Jos sinulla on ohjain, ei hätää: kuinka ylläpitää langatonta verkkoasi helposti

Konsulttiyritys Miercom suoritti vuonna 2019 riippumattoman teknologisen arvioinnin Cisco Catalyst 6 -sarjan Wi-Fi 9800 -ohjaimista. Tätä tutkimusta varten koottiin testipenkki Ciscon Wi-Fi 6 -ohjaimista ja -liityntäpisteistä sekä teknisestä ratkaisusta. arvioitiin seuraavissa kategorioissa:

• Saatavuus;
• turvallisuus;
• Automaatio.

Tutkimuksen tulokset on esitetty alla. Vuodesta 2019 lähtien Cisco Catalyst 9800 -sarjan ohjaimien toimivuutta on parannettu merkittävästi - nämä seikat näkyvät myös tässä artikkelissa.

Voit lukea Wi-Fi 6 -tekniikan muista eduista, esimerkkejä toteutuksesta ja sovellusalueista täällä.

Ratkaisun yleiskatsaus

Wi-Fi 6 ohjainta Cisco Catalyst 9800 series

Cisco Catalyst 9800 -sarjan langattomat ohjaimet, jotka perustuvat IOS-XE-käyttöjärjestelmään (käytetään myös Ciscon kytkimissä ja reitittimissä), ovat saatavilla useissa eri vaihtoehdoissa.

9800-80-ohjaimen vanhempi malli tukee langattoman verkon kapasiteettia 80 Gbps asti. Yksi 9800-80-ohjain tukee jopa 6000 64 tukiasemaa ja jopa 000 XNUMX langatonta asiakasta.

Keskitason malli, 9800-40-ohjain, tukee jopa 40 Gbps:n suoritusnopeutta, jopa 2000 32 tukiasemaa ja jopa 000 XNUMX langatonta asiakasta.

Näiden mallien lisäksi kilpailuanalyysi sisälsi myös langattoman 9800-CL-ohjaimen (CL tarkoittaa Cloudia). 9800-CL toimii virtuaalisissa ympäristöissä VMWare ESXI- ja KVM-hypervisoreissa, ja sen suorituskyky riippuu ohjaimen virtuaalikoneen omistetuista laitteistoresursseista. Maksimikokoonpanossaan Cisco 9800-CL -ohjain, kuten vanhempi malli 9800-80, tukee skaalautuvuutta jopa 6000 64 tukiasemaan ja jopa 000 XNUMX langattomaan asiakaslaitteeseen.

Ohjainten kanssa tehdyssä tutkimuksessa käytettiin Cisco Aironet AP 4800 -sarjan tukiasemia, jotka tukivat toimintaa 2,4 ja 5 GHz:n taajuuksilla ja kyky vaihtaa dynaamisesti kahteen 5 GHz:n tilaan.

Testiteline

Osana testausta koottiin teline kahdesta klusterissa toimivasta langattomasta Cisco Catalyst 9800-CL -ohjaimesta ja Cisco Aironet AP 4800 -sarjan tukipisteistä.

Asiakaslaitteina käytettiin Dellin ja Applen kannettavia tietokoneita sekä Apple iPhone -älypuhelinta.

Esteettömyystestaus

Saatavuus määritellään käyttäjien mahdollisuudeksi päästä järjestelmään tai palveluun ja käyttää sitä. Korkea käytettävyys tarkoittaa jatkuvaa pääsyä järjestelmään tai palveluun tietyistä tapahtumista riippumatta.

Korkeaa käytettävyyttä testattiin neljässä skenaariossa. Kolme ensimmäistä skenaariota olivat ennustettavissa olevia tai ajoitettuja tapahtumia, jotka voisivat tapahtua työaikana tai sen jälkeen. Viides skenaario on klassinen epäonnistuminen, joka on arvaamaton tapahtuma.

Kuvaus skenaarioista:

• Virheenkorjaus – järjestelmän mikropäivitys (virheenkorjaus tai tietoturvakorjaus), jonka avulla voit korjata tietyn virheen tai haavoittuvuuden ilman koko järjestelmäohjelmiston päivitystä;
• Toiminnallinen päivitys – järjestelmän nykyisen toiminnallisuuden lisääminen tai laajentaminen asentamalla toiminnallisia päivityksiä;
• Täysi päivitys – päivitä ohjaimen ohjelmistokuva;
• Tukiaseman lisääminen – uuden tukiasemamallin lisääminen langattomaan verkkoon ilman tarvetta määrittää uudelleen tai päivittää langattoman ohjaimen ohjelmistoa;
• Vika — langattoman ohjaimen vika.

Virheiden ja haavoittuvuuksien korjaaminen

Usein monissa kilpailevissa ratkaisuissa korjaus vaatii täydellisen langattoman ohjainjärjestelmän ohjelmistopäivityksen, mikä voi johtaa odottamattomiin seisokkeihin. Cisco-ratkaisun tapauksessa paikkaus suoritetaan pysäyttämättä tuotetta. Korjaukset voidaan asentaa mihin tahansa komponenttiin, kun langaton infrastruktuuri jatkaa toimintaansa.

Itse menettely on melko yksinkertainen. Korjaustiedosto kopioidaan jonkin langattoman Ciscon ohjaimen bootstrap-kansioon ja toiminta vahvistetaan sitten graafisen käyttöliittymän tai komentorivin kautta. Lisäksi voit myös kumota ja poistaa korjauksen graafisen käyttöliittymän tai komentorivin kautta, myös keskeyttämättä järjestelmän toimintaa.

Toiminnallinen päivitys

Toiminnallisia ohjelmistopäivityksiä käytetään uusien ominaisuuksien mahdollistamiseksi. Yksi näistä parannuksista on sovelluksen allekirjoitustietokannan päivittäminen. Tämä paketti asennettiin Cisco-ohjaimiin testinä. Aivan kuten korjaustiedostot, ominaisuuspäivitykset otetaan käyttöön, asennetaan tai poistetaan ilman seisokkeja tai järjestelmän keskeytyksiä.

Täysi päivitys

Tällä hetkellä ohjaimen ohjelmistokuvan täysi päivitys suoritetaan samalla tavalla kuin toiminnallinen päivitys, eli ilman seisokkeja. Tämä ominaisuus on kuitenkin käytettävissä vain klusterikokoonpanossa, kun ohjaimia on useampi kuin yksi. Täydellinen päivitys suoritetaan peräkkäin: ensin yhdellä ohjaimella, sitten toisella.

Uuden tukiasemamallin lisääminen

Uusien tukiasemien, joita ei ole aiemmin käytetty käytetyllä ohjainohjelmistokuvalla, liittäminen langattomaan verkkoon on varsin yleistä varsinkin suurissa verkoissa (lentokentät, hotellit, tehtaat). Usein kilpailijoissa tämä toimenpide vaatii järjestelmäohjelmiston päivityksen tai ohjainten uudelleenkäynnistyksen.

Kun uusia Wi-Fi 6 -tukipisteitä yhdistetään Cisco Catalyst 9800 -sarjan ohjaimien klusteriin, tällaisia ​​ongelmia ei havaita. Uusien pisteiden yhdistäminen ohjaimeen tapahtuu ilman ohjainohjelmiston päivitystä, eikä tämä prosessi vaadi uudelleenkäynnistystä, joten se ei vaikuta langattomaan verkkoon millään tavalla.

Ohjaimen vika

Testiympäristö käyttää kahta Wi-Fi 6 -ohjainta (Active/StandBy) ja tukiasemalla on suora yhteys molempiin ohjaimiin.

Yksi langaton ohjain on aktiivinen ja toinen vastaavasti varmuuskopioitu. Jos aktiivinen ohjain epäonnistuu, varaohjain ottaa vallan ja sen tila muuttuu aktiiviseksi. Tämä toimenpide tapahtuu keskeytyksettä tukiasemalle ja asiakkaiden Wi-Fi-yhteydelle.

Безопасность

Tässä osiossa käsitellään turvallisuusnäkökohtia, jotka ovat erittäin kiireellisiä langattomissa verkoissa. Ratkaisun turvallisuutta arvioidaan seuraavien ominaisuuksien perusteella:

• Sovellusten tunnustaminen;
• Virtauksen seuranta;
• Salatun liikenteen analysointi;
• Tunkeutumisen havaitseminen ja estäminen;
• Todennus tarkoittaa;
• Asiakkaan laitesuojaustyökalut.

Sovelluksen tunnistus

Yritysten ja teollisuuden Wi-Fi-markkinoiden tuotevalikoimassa on eroja siinä, kuinka hyvin tuotteet tunnistavat liikenteen sovellusten mukaan. Eri valmistajien tuotteet voivat tunnistaa eri määrän sovelluksia. Kuitenkin monet sovelluksista, jotka kilpailukykyiset ratkaisut mahdollistavat tunnistamisen, ovat itse asiassa verkkosivustoja eivätkä ainutlaatuisia sovelluksia.

Sovellusten tunnistamisessa on toinenkin mielenkiintoinen piirre: ratkaisut vaihtelevat suuresti tunnistustarkkuuden suhteen.

Kaikki suoritetut testit huomioon ottaen voimme vastuullisesti todeta, että Ciscon Wi-Fi-6-ratkaisu suorittaa sovellustunnistuksen erittäin tarkasti: Jabber, Netflix, Dropbox, YouTube ja muut suositut sovellukset sekä verkkopalvelut tunnistettiin tarkasti. Ciscon ratkaisut voivat myös sukeltaa syvemmälle datapaketteihin käyttämällä DPI:tä (Deep Packet Inspection).

Liikennevirran seuranta

Toinen testi suoritettiin sen selvittämiseksi, pystyykö järjestelmä seuraamaan ja raportoimaan tarkasti tietovirtoja (kuten suuria tiedostojen liikkeitä). Tämän testaamiseksi 6,5 megatavun tiedosto lähetettiin verkon yli käyttämällä FTP (File Transfer Protocol) -protokollaa.

Cisco-ratkaisu oli täysin tehtävänsä mukainen ja pystyi seuraamaan tätä liikennettä NetFlown ja sen laitteistoominaisuuksien ansiosta. Liikenne havaittiin ja tunnistettiin välittömästi siirretyn datamäärän perusteella.

Salattu liikenneanalyysi

Käyttäjien dataliikenne salataan yhä enemmän. Tämä tehdään sen suojaamiseksi hyökkääjien jäljittämiseltä tai sieppaamiselta. Mutta samaan aikaan hakkerit käyttävät yhä enemmän salausta piilottaakseen haittaohjelmansa ja suorittaakseen muita kyseenalaisia ​​toimintoja, kuten Man-in-the-Middle (MiTM) tai keylogging-hyökkäyksiä.

Useimmat yritykset tarkastavat osan salatusta liikenteestään purkamalla sen salauksen ensin palomuureilla tai tunkeutumisen estojärjestelmillä. Mutta tämä prosessi vie paljon aikaa, eikä se hyödytä koko verkon suorituskykyä. Lisäksi kun tiedot on purettu, ne altistuvat uteliaille katseille.

Cisco Catalyst 9800 -sarjan ohjaimet ratkaisevat onnistuneesti salatun liikenteen analysoinnin muilla tavoilla. Ratkaisu on nimeltään Encrypted Traffic Analytics (ETA). ETA on tekniikka, jolla ei tällä hetkellä ole analogeja kilpailevissa ratkaisuissa ja joka havaitsee haittaohjelmat salatussa liikenteessä ilman, että sitä tarvitsee purkaa. ETA on IOS-XE:n ydinominaisuus, joka sisältää Enhanced NetFlow'n ja käyttää kehittyneitä käyttäytymisalgoritmeja tunnistaakseen salatussa liikenteessä piileviä haitallisia liikennemalleja.

ETA ei pura viestien salausta, vaan kerää salattujen liikennevirtojen metatietoprofiilit - paketin koon, pakettien väliset aikavälit ja paljon muuta. Sen jälkeen metatiedot viedään NetFlow v9 -tietueisiin Cisco Stealthwatchiin.

Stealthwatchin päätehtävä on jatkuvasti seurata liikennettä sekä luoda lähtökohta normaalille verkkotoiminnalle. Käyttämällä ETA:n sille lähettämiä salattuja stream-metatietoja, Stealthwatch käyttää monikerroksista koneoppimista tunnistaakseen käyttäytymisen liikenteen poikkeavuuksia, jotka voivat viitata epäilyttäviä tapahtumia.

Viime vuonna Cisco palkkasi Miercomin arvioimaan itsenäisesti Cisco Encrypted Traffic Analytics -ratkaisunsa. Tämän arvioinnin aikana Miercom lähetti erikseen tunnettuja ja tuntemattomia uhkia (virukset, troijalaiset, lunnasohjelmat) salatussa ja salaamattomassa liikenteessä suurten ETA- ja ei-ETA-verkkojen välillä uhkien tunnistamiseksi.

Testausta varten molemmissa verkoissa käynnistettiin haitallinen koodi. Molemmissa tapauksissa epäilyttävää toimintaa havaittiin vähitellen. ETA-verkko havaitsi alun perin uhat 36 % nopeammin kuin ei-ETA-verkko. Samaan aikaan työn edetessä ETA-verkon havaitsemisen tuottavuus alkoi nousta. Tämän seurauksena usean tunnin työn jälkeen ETA-verkossa havaittiin onnistuneesti kaksi kolmasosaa aktiivisista uhista, mikä on kaksi kertaa enemmän kuin ei-ETA-verkossa.

ETA-toiminto on integroitu hyvin Stealthwatchiin. Uhat luokitellaan vakavuuden mukaan ja näytetään yksityiskohtaisten tietojen sekä korjausvaihtoehtojen kera, kun ne on vahvistettu. Johtopäätös – ETA toimii!

Tunkeutumisen havaitseminen ja esto

Ciscolla on nyt toinen tehokas suojaustyökalu - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mekanismi langattomiin verkkoihin kohdistuvien uhkien havaitsemiseen ja estämiseen. AWIPS-ratkaisu toimii ohjainten, tukiasemien ja Cisco DNA Centerin hallintaohjelmistojen tasolla. Uhkien havaitseminen, hälyttäminen ja estäminen yhdistää verkkoliikenteen analyysin, verkkolaite- ja verkkotopologiatiedot, allekirjoituspohjaiset tekniikat ja poikkeamien havaitsemisen erittäin tarkkojen ja estettävissä olevien langattomien uhkien tuottamiseksi.

Integroimalla aWIPS:n täysin verkkoinfrastruktuuriisi, voit jatkuvasti seurata langatonta liikennettä sekä langallisissa että langattomissa verkoissa ja käyttää sitä mahdollisten hyökkäysten automaattiseen analysointiin useista lähteistä tarjotaksesi kattavimman mahdollisen havaitsemisen ja ehkäisyn.

Todennus tarkoittaa

Tällä hetkellä Cisco Catalyst 9800 -sarjan ratkaisut tukevat klassisten todennustyökalujen lisäksi WPA3:a. WPA3 on uusin versio WPA:sta, joka on joukko protokollia ja tekniikoita, jotka tarjoavat todennuksen ja salauksen Wi-Fi-verkkoihin.

WPA3 käyttää samanaikaista todennusta (SAE) tarjotakseen käyttäjille vahvimman suojan kolmansien osapuolten salasanan arvausyrityksiä vastaan. Kun asiakas muodostaa yhteyden tukiasemaan, se suorittaa SAE-vaihdon. Jos onnistuu, kukin niistä luo kryptografisesti vahvan avaimen, josta istuntoavain johdetaan, ja siirtyy sitten vahvistustilaan. Asiakas ja tukiasema voivat sitten siirtyä kättelytiloihin aina, kun istuntoavain on luotava. Menetelmä käyttää välityssalaisuutta, jossa hyökkääjä voi murtaa yhden avaimen, mutta ei kaikkia muita avaimia.

Toisin sanoen SAE on suunniteltu siten, että liikennettä sieppaavalla hyökkääjällä on vain yksi yritys arvata salasana ennen kuin siepatut tiedot muuttuvat hyödyttömiksi. Pitkän salasanan palautuksen järjestämiseksi tarvitset fyysisen pääsyn tukiasemaan.

Asiakkaan laitesuojaus

Cisco Catalyst 9800 -sarjan langattomat ratkaisut tarjoavat tällä hetkellä ydinasiakassuojan Cisco Umbrella WLAN -pilvipohjaisen verkkoturvapalvelun kautta, joka toimii DNS-tasolla ja tunnistaa automaattisesti sekä tunnetut että nousevat uhat.

Cisco Umbrella WLAN tarjoaa asiakaslaitteille suojatun yhteyden Internetiin. Tämä saavutetaan sisällön suodatuksella, eli estämällä pääsy Internetin resursseihin yrityspolitiikan mukaisesti. Näin ollen Internetissä olevat asiakaslaitteet on suojattu haittaohjelmilta, kiristysohjelmilta ja tietojenkalastelulta. Käytännön täytäntöönpano perustuu 60 jatkuvasti päivitettävään sisältöluokkaan.

automaatio

Nykypäivän langattomat verkot ovat paljon joustavampia ja monimutkaisempia, joten perinteiset menetelmät konfiguroida ja hakea tietoa langattomista ohjaimista eivät riitä. Verkon ylläpitäjät ja tietoturva-ammattilaiset tarvitsevat työkaluja automaatioon ja analytiikkaan, minkä vuoksi langattoman verkon myyjät tarjoavat tällaisia ​​työkaluja.

Näiden ongelmien ratkaisemiseksi Cisco Catalyst 9800 -sarjan langattomat ohjaimet yhdessä perinteisen API:n kanssa tukevat RESTCONF / NETCONF-verkkomääritysprotokollaa YANG (Yet Another Next Generation) -tietomallinnuskielellä.

NETCONF on XML-pohjainen protokolla, jota sovellukset voivat käyttää tietojen kyselyyn ja verkkolaitteiden, kuten langattomien ohjainten, kokoonpanon muuttamiseen.

Näiden menetelmien lisäksi Cisco Catalyst 9800 -sarjan ohjaimet tarjoavat mahdollisuuden kaapata, hakea ja analysoida tietovirtatietoja NetFlow- ja sFlow-protokollien avulla.

Tietoturvan ja liikenteen mallintamisen kannalta kyky seurata tiettyjä virtoja on arvokas työkalu. Tämän ongelman ratkaisemiseksi otettiin käyttöön sFlow-protokolla, jonka avulla voit siepata kaksi pakettia sadasta. Joskus tämä ei kuitenkaan välttämättä riitä analysoimaan ja riittävästi tutkimaan ja arvioimaan virtausta. Siksi vaihtoehtona on Ciscon toteuttama NetFlow, jonka avulla voit 100-prosenttisesti kerätä ja viedä kaikki paketit määritetyssä virtauksessa myöhempää analysointia varten.

Toinen vain ohjaimien laitteistototeutuksessa käytettävissä oleva ominaisuus, jonka avulla voit automatisoida langattoman verkon toiminnan Cisco Catalyst 9800 -sarjan ohjaimissa, on sisäänrakennettu tuki Python-kielelle lisäosana käyttöä varten. komentosarjat suoraan langattomaan ohjaimeen.

Lopuksi Cisco Catalyst 9800 -sarjan ohjaimet tukevat todistettua SNMP-versioiden 1, 2 ja 3 protokollia valvonta- ja hallintatoimintoihin.

Näin ollen automaation kannalta Cisco Catalyst 9800 -sarjan ratkaisut täyttävät täysin nykyaikaiset liiketoiminnan vaatimukset, ja ne tarjoavat sekä uusia että ainutlaatuisia sekä aika-testattuja työkaluja automatisoituun toimintaan ja analytiikkaan kaikenkokoisissa ja monimutkaisissa langattomissa verkoissa.

Johtopäätös

Cisco Catalyst 9800 -sarjan ohjaimiin perustuvissa ratkaisuissa Cisco osoitti erinomaisia ​​tuloksia korkean käytettävyyden, turvallisuuden ja automaation luokissa.

Ratkaisu täyttää täysin kaikki korkeat käytettävyyden vaatimukset, kuten sekuntia pienempi vikasieto odottamattomien tapahtumien aikana ja nollakatkosaika ajoitetuissa tapahtumissa.

Cisco Catalyst 9800 -sarjan ohjaimet tarjoavat kattavan suojauksen, joka tarjoaa syvän pakettitarkistuksen sovellusten tunnistamista ja hallintaa varten, täydellisen tietovirran näkyvyyden ja salatun liikenteen piilossa olevien uhkien tunnistamisen sekä kehittyneet todennus- ja suojausmekanismit asiakaslaitteille.

Automaatioon ja analytiikkaan Cisco Catalyst 9800 Series tarjoaa tehokkaita ominaisuuksia käyttämällä suosittuja vakiomalleja: YANG, NETCONF, RESTCONF, perinteiset API:t ja sisäänrakennetut Python-skriptit.

Näin Cisco vahvistaa jälleen asemansa maailman johtavana verkkoratkaisujen valmistajana, joka pysyy ajan tasalla ja ottaa huomioon kaikki nykyaikaisen liiketoiminnan haasteet.

Lisätietoja Catalyst-kytkinperheestä on osoitteessa Online cisco.

Lähde: will.com

Konsulttiyritys Miercom suoritti vuonna 2019 riippumattoman teknologisen arvioinnin Cisco Catalyst 6 -sarjan Wi-Fi 9800 -ohjaimista. Tätä tutkimusta varten koottiin testipenkki Ciscon Wi-Fi 6 -ohjaimista ja -liityntäpisteistä sekä teknisestä ratkaisusta. arvioitiin seuraavissa kategorioissa:

• Saatavuus;
• turvallisuus;
• Automaatio.

Tutkimuksen tulokset on esitetty alla. Vuodesta 2019 lähtien Cisco Catalyst 9800 -sarjan ohjaimien toimivuutta on parannettu merkittävästi - nämä seikat näkyvät myös tässä artikkelissa.

Voit lukea Wi-Fi 6 -tekniikan muista eduista, esimerkkejä toteutuksesta ja sovellusalueista täällä.

Ratkaisun yleiskatsaus

Wi-Fi 6 ohjainta Cisco Catalyst 9800 series

Cisco Catalyst 9800 -sarjan langattomat ohjaimet, jotka perustuvat IOS-XE-käyttöjärjestelmään (käytetään myös Ciscon kytkimissä ja reitittimissä), ovat saatavilla useissa eri vaihtoehdoissa.

9800-80-ohjaimen vanhempi malli tukee langattoman verkon kapasiteettia 80 Gbps asti. Yksi 9800-80-ohjain tukee jopa 6000 64 tukiasemaa ja jopa 000 XNUMX langatonta asiakasta.

Keskitason malli, 9800-40-ohjain, tukee jopa 40 Gbps:n suoritusnopeutta, jopa 2000 32 tukiasemaa ja jopa 000 XNUMX langatonta asiakasta.

Näiden mallien lisäksi kilpailuanalyysi sisälsi myös langattoman 9800-CL-ohjaimen (CL tarkoittaa Cloudia). 9800-CL toimii virtuaalisissa ympäristöissä VMWare ESXI- ja KVM-hypervisoreissa, ja sen suorituskyky riippuu ohjaimen virtuaalikoneen omistetuista laitteistoresursseista. Maksimikokoonpanossaan Cisco 9800-CL -ohjain, kuten vanhempi malli 9800-80, tukee skaalautuvuutta jopa 6000 64 tukiasemaan ja jopa 000 XNUMX langattomaan asiakaslaitteeseen.

Ohjainten kanssa tehdyssä tutkimuksessa käytettiin Cisco Aironet AP 4800 -sarjan tukiasemia, jotka tukivat toimintaa 2,4 ja 5 GHz:n taajuuksilla ja kyky vaihtaa dynaamisesti kahteen 5 GHz:n tilaan.

Testiteline

Osana testausta koottiin teline kahdesta klusterissa toimivasta langattomasta Cisco Catalyst 9800-CL -ohjaimesta ja Cisco Aironet AP 4800 -sarjan tukipisteistä.

Asiakaslaitteina käytettiin Dellin ja Applen kannettavia tietokoneita sekä Apple iPhone -älypuhelinta.

Esteettömyystestaus

Saatavuus määritellään käyttäjien mahdollisuudeksi päästä järjestelmään tai palveluun ja käyttää sitä. Korkea käytettävyys tarkoittaa jatkuvaa pääsyä järjestelmään tai palveluun tietyistä tapahtumista riippumatta.

Korkeaa käytettävyyttä testattiin neljässä skenaariossa. Kolme ensimmäistä skenaariota olivat ennustettavissa olevia tai ajoitettuja tapahtumia, jotka voisivat tapahtua työaikana tai sen jälkeen. Viides skenaario on klassinen epäonnistuminen, joka on arvaamaton tapahtuma.

Kuvaus skenaarioista:

• Virheenkorjaus – järjestelmän mikropäivitys (virheenkorjaus tai tietoturvakorjaus), jonka avulla voit korjata tietyn virheen tai haavoittuvuuden ilman koko järjestelmäohjelmiston päivitystä;
• Toiminnallinen päivitys – järjestelmän nykyisen toiminnallisuuden lisääminen tai laajentaminen asentamalla toiminnallisia päivityksiä;
• Täysi päivitys – päivitä ohjaimen ohjelmistokuva;
• Tukiaseman lisääminen – uuden tukiasemamallin lisääminen langattomaan verkkoon ilman tarvetta määrittää uudelleen tai päivittää langattoman ohjaimen ohjelmistoa;
• Vika — langattoman ohjaimen vika.

Virheiden ja haavoittuvuuksien korjaaminen

Usein monissa kilpailevissa ratkaisuissa korjaus vaatii täydellisen langattoman ohjainjärjestelmän ohjelmistopäivityksen, mikä voi johtaa odottamattomiin seisokkeihin. Cisco-ratkaisun tapauksessa paikkaus suoritetaan pysäyttämättä tuotetta. Korjaukset voidaan asentaa mihin tahansa komponenttiin, kun langaton infrastruktuuri jatkaa toimintaansa.

Itse menettely on melko yksinkertainen. Korjaustiedosto kopioidaan jonkin langattoman Ciscon ohjaimen bootstrap-kansioon ja toiminta vahvistetaan sitten graafisen käyttöliittymän tai komentorivin kautta. Lisäksi voit myös kumota ja poistaa korjauksen graafisen käyttöliittymän tai komentorivin kautta, myös keskeyttämättä järjestelmän toimintaa.

Toiminnallinen päivitys

Toiminnallisia ohjelmistopäivityksiä käytetään uusien ominaisuuksien mahdollistamiseksi. Yksi näistä parannuksista on sovelluksen allekirjoitustietokannan päivittäminen. Tämä paketti asennettiin Cisco-ohjaimiin testinä. Aivan kuten korjaustiedostot, ominaisuuspäivitykset otetaan käyttöön, asennetaan tai poistetaan ilman seisokkeja tai järjestelmän keskeytyksiä.

Täysi päivitys

Tällä hetkellä ohjaimen ohjelmistokuvan täysi päivitys suoritetaan samalla tavalla kuin toiminnallinen päivitys, eli ilman seisokkeja. Tämä ominaisuus on kuitenkin käytettävissä vain klusterikokoonpanossa, kun ohjaimia on useampi kuin yksi. Täydellinen päivitys suoritetaan peräkkäin: ensin yhdellä ohjaimella, sitten toisella.

Uuden tukiasemamallin lisääminen

Uusien tukiasemien, joita ei ole aiemmin käytetty käytetyllä ohjainohjelmistokuvalla, liittäminen langattomaan verkkoon on varsin yleistä varsinkin suurissa verkoissa (lentokentät, hotellit, tehtaat). Usein kilpailijoissa tämä toimenpide vaatii järjestelmäohjelmiston päivityksen tai ohjainten uudelleenkäynnistyksen.

Kun uusia Wi-Fi 6 -tukipisteitä yhdistetään Cisco Catalyst 9800 -sarjan ohjaimien klusteriin, tällaisia ​​ongelmia ei havaita. Uusien pisteiden yhdistäminen ohjaimeen tapahtuu ilman ohjainohjelmiston päivitystä, eikä tämä prosessi vaadi uudelleenkäynnistystä, joten se ei vaikuta langattomaan verkkoon millään tavalla.

Ohjaimen vika

Testiympäristö käyttää kahta Wi-Fi 6 -ohjainta (Active/StandBy) ja tukiasemalla on suora yhteys molempiin ohjaimiin.

Yksi langaton ohjain on aktiivinen ja toinen vastaavasti varmuuskopioitu. Jos aktiivinen ohjain epäonnistuu, varaohjain ottaa vallan ja sen tila muuttuu aktiiviseksi. Tämä toimenpide tapahtuu keskeytyksettä tukiasemalle ja asiakkaiden Wi-Fi-yhteydelle.

Безопасность

Tässä osiossa käsitellään turvallisuusnäkökohtia, jotka ovat erittäin kiireellisiä langattomissa verkoissa. Ratkaisun turvallisuutta arvioidaan seuraavien ominaisuuksien perusteella:

• Sovellusten tunnustaminen;
• Virtauksen seuranta;
• Salatun liikenteen analysointi;
• Tunkeutumisen havaitseminen ja estäminen;
• Todennus tarkoittaa;
• Asiakkaan laitesuojaustyökalut.

Sovelluksen tunnistus

Yritysten ja teollisuuden Wi-Fi-markkinoiden tuotevalikoimassa on eroja siinä, kuinka hyvin tuotteet tunnistavat liikenteen sovellusten mukaan. Eri valmistajien tuotteet voivat tunnistaa eri määrän sovelluksia. Kuitenkin monet sovelluksista, jotka kilpailukykyiset ratkaisut mahdollistavat tunnistamisen, ovat itse asiassa verkkosivustoja eivätkä ainutlaatuisia sovelluksia.

Sovellusten tunnistamisessa on toinenkin mielenkiintoinen piirre: ratkaisut vaihtelevat suuresti tunnistustarkkuuden suhteen.

Kaikki suoritetut testit huomioon ottaen voimme vastuullisesti todeta, että Ciscon Wi-Fi-6-ratkaisu suorittaa sovellustunnistuksen erittäin tarkasti: Jabber, Netflix, Dropbox, YouTube ja muut suositut sovellukset sekä verkkopalvelut tunnistettiin tarkasti. Ciscon ratkaisut voivat myös sukeltaa syvemmälle datapaketteihin käyttämällä DPI:tä (Deep Packet Inspection).

Liikennevirran seuranta

Toinen testi suoritettiin sen selvittämiseksi, pystyykö järjestelmä seuraamaan ja raportoimaan tarkasti tietovirtoja (kuten suuria tiedostojen liikkeitä). Tämän testaamiseksi 6,5 megatavun tiedosto lähetettiin verkon yli käyttämällä FTP (File Transfer Protocol) -protokollaa.

Cisco-ratkaisu oli täysin tehtävänsä mukainen ja pystyi seuraamaan tätä liikennettä NetFlown ja sen laitteistoominaisuuksien ansiosta. Liikenne havaittiin ja tunnistettiin välittömästi siirretyn datamäärän perusteella.

Salattu liikenneanalyysi

Käyttäjien dataliikenne salataan yhä enemmän. Tämä tehdään sen suojaamiseksi hyökkääjien jäljittämiseltä tai sieppaamiselta. Mutta samaan aikaan hakkerit käyttävät yhä enemmän salausta piilottaakseen haittaohjelmansa ja suorittaakseen muita kyseenalaisia ​​toimintoja, kuten Man-in-the-Middle (MiTM) tai keylogging-hyökkäyksiä.

Useimmat yritykset tarkastavat osan salatusta liikenteestään purkamalla sen salauksen ensin palomuureilla tai tunkeutumisen estojärjestelmillä. Mutta tämä prosessi vie paljon aikaa, eikä se hyödytä koko verkon suorituskykyä. Lisäksi kun tiedot on purettu, ne altistuvat uteliaille katseille.

Cisco Catalyst 9800 -sarjan ohjaimet ratkaisevat onnistuneesti salatun liikenteen analysoinnin muilla tavoilla. Ratkaisu on nimeltään Encrypted Traffic Analytics (ETA). ETA on tekniikka, jolla ei tällä hetkellä ole analogeja kilpailevissa ratkaisuissa ja joka havaitsee haittaohjelmat salatussa liikenteessä ilman, että sitä tarvitsee purkaa. ETA on IOS-XE:n ydinominaisuus, joka sisältää Enhanced NetFlow'n ja käyttää kehittyneitä käyttäytymisalgoritmeja tunnistaakseen salatussa liikenteessä piileviä haitallisia liikennemalleja.

ETA ei pura viestien salausta, vaan kerää salattujen liikennevirtojen metatietoprofiilit - paketin koon, pakettien väliset aikavälit ja paljon muuta. Sen jälkeen metatiedot viedään NetFlow v9 -tietueisiin Cisco Stealthwatchiin.

Stealthwatchin päätehtävä on jatkuvasti seurata liikennettä sekä luoda lähtökohta normaalille verkkotoiminnalle. Käyttämällä ETA:n sille lähettämiä salattuja stream-metatietoja, Stealthwatch käyttää monikerroksista koneoppimista tunnistaakseen käyttäytymisen liikenteen poikkeavuuksia, jotka voivat viitata epäilyttäviä tapahtumia.

Viime vuonna Cisco palkkasi Miercomin arvioimaan itsenäisesti Cisco Encrypted Traffic Analytics -ratkaisunsa. Tämän arvioinnin aikana Miercom lähetti erikseen tunnettuja ja tuntemattomia uhkia (virukset, troijalaiset, lunnasohjelmat) salatussa ja salaamattomassa liikenteessä suurten ETA- ja ei-ETA-verkkojen välillä uhkien tunnistamiseksi.

Testausta varten molemmissa verkoissa käynnistettiin haitallinen koodi. Molemmissa tapauksissa epäilyttävää toimintaa havaittiin vähitellen. ETA-verkko havaitsi alun perin uhat 36 % nopeammin kuin ei-ETA-verkko. Samaan aikaan työn edetessä ETA-verkon havaitsemisen tuottavuus alkoi nousta. Tämän seurauksena usean tunnin työn jälkeen ETA-verkossa havaittiin onnistuneesti kaksi kolmasosaa aktiivisista uhista, mikä on kaksi kertaa enemmän kuin ei-ETA-verkossa.

ETA-toiminto on integroitu hyvin Stealthwatchiin. Uhat luokitellaan vakavuuden mukaan ja näytetään yksityiskohtaisten tietojen sekä korjausvaihtoehtojen kera, kun ne on vahvistettu. Johtopäätös – ETA toimii!

Tunkeutumisen havaitseminen ja esto

Ciscolla on nyt toinen tehokas suojaustyökalu - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mekanismi langattomiin verkkoihin kohdistuvien uhkien havaitsemiseen ja estämiseen. AWIPS-ratkaisu toimii ohjainten, tukiasemien ja Cisco DNA Centerin hallintaohjelmistojen tasolla. Uhkien havaitseminen, hälyttäminen ja estäminen yhdistää verkkoliikenteen analyysin, verkkolaite- ja verkkotopologiatiedot, allekirjoituspohjaiset tekniikat ja poikkeamien havaitsemisen erittäin tarkkojen ja estettävissä olevien langattomien uhkien tuottamiseksi.

Integroimalla aWIPS:n täysin verkkoinfrastruktuuriisi, voit jatkuvasti seurata langatonta liikennettä sekä langallisissa että langattomissa verkoissa ja käyttää sitä mahdollisten hyökkäysten automaattiseen analysointiin useista lähteistä tarjotaksesi kattavimman mahdollisen havaitsemisen ja ehkäisyn.

Todennus tarkoittaa

Tällä hetkellä Cisco Catalyst 9800 -sarjan ratkaisut tukevat klassisten todennustyökalujen lisäksi WPA3:a. WPA3 on uusin versio WPA:sta, joka on joukko protokollia ja tekniikoita, jotka tarjoavat todennuksen ja salauksen Wi-Fi-verkkoihin.

WPA3 käyttää samanaikaista todennusta (SAE) tarjotakseen käyttäjille vahvimman suojan kolmansien osapuolten salasanan arvausyrityksiä vastaan. Kun asiakas muodostaa yhteyden tukiasemaan, se suorittaa SAE-vaihdon. Jos onnistuu, kukin niistä luo kryptografisesti vahvan avaimen, josta istuntoavain johdetaan, ja siirtyy sitten vahvistustilaan. Asiakas ja tukiasema voivat sitten siirtyä kättelytiloihin aina, kun istuntoavain on luotava. Menetelmä käyttää välityssalaisuutta, jossa hyökkääjä voi murtaa yhden avaimen, mutta ei kaikkia muita avaimia.

Toisin sanoen SAE on suunniteltu siten, että liikennettä sieppaavalla hyökkääjällä on vain yksi yritys arvata salasana ennen kuin siepatut tiedot muuttuvat hyödyttömiksi. Pitkän salasanan palautuksen järjestämiseksi tarvitset fyysisen pääsyn tukiasemaan.

Asiakkaan laitesuojaus

Cisco Catalyst 9800 -sarjan langattomat ratkaisut tarjoavat tällä hetkellä ydinasiakassuojan Cisco Umbrella WLAN -pilvipohjaisen verkkoturvapalvelun kautta, joka toimii DNS-tasolla ja tunnistaa automaattisesti sekä tunnetut että nousevat uhat.

Cisco Umbrella WLAN tarjoaa asiakaslaitteille suojatun yhteyden Internetiin. Tämä saavutetaan sisällön suodatuksella, eli estämällä pääsy Internetin resursseihin yrityspolitiikan mukaisesti. Näin ollen Internetissä olevat asiakaslaitteet on suojattu haittaohjelmilta, kiristysohjelmilta ja tietojenkalastelulta. Käytännön täytäntöönpano perustuu 60 jatkuvasti päivitettävään sisältöluokkaan.

automaatio

Nykypäivän langattomat verkot ovat paljon joustavampia ja monimutkaisempia, joten perinteiset menetelmät konfiguroida ja hakea tietoa langattomista ohjaimista eivät riitä. Verkon ylläpitäjät ja tietoturva-ammattilaiset tarvitsevat työkaluja automaatioon ja analytiikkaan, minkä vuoksi langattoman verkon myyjät tarjoavat tällaisia ​​työkaluja.

Näiden ongelmien ratkaisemiseksi Cisco Catalyst 9800 -sarjan langattomat ohjaimet yhdessä perinteisen API:n kanssa tukevat RESTCONF / NETCONF-verkkomääritysprotokollaa YANG (Yet Another Next Generation) -tietomallinnuskielellä.

NETCONF on XML-pohjainen protokolla, jota sovellukset voivat käyttää tietojen kyselyyn ja verkkolaitteiden, kuten langattomien ohjainten, kokoonpanon muuttamiseen.

Näiden menetelmien lisäksi Cisco Catalyst 9800 -sarjan ohjaimet tarjoavat mahdollisuuden kaapata, hakea ja analysoida tietovirtatietoja NetFlow- ja sFlow-protokollien avulla.

Tietoturvan ja liikenteen mallintamisen kannalta kyky seurata tiettyjä virtoja on arvokas työkalu. Tämän ongelman ratkaisemiseksi otettiin käyttöön sFlow-protokolla, jonka avulla voit siepata kaksi pakettia sadasta. Joskus tämä ei kuitenkaan välttämättä riitä analysoimaan ja riittävästi tutkimaan ja arvioimaan virtausta. Siksi vaihtoehtona on Ciscon toteuttama NetFlow, jonka avulla voit 100-prosenttisesti kerätä ja viedä kaikki paketit määritetyssä virtauksessa myöhempää analysointia varten.

Toinen vain ohjaimien laitteistototeutuksessa käytettävissä oleva ominaisuus, jonka avulla voit automatisoida langattoman verkon toiminnan Cisco Catalyst 9800 -sarjan ohjaimissa, on sisäänrakennettu tuki Python-kielelle lisäosana käyttöä varten. komentosarjat suoraan langattomaan ohjaimeen.

Lopuksi Cisco Catalyst 9800 -sarjan ohjaimet tukevat todistettua SNMP-versioiden 1, 2 ja 3 protokollia valvonta- ja hallintatoimintoihin.

Näin ollen automaation kannalta Cisco Catalyst 9800 -sarjan ratkaisut täyttävät täysin nykyaikaiset liiketoiminnan vaatimukset, ja ne tarjoavat sekä uusia että ainutlaatuisia sekä aika-testattuja työkaluja automatisoituun toimintaan ja analytiikkaan kaikenkokoisissa ja monimutkaisissa langattomissa verkoissa.

Johtopäätös

Cisco Catalyst 9800 -sarjan ohjaimiin perustuvissa ratkaisuissa Cisco osoitti erinomaisia ​​tuloksia korkean käytettävyyden, turvallisuuden ja automaation luokissa.

Ratkaisu täyttää täysin kaikki korkeat käytettävyyden vaatimukset, kuten sekuntia pienempi vikasieto odottamattomien tapahtumien aikana ja nollakatkosaika ajoitetuissa tapahtumissa.

Cisco Catalyst 9800 -sarjan ohjaimet tarjoavat kattavan suojauksen, joka tarjoaa syvän pakettitarkistuksen sovellusten tunnistamista ja hallintaa varten, täydellisen tietovirran näkyvyyden ja salatun liikenteen piilossa olevien uhkien tunnistamisen sekä kehittyneet todennus- ja suojausmekanismit asiakaslaitteille.

Automaatioon ja analytiikkaan Cisco Catalyst 9800 Series tarjoaa tehokkaita ominaisuuksia käyttämällä suosittuja vakiomalleja: YANG, NETCONF, RESTCONF, perinteiset API:t ja sisäänrakennetut Python-skriptit.

Näin Cisco vahvistaa jälleen asemansa maailman johtavana verkkoratkaisujen valmistajana, joka pysyy ajan tasalla ja ottaa huomioon kaikki nykyaikaisen liiketoiminnan haasteet.

Lisätietoja Catalyst-kytkinperheestä on osoitteessa Online cisco.

Lähde: will.com