ProHoster > Blog > administration > Si vous possédez une manette, pas de problème : comment entretenir facilement votre réseau sans fil

Si vous possédez une manette, pas de problème : comment entretenir facilement votre réseau sans fil

En 2019, la société de conseil Miercom a mené une évaluation technologique indépendante des contrôleurs Wi-Fi 6 de la série Cisco Catalyst 9800. Pour cette étude, un banc de test a été assemblé à partir des contrôleurs et points d'accès Cisco Wi-Fi 6, et la solution technique a été évalué dans les catégories suivantes :

  • Disponibilité;
  • La sécurité;
  • Automatisation

Les résultats de l’étude sont présentés ci-dessous. Depuis 2019, les fonctionnalités des contrôleurs de la gamme Cisco Catalyst 9800 ont été considérablement améliorées - ces points sont également reflétés dans cet article.

Vous pouvez découvrir d'autres avantages de la technologie Wi-Fi 6, des exemples de mise en œuvre et des domaines d'application. ici.

Vue d'ensemble de la solution

Contrôleurs Wi-Fi 6 série Cisco Catalyst 9800

Les contrôleurs sans fil Cisco Catalyst 9800, basés sur le système d'exploitation IOS-XE (également utilisé pour les commutateurs et routeurs Cisco), sont disponibles dans une variété d'options.

Si vous possédez une manette, pas de problème : comment entretenir facilement votre réseau sans fil

L'ancien modèle du contrôleur 9800-80 prend en charge un débit de réseau sans fil allant jusqu'à 80 Gbit/s. Un contrôleur 9800-80 prend en charge jusqu'à 6000 64 points d'accès et jusqu'à 000 XNUMX clients sans fil.

Le modèle de milieu de gamme, le contrôleur 9800-40, prend en charge un débit allant jusqu'à 40 Gbit/s, jusqu'à 2000 32 points d'accès et jusqu'à 000 XNUMX clients sans fil.

En plus de ces modèles, l'analyse concurrentielle incluait également le contrôleur sans fil 9800-CL (CL signifie Cloud). Le 9800-CL s'exécute dans des environnements virtuels sur les hyperviseurs VMWare ESXI et KVM, et ses performances dépendent des ressources matérielles dédiées à la machine virtuelle du contrôleur. Dans sa configuration maximale, le contrôleur Cisco 9800-CL, comme l'ancien modèle 9800-80, prend en charge une évolutivité jusqu'à 6000 64 points d'accès et jusqu'à 000 XNUMX clients sans fil.

Lors des recherches avec les contrôleurs, des points d'accès Cisco Aironet AP 4800 ont été utilisés, prenant en charge le fonctionnement à des fréquences de 2,4 et 5 GHz avec la possibilité de passer dynamiquement en mode double 5 GHz.

banc d'essai

Dans le cadre des tests, un support a été assemblé à partir de deux contrôleurs sans fil Cisco Catalyst 9800-CL fonctionnant dans un cluster et de points d'accès Cisco Aironet AP 4800.

Des ordinateurs portables de Dell et d'Apple, ainsi qu'un smartphone Apple iPhone, ont été utilisés comme appareils clients.

Si vous possédez une manette, pas de problème : comment entretenir facilement votre réseau sans fil

Tests d'accessibilité

La disponibilité est définie comme la capacité des utilisateurs à accéder et à utiliser un système ou un service. La haute disponibilité implique un accès continu à un système ou un service, indépendamment de certains événements.

La haute disponibilité a été testée dans quatre scénarios, les trois premiers scénarios étant des événements prévisibles ou planifiés pouvant survenir pendant ou après les heures de bureau. Le cinquième scénario est un échec classique, qui constitue un événement imprévisible.

Description des scénarios :

  • Correction d'erreur – une micro-mise à jour du système (correction de bug ou correctif de sécurité), qui vous permet de corriger une erreur ou une vulnérabilité particulière sans une mise à jour complète du logiciel système ;
  • Mise à jour fonctionnelle – ajout ou extension des fonctionnalités actuelles du système en installant des mises à jour fonctionnelles ;
  • Mise à jour complète – mettre à jour l'image du logiciel du contrôleur ;
  • Ajout d'un point d'accès – ajout d'un nouveau modèle de point d'accès à un réseau sans fil sans avoir besoin de reconfigurer ou de mettre à jour le logiciel du contrôleur sans fil ;
  • Échec : panne du contrôleur sans fil.

Correction de bugs et de vulnérabilités

Souvent, avec de nombreuses solutions concurrentes, l'application de correctifs nécessite une mise à jour logicielle complète du système de contrôleur sans fil, ce qui peut entraîner des temps d'arrêt imprévus. Dans le cas de la solution Cisco, l'application des correctifs est effectuée sans arrêter le produit. Les correctifs peuvent être installés sur n'importe lequel des composants pendant que l'infrastructure sans fil continue de fonctionner.

La procédure elle-même est assez simple. Le fichier de correctif est copié dans le dossier d'amorçage de l'un des contrôleurs sans fil Cisco, puis l'opération est confirmée via l'interface graphique ou la ligne de commande. De plus, vous pouvez également annuler et supprimer le correctif via l'interface graphique ou la ligne de commande, également sans interrompre le fonctionnement du système.

Mise à jour fonctionnelle

Des mises à jour logicielles fonctionnelles sont appliquées pour activer de nouvelles fonctionnalités. L'une de ces améliorations consiste à mettre à jour la base de données de signatures d'application. Ce package a été installé sur les contrôleurs Cisco à titre de test. Tout comme pour les correctifs, les mises à jour de fonctionnalités sont appliquées, installées ou supprimées sans aucun temps d'arrêt ni interruption du système.

Mise à jour complète

À l'heure actuelle, une mise à jour complète de l'image logicielle du contrôleur s'effectue de la même manière qu'une mise à jour fonctionnelle, c'est-à-dire sans temps d'arrêt. Toutefois, cette fonctionnalité n'est disponible que dans une configuration en cluster lorsqu'il existe plusieurs contrôleurs. Une mise à jour complète est effectuée de manière séquentielle : d'abord sur un contrôleur, puis sur le second.

Ajout d'un nouveau modèle de point d'accès

La connexion de nouveaux points d'accès, qui n'ont pas encore été exploités avec l'image logicielle du contrôleur utilisée, à un réseau sans fil est une opération assez courante, notamment dans les grands réseaux (aéroports, hôtels, usines). Bien souvent dans les solutions concurrentes, cette opération nécessite une mise à jour du logiciel système ou un redémarrage des contrôleurs.

Lors de la connexion de nouveaux points d'accès Wi-Fi 6 à un cluster de contrôleurs de la gamme Cisco Catalyst 9800, aucun problème de ce type n'est observé. La connexion de nouveaux points au contrôleur s'effectue sans mise à jour du logiciel du contrôleur, et ce processus ne nécessite pas de redémarrage, n'affectant ainsi en rien le réseau sans fil.

Panne du contrôleur

L'environnement de test utilise deux contrôleurs Wi-Fi 6 (Actif/StandBy) et le point d'accès dispose d'une connexion directe aux deux contrôleurs.

Un contrôleur sans fil est actif et l'autre, respectivement, est de secours. Si le contrôleur actif tombe en panne, le contrôleur de secours prend le relais et son état passe à actif. Cette procédure s'effectue sans interruption pour le point d'accès et le Wi-Fi pour les clients.

sécurité

Cette section aborde les aspects de la sécurité, qui constituent un problème extrêmement urgent dans les réseaux sans fil. La sécurité de la solution est évaluée en fonction des caractéristiques suivantes :

  • Reconnaissance des candidatures ;
  • Suivi des flux ;
  • Analyse du trafic crypté ;
  • Détection et prévention des intrusions ;
  • Moyens d'authentification ;
  • Outils de protection des appareils clients.

Reconnaissance des applications

Parmi la variété de produits présents sur le marché du Wi-Fi d'entreprise et industriel, il existe des différences dans la façon dont les produits identifient le trafic par application. Les produits de différents fabricants peuvent identifier différents nombres d'applications. Cependant, bon nombre des applications répertoriées par les solutions concurrentes comme étant possibles à des fins d'identification sont en fait des sites Web et non des applications uniques.

Il existe une autre caractéristique intéressante de la reconnaissance d’applications : les solutions varient considérablement en termes de précision d’identification.

Compte tenu de tous les tests effectués, nous pouvons affirmer de manière responsable que la solution Wi-Fi-6 de Cisco effectue une reconnaissance très précise des applications : Jabber, Netflix, Dropbox, YouTube et d'autres applications populaires, ainsi que les services Web, ont été identifiés avec précision. Les solutions Cisco peuvent également approfondir les paquets de données grâce au DPI (Deep Packet Inspection).

Suivi des flux de trafic

Un autre test a été effectué pour voir si le système pouvait suivre et signaler avec précision les flux de données (tels que les mouvements de fichiers volumineux). Pour tester cela, un fichier de 6,5 Mo a été envoyé sur le réseau à l'aide du protocole FTP (File Transfer Protocol).

La solution Cisco a été pleinement à la hauteur et a pu suivre ce trafic grâce à NetFlow et ses capacités matérielles. Le trafic a été détecté et identifié immédiatement avec la quantité exacte de données transférées.

Analyse du trafic crypté

Le trafic de données des utilisateurs est de plus en plus crypté. Ceci est fait afin de le protéger contre le suivi ou l'interception par des attaquants. Mais dans le même temps, les pirates informatiques utilisent de plus en plus le chiffrement pour dissimuler leurs logiciels malveillants et mener d’autres opérations douteuses telles que les attaques Man-in-the-Middle (MiTM) ou les attaques par keylogging.

La plupart des entreprises inspectent une partie de leur trafic chiffré en le déchiffrant d'abord à l'aide de pare-feu ou de systèmes de prévention des intrusions. Mais ce processus prend beaucoup de temps et ne profite pas aux performances du réseau dans son ensemble. De plus, une fois décryptées, ces données deviennent vulnérables aux regards indiscrets.

Les contrôleurs Cisco Catalyst 9800 résolvent avec succès le problème de l'analyse du trafic chiffré par d'autres moyens. La solution s'appelle Encrypted Traffic Analytics (ETA). ETA est une technologie qui n'a actuellement pas d'équivalent dans les solutions concurrentes et qui détecte les logiciels malveillants dans le trafic crypté sans avoir besoin de le déchiffrer. ETA est une fonctionnalité essentielle d'IOS-XE qui inclut Enhanced NetFlow et utilise des algorithmes comportementaux avancés pour identifier les modèles de trafic malveillants cachés dans le trafic chiffré.

Si vous possédez une manette, pas de problème : comment entretenir facilement votre réseau sans fil

ETA ne déchiffre pas les messages, mais collecte les profils de métadonnées des flux de trafic chiffrés : taille des paquets, intervalles de temps entre les paquets et bien plus encore. Les métadonnées sont ensuite exportées dans les enregistrements NetFlow v9 vers Cisco Stealthwatch.

La fonction clé de Stealthwatch est de surveiller en permanence le trafic et de créer une base de référence pour l'activité normale du réseau. À l'aide des métadonnées de flux cryptées qui lui sont envoyées par l'ETA, Stealthwatch applique un apprentissage automatique multicouche pour identifier les anomalies comportementales du trafic pouvant indiquer des événements suspects.

L'année dernière, Cisco a engagé Miercom pour évaluer de manière indépendante sa solution Cisco Encrypted Traffic Analytics. Au cours de cette évaluation, Miercom a envoyé séparément les menaces connues et inconnues (virus, chevaux de Troie, ransomware) dans un trafic crypté et non crypté sur de grands réseaux ETA et non ETA afin d'identifier les menaces.

À des fins de test, un code malveillant a été lancé sur les deux réseaux. Dans les deux cas, des activités suspectes ont été progressivement découvertes. Le réseau ETA détectait initialement les menaces 36 % plus rapidement que le réseau non-ETA. Parallèlement, au fur et à mesure de l'avancement des travaux, la productivité de la détection dans le réseau ETA a commencé à augmenter. Ainsi, après plusieurs heures de travail, deux tiers des menaces actives ont été détectées avec succès dans le réseau ETA, soit deux fois plus que dans le réseau non-ETA.

La fonctionnalité ETA est bien intégrée à Stealthwatch. Les menaces sont classées par gravité et affichées avec des informations détaillées, ainsi que des options de remédiation une fois confirmées. Conclusion – ETA fonctionne !

Détection et prévention des intrusions

Cisco dispose désormais d'un autre outil de sécurité efficace : le système Cisco Advanced Wireless Intrusion Prevention System (aWIPS) : un mécanisme permettant de détecter et de prévenir les menaces contre les réseaux sans fil. La solution aWIPS fonctionne au niveau des contrôleurs, des points d'accès et du logiciel de gestion Cisco DNA Center. La détection, l'alerte et la prévention des menaces combinent l'analyse du trafic réseau, les informations sur les périphériques réseau et la topologie du réseau, les techniques basées sur les signatures et la détection des anomalies pour fournir des menaces sans fil très précises et évitables.

En intégrant entièrement aWIPS à votre infrastructure réseau, vous pouvez surveiller en permanence le trafic sans fil sur les réseaux filaires et sans fil et l'utiliser pour analyser automatiquement les attaques potentielles provenant de sources multiples afin de fournir la détection et la prévention les plus complètes possibles.

Moyens d'authentification

À l'heure actuelle, en plus des outils d'authentification classiques, les solutions de la série Cisco Catalyst 9800 prennent en charge WPA3. WPA3 est la dernière version de WPA, qui est un ensemble de protocoles et de technologies permettant l'authentification et le cryptage des réseaux Wi-Fi.

WPA3 utilise l'authentification simultanée d'égaux (SAE) pour fournir la protection la plus solide aux utilisateurs contre les tentatives de devinette de mot de passe par des tiers. Lorsqu'un client se connecte à un point d'accès, il effectue un échange SAE. En cas de succès, chacun d’eux créera une clé cryptographiquement forte à partir de laquelle la clé de session sera dérivée, puis entrera dans l’état de confirmation. Le client et le point d'accès peuvent alors entrer dans des états de prise de contact chaque fois qu'une clé de session doit être générée. La méthode utilise le secret direct, dans lequel un attaquant peut pirater une clé, mais pas toutes les autres clés.

Autrement dit, SAE est conçu de telle manière qu'un attaquant interceptant le trafic n'a qu'une seule tentative pour deviner le mot de passe avant que les données interceptées ne deviennent inutiles. Pour organiser une longue récupération de mot de passe, vous aurez besoin d'un accès physique au point d'accès.

Protection des appareils clients

Les solutions sans fil de la gamme Cisco Catalyst 9800 fournissent actuellement la principale fonctionnalité de protection des clients via Cisco Umbrella WLAN, un service de sécurité réseau basé sur le cloud qui fonctionne au niveau DNS avec détection automatique des menaces connues et émergentes.

Cisco Umbrella WLAN fournit aux appareils clients une connexion sécurisée à Internet. Ceci est réalisé grâce au filtrage de contenu, c'est-à-dire en bloquant l'accès aux ressources sur Internet conformément à la politique de l'entreprise. Ainsi, les appareils clients sur Internet sont protégés contre les logiciels malveillants, les ransomwares et le phishing. L'application des politiques est basée sur 60 catégories de contenu mises à jour en permanence.

Automation

Les réseaux sans fil d'aujourd'hui sont beaucoup plus flexibles et complexes, de sorte que les méthodes traditionnelles de configuration et de récupération d'informations à partir des contrôleurs sans fil ne suffisent pas. Les administrateurs réseau et les professionnels de la sécurité de l'information ont besoin d'outils d'automatisation et d'analyse, ce qui incite les fournisseurs de services sans fil à proposer de tels outils.

Pour résoudre ces problèmes, les contrôleurs sans fil de la gamme Cisco Catalyst 9800, ainsi que l'API traditionnelle, prennent en charge le protocole de configuration réseau RESTCONF/NETCONF avec le langage de modélisation de données YANG (Yet Another Next Generation).

NETCONF est un protocole basé sur XML que les applications peuvent utiliser pour interroger des informations et modifier la configuration des périphériques réseau tels que les contrôleurs sans fil.

En plus de ces méthodes, les contrôleurs Cisco Catalyst 9800 offrent la possibilité de capturer, récupérer et analyser les données de flux d'informations à l'aide des protocoles NetFlow et sFlow.

Pour la sécurité et la modélisation du trafic, la possibilité de suivre des flux spécifiques constitue un outil précieux. Pour résoudre ce problème, le protocole sFlow a été implémenté, qui permet de capturer deux paquets sur cent. Cependant, cela peut parfois ne pas suffire pour analyser, étudier et évaluer correctement le flux. Par conséquent, une alternative est NetFlow, mis en œuvre par Cisco, qui vous permet de collecter et d'exporter à 100 % tous les paquets dans un flux spécifié pour une analyse ultérieure.

Cependant, une autre fonctionnalité disponible uniquement dans l'implémentation matérielle des contrôleurs, qui vous permet d'automatiser le fonctionnement du réseau sans fil dans les contrôleurs de la gamme Cisco Catalyst 9800, est la prise en charge intégrée du langage Python en tant que module complémentaire pour l'utilisation scripts directement sur le contrôleur sans fil lui-même.

Enfin, les contrôleurs Cisco Catalyst 9800 prennent en charge le protocole SNMP éprouvé version 1, 2 et 3 pour les opérations de surveillance et de gestion.

Ainsi, en termes d'automatisation, les solutions Cisco Catalyst 9800 répondent pleinement aux exigences commerciales modernes, offrant à la fois des outils nouveaux et uniques, ainsi que des outils éprouvés pour les opérations et l'analyse automatisées dans les réseaux sans fil de toute taille et complexité.

Conclusion

Dans les solutions basées sur les contrôleurs Cisco Catalyst 9800, Cisco a démontré d'excellents résultats dans les catégories de haute disponibilité, de sécurité et d'automatisation.

La solution répond pleinement à toutes les exigences de haute disponibilité, telles qu'un basculement en moins d'une seconde lors d'événements imprévus et un temps d'arrêt nul pour les événements planifiés.

Les contrôleurs Cisco Catalyst 9800 offrent une sécurité complète qui permet une inspection approfondie des paquets pour la reconnaissance et le contrôle des applications, une visibilité complète sur les flux de données et l'identification des menaces cachées dans le trafic chiffré, ainsi que des mécanismes avancés d'authentification et de sécurité pour les appareils clients.

Pour l'automatisation et l'analyse, la gamme Cisco Catalyst 9800 offre des fonctionnalités puissantes utilisant des modèles standards populaires : YANG, NETCONF, RESTCONF, API traditionnelles et scripts Python intégrés.

Ainsi, Cisco confirme une fois de plus son statut de premier fabricant mondial de solutions réseau, en phase avec son temps et en tenant compte de tous les défis des entreprises modernes.

Pour plus d'informations sur la famille de commutateurs Catalyst, visitez En ligne cisco.

Source: habr.com

Ajouter un commentaire

En 2019, la société de conseil Miercom a mené une évaluation technologique indépendante des contrôleurs Wi-Fi 6 de la série Cisco Catalyst 9800. Pour cette étude, un banc de test a été assemblé à partir des contrôleurs et points d'accès Cisco Wi-Fi 6, et la solution technique a été évalué dans les catégories suivantes :

  • Disponibilité;
  • La sécurité;
  • Automatisation

Les résultats de l’étude sont présentés ci-dessous. Depuis 2019, les fonctionnalités des contrôleurs de la gamme Cisco Catalyst 9800 ont été considérablement améliorées - ces points sont également reflétés dans cet article.

Vous pouvez découvrir d'autres avantages de la technologie Wi-Fi 6, des exemples de mise en œuvre et des domaines d'application. ici.

Vue d'ensemble de la solution

Contrôleurs Wi-Fi 6 série Cisco Catalyst 9800

Les contrôleurs sans fil Cisco Catalyst 9800, basés sur le système d'exploitation IOS-XE (également utilisé pour les commutateurs et routeurs Cisco), sont disponibles dans une variété d'options.

Si vous possédez une manette, pas de problème : comment entretenir facilement votre réseau sans fil

L'ancien modèle du contrôleur 9800-80 prend en charge un débit de réseau sans fil allant jusqu'à 80 Gbit/s. Un contrôleur 9800-80 prend en charge jusqu'à 6000 64 points d'accès et jusqu'à 000 XNUMX clients sans fil.

Le modèle de milieu de gamme, le contrôleur 9800-40, prend en charge un débit allant jusqu'à 40 Gbit/s, jusqu'à 2000 32 points d'accès et jusqu'à 000 XNUMX clients sans fil.

En plus de ces modèles, l'analyse concurrentielle incluait également le contrôleur sans fil 9800-CL (CL signifie Cloud). Le 9800-CL s'exécute dans des environnements virtuels sur les hyperviseurs VMWare ESXI et KVM, et ses performances dépendent des ressources matérielles dédiées à la machine virtuelle du contrôleur. Dans sa configuration maximale, le contrôleur Cisco 9800-CL, comme l'ancien modèle 9800-80, prend en charge une évolutivité jusqu'à 6000 64 points d'accès et jusqu'à 000 XNUMX clients sans fil.

Lors des recherches avec les contrôleurs, des points d'accès Cisco Aironet AP 4800 ont été utilisés, prenant en charge le fonctionnement à des fréquences de 2,4 et 5 GHz avec la possibilité de passer dynamiquement en mode double 5 GHz.

banc d'essai

Dans le cadre des tests, un support a été assemblé à partir de deux contrôleurs sans fil Cisco Catalyst 9800-CL fonctionnant dans un cluster et de points d'accès Cisco Aironet AP 4800.

Des ordinateurs portables de Dell et d'Apple, ainsi qu'un smartphone Apple iPhone, ont été utilisés comme appareils clients.

Si vous possédez une manette, pas de problème : comment entretenir facilement votre réseau sans fil

Tests d'accessibilité

La disponibilité est définie comme la capacité des utilisateurs à accéder et à utiliser un système ou un service. La haute disponibilité implique un accès continu à un système ou un service, indépendamment de certains événements.

La haute disponibilité a été testée dans quatre scénarios, les trois premiers scénarios étant des événements prévisibles ou planifiés pouvant survenir pendant ou après les heures de bureau. Le cinquième scénario est un échec classique, qui constitue un événement imprévisible.

Description des scénarios :

  • Correction d'erreur – une micro-mise à jour du système (correction de bug ou correctif de sécurité), qui vous permet de corriger une erreur ou une vulnérabilité particulière sans une mise à jour complète du logiciel système ;
  • Mise à jour fonctionnelle – ajout ou extension des fonctionnalités actuelles du système en installant des mises à jour fonctionnelles ;
  • Mise à jour complète – mettre à jour l'image du logiciel du contrôleur ;
  • Ajout d'un point d'accès – ajout d'un nouveau modèle de point d'accès à un réseau sans fil sans avoir besoin de reconfigurer ou de mettre à jour le logiciel du contrôleur sans fil ;
  • Échec : panne du contrôleur sans fil.

Correction de bugs et de vulnérabilités

Souvent, avec de nombreuses solutions concurrentes, l'application de correctifs nécessite une mise à jour logicielle complète du système de contrôleur sans fil, ce qui peut entraîner des temps d'arrêt imprévus. Dans le cas de la solution Cisco, l'application des correctifs est effectuée sans arrêter le produit. Les correctifs peuvent être installés sur n'importe lequel des composants pendant que l'infrastructure sans fil continue de fonctionner.

La procédure elle-même est assez simple. Le fichier de correctif est copié dans le dossier d'amorçage de l'un des contrôleurs sans fil Cisco, puis l'opération est confirmée via l'interface graphique ou la ligne de commande. De plus, vous pouvez également annuler et supprimer le correctif via l'interface graphique ou la ligne de commande, également sans interrompre le fonctionnement du système.

Mise à jour fonctionnelle

Des mises à jour logicielles fonctionnelles sont appliquées pour activer de nouvelles fonctionnalités. L'une de ces améliorations consiste à mettre à jour la base de données de signatures d'application. Ce package a été installé sur les contrôleurs Cisco à titre de test. Tout comme pour les correctifs, les mises à jour de fonctionnalités sont appliquées, installées ou supprimées sans aucun temps d'arrêt ni interruption du système.

Mise à jour complète

À l'heure actuelle, une mise à jour complète de l'image logicielle du contrôleur s'effectue de la même manière qu'une mise à jour fonctionnelle, c'est-à-dire sans temps d'arrêt. Toutefois, cette fonctionnalité n'est disponible que dans une configuration en cluster lorsqu'il existe plusieurs contrôleurs. Une mise à jour complète est effectuée de manière séquentielle : d'abord sur un contrôleur, puis sur le second.

Ajout d'un nouveau modèle de point d'accès

La connexion de nouveaux points d'accès, qui n'ont pas encore été exploités avec l'image logicielle du contrôleur utilisée, à un réseau sans fil est une opération assez courante, notamment dans les grands réseaux (aéroports, hôtels, usines). Bien souvent dans les solutions concurrentes, cette opération nécessite une mise à jour du logiciel système ou un redémarrage des contrôleurs.

Lors de la connexion de nouveaux points d'accès Wi-Fi 6 à un cluster de contrôleurs de la gamme Cisco Catalyst 9800, aucun problème de ce type n'est observé. La connexion de nouveaux points au contrôleur s'effectue sans mise à jour du logiciel du contrôleur, et ce processus ne nécessite pas de redémarrage, n'affectant ainsi en rien le réseau sans fil.

Panne du contrôleur

L'environnement de test utilise deux contrôleurs Wi-Fi 6 (Actif/StandBy) et le point d'accès dispose d'une connexion directe aux deux contrôleurs.

Un contrôleur sans fil est actif et l'autre, respectivement, est de secours. Si le contrôleur actif tombe en panne, le contrôleur de secours prend le relais et son état passe à actif. Cette procédure s'effectue sans interruption pour le point d'accès et le Wi-Fi pour les clients.

sécurité

Cette section aborde les aspects de la sécurité, qui constituent un problème extrêmement urgent dans les réseaux sans fil. La sécurité de la solution est évaluée en fonction des caractéristiques suivantes :

  • Reconnaissance des candidatures ;
  • Suivi des flux ;
  • Analyse du trafic crypté ;
  • Détection et prévention des intrusions ;
  • Moyens d'authentification ;
  • Outils de protection des appareils clients.

Reconnaissance des applications

Parmi la variété de produits présents sur le marché du Wi-Fi d'entreprise et industriel, il existe des différences dans la façon dont les produits identifient le trafic par application. Les produits de différents fabricants peuvent identifier différents nombres d'applications. Cependant, bon nombre des applications répertoriées par les solutions concurrentes comme étant possibles à des fins d'identification sont en fait des sites Web et non des applications uniques.

Il existe une autre caractéristique intéressante de la reconnaissance d’applications : les solutions varient considérablement en termes de précision d’identification.

Compte tenu de tous les tests effectués, nous pouvons affirmer de manière responsable que la solution Wi-Fi-6 de Cisco effectue une reconnaissance très précise des applications : Jabber, Netflix, Dropbox, YouTube et d'autres applications populaires, ainsi que les services Web, ont été identifiés avec précision. Les solutions Cisco peuvent également approfondir les paquets de données grâce au DPI (Deep Packet Inspection).

Suivi des flux de trafic

Un autre test a été effectué pour voir si le système pouvait suivre et signaler avec précision les flux de données (tels que les mouvements de fichiers volumineux). Pour tester cela, un fichier de 6,5 Mo a été envoyé sur le réseau à l'aide du protocole FTP (File Transfer Protocol).

La solution Cisco a été pleinement à la hauteur et a pu suivre ce trafic grâce à NetFlow et ses capacités matérielles. Le trafic a été détecté et identifié immédiatement avec la quantité exacte de données transférées.

Analyse du trafic crypté

Le trafic de données des utilisateurs est de plus en plus crypté. Ceci est fait afin de le protéger contre le suivi ou l'interception par des attaquants. Mais dans le même temps, les pirates informatiques utilisent de plus en plus le chiffrement pour dissimuler leurs logiciels malveillants et mener d’autres opérations douteuses telles que les attaques Man-in-the-Middle (MiTM) ou les attaques par keylogging.

La plupart des entreprises inspectent une partie de leur trafic chiffré en le déchiffrant d'abord à l'aide de pare-feu ou de systèmes de prévention des intrusions. Mais ce processus prend beaucoup de temps et ne profite pas aux performances du réseau dans son ensemble. De plus, une fois décryptées, ces données deviennent vulnérables aux regards indiscrets.

Les contrôleurs Cisco Catalyst 9800 résolvent avec succès le problème de l'analyse du trafic chiffré par d'autres moyens. La solution s'appelle Encrypted Traffic Analytics (ETA). ETA est une technologie qui n'a actuellement pas d'équivalent dans les solutions concurrentes et qui détecte les logiciels malveillants dans le trafic crypté sans avoir besoin de le déchiffrer. ETA est une fonctionnalité essentielle d'IOS-XE qui inclut Enhanced NetFlow et utilise des algorithmes comportementaux avancés pour identifier les modèles de trafic malveillants cachés dans le trafic chiffré.

Si vous possédez une manette, pas de problème : comment entretenir facilement votre réseau sans fil

ETA ne déchiffre pas les messages, mais collecte les profils de métadonnées des flux de trafic chiffrés : taille des paquets, intervalles de temps entre les paquets et bien plus encore. Les métadonnées sont ensuite exportées dans les enregistrements NetFlow v9 vers Cisco Stealthwatch.

La fonction clé de Stealthwatch est de surveiller en permanence le trafic et de créer une base de référence pour l'activité normale du réseau. À l'aide des métadonnées de flux cryptées qui lui sont envoyées par l'ETA, Stealthwatch applique un apprentissage automatique multicouche pour identifier les anomalies comportementales du trafic pouvant indiquer des événements suspects.

L'année dernière, Cisco a engagé Miercom pour évaluer de manière indépendante sa solution Cisco Encrypted Traffic Analytics. Au cours de cette évaluation, Miercom a envoyé séparément les menaces connues et inconnues (virus, chevaux de Troie, ransomware) dans un trafic crypté et non crypté sur de grands réseaux ETA et non ETA afin d'identifier les menaces.

À des fins de test, un code malveillant a été lancé sur les deux réseaux. Dans les deux cas, des activités suspectes ont été progressivement découvertes. Le réseau ETA détectait initialement les menaces 36 % plus rapidement que le réseau non-ETA. Parallèlement, au fur et à mesure de l'avancement des travaux, la productivité de la détection dans le réseau ETA a commencé à augmenter. Ainsi, après plusieurs heures de travail, deux tiers des menaces actives ont été détectées avec succès dans le réseau ETA, soit deux fois plus que dans le réseau non-ETA.

La fonctionnalité ETA est bien intégrée à Stealthwatch. Les menaces sont classées par gravité et affichées avec des informations détaillées, ainsi que des options de remédiation une fois confirmées. Conclusion – ETA fonctionne !

Détection et prévention des intrusions

Cisco dispose désormais d'un autre outil de sécurité efficace : le système Cisco Advanced Wireless Intrusion Prevention System (aWIPS) : un mécanisme permettant de détecter et de prévenir les menaces contre les réseaux sans fil. La solution aWIPS fonctionne au niveau des contrôleurs, des points d'accès et du logiciel de gestion Cisco DNA Center. La détection, l'alerte et la prévention des menaces combinent l'analyse du trafic réseau, les informations sur les périphériques réseau et la topologie du réseau, les techniques basées sur les signatures et la détection des anomalies pour fournir des menaces sans fil très précises et évitables.

En intégrant entièrement aWIPS à votre infrastructure réseau, vous pouvez surveiller en permanence le trafic sans fil sur les réseaux filaires et sans fil et l'utiliser pour analyser automatiquement les attaques potentielles provenant de sources multiples afin de fournir la détection et la prévention les plus complètes possibles.

Moyens d'authentification

À l'heure actuelle, en plus des outils d'authentification classiques, les solutions de la série Cisco Catalyst 9800 prennent en charge WPA3. WPA3 est la dernière version de WPA, qui est un ensemble de protocoles et de technologies permettant l'authentification et le cryptage des réseaux Wi-Fi.

WPA3 utilise l'authentification simultanée d'égaux (SAE) pour fournir la protection la plus solide aux utilisateurs contre les tentatives de devinette de mot de passe par des tiers. Lorsqu'un client se connecte à un point d'accès, il effectue un échange SAE. En cas de succès, chacun d’eux créera une clé cryptographiquement forte à partir de laquelle la clé de session sera dérivée, puis entrera dans l’état de confirmation. Le client et le point d'accès peuvent alors entrer dans des états de prise de contact chaque fois qu'une clé de session doit être générée. La méthode utilise le secret direct, dans lequel un attaquant peut pirater une clé, mais pas toutes les autres clés.

Autrement dit, SAE est conçu de telle manière qu'un attaquant interceptant le trafic n'a qu'une seule tentative pour deviner le mot de passe avant que les données interceptées ne deviennent inutiles. Pour organiser une longue récupération de mot de passe, vous aurez besoin d'un accès physique au point d'accès.

Protection des appareils clients

Les solutions sans fil de la gamme Cisco Catalyst 9800 fournissent actuellement la principale fonctionnalité de protection des clients via Cisco Umbrella WLAN, un service de sécurité réseau basé sur le cloud qui fonctionne au niveau DNS avec détection automatique des menaces connues et émergentes.

Cisco Umbrella WLAN fournit aux appareils clients une connexion sécurisée à Internet. Ceci est réalisé grâce au filtrage de contenu, c'est-à-dire en bloquant l'accès aux ressources sur Internet conformément à la politique de l'entreprise. Ainsi, les appareils clients sur Internet sont protégés contre les logiciels malveillants, les ransomwares et le phishing. L'application des politiques est basée sur 60 catégories de contenu mises à jour en permanence.

Automation

Les réseaux sans fil d'aujourd'hui sont beaucoup plus flexibles et complexes, de sorte que les méthodes traditionnelles de configuration et de récupération d'informations à partir des contrôleurs sans fil ne suffisent pas. Les administrateurs réseau et les professionnels de la sécurité de l'information ont besoin d'outils d'automatisation et d'analyse, ce qui incite les fournisseurs de services sans fil à proposer de tels outils.

Pour résoudre ces problèmes, les contrôleurs sans fil de la gamme Cisco Catalyst 9800, ainsi que l'API traditionnelle, prennent en charge le protocole de configuration réseau RESTCONF/NETCONF avec le langage de modélisation de données YANG (Yet Another Next Generation).

NETCONF est un protocole basé sur XML que les applications peuvent utiliser pour interroger des informations et modifier la configuration des périphériques réseau tels que les contrôleurs sans fil.

En plus de ces méthodes, les contrôleurs Cisco Catalyst 9800 offrent la possibilité de capturer, récupérer et analyser les données de flux d'informations à l'aide des protocoles NetFlow et sFlow.

Pour la sécurité et la modélisation du trafic, la possibilité de suivre des flux spécifiques constitue un outil précieux. Pour résoudre ce problème, le protocole sFlow a été implémenté, qui permet de capturer deux paquets sur cent. Cependant, cela peut parfois ne pas suffire pour analyser, étudier et évaluer correctement le flux. Par conséquent, une alternative est NetFlow, mis en œuvre par Cisco, qui vous permet de collecter et d'exporter à 100 % tous les paquets dans un flux spécifié pour une analyse ultérieure.

Cependant, une autre fonctionnalité disponible uniquement dans l'implémentation matérielle des contrôleurs, qui vous permet d'automatiser le fonctionnement du réseau sans fil dans les contrôleurs de la gamme Cisco Catalyst 9800, est la prise en charge intégrée du langage Python en tant que module complémentaire pour l'utilisation scripts directement sur le contrôleur sans fil lui-même.

Enfin, les contrôleurs Cisco Catalyst 9800 prennent en charge le protocole SNMP éprouvé version 1, 2 et 3 pour les opérations de surveillance et de gestion.

Ainsi, en termes d'automatisation, les solutions Cisco Catalyst 9800 répondent pleinement aux exigences commerciales modernes, offrant à la fois des outils nouveaux et uniques, ainsi que des outils éprouvés pour les opérations et l'analyse automatisées dans les réseaux sans fil de toute taille et complexité.

Conclusion

Dans les solutions basées sur les contrôleurs Cisco Catalyst 9800, Cisco a démontré d'excellents résultats dans les catégories de haute disponibilité, de sécurité et d'automatisation.

La solution répond pleinement à toutes les exigences de haute disponibilité, telles qu'un basculement en moins d'une seconde lors d'événements imprévus et un temps d'arrêt nul pour les événements planifiés.

Les contrôleurs Cisco Catalyst 9800 offrent une sécurité complète qui permet une inspection approfondie des paquets pour la reconnaissance et le contrôle des applications, une visibilité complète sur les flux de données et l'identification des menaces cachées dans le trafic chiffré, ainsi que des mécanismes avancés d'authentification et de sécurité pour les appareils clients.

Pour l'automatisation et l'analyse, la gamme Cisco Catalyst 9800 offre des fonctionnalités puissantes utilisant des modèles standards populaires : YANG, NETCONF, RESTCONF, API traditionnelles et scripts Python intégrés.

Ainsi, Cisco confirme une fois de plus son statut de premier fabricant mondial de solutions réseau, en phase avec son temps et en tenant compte de tous les défis des entreprises modernes.

Pour plus d'informations sur la famille de commutateurs Catalyst, visitez En ligne cisco.

Source: habr.com

Ajouter un commentaire