Si tienes un controlador, no hay problema: cómo mantener fácilmente tu red inalámbrica

En 2019, la consultora Miercom realizó una evaluación tecnológica independiente de los controladores Wi-Fi 6 de la serie Cisco Catalyst 9800. Para este estudio, se montó un banco de pruebas a partir de controladores y puntos de acceso Cisco Wi-Fi 6, y se elaboró ​​la solución técnica. evaluado en las siguientes categorías:

• Disponibilidad;
• Seguridad;
• Automatización.

Los resultados del estudio se muestran a continuación. Desde 2019, la funcionalidad de los controladores de la serie Cisco Catalyst 9800 se ha mejorado significativamente; estos puntos también se reflejan en este artículo.

Puede leer sobre otras ventajas de la tecnología Wi-Fi 6, ejemplos de implementación y áreas de aplicación. aquí.

Descripción general de la solución

Controladores Wi-Fi 6 Cisco Catalyst serie 9800

Los controladores inalámbricos Cisco Catalyst serie 9800, basados ​​en el sistema operativo IOS-XE (también utilizado para conmutadores y enrutadores Cisco), están disponibles en una variedad de opciones.

El modelo anterior del controlador 9800-80 admite un rendimiento de red inalámbrica de hasta 80 Gbps. Un controlador 9800-80 admite hasta 6000 puntos de acceso y hasta 64 000 clientes inalámbricos.

El modelo de gama media, el controlador 9800-40, admite un rendimiento de hasta 40 Gbps, hasta 2000 puntos de acceso y hasta 32 000 clientes inalámbricos.

Además de estos modelos, el análisis competitivo también incluyó el controlador inalámbrico 9800-CL (CL significa Nube). El 9800-CL se ejecuta en entornos virtuales en hipervisores VMWare ESXI y KVM, y su rendimiento depende de los recursos de hardware dedicados para la máquina virtual del controlador. En su configuración máxima, el controlador Cisco 9800-CL, al igual que el modelo anterior 9800-80, admite escalabilidad hasta 6000 puntos de acceso y hasta 64 000 clientes inalámbricos.

Al realizar la investigación con controladores, se utilizaron puntos de acceso de la serie Cisco Aironet AP 4800, que admiten el funcionamiento en frecuencias de 2,4 y 5 GHz con la capacidad de cambiar dinámicamente al modo dual de 5 GHz.

Banco de pruebas

Como parte de las pruebas, se montó un soporte a partir de dos controladores inalámbricos Cisco Catalyst 9800-CL que funcionan en un clúster y puntos de acceso de la serie Cisco Aironet AP 4800.

Como dispositivos cliente se utilizaron ordenadores portátiles de Dell y Apple, así como un teléfono inteligente iPhone de Apple.

Pruebas de accesibilidad

La disponibilidad se define como la capacidad de los usuarios para acceder y utilizar un sistema o servicio. La alta disponibilidad implica un acceso continuo a un sistema o servicio, independientemente de ciertos eventos.

La alta disponibilidad se probó en cuatro escenarios; los primeros tres escenarios eran eventos predecibles o programados que podrían ocurrir durante o después del horario comercial. El quinto escenario es un fracaso clásico, que es un acontecimiento impredecible.

Descripción de escenarios:

• Corrección de errores: una microactualización del sistema (corrección de errores o parche de seguridad), que le permite corregir un error o vulnerabilidad particular sin una actualización completa del software del sistema;
• Actualización funcional: agregar o ampliar la funcionalidad actual del sistema mediante la instalación de actualizaciones funcionales;
• Actualización completa: actualiza la imagen del software del controlador;
• Agregar un punto de acceso: agregar un nuevo modelo de punto de acceso a una red inalámbrica sin la necesidad de reconfigurar o actualizar el software del controlador inalámbrico;
• Fallo: fallo del controlador inalámbrico.

Corrección de errores y vulnerabilidades

A menudo, con muchas soluciones de la competencia, la aplicación de parches requiere una actualización completa del software del sistema de controlador inalámbrico, lo que puede provocar un tiempo de inactividad no planificado. En el caso de la solución de Cisco, la aplicación de parches se realiza sin detener el producto. Se pueden instalar parches en cualquiera de los componentes mientras la infraestructura inalámbrica continúa funcionando.

El procedimiento en sí es bastante sencillo. El archivo de parche se copia en la carpeta de arranque de uno de los controladores inalámbricos de Cisco y luego se confirma la operación mediante la GUI o la línea de comando. Además, también puede deshacer y eliminar la corrección a través de la GUI o la línea de comando, también sin interrumpir el funcionamiento del sistema.

Actualización funcional

Se aplican actualizaciones de software funcional para habilitar nuevas funciones. Una de estas mejoras es la actualización de la base de datos de firmas de la aplicación. Este paquete se instaló en los controladores Cisco como prueba. Al igual que con los parches, las actualizaciones de funciones se aplican, instalan o eliminan sin ningún tiempo de inactividad ni interrupción del sistema.

Actualización completa

Por el momento, una actualización completa de la imagen del software del controlador se realiza de la misma forma que una actualización funcional, es decir, sin tiempo de inactividad. Sin embargo, esta característica solo está disponible en una configuración de clúster cuando hay más de un controlador. Se realiza una actualización completa de forma secuencial: primero en un controlador, luego en el segundo.

Agregar un nuevo modelo de punto de acceso

Conectar nuevos puntos de acceso, que hasta ahora no han sido operados con la imagen del software del controlador utilizado, a una red inalámbrica es una operación bastante común, especialmente en redes grandes (aeropuertos, hoteles, fábricas). Muy a menudo, en las soluciones de la competencia, esta operación requiere actualizar el software del sistema o reiniciar los controladores.

Al conectar nuevos puntos de acceso Wi-Fi 6 a un grupo de controladores de la serie Cisco Catalyst 9800, no se observan tales problemas. La conexión de nuevos puntos al controlador se realiza sin actualizar el software del controlador, y este proceso no requiere reinicio, por lo que no afecta de ninguna manera la red inalámbrica.

Fallo del controlador

El entorno de prueba utiliza dos controladores Wi-Fi 6 (Activo/En espera) y el punto de acceso tiene una conexión directa a ambos controladores.

Un controlador inalámbrico está activo y el otro, respectivamente, está de respaldo. Si el controlador activo falla, el controlador de respaldo toma el control y su estado cambia a activo. Este trámite se realiza de forma ininterrumpida para el punto de acceso y Wi-Fi de los clientes.

seguridad

Esta sección analiza aspectos de seguridad, que es un tema extremadamente urgente en las redes inalámbricas. La seguridad de la solución se evalúa en función de las siguientes características:

• Reconocimiento de solicitudes;
• Seguimiento de flujo;
• Análisis de tráfico cifrado;
• Detección y prevención de intrusiones;
• Medios de autenticación;
• Herramientas de protección de dispositivos cliente.

Reconocimiento de aplicaciones

Entre la variedad de productos en el mercado de Wi-Fi empresarial e industrial, existen diferencias en qué tan bien los productos identifican el tráfico por aplicación. Los productos de diferentes fabricantes pueden identificar diferentes números de aplicaciones. Sin embargo, muchas de las aplicaciones que las soluciones competitivas enumeran como posibles de identificación son, de hecho, sitios web y no aplicaciones únicas.

Hay otra característica interesante del reconocimiento de aplicaciones: las soluciones varían mucho en cuanto a la precisión de la identificación.

Teniendo en cuenta todas las pruebas realizadas, podemos afirmar con responsabilidad que la solución Wi-Fi-6 de Cisco realiza el reconocimiento de aplicaciones con mucha precisión: se identificaron con precisión Jabber, Netflix, Dropbox, YouTube y otras aplicaciones populares, así como servicios web. Las soluciones de Cisco también pueden profundizar en los paquetes de datos utilizando DPI (Inspección profunda de paquetes).

Seguimiento del flujo de tráfico

Se realizó otra prueba para ver si el sistema podía rastrear e informar con precisión los flujos de datos (como movimientos de archivos grandes). Para probar esto, se envió un archivo de 6,5 megabytes a través de la red mediante el Protocolo de transferencia de archivos (FTP).

La solución de Cisco estuvo totalmente a la altura de la tarea y pudo rastrear este tráfico gracias a NetFlow y sus capacidades de hardware. El tráfico fue detectado e identificado inmediatamente con la cantidad exacta de datos transferidos.

Análisis de tráfico cifrado

El tráfico de datos de los usuarios está cada vez más cifrado. Esto se hace para protegerlo de ser rastreado o interceptado por atacantes. Pero al mismo tiempo, los piratas informáticos utilizan cada vez más el cifrado para ocultar su malware y llevar a cabo otras operaciones dudosas como Man-in-the-Middle (MiTM) o ataques de registro de teclas.

La mayoría de las empresas inspeccionan parte de su tráfico cifrado descifrándolo primero mediante firewalls o sistemas de prevención de intrusiones. Pero este proceso lleva mucho tiempo y no beneficia el rendimiento de la red en su conjunto. Además, una vez descifrados, estos datos se vuelven vulnerables a miradas indiscretas.

Los controladores Cisco Catalyst serie 9800 resuelven con éxito el problema de analizar el tráfico cifrado por otros medios. La solución se llama Análisis de tráfico cifrado (ETA). ETA es una tecnología que actualmente no tiene análogos en las soluciones de la competencia y que detecta malware en el tráfico cifrado sin necesidad de descifrarlo. ETA es una característica central de IOS-XE que incluye NetFlow mejorado y utiliza algoritmos de comportamiento avanzados para identificar patrones de tráfico maliciosos que se esconden en el tráfico cifrado.

ETA no descifra mensajes, pero recopila perfiles de metadatos de flujos de tráfico cifrados: tamaño de paquete, intervalos de tiempo entre paquetes y mucho más. Luego, los metadatos se exportan en registros de NetFlow v9 a Cisco Stealthwatch.

La función clave de Stealthwatch es monitorear constantemente el tráfico, así como también crear una línea de base de la actividad normal de la red. Utilizando metadatos de flujo cifrados que le envía ETA, Stealthwatch aplica aprendizaje automático de múltiples capas para identificar anomalías de comportamiento del tráfico que pueden indicar eventos sospechosos.

El año pasado, Cisco contrató a Miercom para evaluar de forma independiente su solución Cisco Encrypted Traffic Analytics. Durante esta evaluación, Miercom envió por separado amenazas conocidas y desconocidas (virus, troyanos, ransomware) en tráfico cifrado y no cifrado a través de grandes redes ETA y no ETA para identificar amenazas.

Para realizar las pruebas, se lanzó código malicioso en ambas redes. En ambos casos, se fue descubriendo gradualmente actividad sospechosa. La red ETA detectó inicialmente amenazas un 36% más rápido que la red que no era ETA. Al mismo tiempo, a medida que avanzaban los trabajos, la productividad de la detección en la red de ETA empezó a aumentar. Como resultado, después de varias horas de trabajo, dos tercios de las amenazas activas fueron detectadas con éxito en la red ETA, el doble que en la red no ETA.

La funcionalidad ETA está bien integrada con Stealthwatch. Las amenazas se clasifican por gravedad y se muestran con información detallada, así como opciones de solución una vez confirmadas. Conclusión: ¡ETA funciona!

Detección y prevención de intrusiones

Cisco ahora tiene otra herramienta de seguridad eficaz: el Sistema avanzado de prevención de intrusiones inalámbricas de Cisco (aWIPS): un mecanismo para detectar y prevenir amenazas a las redes inalámbricas. La solución aWIPS opera a nivel de controladores, puntos de acceso y software de gestión Cisco DNA Center. La detección, alerta y prevención de amenazas combina análisis de tráfico de red, información de topología de red y dispositivos de red, técnicas basadas en firmas y detección de anomalías para ofrecer amenazas inalámbricas altamente precisas y prevenibles.

Al integrar completamente aWIPS en su infraestructura de red, puede monitorear continuamente el tráfico inalámbrico en redes cableadas e inalámbricas y usarlo para analizar automáticamente ataques potenciales de múltiples fuentes para brindar la detección y prevención más completas posibles.

Medios de autenticación

Por el momento, además de las herramientas de autenticación clásicas, las soluciones de la serie Cisco Catalyst 9800 admiten WPA3. WPA3 es la última versión de WPA, que es un conjunto de protocolos y tecnologías que brindan autenticación y cifrado para redes Wi-Fi.

WPA3 utiliza autenticación simultánea de iguales (SAE) para proporcionar la protección más sólida a los usuarios contra intentos de adivinación de contraseñas por parte de terceros. Cuando un cliente se conecta a un punto de acceso, realiza un intercambio SAE. Si tiene éxito, cada uno de ellos creará una clave criptográficamente segura de la cual se derivará la clave de sesión y luego ingresará al estado de confirmación. Luego, el cliente y el punto de acceso pueden ingresar estados de protocolo de enlace cada vez que sea necesario generar una clave de sesión. El método utiliza secreto directo, en el que un atacante puede descifrar una clave, pero no todas las demás.

Es decir, SAE está diseñado de tal manera que un atacante que intercepta el tráfico sólo tiene un intento de adivinar la contraseña antes de que los datos interceptados se vuelvan inútiles. Para organizar una recuperación prolongada de la contraseña, necesitará acceso físico al punto de acceso.

Protección del dispositivo cliente

Las soluciones inalámbricas Cisco Catalyst serie 9800 actualmente brindan la característica principal de protección al cliente a través de Cisco Umbrella WLAN, un servicio de seguridad de red basado en la nube que opera a nivel DNS con detección automática de amenazas conocidas y emergentes.

Cisco Umbrella WLAN proporciona a los dispositivos cliente una conexión segura a Internet. Esto se logra mediante el filtrado de contenido, es decir, bloqueando el acceso a los recursos en Internet de acuerdo con la política empresarial. De este modo, los dispositivos de los clientes en Internet están protegidos contra malware, ransomware y phishing. La aplicación de políticas se basa en 60 categorías de contenido que se actualizan continuamente.

Automatización

Las redes inalámbricas actuales son mucho más flexibles y complejas, por lo que los métodos tradicionales de configuración y recuperación de información de los controladores inalámbricos no son suficientes. Los administradores de redes y los profesionales de la seguridad de la información necesitan herramientas de automatización y análisis, lo que lleva a los proveedores de servicios inalámbricos a ofrecer dichas herramientas.

Para resolver estos problemas, los controladores inalámbricos Cisco Catalyst serie 9800, junto con la API tradicional, brindan soporte para el protocolo de configuración de red RESTCONF / NETCONF con el lenguaje de modelado de datos YANG (Yet Another Next Generation).

NETCONF es un protocolo basado en XML que las aplicaciones pueden utilizar para consultar información y cambiar la configuración de dispositivos de red, como controladores inalámbricos.

Además de estos métodos, los controladores Cisco Catalyst serie 9800 brindan la capacidad de capturar, recuperar y analizar datos de flujo de información utilizando los protocolos NetFlow y sFlow.

Para el modelado de tráfico y seguridad, la capacidad de rastrear flujos específicos es una herramienta valiosa. Para solucionar este problema se implementó el protocolo sFlow, que permite capturar dos paquetes de cada cien. Sin embargo, en ocasiones esto puede no ser suficiente para analizar y estudiar y evaluar adecuadamente el flujo. Por tanto, una alternativa es NetFlow, implementado por Cisco, que permite recopilar y exportar al 100% todos los paquetes en un flujo específico para su posterior análisis.

Sin embargo, otra característica, disponible solo en la implementación de hardware de los controladores, que permite automatizar el funcionamiento de la red inalámbrica en los controladores de la serie Cisco Catalyst 9800, es la compatibilidad integrada con el lenguaje Python como complemento para el uso. scripts directamente en el controlador inalámbrico.

Finalmente, los controladores Cisco Catalyst serie 9800 admiten el protocolo probado SNMP versión 1, 2 y 3 para operaciones de monitoreo y administración.

Por lo tanto, en términos de automatización, las soluciones Cisco Catalyst serie 9800 satisfacen completamente los requisitos comerciales modernos, ofreciendo herramientas nuevas y únicas, así como probadas en el tiempo, para operaciones y análisis automatizados en redes inalámbricas de cualquier tamaño y complejidad.

Conclusión

En soluciones basadas en los controladores Cisco Catalyst serie 9800, Cisco demostró excelentes resultados en las categorías de alta disponibilidad, seguridad y automatización.

La solución cumple plenamente con todos los requisitos de alta disponibilidad, como la conmutación por error en menos de un segundo durante eventos no planificados y cero tiempo de inactividad para eventos programados.

Los controladores Cisco Catalyst serie 9800 brindan seguridad integral que proporciona una inspección profunda de paquetes para el reconocimiento y control de aplicaciones, visibilidad completa de los flujos de datos e identificación de amenazas ocultas en el tráfico cifrado, así como mecanismos avanzados de autenticación y seguridad para dispositivos cliente.

Para automatización y análisis, Cisco Catalyst serie 9800 ofrece potentes capacidades utilizando modelos estándar populares: YANG, NETCONF, RESTCONF, API tradicionales y scripts Python integrados.

De esta manera, Cisco confirma una vez más su condición de fabricante líder mundial de soluciones de redes, manteniéndose al día y teniendo en cuenta todos los desafíos de los negocios modernos.

Para obtener más información sobre la familia de conmutadores Catalyst, visite sitio web Cisco

Fuente: habr.com

En 2019, la consultora Miercom realizó una evaluación tecnológica independiente de los controladores Wi-Fi 6 de la serie Cisco Catalyst 9800. Para este estudio, se montó un banco de pruebas a partir de controladores y puntos de acceso Cisco Wi-Fi 6, y se elaboró ​​la solución técnica. evaluado en las siguientes categorías:

• Disponibilidad;
• Seguridad;
• Automatización.

Los resultados del estudio se muestran a continuación. Desde 2019, la funcionalidad de los controladores de la serie Cisco Catalyst 9800 se ha mejorado significativamente; estos puntos también se reflejan en este artículo.

Puede leer sobre otras ventajas de la tecnología Wi-Fi 6, ejemplos de implementación y áreas de aplicación. aquí.

Descripción general de la solución

Controladores Wi-Fi 6 Cisco Catalyst serie 9800

Los controladores inalámbricos Cisco Catalyst serie 9800, basados ​​en el sistema operativo IOS-XE (también utilizado para conmutadores y enrutadores Cisco), están disponibles en una variedad de opciones.

El modelo anterior del controlador 9800-80 admite un rendimiento de red inalámbrica de hasta 80 Gbps. Un controlador 9800-80 admite hasta 6000 puntos de acceso y hasta 64 000 clientes inalámbricos.

El modelo de gama media, el controlador 9800-40, admite un rendimiento de hasta 40 Gbps, hasta 2000 puntos de acceso y hasta 32 000 clientes inalámbricos.

Además de estos modelos, el análisis competitivo también incluyó el controlador inalámbrico 9800-CL (CL significa Nube). El 9800-CL se ejecuta en entornos virtuales en hipervisores VMWare ESXI y KVM, y su rendimiento depende de los recursos de hardware dedicados para la máquina virtual del controlador. En su configuración máxima, el controlador Cisco 9800-CL, al igual que el modelo anterior 9800-80, admite escalabilidad hasta 6000 puntos de acceso y hasta 64 000 clientes inalámbricos.

Al realizar la investigación con controladores, se utilizaron puntos de acceso de la serie Cisco Aironet AP 4800, que admiten el funcionamiento en frecuencias de 2,4 y 5 GHz con la capacidad de cambiar dinámicamente al modo dual de 5 GHz.

Banco de pruebas

Como parte de las pruebas, se montó un soporte a partir de dos controladores inalámbricos Cisco Catalyst 9800-CL que funcionan en un clúster y puntos de acceso de la serie Cisco Aironet AP 4800.

Como dispositivos cliente se utilizaron ordenadores portátiles de Dell y Apple, así como un teléfono inteligente iPhone de Apple.

Pruebas de accesibilidad

La disponibilidad se define como la capacidad de los usuarios para acceder y utilizar un sistema o servicio. La alta disponibilidad implica un acceso continuo a un sistema o servicio, independientemente de ciertos eventos.

La alta disponibilidad se probó en cuatro escenarios; los primeros tres escenarios eran eventos predecibles o programados que podrían ocurrir durante o después del horario comercial. El quinto escenario es un fracaso clásico, que es un acontecimiento impredecible.

Descripción de escenarios:

• Corrección de errores: una microactualización del sistema (corrección de errores o parche de seguridad), que le permite corregir un error o vulnerabilidad particular sin una actualización completa del software del sistema;
• Actualización funcional: agregar o ampliar la funcionalidad actual del sistema mediante la instalación de actualizaciones funcionales;
• Actualización completa: actualiza la imagen del software del controlador;
• Agregar un punto de acceso: agregar un nuevo modelo de punto de acceso a una red inalámbrica sin la necesidad de reconfigurar o actualizar el software del controlador inalámbrico;
• Fallo: fallo del controlador inalámbrico.

Corrección de errores y vulnerabilidades

A menudo, con muchas soluciones de la competencia, la aplicación de parches requiere una actualización completa del software del sistema de controlador inalámbrico, lo que puede provocar un tiempo de inactividad no planificado. En el caso de la solución de Cisco, la aplicación de parches se realiza sin detener el producto. Se pueden instalar parches en cualquiera de los componentes mientras la infraestructura inalámbrica continúa funcionando.

El procedimiento en sí es bastante sencillo. El archivo de parche se copia en la carpeta de arranque de uno de los controladores inalámbricos de Cisco y luego se confirma la operación mediante la GUI o la línea de comando. Además, también puede deshacer y eliminar la corrección a través de la GUI o la línea de comando, también sin interrumpir el funcionamiento del sistema.

Actualización funcional

Se aplican actualizaciones de software funcional para habilitar nuevas funciones. Una de estas mejoras es la actualización de la base de datos de firmas de la aplicación. Este paquete se instaló en los controladores Cisco como prueba. Al igual que con los parches, las actualizaciones de funciones se aplican, instalan o eliminan sin ningún tiempo de inactividad ni interrupción del sistema.

Actualización completa

Por el momento, una actualización completa de la imagen del software del controlador se realiza de la misma forma que una actualización funcional, es decir, sin tiempo de inactividad. Sin embargo, esta característica solo está disponible en una configuración de clúster cuando hay más de un controlador. Se realiza una actualización completa de forma secuencial: primero en un controlador, luego en el segundo.

Agregar un nuevo modelo de punto de acceso

Conectar nuevos puntos de acceso, que hasta ahora no han sido operados con la imagen del software del controlador utilizado, a una red inalámbrica es una operación bastante común, especialmente en redes grandes (aeropuertos, hoteles, fábricas). Muy a menudo, en las soluciones de la competencia, esta operación requiere actualizar el software del sistema o reiniciar los controladores.

Al conectar nuevos puntos de acceso Wi-Fi 6 a un grupo de controladores de la serie Cisco Catalyst 9800, no se observan tales problemas. La conexión de nuevos puntos al controlador se realiza sin actualizar el software del controlador, y este proceso no requiere reinicio, por lo que no afecta de ninguna manera la red inalámbrica.

Fallo del controlador

El entorno de prueba utiliza dos controladores Wi-Fi 6 (Activo/En espera) y el punto de acceso tiene una conexión directa a ambos controladores.

Un controlador inalámbrico está activo y el otro, respectivamente, está de respaldo. Si el controlador activo falla, el controlador de respaldo toma el control y su estado cambia a activo. Este trámite se realiza de forma ininterrumpida para el punto de acceso y Wi-Fi de los clientes.

seguridad

Esta sección analiza aspectos de seguridad, que es un tema extremadamente urgente en las redes inalámbricas. La seguridad de la solución se evalúa en función de las siguientes características:

• Reconocimiento de solicitudes;
• Seguimiento de flujo;
• Análisis de tráfico cifrado;
• Detección y prevención de intrusiones;
• Medios de autenticación;
• Herramientas de protección de dispositivos cliente.

Reconocimiento de aplicaciones

Entre la variedad de productos en el mercado de Wi-Fi empresarial e industrial, existen diferencias en qué tan bien los productos identifican el tráfico por aplicación. Los productos de diferentes fabricantes pueden identificar diferentes números de aplicaciones. Sin embargo, muchas de las aplicaciones que las soluciones competitivas enumeran como posibles de identificación son, de hecho, sitios web y no aplicaciones únicas.

Hay otra característica interesante del reconocimiento de aplicaciones: las soluciones varían mucho en cuanto a la precisión de la identificación.

Teniendo en cuenta todas las pruebas realizadas, podemos afirmar con responsabilidad que la solución Wi-Fi-6 de Cisco realiza el reconocimiento de aplicaciones con mucha precisión: se identificaron con precisión Jabber, Netflix, Dropbox, YouTube y otras aplicaciones populares, así como servicios web. Las soluciones de Cisco también pueden profundizar en los paquetes de datos utilizando DPI (Inspección profunda de paquetes).

Seguimiento del flujo de tráfico

Se realizó otra prueba para ver si el sistema podía rastrear e informar con precisión los flujos de datos (como movimientos de archivos grandes). Para probar esto, se envió un archivo de 6,5 megabytes a través de la red mediante el Protocolo de transferencia de archivos (FTP).

La solución de Cisco estuvo totalmente a la altura de la tarea y pudo rastrear este tráfico gracias a NetFlow y sus capacidades de hardware. El tráfico fue detectado e identificado inmediatamente con la cantidad exacta de datos transferidos.

Análisis de tráfico cifrado

El tráfico de datos de los usuarios está cada vez más cifrado. Esto se hace para protegerlo de ser rastreado o interceptado por atacantes. Pero al mismo tiempo, los piratas informáticos utilizan cada vez más el cifrado para ocultar su malware y llevar a cabo otras operaciones dudosas como Man-in-the-Middle (MiTM) o ataques de registro de teclas.

La mayoría de las empresas inspeccionan parte de su tráfico cifrado descifrándolo primero mediante firewalls o sistemas de prevención de intrusiones. Pero este proceso lleva mucho tiempo y no beneficia el rendimiento de la red en su conjunto. Además, una vez descifrados, estos datos se vuelven vulnerables a miradas indiscretas.

Los controladores Cisco Catalyst serie 9800 resuelven con éxito el problema de analizar el tráfico cifrado por otros medios. La solución se llama Análisis de tráfico cifrado (ETA). ETA es una tecnología que actualmente no tiene análogos en las soluciones de la competencia y que detecta malware en el tráfico cifrado sin necesidad de descifrarlo. ETA es una característica central de IOS-XE que incluye NetFlow mejorado y utiliza algoritmos de comportamiento avanzados para identificar patrones de tráfico maliciosos que se esconden en el tráfico cifrado.

ETA no descifra mensajes, pero recopila perfiles de metadatos de flujos de tráfico cifrados: tamaño de paquete, intervalos de tiempo entre paquetes y mucho más. Luego, los metadatos se exportan en registros de NetFlow v9 a Cisco Stealthwatch.

La función clave de Stealthwatch es monitorear constantemente el tráfico, así como también crear una línea de base de la actividad normal de la red. Utilizando metadatos de flujo cifrados que le envía ETA, Stealthwatch aplica aprendizaje automático de múltiples capas para identificar anomalías de comportamiento del tráfico que pueden indicar eventos sospechosos.

El año pasado, Cisco contrató a Miercom para evaluar de forma independiente su solución Cisco Encrypted Traffic Analytics. Durante esta evaluación, Miercom envió por separado amenazas conocidas y desconocidas (virus, troyanos, ransomware) en tráfico cifrado y no cifrado a través de grandes redes ETA y no ETA para identificar amenazas.

Para realizar las pruebas, se lanzó código malicioso en ambas redes. En ambos casos, se fue descubriendo gradualmente actividad sospechosa. La red ETA detectó inicialmente amenazas un 36% más rápido que la red que no era ETA. Al mismo tiempo, a medida que avanzaban los trabajos, la productividad de la detección en la red de ETA empezó a aumentar. Como resultado, después de varias horas de trabajo, dos tercios de las amenazas activas fueron detectadas con éxito en la red ETA, el doble que en la red no ETA.

La funcionalidad ETA está bien integrada con Stealthwatch. Las amenazas se clasifican por gravedad y se muestran con información detallada, así como opciones de solución una vez confirmadas. Conclusión: ¡ETA funciona!

Detección y prevención de intrusiones

Cisco ahora tiene otra herramienta de seguridad eficaz: el Sistema avanzado de prevención de intrusiones inalámbricas de Cisco (aWIPS): un mecanismo para detectar y prevenir amenazas a las redes inalámbricas. La solución aWIPS opera a nivel de controladores, puntos de acceso y software de gestión Cisco DNA Center. La detección, alerta y prevención de amenazas combina análisis de tráfico de red, información de topología de red y dispositivos de red, técnicas basadas en firmas y detección de anomalías para ofrecer amenazas inalámbricas altamente precisas y prevenibles.

Al integrar completamente aWIPS en su infraestructura de red, puede monitorear continuamente el tráfico inalámbrico en redes cableadas e inalámbricas y usarlo para analizar automáticamente ataques potenciales de múltiples fuentes para brindar la detección y prevención más completas posibles.

Medios de autenticación

Por el momento, además de las herramientas de autenticación clásicas, las soluciones de la serie Cisco Catalyst 9800 admiten WPA3. WPA3 es la última versión de WPA, que es un conjunto de protocolos y tecnologías que brindan autenticación y cifrado para redes Wi-Fi.

WPA3 utiliza autenticación simultánea de iguales (SAE) para proporcionar la protección más sólida a los usuarios contra intentos de adivinación de contraseñas por parte de terceros. Cuando un cliente se conecta a un punto de acceso, realiza un intercambio SAE. Si tiene éxito, cada uno de ellos creará una clave criptográficamente segura de la cual se derivará la clave de sesión y luego ingresará al estado de confirmación. Luego, el cliente y el punto de acceso pueden ingresar estados de protocolo de enlace cada vez que sea necesario generar una clave de sesión. El método utiliza secreto directo, en el que un atacante puede descifrar una clave, pero no todas las demás.

Es decir, SAE está diseñado de tal manera que un atacante que intercepta el tráfico sólo tiene un intento de adivinar la contraseña antes de que los datos interceptados se vuelvan inútiles. Para organizar una recuperación prolongada de la contraseña, necesitará acceso físico al punto de acceso.

Protección del dispositivo cliente

Las soluciones inalámbricas Cisco Catalyst serie 9800 actualmente brindan la característica principal de protección al cliente a través de Cisco Umbrella WLAN, un servicio de seguridad de red basado en la nube que opera a nivel DNS con detección automática de amenazas conocidas y emergentes.

Cisco Umbrella WLAN proporciona a los dispositivos cliente una conexión segura a Internet. Esto se logra mediante el filtrado de contenido, es decir, bloqueando el acceso a los recursos en Internet de acuerdo con la política empresarial. De este modo, los dispositivos de los clientes en Internet están protegidos contra malware, ransomware y phishing. La aplicación de políticas se basa en 60 categorías de contenido que se actualizan continuamente.

Automatización

Las redes inalámbricas actuales son mucho más flexibles y complejas, por lo que los métodos tradicionales de configuración y recuperación de información de los controladores inalámbricos no son suficientes. Los administradores de redes y los profesionales de la seguridad de la información necesitan herramientas de automatización y análisis, lo que lleva a los proveedores de servicios inalámbricos a ofrecer dichas herramientas.

Para resolver estos problemas, los controladores inalámbricos Cisco Catalyst serie 9800, junto con la API tradicional, brindan soporte para el protocolo de configuración de red RESTCONF / NETCONF con el lenguaje de modelado de datos YANG (Yet Another Next Generation).

NETCONF es un protocolo basado en XML que las aplicaciones pueden utilizar para consultar información y cambiar la configuración de dispositivos de red, como controladores inalámbricos.

Además de estos métodos, los controladores Cisco Catalyst serie 9800 brindan la capacidad de capturar, recuperar y analizar datos de flujo de información utilizando los protocolos NetFlow y sFlow.

Para el modelado de tráfico y seguridad, la capacidad de rastrear flujos específicos es una herramienta valiosa. Para solucionar este problema se implementó el protocolo sFlow, que permite capturar dos paquetes de cada cien. Sin embargo, en ocasiones esto puede no ser suficiente para analizar y estudiar y evaluar adecuadamente el flujo. Por tanto, una alternativa es NetFlow, implementado por Cisco, que permite recopilar y exportar al 100% todos los paquetes en un flujo específico para su posterior análisis.

Sin embargo, otra característica, disponible solo en la implementación de hardware de los controladores, que permite automatizar el funcionamiento de la red inalámbrica en los controladores de la serie Cisco Catalyst 9800, es la compatibilidad integrada con el lenguaje Python como complemento para el uso. scripts directamente en el controlador inalámbrico.

Finalmente, los controladores Cisco Catalyst serie 9800 admiten el protocolo probado SNMP versión 1, 2 y 3 para operaciones de monitoreo y administración.

Por lo tanto, en términos de automatización, las soluciones Cisco Catalyst serie 9800 satisfacen completamente los requisitos comerciales modernos, ofreciendo herramientas nuevas y únicas, así como probadas en el tiempo, para operaciones y análisis automatizados en redes inalámbricas de cualquier tamaño y complejidad.

Conclusión

En soluciones basadas en los controladores Cisco Catalyst serie 9800, Cisco demostró excelentes resultados en las categorías de alta disponibilidad, seguridad y automatización.

La solución cumple plenamente con todos los requisitos de alta disponibilidad, como la conmutación por error en menos de un segundo durante eventos no planificados y cero tiempo de inactividad para eventos programados.

Los controladores Cisco Catalyst serie 9800 brindan seguridad integral que proporciona una inspección profunda de paquetes para el reconocimiento y control de aplicaciones, visibilidad completa de los flujos de datos e identificación de amenazas ocultas en el tráfico cifrado, así como mecanismos avanzados de autenticación y seguridad para dispositivos cliente.

Para automatización y análisis, Cisco Catalyst serie 9800 ofrece potentes capacidades utilizando modelos estándar populares: YANG, NETCONF, RESTCONF, API tradicionales y scripts Python integrados.

De esta manera, Cisco confirma una vez más su condición de fabricante líder mundial de soluciones de redes, manteniéndose al día y teniendo en cuenta todos los desafíos de los negocios modernos.

Para obtener más información sobre la familia de conmutadores Catalyst, visite sitio web Cisco

Fuente: habr.com