در سال 2019، شرکت مشاور Miercom یک ارزیابی تکنولوژیکی مستقل از کنترلرهای Wi-Fi 6 سری Cisco Catalyst 9800 انجام داد. برای این مطالعه، یک میز آزمایش از کنترلرها و نقاط دسترسی Cisco Wi-Fi 6 مونتاژ شد و راه حل فنی آن بود. در دسته بندی های زیر ارزیابی می شود:
- دسترسی؛
- امنیت؛
- اتوماسیون.
نتایج مطالعه در زیر نشان داده شده است. از سال 2019، عملکرد کنترلرهای سری Cisco Catalyst 9800 به طور قابل توجهی بهبود یافته است - این نکات در این مقاله نیز منعکس شده است.
می توانید در مورد دیگر مزایای فناوری Wi-Fi 6، نمونه هایی از پیاده سازی و زمینه های کاربردی مطالعه کنید
بررسی اجمالی راه حل
کنترلرهای Wi-Fi 6 سری Cisco Catalyst 9800
کنترلرهای بی سیم سیسکو Catalyst 9800 Series، بر اساس سیستم عامل IOS-XE (همچنین برای سوئیچ ها و روترهای سیسکو استفاده می شود)، در گزینه های مختلفی در دسترس هستند.
مدل قدیمی کنترلر 9800-80 از توان شبکه بی سیم تا 80 گیگابیت بر ثانیه پشتیبانی می کند. یک کنترلر 9800-80 تا 6000 نقطه دسترسی و حداکثر 64 کلاینت بی سیم را پشتیبانی می کند.
مدل میان رده، کنترلر 9800-40، تا 40 گیگابیت بر ثانیه، حداکثر 2000 نقطه دسترسی و حداکثر 32 کلاینت بی سیم را پشتیبانی می کند.
علاوه بر این مدل ها، تجزیه و تحلیل رقابتی شامل کنترلر بی سیم 9800-CL نیز می شود (CL مخفف Cloud است). 9800-CL در محیط های مجازی روی هایپروایزرهای VMWare ESXI و KVM اجرا می شود و عملکرد آن به منابع سخت افزاری اختصاصی برای ماشین مجازی کنترلر بستگی دارد. در حداکثر پیکربندی، کنترلر سیسکو 9800-CL، مانند مدل قدیمی 9800-80، از مقیاس پذیری تا 6000 نقطه دسترسی و تا 64 کلاینت بی سیم پشتیبانی می کند.
هنگام انجام تحقیقات با کنترلرها، از نقاط دسترسی سری Cisco Aironet AP 4800 استفاده شد که از عملیات در فرکانسهای 2,4 و 5 گیگاهرتز با قابلیت تغییر پویا به حالت دوگانه 5 گیگاهرتز پشتیبانی میکرد.
پایه تست
به عنوان بخشی از آزمایش، یک پایه از دو کنترلر بی سیم Cisco Catalyst 9800-CL که در یک کلاستر کار می کنند و نقاط دسترسی سری Cisco Aironet AP 4800 مونتاژ شد.
لپتاپهای دل و اپل و همچنین یک گوشی هوشمند آیفون اپل بهعنوان دستگاههای مشتری استفاده میشدند.
تست دسترسی
در دسترس بودن به عنوان توانایی کاربران برای دسترسی و استفاده از یک سیستم یا سرویس تعریف می شود. در دسترس بودن بالا به معنای دسترسی مداوم به یک سیستم یا سرویس، مستقل از رویدادهای خاص است.
در دسترس بودن بالا در چهار سناریو آزمایش شد، سه سناریو اول رویدادهای قابل پیش بینی یا برنامه ریزی شده بودند که ممکن است در طول یا بعد از ساعات کاری رخ دهند. سناریوی پنجم یک شکست کلاسیک است که اتفاقی غیرقابل پیش بینی است.
شرح سناریوها:
- تصحیح خطا – بهروزرسانی میکرو سیستم (رفع اشکال یا وصله امنیتی)، که به شما امکان میدهد یک خطا یا آسیبپذیری خاص را بدون بهروزرسانی کامل نرمافزار سیستم برطرف کنید.
- به روز رسانی عملکردی - افزودن یا گسترش عملکرد فعلی سیستم با نصب به روز رسانی های کاربردی.
- به روز رسانی کامل – به روز رسانی تصویر نرم افزار کنترلر.
- افزودن نقطه دسترسی – افزودن مدل نقطه دسترسی جدید به شبکه بی سیم بدون نیاز به پیکربندی مجدد یا به روز رسانی نرم افزار کنترلر بی سیم.
- خرابی - خرابی کنترلر بی سیم.
رفع اشکالات و آسیب پذیری ها
اغلب، با بسیاری از راه حل های رقابتی، وصله نیاز به به روز رسانی نرم افزار کامل سیستم کنترل کننده بی سیم دارد که می تواند منجر به خرابی برنامه ریزی نشده شود. در مورد محلول سیسکو، وصله بدون توقف محصول انجام می شود. در حالی که زیرساخت بی سیم به کار خود ادامه می دهد وصله ها را می توان روی هر یک از اجزا نصب کرد.
خود روش بسیار ساده است. فایل پچ در پوشه بوت استرپ در یکی از کنترلرهای بی سیم سیسکو کپی می شود و سپس عملیات از طریق رابط کاربری گرافیکی یا خط فرمان تایید می شود. علاوه بر این، شما همچنین می توانید رفع مشکل را از طریق رابط کاربری گرافیکی یا خط فرمان، بدون وقفه در عملکرد سیستم، لغو و حذف کنید.
به روز رسانی عملکردی
به روز رسانی نرم افزار کاربردی برای فعال کردن ویژگی های جدید اعمال می شود. یکی از این پیشرفت ها به روز رسانی پایگاه داده امضای برنامه است. این بسته به صورت آزمایشی بر روی کنترلرهای سیسکو نصب شد. درست مانند وصلهها، بهروزرسانیهای ویژگی بدون هیچ خرابی یا قطعی سیستم اعمال، نصب یا حذف میشوند.
آپدیت کامل
در حال حاضر، بهروزرسانی کامل تصویر نرمافزار کنترلر به همان شیوه بهروزرسانی عملکردی، یعنی بدون خرابی انجام میشود. با این حال، این ویژگی تنها در پیکربندی کلاستر زمانی در دسترس است که بیش از یک کنترلر وجود داشته باشد. یک به روز رسانی کامل به صورت متوالی انجام می شود: ابتدا روی یک کنترلر، سپس روی دومی.
اضافه کردن یک مدل نقطه دسترسی جدید
اتصال نقاط دسترسی جدید، که قبلاً با تصویر نرمافزار کنترلکننده استفادهشده، به یک شبکه بیسیم کار نمیکردند، یک عملیات نسبتاً رایج است، بهویژه در شبکههای بزرگ (فرودگاهها، هتلها، کارخانهها). اغلب در راه حل های رقیب، این عملیات نیاز به به روز رسانی نرم افزار سیستم یا راه اندازی مجدد کنترلرها دارد.
هنگام اتصال Wi-Fi 6 Access Point های جدید به دسته ای از کنترلرهای سری Cisco Catalyst 9800، چنین مشکلی مشاهده نمی شود. اتصال نقاط جدید به کنترلکننده بدون بهروزرسانی نرمافزار کنترلکننده انجام میشود و این فرآیند نیازی به راهاندازی مجدد ندارد، بنابراین به هیچ وجه شبکه بیسیم را تحت تأثیر قرار نمیدهد.
خرابی کنترلر
محیط تست از دو کنترلر Wi-Fi 6 (Active/StandBy) استفاده می کند و نقطه دسترسی به هر دو کنترلر ارتباط مستقیم دارد.
یک کنترلر بی سیم فعال است و دیگری به ترتیب پشتیبان است. اگر کنترل کننده فعال از کار بیفتد، کنترلر پشتیبان کنترل می شود و وضعیت آن به فعال تغییر می کند. این روش بدون وقفه برای نقطه دسترسی و Wi-Fi برای مشتریان انجام می شود.
امنیت
این بخش جنبههای امنیتی را مورد بحث قرار میدهد، که یک موضوع بسیار مهم در شبکههای بیسیم است. امنیت راه حل بر اساس ویژگی های زیر ارزیابی می شود:
- تشخیص برنامه؛
- ردیابی جریان؛
- تجزیه و تحلیل ترافیک رمزگذاری شده؛
- تشخیص و پیشگیری از نفوذ؛
- احراز هویت یعنی؛
- ابزارهای محافظت از دستگاه مشتری
تشخیص برنامه
در میان محصولات متنوع در بازار وای فای سازمانی و صنعتی، تفاوت هایی در میزان شناسایی ترافیک توسط محصولات توسط محصولات وجود دارد. محصولات تولید کنندگان مختلف ممکن است تعداد متفاوتی از برنامه ها را شناسایی کنند. با این حال، بسیاری از برنامههایی که راهحلهای رقابتی برای شناسایی فهرست میکنند، در واقع وبسایتها هستند و نه برنامههای منحصربهفرد.
یکی دیگر از ویژگی های جالب تشخیص برنامه وجود دارد: راه حل ها در دقت شناسایی بسیار متفاوت هستند.
با در نظر گرفتن تمام تستهای انجامشده، میتوانیم با مسئولیتپذیری اعلام کنیم که راهحل Wi-Fi-6 سیسکو شناسایی برنامهها را بسیار دقیق انجام میدهد: Jabber، Netflix، Dropbox، YouTube و سایر برنامههای محبوب و همچنین سرویسهای وب به دقت شناسایی شدند. راهحلهای سیسکو همچنین میتوانند با استفاده از DPI (بازرسی عمیق بسته) در بستههای داده عمیقتر فرو روند.
ردیابی جریان ترافیک
آزمایش دیگری برای بررسی اینکه آیا سیستم می تواند جریان داده ها (مانند جابجایی فایل های بزرگ) را به طور دقیق ردیابی و گزارش کند، انجام شد. برای آزمایش این، یک فایل 6,5 مگابایتی با استفاده از پروتکل انتقال فایل (FTP) از طریق شبکه ارسال شد.
راه حل سیسکو به طور کامل به وظیفه خود عمل کرد و به لطف NetFlow و قابلیت های سخت افزاری آن توانست این ترافیک را ردیابی کند. ترافیک با مقدار دقیق داده های منتقل شده بلافاصله شناسایی و شناسایی شد.
تجزیه و تحلیل ترافیک رمزگذاری شده
ترافیک داده های کاربر به طور فزاینده ای رمزگذاری می شود. این کار به منظور محافظت از آن در برابر ردیابی یا رهگیری توسط مهاجمان انجام می شود. اما در عین حال، هکرها به طور فزاینده ای از رمزگذاری برای مخفی کردن بدافزار خود و انجام سایر عملیات مشکوک مانند Man-in-the-Middle (MiTM) یا حملات keylogging استفاده می کنند.
اکثر کسب و کارها برخی از ترافیک رمزگذاری شده خود را ابتدا با رمزگشایی با استفاده از فایروال یا سیستم های جلوگیری از نفوذ بررسی می کنند. اما این فرآیند زمان زیادی می برد و برای عملکرد کل شبکه سودی ندارد. علاوه بر این، پس از رمزگشایی، این داده ها در برابر چشمان کنجکاو آسیب پذیر می شوند.
کنترلرهای سری Cisco Catalyst 9800 با موفقیت مشکل تجزیه و تحلیل ترافیک رمزگذاری شده را با روش های دیگر حل می کنند. راه حلی که آنالیز ترافیک رمزگذاری شده (ETA) نام دارد. ETA فناوری است که در حال حاضر هیچ مشابهی در راه حل های رقابتی ندارد و بدافزار را در ترافیک رمزگذاری شده بدون نیاز به رمزگشایی شناسایی می کند. ETA یک ویژگی اصلی IOS-XE است که شامل Enhanced NetFlow است و از الگوریتم های رفتاری پیشرفته برای شناسایی الگوهای ترافیک مخرب پنهان شده در ترافیک رمزگذاری شده استفاده می کند.
ETA پیامها را رمزگشایی نمیکند، اما نمایههای ابرداده جریانهای ترافیک رمزگذاریشده - اندازه بسته، فواصل زمانی بین بستهها و موارد دیگر را جمعآوری میکند. سپس ابرداده در رکوردهای NetFlow v9 به سیسکو Stealthwatch صادر می شود.
عملکرد کلیدی Stealthwatch نظارت مداوم بر ترافیک و همچنین ایجاد یک خط پایه از فعالیت عادی شبکه است. Stealthwatch با استفاده از فراداده جریان رمزگذاری شده ارسال شده توسط ETA، یادگیری ماشینی چند لایه را برای شناسایی ناهنجاری های ترافیکی رفتاری که ممکن است نشان دهنده رویدادهای مشکوک باشد، اعمال می کند.
سال گذشته، سیسکو Miercom را درگیر کرد تا راه حل تجزیه و تحلیل ترافیک رمزگذاری شده سیسکو را به طور مستقل ارزیابی کند. در طی این ارزیابی، Miercom به طور جداگانه تهدیدهای شناخته شده و ناشناخته (ویروس ها، تروجان ها، باج افزار) را در ترافیک رمزگذاری شده و رمزگذاری نشده در سراسر شبکه های بزرگ ETA و غیر ETA ارسال کرد تا تهدیدات را شناسایی کند.
برای آزمایش، کدهای مخرب در هر دو شبکه راه اندازی شد. در هر دو مورد، فعالیت مشکوک به تدریج کشف شد. شبکه ETA در ابتدا تهدیدها را 36 درصد سریعتر از شبکه غیر ETA شناسایی کرد. در همان زمان، با پیشرفت کار، بهره وری تشخیص در شبکه ETA شروع به افزایش کرد. در نتیجه، پس از چند ساعت کار، دو سوم تهدیدهای فعال در شبکه ETA با موفقیت شناسایی شد که دو برابر بیشتر از شبکه غیر ETA است.
عملکرد ETA به خوبی با Stealthwatch یکپارچه شده است. تهدیدها بر اساس شدت رتبه بندی می شوند و با اطلاعات دقیق و همچنین گزینه های اصلاح پس از تأیید نمایش داده می شوند. نتیجه - ETA کار می کند!
تشخیص و پیشگیری از نفوذ
سیسکو اکنون ابزار امنیتی مؤثر دیگری دارد - سیستم پیشگیری از نفوذ بیسیم پیشرفته سیسکو (aWIPS): مکانیزمی برای شناسایی و جلوگیری از تهدیدات شبکههای بیسیم. راه حل aWIPS در سطح کنترلرها، نقاط دسترسی و نرم افزار مدیریت مرکز DNA سیسکو عمل می کند. تشخیص تهدید، هشدار و پیشگیری ترکیبی از تجزیه و تحلیل ترافیک شبکه، دستگاه شبکه و اطلاعات توپولوژی شبکه، تکنیک های مبتنی بر امضا و تشخیص ناهنجاری برای ارائه تهدیدات بی سیم بسیار دقیق و قابل پیشگیری است.
با ادغام کامل aWIPS در زیرساخت شبکه خود، می توانید به طور مداوم ترافیک بی سیم را در شبکه های سیمی و بی سیم نظارت کنید و از آن برای تجزیه و تحلیل خودکار حملات احتمالی از چندین منبع برای ارائه جامع ترین تشخیص و پیشگیری استفاده کنید.
احراز هویت یعنی
در حال حاضر، علاوه بر ابزارهای کلاسیک احراز هویت، راه حل های سری Cisco Catalyst 9800 از WPA3 پشتیبانی می کنند. WPA3 آخرین نسخه WPA است که مجموعهای از پروتکلها و فناوریهایی است که احراز هویت و رمزگذاری شبکههای Wi-Fi را فراهم میکند.
WPA3 از احراز هویت همزمان برابر (SAE) استفاده میکند تا قویترین محافظت را برای کاربران در برابر تلاشهای شخص ثالث برای حدس زدن رمز عبور ارائه دهد. هنگامی که یک کلاینت به یک نقطه دسترسی متصل می شود، یک تبادل SAE را انجام می دهد. در صورت موفقیت، هر یک از آنها یک کلید رمزنگاری قوی ایجاد می کنند که کلید جلسه از آن استخراج می شود و سپس وارد حالت تایید می شوند. سپس کلاینت و نقطه دسترسی می توانند هر بار که نیاز به ایجاد یک کلید جلسه است، حالت های دست دادن را وارد کنند. این روش از محرمانه بودن رو به جلو استفاده می کند، که در آن مهاجم می تواند یک کلید را بشکند، اما نه همه کلیدهای دیگر.
یعنی SAE به گونه ای طراحی شده است که مهاجمی که ترافیک را رهگیری می کند تنها یک بار تلاش می کند تا رمز عبور را حدس بزند قبل از اینکه داده های رهگیری شده بی فایده شوند. برای سازماندهی بازیابی رمز عبور طولانی، به دسترسی فیزیکی به نقطه دسترسی نیاز دارید.
حفاظت از دستگاه مشتری
راه حل های بی سیم سری 9800 Cisco Catalyst در حال حاضر ویژگی اصلی حفاظت از مشتری را از طریق Cisco Umbrella WLAN، یک سرویس امنیت شبکه مبتنی بر ابر که در سطح DNS با شناسایی خودکار تهدیدات شناخته شده و نوظهور عمل می کند، ارائه می دهد.
Cisco Umbrella WLAN اتصال ایمن به اینترنت را برای دستگاه های سرویس گیرنده فراهم می کند. این از طریق فیلتر محتوا، یعنی با مسدود کردن دسترسی به منابع در اینترنت مطابق با خط مشی سازمانی به دست می آید. بنابراین، دستگاه های سرویس گیرنده در اینترنت از بدافزارها، باج افزارها و فیشینگ محافظت می شوند. اجرای خطمشی بر اساس 60 دسته محتوای بهروزرسانی شده است.
اتوماسیون
شبکههای بیسیم امروزی بسیار انعطافپذیرتر و پیچیدهتر هستند، بنابراین روشهای سنتی پیکربندی و بازیابی اطلاعات از کنترلکنندههای بیسیم کافی نیستند. مدیران شبکه و متخصصان امنیت اطلاعات به ابزارهایی برای اتوماسیون و تجزیه و تحلیل نیاز دارند که فروشندگان بی سیم را بر آن می دارد تا چنین ابزارهایی را ارائه دهند.
برای حل این مشکلات، کنترلکنندههای بیسیم سری Catalyst 9800 سیسکو، همراه با API سنتی، از پروتکل پیکربندی شبکه RESTCONF / NETCONF با زبان مدلسازی داده یانگ (نسل بعدی دیگر) پشتیبانی میکنند.
NETCONF یک پروتکل مبتنی بر XML است که برنامهها میتوانند از آن برای جستجوی اطلاعات و تغییر پیکربندی دستگاههای شبکه مانند کنترلکنندههای بیسیم استفاده کنند.
علاوه بر این روش ها، کنترلرهای سری 9800 سیسکو کاتالیست توانایی ضبط، بازیابی و تجزیه و تحلیل داده های جریان اطلاعات را با استفاده از پروتکل های NetFlow و sFlow فراهم می کنند.
برای مدلسازی امنیت و ترافیک، توانایی ردیابی جریانهای خاص ابزار ارزشمندی است. برای حل این مشکل، پروتکل sFlow پیاده سازی شد که به شما امکان می دهد از هر صد بسته، دو بسته را ضبط کنید. با این حال، گاهی اوقات ممکن است این برای تجزیه و تحلیل و مطالعه و ارزیابی کافی جریان کافی نباشد. بنابراین، یک جایگزین NetFlow است که توسط Cisco پیاده سازی شده است، که به شما امکان می دهد 100٪ تمام بسته ها را در یک جریان مشخص برای تجزیه و تحلیل بعدی جمع آوری و صادر کنید.
با این حال، یکی دیگر از ویژگیهایی که فقط در پیادهسازی سختافزاری کنترلکنندهها موجود است، که به شما امکان میدهد عملکرد شبکه بیسیم را در کنترلکنندههای سری Cisco Catalyst 9800 خودکار کنید، پشتیبانی داخلی از زبان پایتون به عنوان یک افزونه برای استفاده است. اسکریپت ها را مستقیماً بر روی خود کنترلر بی سیم.
در نهایت، کنترلرهای سری 9800 سیسکو از پروتکل اثبات شده SNMP نسخه 1، 2 و 3 برای نظارت و مدیریت عملیات پشتیبانی می کنند.
بنابراین، از نظر اتوماسیون، راهحلهای Cisco Catalyst سری 9800 به طور کامل نیازهای تجاری مدرن را برآورده میکنند و ابزارهای جدید و منحصربهفرد و همچنین آزمایششده زمان را برای عملیات خودکار و تجزیه و تحلیل در شبکههای بیسیم با هر اندازه و پیچیدگی ارائه میدهند.
نتیجه
در راه حل های مبتنی بر کنترلرهای سری 9800 سیسکو Catalyst، سیسکو نتایج عالی در دسته های دسترسی بالا، امنیت و اتوماسیون نشان داد.
این راه حل به طور کامل تمام الزامات در دسترس بودن بالا را برآورده می کند، مانند خرابی فرعی دوم در طول رویدادهای برنامه ریزی نشده و زمان توقف صفر برای رویدادهای برنامه ریزی شده.
کنترلرهای سری Cisco Catalyst 9800 امنیت جامعی را ارائه می کنند که بازرسی عمیق بسته را برای شناسایی و کنترل برنامه، دید کامل جریان داده ها و شناسایی تهدیدهای پنهان در ترافیک رمزگذاری شده و همچنین مکانیسم های احراز هویت و امنیتی پیشرفته را برای دستگاه های مشتری فراهم می کند.
برای اتوماسیون و تجزیه و تحلیل، سری Cisco Catalyst 9800 قابلیت های قدرتمندی را با استفاده از مدل های استاندارد محبوب ارائه می دهد: YANG، NETCONF، RESTCONF، API های سنتی و اسکریپت های داخلی پایتون.
بنابراین، سیسکو یک بار دیگر وضعیت خود را به عنوان تولید کننده پیشرو راه حل های شبکه در جهان، با همگام شدن با زمان و با در نظر گرفتن تمام چالش های تجارت مدرن تأیید می کند.
برای کسب اطلاعات بیشتر در مورد خانواده سوئیچ کاتالیست، مراجعه کنید
منبع: www.habr.com