Kui teil on kontroller, pole probleemi: kuidas oma traadita võrku hõlpsalt hooldada

Konsultatsioonifirma Miercom viis 2019. aastal läbi sõltumatu tehnoloogilise hinnangu Cisco Catalyst 6 seeria kontrolleritele Wi-Fi 9800. Selle uuringu jaoks pandi kokku Cisco Wi-Fi 6 kontrolleritest ja pääsupunktidest katsestend ning tehniline lahendus oli hinnatud järgmistes kategooriates:

• Kättesaadavus;
• Turvalisus;
• Automatiseerimine.

Uuringu tulemused on näidatud allpool. Alates 2019. aastast on Cisco Catalyst 9800 seeria kontrollerite funktsionaalsust oluliselt täiustatud – need punktid kajastuvad ka selles artiklis.

Saate lugeda Wi-Fi 6 tehnoloogia muude eeliste, rakendusnäidete ja rakendusvaldkondade kohta siin.

Lahenduse ülevaade

Wi-Fi 6 kontrollerid Cisco Catalyst 9800 seeria

Cisco Catalyst 9800 seeria juhtmevabad kontrollerid, mis põhinevad operatsioonisüsteemil IOS-XE (kasutatakse ka Cisco lülitite ja ruuterite jaoks), on saadaval mitmesuguste valikutega.

Kontrolleri 9800-80 vanem mudel toetab traadita võrgu läbilaskevõimet kuni 80 Gbps. Üks 9800-80 kontroller toetab kuni 6000 pääsupunkti ja kuni 64 000 traadita klienti.

Keskklassi mudel, 9800-40 kontroller, toetab kuni 40 Gbps läbilaskevõimet, kuni 2000 pääsupunkti ja kuni 32 000 traadita klienti.

Lisaks nendele mudelitele hõlmas konkurentsianalüüs ka juhtmevaba kontrollerit 9800-CL (CL tähendab pilve). 9800-CL töötab virtuaalsetes keskkondades VMWare ESXI ja KVM hüperviisorites ning selle jõudlus sõltub kontrolleri virtuaalmasina jaoks mõeldud riistvararessurssidest. Maksimaalses konfiguratsioonis toetab Cisco 9800-CL kontroller, nagu ka vanem mudel 9800-80, skaleeritavust kuni 6000 pääsupunkti ja kuni 64 000 traadita kliendi jaoks.

Kontrolleritega uuringute läbiviimisel kasutati Cisco Aironet AP 4800 seeria pääsupunkte, mis toetasid tööd sagedustel 2,4 ja 5 GHz koos võimalusega dünaamiliselt lülituda kahele 5 GHz režiimile.

Katselaud

Testimise raames pandi kokku alus kahest klastris töötavast Cisco Catalyst 9800-CL juhtmevabast kontrollerist ja Cisco Aironet AP 4800 seeria pääsupunktidest.

Kliendiseadmetena kasutati Delli ja Apple'i sülearvuteid ning Apple iPhone'i nutitelefoni.

Juurdepääsetavuse testimine

Kättesaadavus on defineeritud kui kasutajate võimalus süsteemile või teenusele juurde pääseda ja seda kasutada. Kõrge kättesaadavus tähendab pidevat juurdepääsu süsteemile või teenusele, sõltumata teatud sündmustest.

Kõrget saadavust testiti neljas stsenaariumis, millest esimesed kolm stsenaariumi olid prognoositavad või ajastatud sündmused, mis võivad toimuda tööajal või pärast seda. Viies stsenaarium on klassikaline ebaõnnestumine, mis on ettearvamatu sündmus.

Stsenaariumide kirjeldus:

• Veaparandus – süsteemi mikrovärskendus (veaparandus või turvapaik), mis võimaldab parandada konkreetse vea või haavatavuse ilma süsteemitarkvara täieliku uuendamiseta;
• Funktsionaalne uuendus – süsteemi senise funktsionaalsuse lisamine või laiendamine funktsionaalsete uuenduste installimise kaudu;
• Täielik värskendus – värskenda kontrolleri tarkvara kujutist;
• Pöörduspunkti lisamine – uue pääsupunkti mudeli lisamine traadita võrku, ilma et oleks vaja juhtmevaba kontrolleri tarkvara ümber konfigureerida või uuendada;
• Rike – kaugjuhtimispuldi rike.

Vigade ja haavatavuste parandamine

Sageli nõuab paikamine paljude konkurentsivõimeliste lahenduste puhul juhtmevaba kontrolleri süsteemi täielikku tarkvarauuendust, mis võib lõppeda planeerimata seisakutega. Cisco lahenduse puhul toimub lappimine ilma toodet peatamata. Plaastrid saab paigaldada mis tahes komponendile, kuni traadita infrastruktuur jätkab töötamist.

Protseduur ise on üsna lihtne. Plaastrifail kopeeritakse ühe Cisco juhtmevaba kontrolleri alglaadimiskausta ja toiming kinnitatakse seejärel GUI või käsurea kaudu. Lisaks saate paranduse tagasi võtta ja eemaldada ka GUI või käsurea kaudu, samuti ilma süsteemi tööd katkestamata.

Funktsionaalne värskendus

Uute funktsioonide lubamiseks rakendatakse funktsionaalseid tarkvaravärskendusi. Üks neist täiustustest on rakenduse allkirjade andmebaasi värskendamine. See pakett installiti Cisco kontrolleritele testimiseks. Nii nagu plaastrite puhul, rakendatakse, installitakse või eemaldatakse funktsioonivärskendused ilma seisaku või süsteemikatkestuseta.

Täielik värskendus

Hetkel toimub kontrolleri tarkvara pildi täisvärskendus samamoodi nagu funktsionaalne uuendus ehk ilma seisakuta. See funktsioon on aga saadaval ainult klastri konfiguratsioonis, kui kontrollereid on rohkem kui üks. Täielik värskendus viiakse läbi järjestikku: esmalt ühel kontrolleril, seejärel teisel.

Uue pääsupunkti mudeli lisamine

Uute pääsupunktide, mida pole varem kasutatud kontrolleri tarkvarapildiga opereeritud, ühendamine traadita võrku on üsna levinud toiming, eriti suurtes võrkudes (lennujaamad, hotellid, tehased). Konkurentide lahendustes nõuab see toiming üsna sageli süsteemitarkvara värskendamist või kontrollerite taaskäivitamist.

Uute Wi-Fi 6 pääsupunktide ühendamisel Cisco Catalyst 9800 seeria kontrollerite klastriga selliseid probleeme ei täheldata. Uute punktide ühendamine kontrolleriga toimub ilma kontrolleri tarkvara uuendamata ja see protsess ei nõua taaskäivitamist, seega ei mõjuta see kuidagi traadita võrku.

Kontrolleri rike

Testkeskkond kasutab kahte Wi-Fi 6 kontrollerit (Active/StandBy) ja pääsupunktil on otseühendus mõlema kontrolleriga.

Üks kaugjuhtimispult on aktiivne ja teine ​​​​vastavalt varundatud. Kui aktiivne kontroller ebaõnnestub, võtab varukontroller üle ja selle olek muutub aktiivseks. See protseduur toimub pääsupunkti ja klientide Wi-Fi jaoks katkestusteta.

turvalisus

Selles jaotises käsitletakse turvalisuse aspekte, mis on traadita võrkudes äärmiselt pakiline probleem. Lahenduse turvalisust hinnatakse järgmiste tunnuste alusel:

• Rakenduse äratundmine;
• Voolu jälgimine;
• Krüpteeritud liikluse analüüs;
• Sissetungi tuvastamine ja ennetamine;
• Autentimisvahendid;
• Kliendiseadmete kaitsevahendid.

Rakenduse äratundmine

Ettevõtlus- ja tööstuslikul WiFi-turul pakutavate toodete hulgas on erinevusi selles, kui hästi tooted tuvastavad liikluse rakenduse järgi. Erinevate tootjate tooted võivad tuvastada erineva arvu rakendusi. Paljud rakendused, mille konkureerivad lahendused tuvastamiseks on võimalikud, on aga tegelikult veebisaidid, mitte ainulaadsed rakendused.

Rakenduste tuvastamisel on veel üks huvitav omadus: lahenduste tuvastamise täpsus on väga erinev.

Võttes arvesse kõiki tehtud teste, võime vastutustundlikult väita, et Cisco Wi-Fi-6 lahendus teostab rakenduste tuvastamist väga täpselt: Jabber, Netflix, Dropbox, YouTube ja teised populaarsed rakendused ning veebiteenused said täpselt tuvastatud. Cisco lahendused võivad ka DPI (Deep Packet Inspection) abil andmepakettidesse sukelduda.

Liiklusvoo jälgimine

Viidi läbi veel üks test, et näha, kas süsteem suudab andmevoogusid (nt suurte failide liikumist) täpselt jälgida ja aru anda. Selle testimiseks saadeti failiedastusprotokolli (FTP) abil üle võrgu 6,5-megabaidine fail.

Cisco lahendus oli oma ülesandega täielikult täidetud ja suutis seda liiklust jälgida tänu NetFlow'le ja selle riistvaralistele võimalustele. Liiklus tuvastati ja tuvastati koheselt täpse edastatud andmehulgaga.

Krüpteeritud liikluse analüüs

Kasutajate andmeliiklust krüpteeritakse üha enam. Seda tehakse selleks, et kaitsta seda ründajate jälgimise või pealtkuulamise eest. Kuid samal ajal kasutavad häkkerid üha enam krüptimist, et varjata oma pahavara ja sooritada muid kahtlaseid toiminguid, nagu Man-in-the-Middle (MiTM) või klahvilogimise rünnakud.

Enamik ettevõtteid kontrollib osa oma krüptitud liiklusest, dekrüpteerides selle esmalt tulemüüride või sissetungimise vältimise süsteemide abil. Kuid see protsess võtab palju aega ja ei too kasu võrgu kui terviku toimivusele. Peale selle muutuvad need andmed pärast dekrüpteerimist uteliailta silmad haavatavaks.

Cisco Catalyst 9800 seeria kontrollerid lahendavad edukalt krüptitud liikluse analüüsimise probleemi muude vahenditega. Lahendus kannab nime Encrypted Traffic Analytics (ETA). ETA on tehnoloogia, millel pole hetkel konkureerivates lahendustes analooge ja mis tuvastab krüpteeritud liikluses pahavara ilma, et oleks vaja seda lahti krüpteerida. ETA on IOS-XE põhifunktsioon, mis sisaldab täiustatud NetFlow'd ja kasutab täiustatud käitumisalgoritme, et tuvastada krüptitud liikluses peituvaid pahatahtlikke liiklusmustreid.

ETA ei dekrüpteeri sõnumeid, vaid kogub krüptitud liiklusvoogude metaandmete profiile – paketi suurus, pakettidevahelised ajaintervallid ja palju muud. Seejärel eksporditakse metaandmed NetFlow v9 kirjetes Cisco Stealthwatchi.

Stealthwatchi põhifunktsioon on liikluse pidev jälgimine ja tavapärase võrgutegevuse baasjoone loomine. Kasutades ETA poolt talle saadetud krüpteeritud voo metaandmeid, rakendab Stealthwatch mitmekihilist masinõpet, et tuvastada käitumuslikke liiklusanomaaliaid, mis võivad viidata kahtlastele sündmustele.

Eelmisel aastal kaasas Cisco Miercomi oma Cisco krüptitud liiklusanalüüsi lahenduse iseseisvale hindamisele. Selle hindamise käigus saatis Miercom ohtude tuvastamiseks eraldi teadaolevad ja tundmatud ohud (viirused, troojalased, lunavara) krüptitud ja krüpteerimata liikluses üle suurte ETA ja mitte-ETA võrkude.

Testimiseks käivitati mõlemas võrgus pahatahtlik kood. Mõlemal juhul avastati järk-järgult kahtlane tegevus. ETA võrk tuvastas ohud algselt 36% kiiremini kui mitte-ETA võrk. Samal ajal hakkas töö edenedes ETA võrgu tuvastamise produktiivsus tõusma. Selle tulemusena tuvastati ETA võrgus pärast mitmetunnist tööd edukalt kaks kolmandikku aktiivsetest ohtudest, mida on kaks korda rohkem kui mitte-ETA võrgus.

ETA funktsionaalsus on Stealthwatchiga hästi integreeritud. Ohud järjestatakse tõsiduse järgi ja kuvatakse koos üksikasjaliku teabega ja pärast kinnitust kõrvaldamise võimalustega. Järeldus – ETA töötab!

Sissetungi tuvastamine ja ennetamine

Ciscol on nüüd veel üks tõhus turvatööriist – Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mehhanism traadita võrku ähvardavate ohtude tuvastamiseks ja ennetamiseks. AWIPS-lahendus toimib kontrollerite, pääsupunktide ja Cisco DNA Centeri haldustarkvara tasemel. Ohtude tuvastamine, hoiatamine ja ennetamine ühendab võrguliikluse analüüsi, võrguseadmete ja võrgu topoloogiateabe, allkirjapõhised tehnikad ja anomaaliate tuvastamise, et pakkuda ülitäpseid ja ennetatavaid juhtmevabasid ohte.

Täielikult integreerides aWIPS-i oma võrguinfrastruktuuri, saate pidevalt jälgida traadita liiklust nii traadiga kui ka traadita võrkudes ning kasutada seda mitmest allikast pärinevate potentsiaalsete rünnakute automaatseks analüüsimiseks, et pakkuda võimalikult kõikehõlmavat tuvastamist ja ennetamist.

Autentimine tähendab

Hetkel toetavad Cisco Catalyst 9800 seeria lahendused lisaks klassikalistele autentimisvahenditele WPA3. WPA3 on WPA uusim versioon, mis on protokollide ja tehnoloogiate kogum, mis pakuvad WiFi-võrkude autentimist ja krüptimist.

WPA3 kasutab samaaegset võrdsete autentimist (SAE), et pakkuda kasutajatele tugevaimat kaitset kolmandate osapoolte parooli arvamise katsete eest. Kui klient loob ühenduse pääsupunktiga, teostab ta SAE-vahetuse. Kui see õnnestub, loob igaüks neist krüptograafiliselt tugeva võtme, millest seansivõti tuletatakse, ja seejärel siseneb kinnitusolekusse. Klient ja pääsupunkt saavad seejärel siseneda käepigistuse olekutesse iga kord, kui on vaja genereerida seansivõti. Meetod kasutab edasisaladust, mille puhul ründaja saab murda ühe võtme, kuid mitte kõiki teisi võtmeid.

See tähendab, et SAE on loodud nii, et liiklust pealtkuulaval ründajal on ainult üks katse parooli ära arvata, enne kui pealtkuulatud andmed kasutuks muutuvad. Pika parooli taastamise korraldamiseks vajate füüsilist juurdepääsu pääsupunktile.

Kliendi seadme kaitse

Cisco Catalyst 9800 seeria traadita lahendused pakuvad praegu esmast kliendikaitse funktsiooni Cisco Umbrella WLAN-i kaudu. See on pilvepõhine võrguturbeteenus, mis töötab DNS-tasemel ja tuvastab automaatselt nii teadaolevad kui ka esilekerkivad ohud.

Cisco Umbrella WLAN pakub kliendiseadmetele turvalist Interneti-ühendust. See saavutatakse sisu filtreerimise kaudu, st blokeerides juurdepääsu Interneti-ressurssidele vastavalt ettevõtte poliitikale. Seega on Internetis olevad kliendiseadmed kaitstud pahavara, lunavara ja andmepüügi eest. Eeskirjade jõustamine põhineb 60 pidevalt uuendataval sisukategoorial.

Automaatika

Tänapäeva traadita võrgud on palju paindlikumad ja keerukamad, seetõttu ei piisa traditsioonilistest meetoditest traadita kontrolleritest teabe konfigureerimiseks ja hankimiseks. Võrguadministraatorid ja infoturbe spetsialistid vajavad automatiseerimiseks ja analüütikaks tööriistu, mis sunnib traadita ühenduse tarnijaid selliseid tööriistu pakkuma.

Nende probleemide lahendamiseks pakuvad Cisco Catalyst 9800 seeria juhtmevabad kontrollerid koos traditsioonilise API-ga RESTCONF / NETCONF võrgukonfiguratsiooniprotokolli YANG (Yet Another Next Generation) andmemodelleerimiskeelega.

NETCONF on XML-põhine protokoll, mida rakendused saavad kasutada teabe päringute tegemiseks ja võrguseadmete (nt juhtmeta kontrollerite) konfiguratsiooni muutmiseks.

Lisaks nendele meetoditele pakuvad Cisco Catalyst 9800 seeria kontrollerid NetFlow ja sFlow protokollide abil teabevoo andmete kogumise, toomise ja analüüsimise võimalust.

Turvalisuse ja liikluse modelleerimise jaoks on konkreetsete voogude jälgimise võimalus väärtuslik tööriist. Selle probleemi lahendamiseks rakendati sFlow protokolli, mis võimaldab püüda kaks paketti igast sajast. Kuid mõnikord ei pruugi sellest piisata, et voogu analüüsida ja adekvaatselt uurida ja hinnata. Seetõttu on alternatiiviks Cisco juurutatud NetFlow, mis võimaldab teil 100% koguda ja eksportida kõik paketid kindlaksmääratud voos järgnevaks analüüsiks.

Teine funktsioon, mis on saadaval ainult kontrollerite riistvararakenduses ja mis võimaldab automatiseerida traadita võrgu toimimist Cisco Catalyst 9800 seeria kontrollerites, on Pythoni keele sisseehitatud tugi lisandmoodulina kasutamiseks. skripte otse kaugjuhtimispuldil endal.

Lõpuks toetavad Cisco Catalyst 9800 seeria kontrollerid seire- ja haldustoimingute jaoks tõestatud SNMP versiooni 1, 2 ja 3 protokolli.

Seega vastavad Cisco Catalyst 9800 seeria lahendused automatiseerimise osas täielikult kaasaegsetele ärinõuetele, pakkudes nii uusi kui unikaalseid, aga ka ajaproovitud tööriistu automaatsete toimingute ja analüütika jaoks mis tahes suuruse ja keerukusega traadita võrkudes.

Järeldus

Cisco Catalyst 9800 seeria kontrolleritel põhinevate lahenduste puhul näitas Cisco suurepäraseid tulemusi kõrge kättesaadavuse, turvalisuse ja automatiseerimise kategooriates.

Lahendus vastab täielikult kõikidele kõrgetele käideldavusnõuetele, nagu tõrkevahetus, mis on ette nähtud ettenägematute sündmuste ajal ja ajastatud sündmuste korral puudub seisakuaeg.

Cisco Catalyst 9800 seeria kontrollerid pakuvad kõikehõlmavat turvalisust, mis pakub sügavat pakettide kontrolli rakenduste tuvastamiseks ja juhtimiseks, andmevoogude täielikku nähtavust ja krüptitud liikluses peidetud ohtude tuvastamist, samuti kliendiseadmete täiustatud autentimis- ja turvamehhanisme.

Automatiseerimiseks ja analüütikaks pakub Cisco Catalyst 9800 Series võimsaid võimalusi, kasutades populaarseid standardmudeleid: YANG, NETCONF, RESTCONF, traditsioonilisi API-sid ja sisseehitatud Pythoni skripte.

Seega kinnitab Cisco taas oma staatust maailma juhtiva võrgulahenduste tootjana, kes käib ajaga kaasas ja võtab arvesse kõiki kaasaegse äri väljakutseid.

Katalüsaatorite lülitite perekonna kohta lisateabe saamiseks külastage veebisait cisco.

Allikas: www.habr.com

Konsultatsioonifirma Miercom viis 2019. aastal läbi sõltumatu tehnoloogilise hinnangu Cisco Catalyst 6 seeria kontrolleritele Wi-Fi 9800. Selle uuringu jaoks pandi kokku Cisco Wi-Fi 6 kontrolleritest ja pääsupunktidest katsestend ning tehniline lahendus oli hinnatud järgmistes kategooriates:

• Kättesaadavus;
• Turvalisus;
• Automatiseerimine.

Uuringu tulemused on näidatud allpool. Alates 2019. aastast on Cisco Catalyst 9800 seeria kontrollerite funktsionaalsust oluliselt täiustatud – need punktid kajastuvad ka selles artiklis.

Saate lugeda Wi-Fi 6 tehnoloogia muude eeliste, rakendusnäidete ja rakendusvaldkondade kohta siin.

Lahenduse ülevaade

Wi-Fi 6 kontrollerid Cisco Catalyst 9800 seeria

Cisco Catalyst 9800 seeria juhtmevabad kontrollerid, mis põhinevad operatsioonisüsteemil IOS-XE (kasutatakse ka Cisco lülitite ja ruuterite jaoks), on saadaval mitmesuguste valikutega.

Kontrolleri 9800-80 vanem mudel toetab traadita võrgu läbilaskevõimet kuni 80 Gbps. Üks 9800-80 kontroller toetab kuni 6000 pääsupunkti ja kuni 64 000 traadita klienti.

Keskklassi mudel, 9800-40 kontroller, toetab kuni 40 Gbps läbilaskevõimet, kuni 2000 pääsupunkti ja kuni 32 000 traadita klienti.

Lisaks nendele mudelitele hõlmas konkurentsianalüüs ka juhtmevaba kontrollerit 9800-CL (CL tähendab pilve). 9800-CL töötab virtuaalsetes keskkondades VMWare ESXI ja KVM hüperviisorites ning selle jõudlus sõltub kontrolleri virtuaalmasina jaoks mõeldud riistvararessurssidest. Maksimaalses konfiguratsioonis toetab Cisco 9800-CL kontroller, nagu ka vanem mudel 9800-80, skaleeritavust kuni 6000 pääsupunkti ja kuni 64 000 traadita kliendi jaoks.

Kontrolleritega uuringute läbiviimisel kasutati Cisco Aironet AP 4800 seeria pääsupunkte, mis toetasid tööd sagedustel 2,4 ja 5 GHz koos võimalusega dünaamiliselt lülituda kahele 5 GHz režiimile.

Katselaud

Testimise raames pandi kokku alus kahest klastris töötavast Cisco Catalyst 9800-CL juhtmevabast kontrollerist ja Cisco Aironet AP 4800 seeria pääsupunktidest.

Kliendiseadmetena kasutati Delli ja Apple'i sülearvuteid ning Apple iPhone'i nutitelefoni.

Juurdepääsetavuse testimine

Kättesaadavus on defineeritud kui kasutajate võimalus süsteemile või teenusele juurde pääseda ja seda kasutada. Kõrge kättesaadavus tähendab pidevat juurdepääsu süsteemile või teenusele, sõltumata teatud sündmustest.

Kõrget saadavust testiti neljas stsenaariumis, millest esimesed kolm stsenaariumi olid prognoositavad või ajastatud sündmused, mis võivad toimuda tööajal või pärast seda. Viies stsenaarium on klassikaline ebaõnnestumine, mis on ettearvamatu sündmus.

Stsenaariumide kirjeldus:

• Veaparandus – süsteemi mikrovärskendus (veaparandus või turvapaik), mis võimaldab parandada konkreetse vea või haavatavuse ilma süsteemitarkvara täieliku uuendamiseta;
• Funktsionaalne uuendus – süsteemi senise funktsionaalsuse lisamine või laiendamine funktsionaalsete uuenduste installimise kaudu;
• Täielik värskendus – värskenda kontrolleri tarkvara kujutist;
• Pöörduspunkti lisamine – uue pääsupunkti mudeli lisamine traadita võrku, ilma et oleks vaja juhtmevaba kontrolleri tarkvara ümber konfigureerida või uuendada;
• Rike – kaugjuhtimispuldi rike.

Vigade ja haavatavuste parandamine

Sageli nõuab paikamine paljude konkurentsivõimeliste lahenduste puhul juhtmevaba kontrolleri süsteemi täielikku tarkvarauuendust, mis võib lõppeda planeerimata seisakutega. Cisco lahenduse puhul toimub lappimine ilma toodet peatamata. Plaastrid saab paigaldada mis tahes komponendile, kuni traadita infrastruktuur jätkab töötamist.

Protseduur ise on üsna lihtne. Plaastrifail kopeeritakse ühe Cisco juhtmevaba kontrolleri alglaadimiskausta ja toiming kinnitatakse seejärel GUI või käsurea kaudu. Lisaks saate paranduse tagasi võtta ja eemaldada ka GUI või käsurea kaudu, samuti ilma süsteemi tööd katkestamata.

Funktsionaalne värskendus

Uute funktsioonide lubamiseks rakendatakse funktsionaalseid tarkvaravärskendusi. Üks neist täiustustest on rakenduse allkirjade andmebaasi värskendamine. See pakett installiti Cisco kontrolleritele testimiseks. Nii nagu plaastrite puhul, rakendatakse, installitakse või eemaldatakse funktsioonivärskendused ilma seisaku või süsteemikatkestuseta.

Täielik värskendus

Hetkel toimub kontrolleri tarkvara pildi täisvärskendus samamoodi nagu funktsionaalne uuendus ehk ilma seisakuta. See funktsioon on aga saadaval ainult klastri konfiguratsioonis, kui kontrollereid on rohkem kui üks. Täielik värskendus viiakse läbi järjestikku: esmalt ühel kontrolleril, seejärel teisel.

Uue pääsupunkti mudeli lisamine

Uute pääsupunktide, mida pole varem kasutatud kontrolleri tarkvarapildiga opereeritud, ühendamine traadita võrku on üsna levinud toiming, eriti suurtes võrkudes (lennujaamad, hotellid, tehased). Konkurentide lahendustes nõuab see toiming üsna sageli süsteemitarkvara värskendamist või kontrollerite taaskäivitamist.

Uute Wi-Fi 6 pääsupunktide ühendamisel Cisco Catalyst 9800 seeria kontrollerite klastriga selliseid probleeme ei täheldata. Uute punktide ühendamine kontrolleriga toimub ilma kontrolleri tarkvara uuendamata ja see protsess ei nõua taaskäivitamist, seega ei mõjuta see kuidagi traadita võrku.

Kontrolleri rike

Testkeskkond kasutab kahte Wi-Fi 6 kontrollerit (Active/StandBy) ja pääsupunktil on otseühendus mõlema kontrolleriga.

Üks kaugjuhtimispult on aktiivne ja teine ​​​​vastavalt varundatud. Kui aktiivne kontroller ebaõnnestub, võtab varukontroller üle ja selle olek muutub aktiivseks. See protseduur toimub pääsupunkti ja klientide Wi-Fi jaoks katkestusteta.

turvalisus

Selles jaotises käsitletakse turvalisuse aspekte, mis on traadita võrkudes äärmiselt pakiline probleem. Lahenduse turvalisust hinnatakse järgmiste tunnuste alusel:

• Rakenduse äratundmine;
• Voolu jälgimine;
• Krüpteeritud liikluse analüüs;
• Sissetungi tuvastamine ja ennetamine;
• Autentimisvahendid;
• Kliendiseadmete kaitsevahendid.

Rakenduse äratundmine

Ettevõtlus- ja tööstuslikul WiFi-turul pakutavate toodete hulgas on erinevusi selles, kui hästi tooted tuvastavad liikluse rakenduse järgi. Erinevate tootjate tooted võivad tuvastada erineva arvu rakendusi. Paljud rakendused, mille konkureerivad lahendused tuvastamiseks on võimalikud, on aga tegelikult veebisaidid, mitte ainulaadsed rakendused.

Rakenduste tuvastamisel on veel üks huvitav omadus: lahenduste tuvastamise täpsus on väga erinev.

Võttes arvesse kõiki tehtud teste, võime vastutustundlikult väita, et Cisco Wi-Fi-6 lahendus teostab rakenduste tuvastamist väga täpselt: Jabber, Netflix, Dropbox, YouTube ja teised populaarsed rakendused ning veebiteenused said täpselt tuvastatud. Cisco lahendused võivad ka DPI (Deep Packet Inspection) abil andmepakettidesse sukelduda.

Liiklusvoo jälgimine

Viidi läbi veel üks test, et näha, kas süsteem suudab andmevoogusid (nt suurte failide liikumist) täpselt jälgida ja aru anda. Selle testimiseks saadeti failiedastusprotokolli (FTP) abil üle võrgu 6,5-megabaidine fail.

Cisco lahendus oli oma ülesandega täielikult täidetud ja suutis seda liiklust jälgida tänu NetFlow'le ja selle riistvaralistele võimalustele. Liiklus tuvastati ja tuvastati koheselt täpse edastatud andmehulgaga.

Krüpteeritud liikluse analüüs

Kasutajate andmeliiklust krüpteeritakse üha enam. Seda tehakse selleks, et kaitsta seda ründajate jälgimise või pealtkuulamise eest. Kuid samal ajal kasutavad häkkerid üha enam krüptimist, et varjata oma pahavara ja sooritada muid kahtlaseid toiminguid, nagu Man-in-the-Middle (MiTM) või klahvilogimise rünnakud.

Enamik ettevõtteid kontrollib osa oma krüptitud liiklusest, dekrüpteerides selle esmalt tulemüüride või sissetungimise vältimise süsteemide abil. Kuid see protsess võtab palju aega ja ei too kasu võrgu kui terviku toimivusele. Peale selle muutuvad need andmed pärast dekrüpteerimist uteliailta silmad haavatavaks.

Cisco Catalyst 9800 seeria kontrollerid lahendavad edukalt krüptitud liikluse analüüsimise probleemi muude vahenditega. Lahendus kannab nime Encrypted Traffic Analytics (ETA). ETA on tehnoloogia, millel pole hetkel konkureerivates lahendustes analooge ja mis tuvastab krüpteeritud liikluses pahavara ilma, et oleks vaja seda lahti krüpteerida. ETA on IOS-XE põhifunktsioon, mis sisaldab täiustatud NetFlow'd ja kasutab täiustatud käitumisalgoritme, et tuvastada krüptitud liikluses peituvaid pahatahtlikke liiklusmustreid.

ETA ei dekrüpteeri sõnumeid, vaid kogub krüptitud liiklusvoogude metaandmete profiile – paketi suurus, pakettidevahelised ajaintervallid ja palju muud. Seejärel eksporditakse metaandmed NetFlow v9 kirjetes Cisco Stealthwatchi.

Stealthwatchi põhifunktsioon on liikluse pidev jälgimine ja tavapärase võrgutegevuse baasjoone loomine. Kasutades ETA poolt talle saadetud krüpteeritud voo metaandmeid, rakendab Stealthwatch mitmekihilist masinõpet, et tuvastada käitumuslikke liiklusanomaaliaid, mis võivad viidata kahtlastele sündmustele.

Eelmisel aastal kaasas Cisco Miercomi oma Cisco krüptitud liiklusanalüüsi lahenduse iseseisvale hindamisele. Selle hindamise käigus saatis Miercom ohtude tuvastamiseks eraldi teadaolevad ja tundmatud ohud (viirused, troojalased, lunavara) krüptitud ja krüpteerimata liikluses üle suurte ETA ja mitte-ETA võrkude.

Testimiseks käivitati mõlemas võrgus pahatahtlik kood. Mõlemal juhul avastati järk-järgult kahtlane tegevus. ETA võrk tuvastas ohud algselt 36% kiiremini kui mitte-ETA võrk. Samal ajal hakkas töö edenedes ETA võrgu tuvastamise produktiivsus tõusma. Selle tulemusena tuvastati ETA võrgus pärast mitmetunnist tööd edukalt kaks kolmandikku aktiivsetest ohtudest, mida on kaks korda rohkem kui mitte-ETA võrgus.

ETA funktsionaalsus on Stealthwatchiga hästi integreeritud. Ohud järjestatakse tõsiduse järgi ja kuvatakse koos üksikasjaliku teabega ja pärast kinnitust kõrvaldamise võimalustega. Järeldus – ETA töötab!

Sissetungi tuvastamine ja ennetamine

Ciscol on nüüd veel üks tõhus turvatööriist – Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mehhanism traadita võrku ähvardavate ohtude tuvastamiseks ja ennetamiseks. AWIPS-lahendus toimib kontrollerite, pääsupunktide ja Cisco DNA Centeri haldustarkvara tasemel. Ohtude tuvastamine, hoiatamine ja ennetamine ühendab võrguliikluse analüüsi, võrguseadmete ja võrgu topoloogiateabe, allkirjapõhised tehnikad ja anomaaliate tuvastamise, et pakkuda ülitäpseid ja ennetatavaid juhtmevabasid ohte.

Täielikult integreerides aWIPS-i oma võrguinfrastruktuuri, saate pidevalt jälgida traadita liiklust nii traadiga kui ka traadita võrkudes ning kasutada seda mitmest allikast pärinevate potentsiaalsete rünnakute automaatseks analüüsimiseks, et pakkuda võimalikult kõikehõlmavat tuvastamist ja ennetamist.

Autentimine tähendab

Hetkel toetavad Cisco Catalyst 9800 seeria lahendused lisaks klassikalistele autentimisvahenditele WPA3. WPA3 on WPA uusim versioon, mis on protokollide ja tehnoloogiate kogum, mis pakuvad WiFi-võrkude autentimist ja krüptimist.

WPA3 kasutab samaaegset võrdsete autentimist (SAE), et pakkuda kasutajatele tugevaimat kaitset kolmandate osapoolte parooli arvamise katsete eest. Kui klient loob ühenduse pääsupunktiga, teostab ta SAE-vahetuse. Kui see õnnestub, loob igaüks neist krüptograafiliselt tugeva võtme, millest seansivõti tuletatakse, ja seejärel siseneb kinnitusolekusse. Klient ja pääsupunkt saavad seejärel siseneda käepigistuse olekutesse iga kord, kui on vaja genereerida seansivõti. Meetod kasutab edasisaladust, mille puhul ründaja saab murda ühe võtme, kuid mitte kõiki teisi võtmeid.

See tähendab, et SAE on loodud nii, et liiklust pealtkuulaval ründajal on ainult üks katse parooli ära arvata, enne kui pealtkuulatud andmed kasutuks muutuvad. Pika parooli taastamise korraldamiseks vajate füüsilist juurdepääsu pääsupunktile.

Kliendi seadme kaitse

Cisco Catalyst 9800 seeria traadita lahendused pakuvad praegu esmast kliendikaitse funktsiooni Cisco Umbrella WLAN-i kaudu. See on pilvepõhine võrguturbeteenus, mis töötab DNS-tasemel ja tuvastab automaatselt nii teadaolevad kui ka esilekerkivad ohud.

Cisco Umbrella WLAN pakub kliendiseadmetele turvalist Interneti-ühendust. See saavutatakse sisu filtreerimise kaudu, st blokeerides juurdepääsu Interneti-ressurssidele vastavalt ettevõtte poliitikale. Seega on Internetis olevad kliendiseadmed kaitstud pahavara, lunavara ja andmepüügi eest. Eeskirjade jõustamine põhineb 60 pidevalt uuendataval sisukategoorial.

Automaatika

Tänapäeva traadita võrgud on palju paindlikumad ja keerukamad, seetõttu ei piisa traditsioonilistest meetoditest traadita kontrolleritest teabe konfigureerimiseks ja hankimiseks. Võrguadministraatorid ja infoturbe spetsialistid vajavad automatiseerimiseks ja analüütikaks tööriistu, mis sunnib traadita ühenduse tarnijaid selliseid tööriistu pakkuma.

Nende probleemide lahendamiseks pakuvad Cisco Catalyst 9800 seeria juhtmevabad kontrollerid koos traditsioonilise API-ga RESTCONF / NETCONF võrgukonfiguratsiooniprotokolli YANG (Yet Another Next Generation) andmemodelleerimiskeelega.

NETCONF on XML-põhine protokoll, mida rakendused saavad kasutada teabe päringute tegemiseks ja võrguseadmete (nt juhtmeta kontrollerite) konfiguratsiooni muutmiseks.

Lisaks nendele meetoditele pakuvad Cisco Catalyst 9800 seeria kontrollerid NetFlow ja sFlow protokollide abil teabevoo andmete kogumise, toomise ja analüüsimise võimalust.

Turvalisuse ja liikluse modelleerimise jaoks on konkreetsete voogude jälgimise võimalus väärtuslik tööriist. Selle probleemi lahendamiseks rakendati sFlow protokolli, mis võimaldab püüda kaks paketti igast sajast. Kuid mõnikord ei pruugi sellest piisata, et voogu analüüsida ja adekvaatselt uurida ja hinnata. Seetõttu on alternatiiviks Cisco juurutatud NetFlow, mis võimaldab teil 100% koguda ja eksportida kõik paketid kindlaksmääratud voos järgnevaks analüüsiks.

Teine funktsioon, mis on saadaval ainult kontrollerite riistvararakenduses ja mis võimaldab automatiseerida traadita võrgu toimimist Cisco Catalyst 9800 seeria kontrollerites, on Pythoni keele sisseehitatud tugi lisandmoodulina kasutamiseks. skripte otse kaugjuhtimispuldil endal.

Lõpuks toetavad Cisco Catalyst 9800 seeria kontrollerid seire- ja haldustoimingute jaoks tõestatud SNMP versiooni 1, 2 ja 3 protokolli.

Seega vastavad Cisco Catalyst 9800 seeria lahendused automatiseerimise osas täielikult kaasaegsetele ärinõuetele, pakkudes nii uusi kui unikaalseid, aga ka ajaproovitud tööriistu automaatsete toimingute ja analüütika jaoks mis tahes suuruse ja keerukusega traadita võrkudes.

Järeldus

Cisco Catalyst 9800 seeria kontrolleritel põhinevate lahenduste puhul näitas Cisco suurepäraseid tulemusi kõrge kättesaadavuse, turvalisuse ja automatiseerimise kategooriates.

Lahendus vastab täielikult kõikidele kõrgetele käideldavusnõuetele, nagu tõrkevahetus, mis on ette nähtud ettenägematute sündmuste ajal ja ajastatud sündmuste korral puudub seisakuaeg.

Cisco Catalyst 9800 seeria kontrollerid pakuvad kõikehõlmavat turvalisust, mis pakub sügavat pakettide kontrolli rakenduste tuvastamiseks ja juhtimiseks, andmevoogude täielikku nähtavust ja krüptitud liikluses peidetud ohtude tuvastamist, samuti kliendiseadmete täiustatud autentimis- ja turvamehhanisme.

Automatiseerimiseks ja analüütikaks pakub Cisco Catalyst 9800 Series võimsaid võimalusi, kasutades populaarseid standardmudeleid: YANG, NETCONF, RESTCONF, traditsioonilisi API-sid ja sisseehitatud Pythoni skripte.

Seega kinnitab Cisco taas oma staatust maailma juhtiva võrgulahenduste tootjana, kes käib ajaga kaasas ja võtab arvesse kõiki kaasaegse äri väljakutseid.

Katalüsaatorite lülitite perekonna kohta lisateabe saamiseks külastage veebisait cisco.

Allikas: www.habr.com