ProHoster > Blog > Administración > Se tes un controlador, non hai problema: como manter facilmente a túa rede sen fíos

Se tes un controlador, non hai problema: como manter facilmente a túa rede sen fíos

En 2019, a consultora Miercom realizou unha avaliación tecnolóxica independente dos controladores Wi-Fi 6 da serie Cisco Catalyst 9800. Para este estudo, montouse un banco de probas a partir de controladores e puntos de acceso Cisco Wi-Fi 6, e a solución técnica foi avaliados nas seguintes categorías:

  • Dispoñibilidade;
  • Seguridade;
  • Automatización.

Os resultados do estudo móstranse a continuación. Desde 2019, a funcionalidade dos controladores da serie Cisco Catalyst 9800 mellorouse significativamente; estes puntos tamén se reflicten neste artigo.

Podes ler sobre outras vantaxes da tecnoloxía Wi-Fi 6, exemplos de implementación e áreas de aplicación aquí.

Visión xeral da solución

Controladores Wi-Fi 6 Cisco Catalyst serie 9800

Os controladores sen fíos da serie Cisco Catalyst 9800, baseados no sistema operativo IOS-XE (tamén usado para conmutadores e enrutadores Cisco), están dispoñibles nunha variedade de opcións.

Se tes un controlador, non hai problema: como manter facilmente a túa rede sen fíos

O modelo máis antigo do controlador 9800-80 admite un rendemento de rede sen fíos de ata 80 Gbps. Un controlador 9800-80 admite ata 6000 puntos de acceso e ata 64 clientes sen fíos.

O modelo de gama media, o controlador 9800-40, admite un rendemento de ata 40 Gbps, ata 2000 puntos de acceso e ata 32 clientes sen fíos.

Ademais destes modelos, a análise competitiva tamén incluíu o controlador sen fíos 9800-CL (CL significa Cloud). O 9800-CL execútase en contornos virtuais en hipervisores VMWare ESXI e KVM, e o seu rendemento depende dos recursos de hardware dedicados para a máquina virtual do controlador. Na súa configuración máxima, o controlador Cisco 9800-CL, como o modelo anterior 9800-80, admite escalabilidade ata 6000 puntos de acceso e ata 64 clientes sen fíos.

Ao realizar investigacións con controladores, utilizáronse puntos de acceso da serie Cisco Aironet AP 4800, que admiten o funcionamento en frecuencias de 2,4 e 5 GHz coa capacidade de cambiar dinámicamente ao modo dual de 5 GHz.

Banco de probas

Como parte das probas, montouse un soporte a partir de dous controladores sen fíos Cisco Catalyst 9800-CL que operan nun clúster e puntos de acceso da serie Cisco Aironet AP 4800.

Os portátiles de Dell e Apple, así como un teléfono intelixente de Apple iPhone, usáronse como dispositivos cliente.

Se tes un controlador, non hai problema: como manter facilmente a túa rede sen fíos

Probas de accesibilidade

A dispoñibilidade defínese como a capacidade dos usuarios para acceder e utilizar un sistema ou servizo. A alta dispoñibilidade implica un acceso continuo a un sistema ou servizo, independentemente de certos eventos.

Probouse a alta dispoñibilidade en catro escenarios, sendo os tres primeiros eventos previsibles ou programados que poderían ocorrer durante ou despois do horario laboral. O quinto escenario é un fracaso clásico, que é un evento imprevisible.

Descrición dos escenarios:

  • Corrección de erros: unha micro-actualización do sistema (corrección de erros ou parche de seguridade), que permite corrixir un erro ou vulnerabilidade en particular sen unha actualización completa do software do sistema;
  • Actualización funcional: engade ou amplía a funcionalidade actual do sistema instalando actualizacións funcionais;
  • Actualización completa: actualiza a imaxe do software do controlador;
  • Engadir un punto de acceso: engade un novo modelo de punto de acceso a unha rede sen fíos sen necesidade de reconfigurar ou actualizar o software do controlador sen fíos;
  • Fallo: fallo do controlador sen fíos.

Corrección de erros e vulnerabilidades

Moitas veces, con moitas solucións competitivas, o parche require unha actualización de software completa do sistema de controlador sen fíos, o que pode provocar un tempo de inactividade non planificado. No caso da solución Cisco, o parche realízase sen deter o produto. Os parches pódense instalar en calquera dos compoñentes mentres a infraestrutura sen fíos segue funcionando.

O procedemento en si é bastante sinxelo. O ficheiro de parche cópiase no cartafol de arranque dun dos controladores sen fíos de Cisco e a operación confírmase a través da GUI ou da liña de comandos. Ademais, tamén pode desfacer e eliminar a corrección a través da GUI ou da liña de comandos, tamén sen interromper o funcionamento do sistema.

Actualización funcional

As actualizacións de software funcionais aplícanse para activar novas funcións. Unha destas melloras é a actualización da base de datos de sinaturas da aplicación. Este paquete instalouse en controladores Cisco como proba. Do mesmo xeito que cos parches, as actualizacións de funcións aplícanse, instálanse ou elimínanse sen tempo de inactividade nin interrupción do sistema.

Actualización completa

Polo momento, unha actualización completa da imaxe do software do controlador realízase do mesmo xeito que unha actualización funcional, é dicir, sen tempo de inactividade. Non obstante, esta función só está dispoñible nunha configuración de clúster cando hai máis dun controlador. Realízase unha actualización completa secuencialmente: primeiro nun controlador e despois no segundo.

Engadindo un novo modelo de punto de acceso

Conectar novos puntos de acceso, que non se operaban previamente coa imaxe do software do controlador empregado, a unha rede sen fíos é unha operación bastante habitual, especialmente en redes grandes (aeroportos, hoteis, fábricas). Moitas veces, en solucións da competencia, esta operación require actualizar o software do sistema ou reiniciar os controladores.

Ao conectar novos puntos de acceso Wi-Fi 6 a un clúster de controladores da serie Cisco Catalyst 9800, non se observan tales problemas. A conexión de novos puntos ao controlador realízase sen actualizar o software do controlador, e este proceso non require un reinicio, polo que non afecta a rede sen fíos de ningún xeito.

Fallo do controlador

O ambiente de proba usa dous controladores Wi-Fi 6 (Activo/StandBy) e o punto de acceso ten unha conexión directa con ambos os controladores.

Un controlador sen fíos está activo e o outro, respectivamente, é unha copia de seguridade. Se o controlador activo falla, o controlador de reserva asume o control e o seu estado cambia a activo. Este procedemento prodúcese sen interrupcións para o punto de acceso e wifi para os clientes.

Безопасность

Esta sección trata aspectos da seguridade, que é un problema moi urxente nas redes sen fíos. A seguridade da solución avalíase en función das seguintes características:

  • Recoñecemento da aplicación;
  • Seguimento do fluxo;
  • Análise do tráfico cifrado;
  • Detección e prevención de intrusos;
  • Medios de autenticación;
  • Ferramentas de protección do dispositivo cliente.

Recoñecemento da aplicación

Entre a variedade de produtos do mercado de Wi-Fi empresarial e industrial, hai diferenzas na medida en que os produtos identifican o tráfico por aplicación. Os produtos de diferentes fabricantes poden identificar diferentes números de aplicacións. Non obstante, moitas das aplicacións que as solucións competitivas enumeran como posibles para a súa identificación son, de feito, sitios web e non aplicacións únicas.

Hai outra característica interesante do recoñecemento de aplicacións: as solucións varían moito na precisión da identificación.

Tendo en conta todas as probas realizadas, podemos afirmar con responsabilidade que a solución Wi-Fi-6 de Cisco realiza o recoñecemento de aplicacións con moita precisión: Jabber, Netflix, Dropbox, YouTube e outras aplicacións populares, así como os servizos web, foron identificados con precisión. As solucións de Cisco tamén poden mergullarse máis en paquetes de datos mediante DPI (Deep Packet Inspection).

Seguimento do fluxo de tráfico

Realizouse outra proba para ver se o sistema podía rastrexar e informar con precisión os fluxos de datos (como movementos de ficheiros grandes). Para probalo, enviouse un ficheiro de 6,5 megabytes pola rede mediante o protocolo de transferencia de ficheiros (FTP).

A solución de Cisco estivo totalmente á altura e puido rastrexar este tráfico grazas a NetFlow e as súas capacidades de hardware. Detectouse e identificouse de inmediato o tráfico coa cantidade exacta de datos transferidos.

Análise de tráfico cifrado

O tráfico de datos dos usuarios está a ser cifrado cada vez máis. Isto faise co fin de protexelo de ser rastrexado ou interceptado por atacantes. Pero ao mesmo tempo, os piratas informáticos utilizan cada vez máis o cifrado para ocultar o seu malware e realizar outras operacións dubidosas como Man-in-the-Middle (MiTM) ou ataques de rexistro de teclas.

A maioría das empresas inspeccionan parte do seu tráfico cifrado descifrandoo primeiro usando firewalls ou sistemas de prevención de intrusións. Pero este proceso leva moito tempo e non beneficia o rendemento da rede no seu conxunto. Ademais, unha vez descifrados, estes datos vólvense vulnerables ás miradas indiscretas.

Os controladores da serie Cisco Catalyst 9800 resolven con éxito o problema de analizar o tráfico cifrado por outros medios. A solución chámase Encrypted Traffic Analytics (ETA). ETA é unha tecnoloxía que actualmente non ten análogos en solucións competitivas e que detecta malware no tráfico cifrado sen necesidade de descifralo. ETA é unha característica principal de IOS-XE que inclúe Enhanced NetFlow e utiliza algoritmos de comportamento avanzados para identificar patróns de tráfico maliciosos que se agochan no tráfico cifrado.

Se tes un controlador, non hai problema: como manter facilmente a túa rede sen fíos

ETA non descifra as mensaxes, senón que recolle perfís de metadatos dos fluxos de tráfico cifrados: tamaño do paquete, intervalos de tempo entre paquetes e moito máis. A continuación, os metadatos expórtanse nos rexistros de NetFlow v9 a Cisco Stealthwatch.

A función clave de Stealthwatch é supervisar constantemente o tráfico, así como crear unha liña de base da actividade normal da rede. Usando metadatos cifrados do fluxo enviados pola ETA, Stealthwatch aplica aprendizaxe automática de varias capas para identificar anomalías de comportamento do tráfico que poden indicar eventos sospeitosos.

O ano pasado, Cisco contratou a Miercom para avaliar de forma independente a súa solución Cisco Encrypted Traffic Analytics. Durante esta avaliación, Miercom enviou por separado ameazas coñecidas e descoñecidas (virus, troianos, ransomware) en tráfico cifrado e sen cifrar en grandes redes ETA e non ETA para identificar ameazas.

Para probar, lanzouse código malicioso en ambas as redes. En ambos os casos, foi descubrindo gradualmente actividade sospeitosa. A rede ETA detectou inicialmente as ameazas un 36% máis rápido que a rede non ETA. Ao mesmo tempo, a medida que avanzaban os traballos, a produtividade da detección na rede ETA comezou a aumentar. Como resultado, tras varias horas de traballo, dous terzos das ameazas activas detectáronse con éxito na rede ETA, o que supón o dobre que na rede non ETA.

A funcionalidade ETA está ben integrada con Stealthwatch. As ameazas clasifícanse segundo a gravidade e móstranse con información detallada, así como opcións de corrección unha vez confirmadas. Conclusión: ETA funciona!

Detección e prevención de intrusos

Cisco ten agora outra ferramenta de seguridade eficaz: o Sistema avanzado de prevención de intrusións sen fíos de Cisco (aWIPS): un mecanismo para detectar e previr ameazas ás redes sen fíos. A solución aWIPS opera a nivel de controladores, puntos de acceso e software de xestión de Cisco DNA Center. A detección, alertas e prevención de ameazas combinan análise de tráfico de rede, información de topoloxía de rede e dispositivos de rede, técnicas baseadas en sinaturas e detección de anomalías para ofrecer ameazas sen fíos altamente precisas e evitables.

Integrando completamente aWIPS na súa infraestrutura de rede, pode supervisar continuamente o tráfico sen fíos tanto en redes con fíos como sen fíos e usalo para analizar automaticamente posibles ataques de varias fontes para ofrecer a detección e prevención máis completas posibles.

Medios de autenticación

Polo momento, ademais das ferramentas de autenticación clásicas, as solucións da serie Cisco Catalyst 9800 admiten WPA3. WPA3 é a versión máis recente de WPA, que é un conxunto de protocolos e tecnoloxías que proporcionan autenticación e cifrado para redes Wi-Fi.

WPA3 usa a autenticación simultánea de igual (SAE) para ofrecer a protección máis forte aos usuarios contra os intentos de adiviñar contrasinal por parte de terceiros. Cando un cliente se conecta a un punto de acceso, realiza un intercambio SAE. Se ten éxito, cada un deles creará unha clave criptográficamente forte da que se derivará a clave de sesión e, a continuación, entrarán no estado de confirmación. O cliente e o punto de acceso poden entrar en estados de apretón de mans cada vez que hai que xerar unha clave de sesión. O método usa o segredo directo, no que un atacante pode descifrar unha chave, pero non todas as demais.

É dicir, SAE está deseñado de tal xeito que un atacante que intercepta o tráfico só ten un intento de adiviñar o contrasinal antes de que os datos interceptados sexan inútiles. Para organizar unha longa recuperación do contrasinal, necesitarás acceso físico ao punto de acceso.

Protección do dispositivo cliente

As solucións sen fíos da serie Cisco Catalyst 9800 ofrecen actualmente a principal función de protección do cliente a través de Cisco Umbrella WLAN, un servizo de seguridade de rede baseado na nube que opera a nivel DNS con detección automática de ameazas coñecidas e emerxentes.

Cisco Umbrella WLAN ofrece aos dispositivos cliente unha conexión segura a Internet. Isto conséguese mediante o filtrado de contido, é dicir, bloqueando o acceso aos recursos en Internet de acordo coa política empresarial. Así, os dispositivos clientes en Internet están protexidos contra malware, ransomware e phishing. A aplicación das políticas baséase en 60 categorías de contido actualizadas continuamente.

Automatización

As redes sen fíos actuais son moito máis flexibles e complexas, polo que os métodos tradicionais de configuración e recuperación de información dos controladores sen fíos non son suficientes. Os administradores de redes e os profesionais da seguridade da información precisan de ferramentas de automatización e análise, polo que os vendedores sen fíos ofrecen tales ferramentas.

Para resolver estes problemas, os controladores sen fíos da serie Cisco Catalyst 9800, xunto coa API tradicional, ofrecen soporte para o protocolo de configuración de rede RESTCONF / NETCONF coa linguaxe de modelado de datos YANG (Yet Another Next Generation).

NETCONF é un protocolo baseado en XML que as aplicacións poden utilizar para consultar información e cambiar a configuración de dispositivos de rede, como controladores sen fíos.

Ademais destes métodos, os controladores da serie Cisco Catalyst 9800 ofrecen a capacidade de capturar, recuperar e analizar datos de fluxo de información mediante os protocolos NetFlow e sFlow.

Para a seguridade e a modelización do tráfico, a capacidade de rastrexar fluxos específicos é unha ferramenta valiosa. Para solucionar este problema, implantouse o protocolo sFlow, que permite capturar dous paquetes de cada cen. Non obstante, ás veces isto pode non ser suficiente para analizar e estudar e avaliar adecuadamente o fluxo. Por iso, unha alternativa é NetFlow, implementado por Cisco, que permite recoller e exportar ao 100% todos os paquetes nun fluxo especificado para a súa posterior análise.

Outra característica, con todo, dispoñible só na implementación de hardware dos controladores, que permite automatizar o funcionamento da rede sen fíos nos controladores da serie Cisco Catalyst 9800, é o soporte integrado para a linguaxe Python como complemento para usar scripts directamente no propio controlador sen fíos.

Finalmente, os controladores da serie Cisco Catalyst 9800 admiten o comprobado protocolo SNMP versión 1, 2 e 3 para operacións de supervisión e xestión.

Así, en termos de automatización, as solucións da serie Cisco Catalyst 9800 cumpren plenamente os requisitos empresariais modernos, ofrecendo ferramentas novas e únicas, así como ferramentas probadas no tempo para operacións automatizadas e análises en redes sen fíos de calquera tamaño e complexidade.

Conclusión

Nas solucións baseadas nos controladores da serie Cisco Catalyst 9800, Cisco demostrou excelentes resultados nas categorías de alta dispoñibilidade, seguridade e automatización.

A solución cumpre totalmente con todos os requisitos de alta dispoñibilidade, como a conmutación por falla de menos de segundo durante eventos non planificados e cero tempo de inactividade para eventos programados.

Os controladores da serie Cisco Catalyst 9800 proporcionan unha seguridade completa que proporciona unha inspección profunda de paquetes para o recoñecemento e xestión de aplicacións, unha visibilidade completa dos fluxos de datos e a identificación de ameazas ocultas no tráfico cifrado, así como mecanismos avanzados de autenticación e seguridade para os dispositivos cliente.

Para automatización e análise, a serie Cisco Catalyst 9800 ofrece poderosas capacidades utilizando modelos estándar populares: YANG, NETCONF, RESTCONF, API tradicionais e scripts Python integrados.

Así, Cisco confirma unha vez máis a súa condición de fabricante líder mundial de solucións de rede, seguindo os tempos e tendo en conta todos os retos dos negocios modernos.

Para obter máis información sobre a familia de interruptores Catalyst, visite On-line cisco.

Fonte: www.habr.com

Engadir un comentario

En 2019, a consultora Miercom realizou unha avaliación tecnolóxica independente dos controladores Wi-Fi 6 da serie Cisco Catalyst 9800. Para este estudo, montouse un banco de probas a partir de controladores e puntos de acceso Cisco Wi-Fi 6, e a solución técnica foi avaliados nas seguintes categorías:

  • Dispoñibilidade;
  • Seguridade;
  • Automatización.

Os resultados do estudo móstranse a continuación. Desde 2019, a funcionalidade dos controladores da serie Cisco Catalyst 9800 mellorouse significativamente; estes puntos tamén se reflicten neste artigo.

Podes ler sobre outras vantaxes da tecnoloxía Wi-Fi 6, exemplos de implementación e áreas de aplicación aquí.

Visión xeral da solución

Controladores Wi-Fi 6 Cisco Catalyst serie 9800

Os controladores sen fíos da serie Cisco Catalyst 9800, baseados no sistema operativo IOS-XE (tamén usado para conmutadores e enrutadores Cisco), están dispoñibles nunha variedade de opcións.

Se tes un controlador, non hai problema: como manter facilmente a túa rede sen fíos

O modelo máis antigo do controlador 9800-80 admite un rendemento de rede sen fíos de ata 80 Gbps. Un controlador 9800-80 admite ata 6000 puntos de acceso e ata 64 clientes sen fíos.

O modelo de gama media, o controlador 9800-40, admite un rendemento de ata 40 Gbps, ata 2000 puntos de acceso e ata 32 clientes sen fíos.

Ademais destes modelos, a análise competitiva tamén incluíu o controlador sen fíos 9800-CL (CL significa Cloud). O 9800-CL execútase en contornos virtuais en hipervisores VMWare ESXI e KVM, e o seu rendemento depende dos recursos de hardware dedicados para a máquina virtual do controlador. Na súa configuración máxima, o controlador Cisco 9800-CL, como o modelo anterior 9800-80, admite escalabilidade ata 6000 puntos de acceso e ata 64 clientes sen fíos.

Ao realizar investigacións con controladores, utilizáronse puntos de acceso da serie Cisco Aironet AP 4800, que admiten o funcionamento en frecuencias de 2,4 e 5 GHz coa capacidade de cambiar dinámicamente ao modo dual de 5 GHz.

Banco de probas

Como parte das probas, montouse un soporte a partir de dous controladores sen fíos Cisco Catalyst 9800-CL que operan nun clúster e puntos de acceso da serie Cisco Aironet AP 4800.

Os portátiles de Dell e Apple, así como un teléfono intelixente de Apple iPhone, usáronse como dispositivos cliente.

Se tes un controlador, non hai problema: como manter facilmente a túa rede sen fíos

Probas de accesibilidade

A dispoñibilidade defínese como a capacidade dos usuarios para acceder e utilizar un sistema ou servizo. A alta dispoñibilidade implica un acceso continuo a un sistema ou servizo, independentemente de certos eventos.

Probouse a alta dispoñibilidade en catro escenarios, sendo os tres primeiros eventos previsibles ou programados que poderían ocorrer durante ou despois do horario laboral. O quinto escenario é un fracaso clásico, que é un evento imprevisible.

Descrición dos escenarios:

  • Corrección de erros: unha micro-actualización do sistema (corrección de erros ou parche de seguridade), que permite corrixir un erro ou vulnerabilidade en particular sen unha actualización completa do software do sistema;
  • Actualización funcional: engade ou amplía a funcionalidade actual do sistema instalando actualizacións funcionais;
  • Actualización completa: actualiza a imaxe do software do controlador;
  • Engadir un punto de acceso: engade un novo modelo de punto de acceso a unha rede sen fíos sen necesidade de reconfigurar ou actualizar o software do controlador sen fíos;
  • Fallo: fallo do controlador sen fíos.

Corrección de erros e vulnerabilidades

Moitas veces, con moitas solucións competitivas, o parche require unha actualización de software completa do sistema de controlador sen fíos, o que pode provocar un tempo de inactividade non planificado. No caso da solución Cisco, o parche realízase sen deter o produto. Os parches pódense instalar en calquera dos compoñentes mentres a infraestrutura sen fíos segue funcionando.

O procedemento en si é bastante sinxelo. O ficheiro de parche cópiase no cartafol de arranque dun dos controladores sen fíos de Cisco e a operación confírmase a través da GUI ou da liña de comandos. Ademais, tamén pode desfacer e eliminar a corrección a través da GUI ou da liña de comandos, tamén sen interromper o funcionamento do sistema.

Actualización funcional

As actualizacións de software funcionais aplícanse para activar novas funcións. Unha destas melloras é a actualización da base de datos de sinaturas da aplicación. Este paquete instalouse en controladores Cisco como proba. Do mesmo xeito que cos parches, as actualizacións de funcións aplícanse, instálanse ou elimínanse sen tempo de inactividade nin interrupción do sistema.

Actualización completa

Polo momento, unha actualización completa da imaxe do software do controlador realízase do mesmo xeito que unha actualización funcional, é dicir, sen tempo de inactividade. Non obstante, esta función só está dispoñible nunha configuración de clúster cando hai máis dun controlador. Realízase unha actualización completa secuencialmente: primeiro nun controlador e despois no segundo.

Engadindo un novo modelo de punto de acceso

Conectar novos puntos de acceso, que non se operaban previamente coa imaxe do software do controlador empregado, a unha rede sen fíos é unha operación bastante habitual, especialmente en redes grandes (aeroportos, hoteis, fábricas). Moitas veces, en solucións da competencia, esta operación require actualizar o software do sistema ou reiniciar os controladores.

Ao conectar novos puntos de acceso Wi-Fi 6 a un clúster de controladores da serie Cisco Catalyst 9800, non se observan tales problemas. A conexión de novos puntos ao controlador realízase sen actualizar o software do controlador, e este proceso non require un reinicio, polo que non afecta a rede sen fíos de ningún xeito.

Fallo do controlador

O ambiente de proba usa dous controladores Wi-Fi 6 (Activo/StandBy) e o punto de acceso ten unha conexión directa con ambos os controladores.

Un controlador sen fíos está activo e o outro, respectivamente, é unha copia de seguridade. Se o controlador activo falla, o controlador de reserva asume o control e o seu estado cambia a activo. Este procedemento prodúcese sen interrupcións para o punto de acceso e wifi para os clientes.

Безопасность

Esta sección trata aspectos da seguridade, que é un problema moi urxente nas redes sen fíos. A seguridade da solución avalíase en función das seguintes características:

  • Recoñecemento da aplicación;
  • Seguimento do fluxo;
  • Análise do tráfico cifrado;
  • Detección e prevención de intrusos;
  • Medios de autenticación;
  • Ferramentas de protección do dispositivo cliente.

Recoñecemento da aplicación

Entre a variedade de produtos do mercado de Wi-Fi empresarial e industrial, hai diferenzas na medida en que os produtos identifican o tráfico por aplicación. Os produtos de diferentes fabricantes poden identificar diferentes números de aplicacións. Non obstante, moitas das aplicacións que as solucións competitivas enumeran como posibles para a súa identificación son, de feito, sitios web e non aplicacións únicas.

Hai outra característica interesante do recoñecemento de aplicacións: as solucións varían moito na precisión da identificación.

Tendo en conta todas as probas realizadas, podemos afirmar con responsabilidade que a solución Wi-Fi-6 de Cisco realiza o recoñecemento de aplicacións con moita precisión: Jabber, Netflix, Dropbox, YouTube e outras aplicacións populares, así como os servizos web, foron identificados con precisión. As solucións de Cisco tamén poden mergullarse máis en paquetes de datos mediante DPI (Deep Packet Inspection).

Seguimento do fluxo de tráfico

Realizouse outra proba para ver se o sistema podía rastrexar e informar con precisión os fluxos de datos (como movementos de ficheiros grandes). Para probalo, enviouse un ficheiro de 6,5 megabytes pola rede mediante o protocolo de transferencia de ficheiros (FTP).

A solución de Cisco estivo totalmente á altura e puido rastrexar este tráfico grazas a NetFlow e as súas capacidades de hardware. Detectouse e identificouse de inmediato o tráfico coa cantidade exacta de datos transferidos.

Análise de tráfico cifrado

O tráfico de datos dos usuarios está a ser cifrado cada vez máis. Isto faise co fin de protexelo de ser rastrexado ou interceptado por atacantes. Pero ao mesmo tempo, os piratas informáticos utilizan cada vez máis o cifrado para ocultar o seu malware e realizar outras operacións dubidosas como Man-in-the-Middle (MiTM) ou ataques de rexistro de teclas.

A maioría das empresas inspeccionan parte do seu tráfico cifrado descifrandoo primeiro usando firewalls ou sistemas de prevención de intrusións. Pero este proceso leva moito tempo e non beneficia o rendemento da rede no seu conxunto. Ademais, unha vez descifrados, estes datos vólvense vulnerables ás miradas indiscretas.

Os controladores da serie Cisco Catalyst 9800 resolven con éxito o problema de analizar o tráfico cifrado por outros medios. A solución chámase Encrypted Traffic Analytics (ETA). ETA é unha tecnoloxía que actualmente non ten análogos en solucións competitivas e que detecta malware no tráfico cifrado sen necesidade de descifralo. ETA é unha característica principal de IOS-XE que inclúe Enhanced NetFlow e utiliza algoritmos de comportamento avanzados para identificar patróns de tráfico maliciosos que se agochan no tráfico cifrado.

Se tes un controlador, non hai problema: como manter facilmente a túa rede sen fíos

ETA non descifra as mensaxes, senón que recolle perfís de metadatos dos fluxos de tráfico cifrados: tamaño do paquete, intervalos de tempo entre paquetes e moito máis. A continuación, os metadatos expórtanse nos rexistros de NetFlow v9 a Cisco Stealthwatch.

A función clave de Stealthwatch é supervisar constantemente o tráfico, así como crear unha liña de base da actividade normal da rede. Usando metadatos cifrados do fluxo enviados pola ETA, Stealthwatch aplica aprendizaxe automática de varias capas para identificar anomalías de comportamento do tráfico que poden indicar eventos sospeitosos.

O ano pasado, Cisco contratou a Miercom para avaliar de forma independente a súa solución Cisco Encrypted Traffic Analytics. Durante esta avaliación, Miercom enviou por separado ameazas coñecidas e descoñecidas (virus, troianos, ransomware) en tráfico cifrado e sen cifrar en grandes redes ETA e non ETA para identificar ameazas.

Para probar, lanzouse código malicioso en ambas as redes. En ambos os casos, foi descubrindo gradualmente actividade sospeitosa. A rede ETA detectou inicialmente as ameazas un 36% máis rápido que a rede non ETA. Ao mesmo tempo, a medida que avanzaban os traballos, a produtividade da detección na rede ETA comezou a aumentar. Como resultado, tras varias horas de traballo, dous terzos das ameazas activas detectáronse con éxito na rede ETA, o que supón o dobre que na rede non ETA.

A funcionalidade ETA está ben integrada con Stealthwatch. As ameazas clasifícanse segundo a gravidade e móstranse con información detallada, así como opcións de corrección unha vez confirmadas. Conclusión: ETA funciona!

Detección e prevención de intrusos

Cisco ten agora outra ferramenta de seguridade eficaz: o Sistema avanzado de prevención de intrusións sen fíos de Cisco (aWIPS): un mecanismo para detectar e previr ameazas ás redes sen fíos. A solución aWIPS opera a nivel de controladores, puntos de acceso e software de xestión de Cisco DNA Center. A detección, alertas e prevención de ameazas combinan análise de tráfico de rede, información de topoloxía de rede e dispositivos de rede, técnicas baseadas en sinaturas e detección de anomalías para ofrecer ameazas sen fíos altamente precisas e evitables.

Integrando completamente aWIPS na súa infraestrutura de rede, pode supervisar continuamente o tráfico sen fíos tanto en redes con fíos como sen fíos e usalo para analizar automaticamente posibles ataques de varias fontes para ofrecer a detección e prevención máis completas posibles.

Medios de autenticación

Polo momento, ademais das ferramentas de autenticación clásicas, as solucións da serie Cisco Catalyst 9800 admiten WPA3. WPA3 é a versión máis recente de WPA, que é un conxunto de protocolos e tecnoloxías que proporcionan autenticación e cifrado para redes Wi-Fi.

WPA3 usa a autenticación simultánea de igual (SAE) para ofrecer a protección máis forte aos usuarios contra os intentos de adiviñar contrasinal por parte de terceiros. Cando un cliente se conecta a un punto de acceso, realiza un intercambio SAE. Se ten éxito, cada un deles creará unha clave criptográficamente forte da que se derivará a clave de sesión e, a continuación, entrarán no estado de confirmación. O cliente e o punto de acceso poden entrar en estados de apretón de mans cada vez que hai que xerar unha clave de sesión. O método usa o segredo directo, no que un atacante pode descifrar unha chave, pero non todas as demais.

É dicir, SAE está deseñado de tal xeito que un atacante que intercepta o tráfico só ten un intento de adiviñar o contrasinal antes de que os datos interceptados sexan inútiles. Para organizar unha longa recuperación do contrasinal, necesitarás acceso físico ao punto de acceso.

Protección do dispositivo cliente

As solucións sen fíos da serie Cisco Catalyst 9800 ofrecen actualmente a principal función de protección do cliente a través de Cisco Umbrella WLAN, un servizo de seguridade de rede baseado na nube que opera a nivel DNS con detección automática de ameazas coñecidas e emerxentes.

Cisco Umbrella WLAN ofrece aos dispositivos cliente unha conexión segura a Internet. Isto conséguese mediante o filtrado de contido, é dicir, bloqueando o acceso aos recursos en Internet de acordo coa política empresarial. Así, os dispositivos clientes en Internet están protexidos contra malware, ransomware e phishing. A aplicación das políticas baséase en 60 categorías de contido actualizadas continuamente.

Automatización

As redes sen fíos actuais son moito máis flexibles e complexas, polo que os métodos tradicionais de configuración e recuperación de información dos controladores sen fíos non son suficientes. Os administradores de redes e os profesionais da seguridade da información precisan de ferramentas de automatización e análise, polo que os vendedores sen fíos ofrecen tales ferramentas.

Para resolver estes problemas, os controladores sen fíos da serie Cisco Catalyst 9800, xunto coa API tradicional, ofrecen soporte para o protocolo de configuración de rede RESTCONF / NETCONF coa linguaxe de modelado de datos YANG (Yet Another Next Generation).

NETCONF é un protocolo baseado en XML que as aplicacións poden utilizar para consultar información e cambiar a configuración de dispositivos de rede, como controladores sen fíos.

Ademais destes métodos, os controladores da serie Cisco Catalyst 9800 ofrecen a capacidade de capturar, recuperar e analizar datos de fluxo de información mediante os protocolos NetFlow e sFlow.

Para a seguridade e a modelización do tráfico, a capacidade de rastrexar fluxos específicos é unha ferramenta valiosa. Para solucionar este problema, implantouse o protocolo sFlow, que permite capturar dous paquetes de cada cen. Non obstante, ás veces isto pode non ser suficiente para analizar e estudar e avaliar adecuadamente o fluxo. Por iso, unha alternativa é NetFlow, implementado por Cisco, que permite recoller e exportar ao 100% todos os paquetes nun fluxo especificado para a súa posterior análise.

Outra característica, con todo, dispoñible só na implementación de hardware dos controladores, que permite automatizar o funcionamento da rede sen fíos nos controladores da serie Cisco Catalyst 9800, é o soporte integrado para a linguaxe Python como complemento para usar scripts directamente no propio controlador sen fíos.

Finalmente, os controladores da serie Cisco Catalyst 9800 admiten o comprobado protocolo SNMP versión 1, 2 e 3 para operacións de supervisión e xestión.

Así, en termos de automatización, as solucións da serie Cisco Catalyst 9800 cumpren plenamente os requisitos empresariais modernos, ofrecendo ferramentas novas e únicas, así como ferramentas probadas no tempo para operacións automatizadas e análises en redes sen fíos de calquera tamaño e complexidade.

Conclusión

Nas solucións baseadas nos controladores da serie Cisco Catalyst 9800, Cisco demostrou excelentes resultados nas categorías de alta dispoñibilidade, seguridade e automatización.

A solución cumpre totalmente con todos os requisitos de alta dispoñibilidade, como a conmutación por falla de menos de segundo durante eventos non planificados e cero tempo de inactividade para eventos programados.

Os controladores da serie Cisco Catalyst 9800 proporcionan unha seguridade completa que proporciona unha inspección profunda de paquetes para o recoñecemento e xestión de aplicacións, unha visibilidade completa dos fluxos de datos e a identificación de ameazas ocultas no tráfico cifrado, así como mecanismos avanzados de autenticación e seguridade para os dispositivos cliente.

Para automatización e análise, a serie Cisco Catalyst 9800 ofrece poderosas capacidades utilizando modelos estándar populares: YANG, NETCONF, RESTCONF, API tradicionais e scripts Python integrados.

Así, Cisco confirma unha vez máis a súa condición de fabricante líder mundial de solucións de rede, seguindo os tempos e tendo en conta todos os retos dos negocios modernos.

Para obter máis información sobre a familia de interruptores Catalyst, visite On-line cisco.

Fonte: www.habr.com

Engadir un comentario