελέτης φαίνονται παρακάτω. Από το 2019, η λειτουργικότητα των ελεγκτών της σειράς Cisco Catalyst 9800 έχει βελτιωθεί σημαντικά - αυτά τα σημεία αντικατοπτρίζονται επίσης σε αυτό το άρθρο.

Μπορείτε να διαβάσετε για άλλα πλεονεκτήματα της τεχνολογίας Wi-Fi 6, παραδείγματα υλοποίησης και τομείς εφαρμογής εδώ.

Επισκόπηση λύσης

Ελεγκτές Wi-Fi 6 Cisco Catalyst 9800 series

Οι ασύρματοι ελεγκτές Cisco Catalyst 9800 Series, βασισμένοι στο λειτουργικό σύστημα IOS-XE (χρησιμοποιούνται επίσης για διακόπτες και δρομολογητές Cisco), είναι διαθέσιμοι σε μια ποικιλία επιλογών.

Το παλαιότερο μοντέλο του ελεγκτή 9800-80 υποστηρίζει παροχή ασύρματου δικτύου έως και 80 Gbps. Ένας ελεγκτής 9800-80 υποστηρίζει έως και 6000 σημεία πρόσβασης και έως 64 ασύρματους πελάτες.

Το μοντέλο μεσαίας εμβέλειας, ο ελεγκτής 9800-40, υποστηρίζει απόδοση έως και 40 Gbps, έως 2000 σημεία πρόσβασης και έως 32 ασύρματους πελάτες.

Εκτός από αυτά τα μοντέλα, η ανταγωνιστική ανάλυση περιελάμβανε επίσης τον ασύρματο ελεγκτή 9800-CL (CL σημαίνει Cloud). Το 9800-CL εκτελείται σε εικονικά περιβάλλοντα σε υπερεπόπτες VMWare ESXI και KVM και η απόδοσή του εξαρτάται από τους αποκλειστικούς πόρους υλικού για την εικονική μηχανή ελεγκτή. Στη μέγιστη διαμόρφωσή του, ο ελεγκτής Cisco 9800-CL, όπως και το παλαιότερο μοντέλο 9800-80, υποστηρίζει επεκτασιμότητα έως 6000 σημεία πρόσβασης και έως 64 ασύρματους πελάτες.

Κατά τη διεξαγωγή έρευνας με ελεγκτές, χρησιμοποιήθηκαν σημεία πρόσβασης της σειράς Cisco Aironet AP 4800, που υποστηρίζουν λειτουργία σε συχνότητες 2,4 και 5 GHz με δυνατότητα δυναμικής μετάβασης σε λειτουργία διπλής λειτουργίας 5 GHz.

Περίπτερο δοκιμής

Ως μέρος της δοκιμής, συναρμολογήθηκε μια βάση από δύο ασύρματους ελεγκτές Cisco Catalyst 9800-CL που λειτουργούν σε ένα σύμπλεγμα και σημεία πρόσβασης της σειράς Cisco Aironet AP 4800.

Φορητοί υπολογιστές από την Dell και την Apple, καθώς και ένα smartphone Apple iPhone, χρησιμοποιήθηκαν ως συσκευές-πελάτες.

Δοκιμή προσβασιμότητας

Η διαθεσιμότητα ορίζεται ως η ικανότητα των χρηστών να έχουν πρόσβαση και να χρησιμοποιούν ένα σύστημα ή υπηρεσία. Η υψηλή διαθεσιμότητα συνεπάγεται συνεχή πρόσβαση σε ένα σύστημα ή υπηρεσία, ανεξάρτητα από ορισμένα συμβάντα.

Η υψηλή διαθεσιμότητα δοκιμάστηκε σε τέσσερα σενάρια, με τα τρία πρώτα σενάρια να είναι προβλέψιμα ή προγραμματισμένα συμβάντα που θα μπορούσαν να συμβούν κατά τη διάρκεια ή μετά τις εργάσιμες ώρες. Το πέμπτο σενάριο είναι μια κλασική αποτυχία, η οποία είναι ένα απρόβλεπτο γεγονός.

Περιγραφή σεναρίων:

• Διόρθωση σφαλμάτων – μια μικρο-ενημέρωση του συστήματος (επιδιόρθωση σφαλμάτων ή ενημερωμένη έκδοση κώδικα ασφαλείας), η οποία σας επιτρέπει να διορθώσετε ένα συγκεκριμένο σφάλμα ή ευπάθεια χωρίς πλήρη ενημέρωση του λογισμικού του συστήματος.
• Λειτουργική ενημέρωση – προσθήκη ή επέκταση της τρέχουσας λειτουργικότητας του συστήματος με την εγκατάσταση λειτουργικών ενημερώσεων.
• Πλήρης ενημέρωση – ενημέρωση της εικόνας λογισμικού του ελεγκτή.
• Προσθήκη σημείου πρόσβασης – προσθήκη νέου μοντέλου σημείου πρόσβασης σε ασύρματο δίκτυο χωρίς την ανάγκη επαναδιαμόρφωσης ή ενημέρωσης του λογισμικού του ασύρματου ελεγκτή.
• Αποτυχία—αστοχία του ασύρματου ελεγκτή.

Διόρθωση σφαλμάτων και τρωτών σημείων

Συχνά, με πολλές ανταγωνιστικές λύσεις, η ενημέρωση κώδικα απαιτεί πλήρη ενημέρωση λογισμικού του συστήματος ασύρματου ελεγκτή, η οποία μπορεί να οδηγήσει σε απρογραμμάτιστο χρόνο διακοπής λειτουργίας. Στην περίπτωση της λύσης Cisco, η επιδιόρθωση πραγματοποιείται χωρίς διακοπή του προϊόντος. Οι ενημερώσεις κώδικα μπορούν να εγκατασταθούν σε οποιοδήποτε από τα στοιχεία, ενώ η ασύρματη υποδομή συνεχίζει να λειτουργεί.

Η ίδια η διαδικασία είναι αρκετά απλή. Το αρχείο ενημερωμένης έκδοσης κώδικα αντιγράφεται στο φάκελο bootstrap σε έναν από τους ασύρματους ελεγκτές Cisco και στη συνέχεια η λειτουργία επιβεβαιώνεται μέσω του GUI ή της γραμμής εντολών. Επιπλέον, μπορείτε επίσης να αναιρέσετε και να καταργήσετε την επιδιόρθωση μέσω του GUI ή της γραμμής εντολών, επίσης χωρίς να διακόψετε τη λειτουργία του συστήματος.

Λειτουργική ενημέρωση

Εφαρμόζονται λειτουργικές ενημερώσεις λογισμικού για την ενεργοποίηση νέων λειτουργιών. Μία από αυτές τις βελτιώσεις είναι η ενημέρωση της βάσης δεδομένων υπογραφών της εφαρμογής. Αυτό το πακέτο εγκαταστάθηκε σε ελεγκτές Cisco ως δοκιμαστικό. Όπως και με τις ενημερώσεις κώδικα, οι ενημερώσεις λειτουργιών εφαρμόζονται, εγκαθίστανται ή αφαιρούνται χωρίς διακοπές λειτουργίας ή διακοπή του συστήματος.

Πλήρης ενημέρωση

Αυτή τη στιγμή, μια πλήρης ενημέρωση της εικόνας λογισμικού του ελεγκτή πραγματοποιείται με τον ίδιο τρόπο όπως μια λειτουργική ενημέρωση, δηλαδή χωρίς χρόνο διακοπής λειτουργίας. Ωστόσο, αυτή η δυνατότητα είναι διαθέσιμη μόνο σε μια διαμόρφωση συμπλέγματος όταν υπάρχουν περισσότεροι από ένας ελεγκτές. Μια πλήρης ενημέρωση εκτελείται διαδοχικά: πρώτα σε έναν ελεγκτή και μετά στον δεύτερο.

Προσθήκη νέου μοντέλου σημείου πρόσβασης

Η σύνδεση νέων σημείων πρόσβασης, τα οποία δεν είχαν λειτουργήσει προηγουμένως με την εικόνα λογισμικού του ελεγκτή που χρησιμοποιήθηκε, σε ένα ασύρματο δίκτυο είναι μια αρκετά κοινή λειτουργία, ειδικά σε μεγάλα δίκτυα (αεροδρόμια, ξενοδοχεία, εργοστάσια). Αρκετά συχνά σε ανταγωνιστικές λύσεις, αυτή η λειτουργία απαιτεί ενημέρωση του λογισμικού συστήματος ή επανεκκίνηση των ελεγκτών.

Κατά τη σύνδεση νέων σημείων πρόσβασης Wi-Fi 6 σε ένα σύμπλεγμα ελεγκτών της σειράς Cisco Catalyst 9800, δεν παρατηρούνται τέτοια προβλήματα. Η σύνδεση νέων σημείων στον ελεγκτή πραγματοποιείται χωρίς ενημέρωση του λογισμικού του ελεγκτή και αυτή η διαδικασία δεν απαιτεί επανεκκίνηση, επομένως δεν επηρεάζει με κανέναν τρόπο το ασύρματο δίκτυο.

Αστοχία ελεγκτή

Το περιβάλλον δοκιμής χρησιμοποιεί δύο ελεγκτές Wi-Fi 6 (Active/StandBy) και το σημείο πρόσβασης έχει άμεση σύνδεση και με τους δύο ελεγκτές.

Ο ένας ασύρματος ελεγκτής είναι ενεργός και ο άλλος, αντίστοιχα, είναι εφεδρικός. Εάν ο ενεργός ελεγκτής αποτύχει, ο εφεδρικός ελεγκτής αναλαμβάνει και η κατάστασή του αλλάζει σε ενεργό. Αυτή η διαδικασία πραγματοποιείται χωρίς διακοπή για το σημείο πρόσβασης και το Wi-Fi για τους πελάτες.

Ασφάλεια

Αυτή η ενότητα εξετάζει πτυχές ασφάλειας, το οποίο είναι ένα εξαιρετικά πιεστικό ζήτημα στα ασύρματα δίκτυα. Η ασφάλεια της λύσης αξιολογείται με βάση τα ακόλουθα χαρακτηριστικά:

• Αναγνώριση εφαρμογών;
• Παρακολούθηση ροής;
• Ανάλυση κρυπτογραφημένης κίνησης.
• Ανίχνευση και πρόληψη εισβολών.
• Μέσα ελέγχου ταυτότητας.
• Εργαλεία προστασίας συσκευών πελάτη.

Αναγνώριση εφαρμογής

Μεταξύ της ποικιλίας προϊόντων στην επιχειρηματική και βιομηχανική αγορά Wi-Fi, υπάρχουν διαφορές στο πόσο καλά τα προϊόντα προσδιορίζουν την επισκεψιμότητα ανά εφαρμογή. Προϊόντα από διαφορετικούς κατασκευαστές ενδέχεται να προσδιορίζουν διαφορετικούς αριθμούς εφαρμογών. Ωστόσο, πολλές από τις εφαρμογές που οι ανταγωνιστικές λύσεις παραθέτουν ως πιθανές για αναγνώριση είναι, στην πραγματικότητα, ιστότοποι και όχι μοναδικές εφαρμογές.

Υπάρχει ένα άλλο ενδιαφέρον χαρακτηριστικό της αναγνώρισης εφαρμογών: οι λύσεις διαφέρουν πολύ ως προς την ακρίβεια αναγνώρισης.

Λαμβάνοντας υπόψη όλες τις δοκιμές που πραγματοποιήθηκαν, μπορούμε υπεύθυνα να δηλώσουμε ότι η λύση Wi-Fi-6 της Cisco εκτελεί την αναγνώριση εφαρμογών με μεγάλη ακρίβεια: Jabber, Netflix, Dropbox, YouTube και άλλες δημοφιλείς εφαρμογές, καθώς και υπηρεσίες web, εντοπίστηκαν με ακρίβεια. Οι λύσεις της Cisco μπορούν επίσης να βουτήξουν βαθύτερα σε πακέτα δεδομένων χρησιμοποιώντας DPI (Deep Packet Inspection).

Παρακολούθηση ροής κυκλοφορίας

Πραγματοποιήθηκε μια άλλη δοκιμή για να διαπιστωθεί εάν το σύστημα μπορούσε να παρακολουθεί και να αναφέρει με ακρίβεια τις ροές δεδομένων (όπως κινήσεις μεγάλων αρχείων). Για να το ελέγξετε αυτό, ένα αρχείο 6,5 megabyte στάλθηκε μέσω του δικτύου χρησιμοποιώντας το Πρωτόκολλο μεταφοράς αρχείων (FTP).

Η λύση της Cisco ανταποκρίθηκε πλήρως στην εργασία και ήταν σε θέση να παρακολουθεί αυτήν την κίνηση χάρη στο NetFlow και τις δυνατότητες υλικού του. Η κίνηση εντοπίστηκε και αναγνωρίστηκε αμέσως με τον ακριβή όγκο των δεδομένων που μεταφέρθηκαν.

Κρυπτογραφημένη ανάλυση κυκλοφορίας

Η κίνηση δεδομένων χρήστη κρυπτογραφείται όλο και περισσότερο. Αυτό γίνεται για να το προστατεύσουμε από την παρακολούθηση ή την αναχαίτιση από επιτιθέμενους. Ταυτόχρονα, όμως, οι χάκερ χρησιμοποιούν όλο και περισσότερο την κρυπτογράφηση για να κρύψουν το κακόβουλο λογισμικό τους και να πραγματοποιήσουν άλλες αμφίβολες λειτουργίες, όπως επιθέσεις Man-in-the-Middle (MiTM) ή keylogging.

Οι περισσότερες επιχειρήσεις επιθεωρούν μέρος της κρυπτογραφημένης κυκλοφορίας τους αποκρυπτογραφώντας την πρώτα χρησιμοποιώντας τείχη προστασίας ή συστήματα πρόληψης εισβολών. Αλλά αυτή η διαδικασία απαιτεί πολύ χρόνο και δεν ωφελεί την απόδοση του δικτύου στο σύνολό του. Επιπλέον, μόλις αποκρυπτογραφηθούν, αυτά τα δεδομένα γίνονται ευάλωτα στα αδιάκριτα βλέμματα.

Οι ελεγκτές Cisco Catalyst 9800 Series λύνουν με επιτυχία το πρόβλημα της ανάλυσης της κρυπτογραφημένης κίνησης με άλλα μέσα. Η λύση ονομάζεται Encrypted Traffic Analytics (ETA). Η ETA είναι μια τεχνολογία που επί του παρόντος δεν έχει ανάλογες ανταγωνιστικές λύσεις και η οποία εντοπίζει κακόβουλο λογισμικό σε κρυπτογραφημένη κίνηση χωρίς να χρειάζεται να το αποκρυπτογραφήσει. Το ETA είναι ένα βασικό χαρακτηριστικό του IOS-XE που περιλαμβάνει το Enhanced NetFlow και χρησιμοποιεί προηγμένους αλγόριθμους συμπεριφοράς για τον εντοπισμό κακόβουλων μοτίβων κυκλοφορίας που κρύβονται σε κρυπτογραφημένη κίνηση.

Το ETA δεν αποκρυπτογραφεί μηνύματα, αλλά συλλέγει προφίλ μεταδεδομένων κρυπτογραφημένων ροών κυκλοφορίας - μέγεθος πακέτου, χρονικά διαστήματα μεταξύ των πακέτων και πολλά άλλα. Στη συνέχεια, τα μεταδεδομένα εξάγονται σε εγγραφές NetFlow v9 στο Cisco Stealthwatch.

Η βασική λειτουργία του Stealthwatch είναι να παρακολουθεί συνεχώς την κυκλοφορία, καθώς και να δημιουργεί μια βασική γραμμή κανονικής δραστηριότητας δικτύου. Χρησιμοποιώντας κρυπτογραφημένα μεταδεδομένα ροής που του αποστέλλονται από το ETA, το Stealthwatch εφαρμόζει μηχανική εκμάθηση πολλαπλών επιπέδων για τον εντοπισμό συμπεριφορικών ανωμαλιών κυκλοφορίας που μπορεί να υποδηλώνουν ύποπτα συμβάντα.

Πέρυσι, η Cisco δέσμευσε τη Miercom να αξιολογήσει ανεξάρτητα τη λύση Cisco Encrypted Traffic Analytics. Κατά τη διάρκεια αυτής της αξιολόγησης, η Miercom έστειλε ξεχωριστά γνωστές και άγνωστες απειλές (ιούς, Trojans, ransomware) σε κρυπτογραφημένη και μη κρυπτογραφημένη κίνηση σε μεγάλα δίκτυα ETA και μη ETA για τον εντοπισμό απειλών.

Για δοκιμή, εκκινήθηκε κακόβουλος κώδικας και στα δύο δίκτυα. Και στις δύο περιπτώσεις, σταδιακά ανακαλύφθηκε ύποπτη δραστηριότητα. Το δίκτυο ETA αρχικά εντόπισε απειλές 36% γρηγορότερα από το δίκτυο χωρίς ETA. Ταυτόχρονα, καθώς προχωρούσαν οι εργασίες, άρχισε να αυξάνεται η παραγωγικότητα της ανίχνευσης στο δίκτυο ETA. Ως αποτέλεσμα, μετά από αρκετές ώρες εργασίας, τα δύο τρίτα των ενεργών απειλών εντοπίστηκαν επιτυχώς στο δίκτυο ETA, το οποίο είναι διπλάσιο από ό,τι στο δίκτυο εκτός ETA.

Η λειτουργία ETA είναι καλά ενσωματωμένη στο Stealthwatch. Οι απειλές ταξινομούνται με βάση τη σοβαρότητα και εμφανίζονται με λεπτομερείς πληροφορίες, καθώς και επιλογές αποκατάστασης μόλις επιβεβαιωθούν. Συμπέρασμα – Η ΕΤΑ λειτουργεί!

Ανίχνευση και πρόληψη εισβολών

Η Cisco έχει τώρα ένα άλλο αποτελεσματικό εργαλείο ασφαλείας - το Cisco Advanced Wireless Intrusion Prevention System (aWIPS): έναν μηχανισμό για τον εντοπισμό και την πρόληψη απειλών για ασύρματα δίκτυα. Η λύση aWIPS λειτουργεί σε επίπεδο ελεγκτών, σημείων πρόσβασης και λογισμικού διαχείρισης Cisco DNA Center. Η ανίχνευση, η ειδοποίηση και η πρόληψη απειλών συνδυάζουν ανάλυση κυκλοφορίας δικτύου, πληροφορίες τοπολογίας συσκευών και δικτύου, τεχνικές που βασίζονται σε υπογραφές και ανίχνευση ανωμαλιών για την παροχή εξαιρετικά ακριβών και αποτρέψιμων ασύρματων απειλών.

Ενσωματώνοντας πλήρως το aWIPS στην υποδομή του δικτύου σας, μπορείτε να παρακολουθείτε συνεχώς την ασύρματη κίνηση τόσο σε ενσύρματα όσο και σε ασύρματα δίκτυα και να το χρησιμοποιείτε για να αναλύετε αυτόματα πιθανές επιθέσεις από πολλές πηγές για να παρέχετε την πιο ολοκληρωμένη ανίχνευση και πρόληψη.

Έλεγχος ταυτότητας σημαίνει

Αυτή τη στιγμή, εκτός από τα κλασικά εργαλεία ελέγχου ταυτότητας, οι λύσεις της σειράς Cisco Catalyst 9800 υποστηρίζουν το WPA3. Το WPA3 είναι η πιο πρόσφατη έκδοση του WPA, η οποία είναι ένα σύνολο πρωτοκόλλων και τεχνολογιών που παρέχουν έλεγχο ταυτότητας και κρυπτογράφηση για δίκτυα Wi-Fi.

Το WPA3 χρησιμοποιεί ταυτόχρονο έλεγχο ταυτότητας ίσων (SAE) για να παρέχει την ισχυρότερη προστασία στους χρήστες από προσπάθειες εικασίας κωδικού πρόσβασης από τρίτα μέρη. Όταν ένας πελάτης συνδέεται σε ένα σημείο πρόσβασης, εκτελεί μια ανταλλαγή SAE. Εάν είναι επιτυχής, καθένα από αυτά θα δημιουργήσει ένα κρυπτογραφικά ισχυρό κλειδί από το οποίο θα προέρχεται το κλειδί συνεδρίας και, στη συνέχεια, θα εισέλθει στην κατάσταση επιβεβαίωσης. Ο πελάτης και το σημείο πρόσβασης μπορούν στη συνέχεια να εισάγουν καταστάσεις χειραψίας κάθε φορά που χρειάζεται να δημιουργηθεί ένα κλειδί συνεδρίας. Η μέθοδος χρησιμοποιεί εμπρός μυστικότητα, στην οποία ένας εισβολέας μπορεί να σπάσει ένα κλειδί, αλλά όχι όλα τα άλλα κλειδιά.

Δηλαδή, το SAE έχει σχεδιαστεί με τέτοιο τρόπο ώστε ένας εισβολέας που παρεμποδίζει την κυκλοφορία έχει μόνο μία προσπάθεια να μαντέψει τον κωδικό πρόσβασης πριν τα υποκλαπεί δεδομένα καταστούν άχρηστα. Για να οργανώσετε μια μακρά ανάκτηση κωδικού πρόσβασης, θα χρειαστείτε φυσική πρόσβαση στο σημείο πρόσβασης.

Προστασία συσκευής πελάτη

Οι ασύρματες λύσεις Cisco Catalyst 9800 Series παρέχουν επί του παρόντος την κύρια δυνατότητα προστασίας πελατών μέσω του Cisco Umbrella WLAN, μιας υπηρεσίας ασφάλειας δικτύου που βασίζεται σε σύννεφο που λειτουργεί σε επίπεδο DNS με αυτόματη ανίχνευση τόσο γνωστών όσο και αναδυόμενων απειλών.

Το Cisco Umbrella WLAN παρέχει στις συσκευές-πελάτες μια ασφαλή σύνδεση στο Διαδίκτυο. Αυτό επιτυγχάνεται μέσω του φιλτραρίσματος περιεχομένου, δηλαδή με τον αποκλεισμό της πρόσβασης σε πόρους στο Διαδίκτυο σύμφωνα με την εταιρική πολιτική. Έτσι, οι συσκευές-πελάτες στο Διαδίκτυο προστατεύονται από κακόβουλο λογισμικό, ransomware και phishing. Η επιβολή της πολιτικής βασίζεται σε 60 κατηγορίες περιεχομένου που ενημερώνονται συνεχώς.

Αυτοματοποίηση

Τα σημερινά ασύρματα δίκτυα είναι πολύ πιο ευέλικτα και πολύπλοκα, επομένως οι παραδοσιακές μέθοδοι διαμόρφωσης και ανάκτησης πληροφοριών από ασύρματους ελεγκτές δεν επαρκούν. Οι διαχειριστές δικτύων και οι επαγγελματίες ασφάλειας πληροφοριών απαιτούν εργαλεία για αυτοματισμό και ανάλυση, ωθώντας τους προμηθευτές ασύρματων δικτύων να προσφέρουν τέτοια εργαλεία.

Για την επίλυση αυτών των προβλημάτων, οι ασύρματοι ελεγκτές Cisco Catalyst 9800 series, μαζί με το παραδοσιακό API, παρέχουν υποστήριξη για το πρωτόκολλο διαμόρφωσης δικτύου RESTCONF / NETCONF με τη γλώσσα μοντελοποίησης δεδομένων YANG (Ακόμα άλλη επόμενη γενιά).

Το NETCONF είναι ένα πρωτόκολλο που βασίζεται σε XML το οποίο οι εφαρμογές μπορούν να χρησιμοποιήσουν για να αναζητήσουν πληροφορίες και να αλλάξουν τη διαμόρφωση των συσκευών δικτύου, όπως οι ασύρματοι ελεγκτές.

Εκτός από αυτές τις μεθόδους, οι ελεγκτές Cisco Catalyst 9800 Series παρέχουν τη δυνατότητα λήψης, ανάκτησης και ανάλυσης δεδομένων ροής πληροφοριών χρησιμοποιώντας τα πρωτόκολλα NetFlow και sFlow.

Για τη μοντελοποίηση της ασφάλειας και της κυκλοφορίας, η δυνατότητα παρακολούθησης συγκεκριμένων ροών είναι ένα πολύτιμο εργαλείο. Για να λυθεί αυτό το πρόβλημα, εφαρμόστηκε το πρωτόκολλο sFlow, το οποίο σας επιτρέπει να συλλάβετε δύο πακέτα από κάθε εκατό. Ωστόσο, μερικές φορές αυτό μπορεί να μην είναι αρκετό για την ανάλυση και την επαρκή μελέτη και αξιολόγηση της ροής. Επομένως, μια εναλλακτική λύση είναι το NetFlow, που υλοποιείται από τη Cisco, το οποίο σας επιτρέπει να συλλέγετε και να εξάγετε 100% όλα τα πακέτα σε μια καθορισμένη ροή για μεταγενέστερη ανάλυση.

Μια άλλη δυνατότητα, ωστόσο, διαθέσιμη μόνο στην υλοποίηση υλικού των ελεγκτών, η οποία σας επιτρέπει να αυτοματοποιήσετε τη λειτουργία του ασύρματου δικτύου στους ελεγκτές της σειράς Cisco Catalyst 9800, είναι η ενσωματωμένη υποστήριξη για τη γλώσσα Python ως πρόσθετο για χρήση δέσμες ενεργειών απευθείας στον ίδιο τον ασύρματο ελεγκτή.

Τέλος, οι ελεγκτές Cisco Catalyst 9800 Series υποστηρίζουν το δοκιμασμένο πρωτόκολλο SNMP έκδοσης 1, 2 και 3 για λειτουργίες παρακολούθησης και διαχείρισης.

Έτσι, όσον αφορά την αυτοματοποίηση, οι λύσεις Cisco Catalyst 9800 Series ανταποκρίνονται πλήρως στις σύγχρονες επιχειρηματικές απαιτήσεις, προσφέροντας νέα και μοναδικά, καθώς και δοκιμασμένα στο χρόνο εργαλεία για αυτοματοποιημένες λειτουργίες και ανάλυση σε ασύρματα δίκτυα οποιουδήποτε μεγέθους και πολυπλοκότητας.

Συμπέρασμα

Σε λύσεις που βασίζονται στους ελεγκτές Cisco Catalyst 9800 Series, η Cisco επέδειξε εξαιρετικά αποτελέσματα στις κατηγορίες υψηλής διαθεσιμότητας, ασφάλειας και αυτοματισμού.

Η λύση ανταποκρίνεται πλήρως σε όλες τις απαιτήσεις υψηλής διαθεσιμότητας, όπως δευτερεύουσα ανακατεύθυνση κατά τη διάρκεια μη προγραμματισμένων συμβάντων και μηδενικό χρόνο διακοπής λειτουργίας για προγραμματισμένα συμβάντα.

Οι ελεγκτές Cisco Catalyst 9800 Series παρέχουν ολοκληρωμένη ασφάλεια που παρέχει βαθιά επιθεώρηση πακέτων για αναγνώριση και έλεγχο εφαρμογών, πλήρη ορατότητα στις ροές δεδομένων και αναγνώριση απειλών που κρύβονται στην κρυπτογραφημένη κίνηση, καθώς και προηγμένους μηχανισμούς ελέγχου ταυτότητας και ασφάλειας για συσκευές-πελάτες.

Για αυτοματισμό και ανάλυση, η σειρά Cisco Catalyst 9800 προσφέρει ισχυρές δυνατότητες χρησιμοποιώντας δημοφιλή τυπικά μοντέλα: YANG, NETCONF, RESTCONF, παραδοσιακά API και ενσωματωμένα σενάρια Python.

Έτσι, η Cisco επιβεβαιώνει για άλλη μια φορά τη θέση της ως ο κορυφαίος κατασκευαστής λύσεων δικτύωσης στον κόσμο, συμβαδίζοντας με την εποχή και λαμβάνοντας υπόψη όλες τις προκλήσεις των σύγχρονων επιχειρήσεων.

Για περισσότερες πληροφορίες σχετικά με την οικογένεια διακοπτών Catalyst, επισκεφτείτε Σε απευθείας σύνδεση cisco.

Πηγή: www.habr.com