Ako imate kontroler, nema problema: kako jednostavno održavati svoju bežičnu mrežu

Konzultantska tvrtka Miercom provela je 2019. neovisnu tehnološku procjenu Wi-Fi 6 kontrolera serije Cisco Catalyst 9800. Za ovu studiju sastavljena je testna ploča od Cisco Wi-Fi 6 kontrolera i pristupnih točaka, a tehničko rješenje je ocijenjeni u sljedećim kategorijama:

• Dostupnost;
• sigurnost;
• Automatizacija.

Rezultati studije prikazani su u nastavku. Od 2019. godine funkcionalnost kontrolera serije Cisco Catalyst 9800 značajno je poboljšana - te se točke također odražavaju u ovom članku.

Možete pročitati o ostalim prednostima Wi-Fi 6 tehnologije, primjerima implementacije i područjima primjene здесь.

Pregled rješenja

Wi-Fi 6 kontrolera serije Cisco Catalyst 9800

Bežični kontroleri serije Cisco Catalyst 9800, temeljeni na operativnom sustavu IOS-XE (također se koristi za Cisco preklopnike i usmjerivače), dostupni su u raznim opcijama.

Stariji model kontrolera 9800-80 podržava propusnost bežične mreže do 80 Gbps. Jedan kontroler 9800-80 podržava do 6000 pristupnih točaka i do 64 bežičnih klijenata.

Model srednje klase, kontroler 9800-40, podržava protok do 40 Gbps, do 2000 pristupnih točaka i do 32 bežičnih klijenata.

Osim ovih modela, u konkurentsku analizu uključen je i bežični kontroler 9800-CL (CL je kratica za Cloud). 9800-CL radi u virtualnim okruženjima na VMWare ESXI i KVM hipervizorima, a njegove performanse ovise o namjenskim hardverskim resursima za virtualni stroj kontrolera. U svojoj maksimalnoj konfiguraciji, kontroler Cisco 9800-CL, kao i stariji model 9800-80, podržava skalabilnost do 6000 pristupnih točaka i do 64 bežičnih klijenata.

Prilikom provođenja istraživanja s kontrolerima korištene su pristupne točke serije Cisco Aironet AP 4800 koje podržavaju rad na frekvencijama od 2,4 i 5 GHz s mogućnošću dinamičkog prebacivanja na dvostruki 5-GHz način rada.

Ispitno postolje

U sklopu testiranja sastavljeno je postolje od dva bežična kontrolera Cisco Catalyst 9800-CL koji rade u klasteru i pristupnih točaka serije Cisco Aironet AP 4800.

Kao klijentski uređaji korištena su prijenosna računala tvrtki Dell i Apple te pametni telefon Apple iPhone.

Testiranje pristupačnosti

Dostupnost se definira kao sposobnost korisnika da pristupe i koriste sustav ili uslugu. Visoka dostupnost podrazumijeva kontinuirani pristup sustavu ili usluzi, neovisno o određenim događajima.

Visoka dostupnost testirana je u četiri scenarija, od kojih su prva tri scenarija bili predvidljivi ili planirani događaji koji bi se mogli dogoditi tijekom ili nakon radnog vremena. Peti scenarij je klasični neuspjeh, a to je nepredvidiv događaj.

Opis scenarija:

• Ispravak pogreške – mikro-ažuriranje sustava (ispravak programske pogreške ili sigurnosna zakrpa), koje vam omogućuje da popravite određenu grešku ili ranjivost bez potpunog ažuriranja softvera sustava;
• Funkcionalno ažuriranje – dodavanje ili proširenje trenutne funkcionalnosti sustava instaliranjem funkcionalnih ažuriranja;
• Potpuno ažuriranje – ažurirajte sliku softvera kontrolera;
• Dodavanje pristupne točke – dodavanje novog modela pristupne točke bežičnoj mreži bez potrebe za ponovnom konfiguracijom ili ažuriranjem softvera bežičnog upravljača;
• Kvar—kvar bežičnog upravljača.

Ispravljanje pogrešaka i ranjivosti

Često, s mnogim konkurentskim rješenjima, krpanje zahtijeva potpuno ažuriranje softvera sustava bežičnog kontrolera, što može rezultirati neplaniranim zastojem. U slučaju Cisco rješenja, krpanje se izvodi bez zaustavljanja proizvoda. Zakrpe se mogu instalirati na bilo koju komponentu dok bežična infrastruktura nastavlja s radom.

Sam postupak je prilično jednostavan. Datoteka zakrpe se kopira u mapu za pokretanje na jednom od Cisco bežičnih kontrolera, a operacija se zatim potvrđuje putem GUI-ja ili naredbenog retka. Osim toga, također možete poništiti i ukloniti popravak putem GUI ili naredbenog retka, također bez prekidanja rada sustava.

Funkcionalno ažuriranje

Funkcionalna ažuriranja softvera primjenjuju se kako bi se omogućile nove funkcije. Jedno od tih poboljšanja je ažuriranje baze podataka potpisa aplikacije. Ovaj paket je instaliran na Cisco kontrolere kao test. Baš kao i kod zakrpa, ažuriranja značajki primjenjuju se, instaliraju ili uklanjaju bez zastoja ili prekida sustava.

Potpuno ažuriranje

Trenutno se potpuno ažuriranje softverske slike kontrolera provodi na isti način kao i funkcionalno ažuriranje, odnosno bez zastoja. Međutim, ova je značajka dostupna samo u konfiguraciji klastera kada postoji više od jednog kontrolera. Potpuno ažuriranje izvodi se sekvencijalno: prvo na jednom kontroleru, zatim na drugom.

Dodavanje novog modela pristupne točke

Povezivanje novih pristupnih točaka, kojima se prethodno nije upravljalo s korištenom slikom softvera kontrolera, na bežičnu mrežu je prilično uobičajena operacija, posebno u velikim mrežama (zračne luke, hoteli, tvornice). Vrlo često u konkurentskim rješenjima ova operacija zahtijeva ažuriranje softvera sustava ili ponovno pokretanje kontrolera.

Pri povezivanju novih Wi-Fi 6 pristupnih točaka s klasterom kontrolera serije Cisco Catalyst 9800, takvi problemi nisu uočeni. Spajanje novih točaka na kontroler provodi se bez ažuriranja softvera kontrolera i ovaj proces ne zahtijeva ponovno podizanje sustava, stoga ni na koji način ne utječe na bežičnu mrežu.

Kvar kontrolera

Testno okruženje koristi dva Wi-Fi 6 kontrolera (Active/StandBy), a pristupna točka ima izravnu vezu s oba kontrolera.

Jedan bežični kontroler je aktivan, a drugi je rezervni. Ako aktivni kontroler zakaže, pomoćni kontroler preuzima i njegov status se mijenja u aktivan. Ovaj se postupak odvija bez prekida za pristupnu točku i Wi-Fi za klijente.

sigurnosti

Ovaj odjeljak govori o aspektima sigurnosti, što je iznimno hitno pitanje u bežičnim mrežama. Sigurnost rješenja procjenjuje se na temelju sljedećih karakteristika:

• Prepoznavanje zahtjeva;
• Praćenje protoka;
• Analiza kriptiranog prometa;
• Otkrivanje i sprječavanje upada;
• Sredstva za provjeru autentičnosti;
• Alati za zaštitu klijentskih uređaja.

Prepoznavanje aplikacije

Među raznolikim proizvodima na poslovnom i industrijskom Wi-Fi tržištu, postoje razlike u tome koliko dobro proizvodi identificiraju promet prema aplikaciji. Proizvodi različitih proizvođača mogu identificirati različit broj primjena. Međutim, mnoge aplikacije koje konkurentska rješenja navode kao moguće za identifikaciju zapravo su web stranice, a ne jedinstvene aplikacije.

Postoji još jedna zanimljiva značajka prepoznavanja aplikacija: rješenja se uvelike razlikuju u točnosti identifikacije.

Uzimajući u obzir sve provedene testove, možemo odgovorno tvrditi da Ciscovo Wi-Fi-6 rješenje vrlo precizno obavlja prepoznavanje aplikacija: Jabber, Netflix, Dropbox, YouTube i druge popularne aplikacije, kao i web servisi, precizno su identificirani. Ciscova rješenja također mogu dublje zaroniti u podatkovne pakete koristeći DPI (Deep Packet Inspection).

Praćenje toka prometa

Proveden je još jedan test da se vidi može li sustav točno pratiti i izvješćivati ​​o tokovima podataka (kao što su kretanja velikih datoteka). Da bi se ovo testiralo, datoteka od 6,5 megabajta poslana je preko mreže koristeći File Transfer Protocol (FTP).

Rješenje Cisco bilo je u potpunosti doraslo zadatku i moglo je pratiti ovaj promet zahvaljujući NetFlowu i njegovim hardverskim mogućnostima. Promet je otkriven i odmah identificiran s točnom količinom prenesenih podataka.

Šifrirana analiza prometa

Promet korisničkih podataka sve se više šifrira. To se radi kako bi se zaštitilo od praćenja ili presretanja od strane napadača. Ali u isto vrijeme, hakeri sve više koriste enkripciju kako bi sakrili svoj zlonamjerni softver i izveli druge sumnjive operacije kao što su napadi Man-in-the-Middle (MiTM) ili keylogging.

Većina tvrtki pregledava dio svog kriptiranog prometa tako da ga prvo dešifrira pomoću vatrozida ili sustava za sprječavanje upada. Ali ovaj proces oduzima puno vremena i ne utječe na performanse mreže u cjelini. Osim toga, nakon dešifriranja, ovi podaci postaju osjetljivi na znatiželjne oči.

Kontroleri serije Cisco Catalyst 9800 uspješno rješavaju problem analize kriptiranog prometa drugim sredstvima. Rješenje se zove Encrypted Traffic Analytics (ETA). ETA je tehnologija koja za sada nema analoga u konkurentskim rješenjima i koja detektira malware u kriptiranom prometu bez potrebe za dešifriranjem. ETA je ključna značajka IOS-XE koja uključuje Enhanced NetFlow i koristi napredne algoritme ponašanja za prepoznavanje zlonamjernih obrazaca prometa koji se skrivaju u šifriranom prometu.

ETA ne dekriptira poruke, ali prikuplja profile metapodataka šifriranih tokova prometa - veličinu paketa, vremenske intervale između paketa i još mnogo toga. Metapodaci se zatim izvoze u NetFlow v9 zapisima u Cisco Stealthwatch.

Ključna funkcija Stealthwatcha je stalno nadziranje prometa, kao i stvaranje osnove normalne mrežne aktivnosti. Koristeći šifrirane metapodatke toka koje mu šalje ETA, Stealthwatch primjenjuje višeslojno strojno učenje za prepoznavanje anomalija u ponašanju prometa koje mogu ukazivati ​​na sumnjive događaje.

Prošle godine Cisco je angažirao Miercom da neovisno ocijeni svoje rješenje Cisco Encrypted Traffic Analytics. Tijekom ove procjene Miercom je odvojeno slao poznate i nepoznate prijetnje (viruse, trojance, ransomware) u šifriranom i nekriptiranom prometu preko velikih ETA i ne-ETA mreža kako bi identificirao prijetnje.

Za testiranje je na obje mreže pokrenut zlonamjerni kod. U oba slučaja postupno je otkrivana sumnjiva aktivnost. ETA mreža je u početku otkrila prijetnje 36% brže od mreže koja nije ETA. U isto vrijeme, kako je rad napredovao, počela je rasti produktivnost detekcije u ETA mreži. Kao rezultat toga, nakon nekoliko sati rada, dvije trećine aktivnih prijetnji uspješno je otkriveno u ETA mreži, što je dvostruko više nego u non-ETA mreži.

Funkcionalnost ETA dobro je integrirana sa Stealthwatchom. Prijetnje su rangirane prema ozbiljnosti i prikazane s detaljnim informacijama, kao i mogućnostima ispravljanja nakon potvrde. Zaključak – ETA radi!

Otkrivanje i sprječavanje upada

Cisco sada ima još jedan učinkovit sigurnosni alat - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mehanizam za otkrivanje i sprječavanje prijetnji bežičnim mrežama. Rješenje aWIPS funkcionira na razini kontrolera, pristupnih točaka i softvera za upravljanje Cisco DNA Center. Otkrivanje prijetnji, upozoravanje i prevencija kombinira analizu mrežnog prometa, informacije o mrežnom uređaju i mrežnoj topologiji, tehnike temeljene na potpisima i otkrivanje anomalija za isporuku vrlo preciznih bežičnih prijetnji koje je moguće spriječiti.

Potpunom integracijom aWIPS-a u vašu mrežnu infrastrukturu, možete kontinuirano nadzirati bežični promet na žičanim i bežičnim mrežama i koristiti ga za automatsku analizu potencijalnih napada iz više izvora kako biste pružili najopsežniju moguću detekciju i prevenciju.

Autentifikacija znači

U ovom trenutku, osim klasičnih alata za autentifikaciju, Cisco Catalyst 9800 serija rješenja podržavaju WPA3. WPA3 je najnovija verzija WPA, koja je skup protokola i tehnologija koje pružaju autentifikaciju i enkripciju za Wi-Fi mreže.

WPA3 koristi Simultaneous Authentication of Equals (SAE) kako bi pružio najjaču zaštitu korisnicima od pokušaja pogađanja lozinke od strane trećih strana. Kada se klijent spoji na pristupnu točku, on izvodi SAE razmjenu. U slučaju uspjeha, svaki od njih će kreirati kriptografski jak ključ iz kojeg će se izvesti ključ sesije, a zatim će ući u stanje potvrde. Klijent i pristupna točka tada mogu unijeti stanja rukovanja svaki put kada treba generirati ključ sesije. Metoda koristi unaprijed tajnost, u kojoj napadač može probiti jedan ključ, ali ne i sve ostale ključeve.

Odnosno, SAE je dizajniran na takav način da napadač koji presreće promet ima samo jedan pokušaj da pogodi lozinku prije nego što presretnuti podaci postanu beskorisni. Da biste organizirali dugi oporavak lozinke, trebat će vam fizički pristup pristupnoj točki.

Zaštita klijentskog uređaja

Bežična rješenja serije Cisco Catalyst 9800 trenutno pružaju primarnu značajku zaštite korisnika putem Cisco Umbrella WLAN-a, mrežne sigurnosne usluge temeljene na oblaku koja radi na razini DNS-a s automatskim otkrivanjem poznatih i prijetnji u nastajanju.

Cisco Umbrella WLAN klijentskim uređajima pruža sigurnu vezu s internetom. To se postiže filtriranjem sadržaja, odnosno blokiranjem pristupa resursima na Internetu u skladu s politikom poduzeća. Tako su klijentski uređaji na Internetu zaštićeni od zlonamjernog softvera, ransomwarea i krađe identiteta. Provedba pravila temelji se na 60 kategorija sadržaja koje se kontinuirano ažuriraju.

Automatizacija

Današnje bežične mreže mnogo su fleksibilnije i složenije, tako da tradicionalne metode konfiguriranja i dohvaćanja informacija s bežičnih kontrolera nisu dovoljne. Mrežni administratori i stručnjaci za informacijsku sigurnost trebaju alate za automatizaciju i analitiku, što potiče dobavljače bežičnih usluga da ponude takve alate.

Kako bi riješili ove probleme, bežični kontroleri serije Cisco Catalyst 9800, zajedno s tradicionalnim API-jem, pružaju podršku za RESTCONF / NETCONF mrežni konfiguracijski protokol s YANG (Još jedna sljedeća generacija) jezikom za modeliranje podataka.

NETCONF je protokol temeljen na XML-u koji aplikacije mogu koristiti za traženje informacija i promjenu konfiguracije mrežnih uređaja kao što su bežični kontroleri.

Uz ove metode, kontroleri serije Cisco Catalyst 9800 pružaju mogućnost hvatanja, dohvaćanja i analize podataka o protoku informacija korištenjem NetFlow i sFlow protokola.

Za sigurnosno i prometno modeliranje, mogućnost praćenja određenih tokova vrijedan je alat. Kako bi se riješio ovaj problem, implementiran je protokol sFlow koji vam omogućuje snimanje dva paketa od svakih sto. Međutim, ponekad to možda neće biti dovoljno za analizu i adekvatno proučavanje i evaluaciju protoka. Stoga je alternativa NetFlow, implementiran od strane Cisca, koji vam omogućuje 100% prikupljanje i izvoz svih paketa u određenom toku za naknadnu analizu.

Još jedna značajka, međutim, dostupna samo u hardverskoj implementaciji kontrolera, koja vam omogućuje automatizaciju rada bežične mreže u kontrolerima serije Cisco Catalyst 9800, jest ugrađena podrška za jezik Python kao dodatak za korištenje skripte izravno na samom bežičnom upravljaču.

Konačno, kontroleri serije Cisco Catalyst 9800 podržavaju provjereni protokol SNMP verzije 1, 2 i 3 za nadzor i upravljanje operacijama.

Stoga, u smislu automatizacije, rješenja Cisco Catalyst serije 9800 u potpunosti zadovoljavaju suvremene poslovne zahtjeve, nudeći nove i jedinstvene, kao i vremenski provjerene alate za automatizirane operacije i analitiku u bežičnim mrežama bilo koje veličine i složenosti.

Zaključak

U rješenjima temeljenim na Cisco Catalyst 9800 Series Controllerima, Cisco je pokazao izvrsne rezultate u kategorijama visoke dostupnosti, sigurnosti i automatizacije.

Rješenje u potpunosti ispunjava sve zahtjeve visoke dostupnosti, kao što je krak od manje od sekunde tijekom neplaniranih događaja i nulti prekid rada za zakazane događaje.

Kontroleri serije Cisco Catalyst 9800 pružaju sveobuhvatnu sigurnost koja pruža dubinsku inspekciju paketa za prepoznavanje i kontrolu aplikacija, potpunu vidljivost protoka podataka i identifikaciju prijetnji skrivenih u šifriranom prometu, kao i naprednu autentifikaciju i sigurnosne mehanizme za klijentske uređaje.

Za automatizaciju i analitiku, serija Cisco Catalyst 9800 nudi moćne mogućnosti koristeći popularne standardne modele: YANG, NETCONF, RESTCONF, tradicionalne API-je i ugrađene Python skripte.

Time Cisco još jednom potvrđuje svoj status vodećeg svjetskog proizvođača mrežnih rješenja, idući u korak s vremenom i uvažavajući sve izazove suvremenog poslovanja.

Za više informacija o obitelji prekidača Catalyst posjetite Online cisco.

Izvor: www.habr.com

Konzultantska tvrtka Miercom provela je 2019. neovisnu tehnološku procjenu Wi-Fi 6 kontrolera serije Cisco Catalyst 9800. Za ovu studiju sastavljena je testna ploča od Cisco Wi-Fi 6 kontrolera i pristupnih točaka, a tehničko rješenje je ocijenjeni u sljedećim kategorijama:

• Dostupnost;
• sigurnost;
• Automatizacija.

Rezultati studije prikazani su u nastavku. Od 2019. godine funkcionalnost kontrolera serije Cisco Catalyst 9800 značajno je poboljšana - te se točke također odražavaju u ovom članku.

Možete pročitati o ostalim prednostima Wi-Fi 6 tehnologije, primjerima implementacije i područjima primjene здесь.

Pregled rješenja

Wi-Fi 6 kontrolera serije Cisco Catalyst 9800

Bežični kontroleri serije Cisco Catalyst 9800, temeljeni na operativnom sustavu IOS-XE (također se koristi za Cisco preklopnike i usmjerivače), dostupni su u raznim opcijama.

Stariji model kontrolera 9800-80 podržava propusnost bežične mreže do 80 Gbps. Jedan kontroler 9800-80 podržava do 6000 pristupnih točaka i do 64 bežičnih klijenata.

Model srednje klase, kontroler 9800-40, podržava protok do 40 Gbps, do 2000 pristupnih točaka i do 32 bežičnih klijenata.

Osim ovih modela, u konkurentsku analizu uključen je i bežični kontroler 9800-CL (CL je kratica za Cloud). 9800-CL radi u virtualnim okruženjima na VMWare ESXI i KVM hipervizorima, a njegove performanse ovise o namjenskim hardverskim resursima za virtualni stroj kontrolera. U svojoj maksimalnoj konfiguraciji, kontroler Cisco 9800-CL, kao i stariji model 9800-80, podržava skalabilnost do 6000 pristupnih točaka i do 64 bežičnih klijenata.

Prilikom provođenja istraživanja s kontrolerima korištene su pristupne točke serije Cisco Aironet AP 4800 koje podržavaju rad na frekvencijama od 2,4 i 5 GHz s mogućnošću dinamičkog prebacivanja na dvostruki 5-GHz način rada.

Ispitno postolje

U sklopu testiranja sastavljeno je postolje od dva bežična kontrolera Cisco Catalyst 9800-CL koji rade u klasteru i pristupnih točaka serije Cisco Aironet AP 4800.

Kao klijentski uređaji korištena su prijenosna računala tvrtki Dell i Apple te pametni telefon Apple iPhone.

Testiranje pristupačnosti

Dostupnost se definira kao sposobnost korisnika da pristupe i koriste sustav ili uslugu. Visoka dostupnost podrazumijeva kontinuirani pristup sustavu ili usluzi, neovisno o određenim događajima.

Visoka dostupnost testirana je u četiri scenarija, od kojih su prva tri scenarija bili predvidljivi ili planirani događaji koji bi se mogli dogoditi tijekom ili nakon radnog vremena. Peti scenarij je klasični neuspjeh, a to je nepredvidiv događaj.

Opis scenarija:

• Ispravak pogreške – mikro-ažuriranje sustava (ispravak programske pogreške ili sigurnosna zakrpa), koje vam omogućuje da popravite određenu grešku ili ranjivost bez potpunog ažuriranja softvera sustava;
• Funkcionalno ažuriranje – dodavanje ili proširenje trenutne funkcionalnosti sustava instaliranjem funkcionalnih ažuriranja;
• Potpuno ažuriranje – ažurirajte sliku softvera kontrolera;
• Dodavanje pristupne točke – dodavanje novog modela pristupne točke bežičnoj mreži bez potrebe za ponovnom konfiguracijom ili ažuriranjem softvera bežičnog upravljača;
• Kvar—kvar bežičnog upravljača.

Ispravljanje pogrešaka i ranjivosti

Često, s mnogim konkurentskim rješenjima, krpanje zahtijeva potpuno ažuriranje softvera sustava bežičnog kontrolera, što može rezultirati neplaniranim zastojem. U slučaju Cisco rješenja, krpanje se izvodi bez zaustavljanja proizvoda. Zakrpe se mogu instalirati na bilo koju komponentu dok bežična infrastruktura nastavlja s radom.

Sam postupak je prilično jednostavan. Datoteka zakrpe se kopira u mapu za pokretanje na jednom od Cisco bežičnih kontrolera, a operacija se zatim potvrđuje putem GUI-ja ili naredbenog retka. Osim toga, također možete poništiti i ukloniti popravak putem GUI ili naredbenog retka, također bez prekidanja rada sustava.

Funkcionalno ažuriranje

Funkcionalna ažuriranja softvera primjenjuju se kako bi se omogućile nove funkcije. Jedno od tih poboljšanja je ažuriranje baze podataka potpisa aplikacije. Ovaj paket je instaliran na Cisco kontrolere kao test. Baš kao i kod zakrpa, ažuriranja značajki primjenjuju se, instaliraju ili uklanjaju bez zastoja ili prekida sustava.

Potpuno ažuriranje

Trenutno se potpuno ažuriranje softverske slike kontrolera provodi na isti način kao i funkcionalno ažuriranje, odnosno bez zastoja. Međutim, ova je značajka dostupna samo u konfiguraciji klastera kada postoji više od jednog kontrolera. Potpuno ažuriranje izvodi se sekvencijalno: prvo na jednom kontroleru, zatim na drugom.

Dodavanje novog modela pristupne točke

Povezivanje novih pristupnih točaka, kojima se prethodno nije upravljalo s korištenom slikom softvera kontrolera, na bežičnu mrežu je prilično uobičajena operacija, posebno u velikim mrežama (zračne luke, hoteli, tvornice). Vrlo često u konkurentskim rješenjima ova operacija zahtijeva ažuriranje softvera sustava ili ponovno pokretanje kontrolera.

Pri povezivanju novih Wi-Fi 6 pristupnih točaka s klasterom kontrolera serije Cisco Catalyst 9800, takvi problemi nisu uočeni. Spajanje novih točaka na kontroler provodi se bez ažuriranja softvera kontrolera i ovaj proces ne zahtijeva ponovno podizanje sustava, stoga ni na koji način ne utječe na bežičnu mrežu.

Kvar kontrolera

Testno okruženje koristi dva Wi-Fi 6 kontrolera (Active/StandBy), a pristupna točka ima izravnu vezu s oba kontrolera.

Jedan bežični kontroler je aktivan, a drugi je rezervni. Ako aktivni kontroler zakaže, pomoćni kontroler preuzima i njegov status se mijenja u aktivan. Ovaj se postupak odvija bez prekida za pristupnu točku i Wi-Fi za klijente.

sigurnosti

Ovaj odjeljak govori o aspektima sigurnosti, što je iznimno hitno pitanje u bežičnim mrežama. Sigurnost rješenja procjenjuje se na temelju sljedećih karakteristika:

• Prepoznavanje zahtjeva;
• Praćenje protoka;
• Analiza kriptiranog prometa;
• Otkrivanje i sprječavanje upada;
• Sredstva za provjeru autentičnosti;
• Alati za zaštitu klijentskih uređaja.

Prepoznavanje aplikacije

Među raznolikim proizvodima na poslovnom i industrijskom Wi-Fi tržištu, postoje razlike u tome koliko dobro proizvodi identificiraju promet prema aplikaciji. Proizvodi različitih proizvođača mogu identificirati različit broj primjena. Međutim, mnoge aplikacije koje konkurentska rješenja navode kao moguće za identifikaciju zapravo su web stranice, a ne jedinstvene aplikacije.

Postoji još jedna zanimljiva značajka prepoznavanja aplikacija: rješenja se uvelike razlikuju u točnosti identifikacije.

Uzimajući u obzir sve provedene testove, možemo odgovorno tvrditi da Ciscovo Wi-Fi-6 rješenje vrlo precizno obavlja prepoznavanje aplikacija: Jabber, Netflix, Dropbox, YouTube i druge popularne aplikacije, kao i web servisi, precizno su identificirani. Ciscova rješenja također mogu dublje zaroniti u podatkovne pakete koristeći DPI (Deep Packet Inspection).

Praćenje toka prometa

Proveden je još jedan test da se vidi može li sustav točno pratiti i izvješćivati ​​o tokovima podataka (kao što su kretanja velikih datoteka). Da bi se ovo testiralo, datoteka od 6,5 megabajta poslana je preko mreže koristeći File Transfer Protocol (FTP).

Rješenje Cisco bilo je u potpunosti doraslo zadatku i moglo je pratiti ovaj promet zahvaljujući NetFlowu i njegovim hardverskim mogućnostima. Promet je otkriven i odmah identificiran s točnom količinom prenesenih podataka.

Šifrirana analiza prometa

Promet korisničkih podataka sve se više šifrira. To se radi kako bi se zaštitilo od praćenja ili presretanja od strane napadača. Ali u isto vrijeme, hakeri sve više koriste enkripciju kako bi sakrili svoj zlonamjerni softver i izveli druge sumnjive operacije kao što su napadi Man-in-the-Middle (MiTM) ili keylogging.

Većina tvrtki pregledava dio svog kriptiranog prometa tako da ga prvo dešifrira pomoću vatrozida ili sustava za sprječavanje upada. Ali ovaj proces oduzima puno vremena i ne utječe na performanse mreže u cjelini. Osim toga, nakon dešifriranja, ovi podaci postaju osjetljivi na znatiželjne oči.

Kontroleri serije Cisco Catalyst 9800 uspješno rješavaju problem analize kriptiranog prometa drugim sredstvima. Rješenje se zove Encrypted Traffic Analytics (ETA). ETA je tehnologija koja za sada nema analoga u konkurentskim rješenjima i koja detektira malware u kriptiranom prometu bez potrebe za dešifriranjem. ETA je ključna značajka IOS-XE koja uključuje Enhanced NetFlow i koristi napredne algoritme ponašanja za prepoznavanje zlonamjernih obrazaca prometa koji se skrivaju u šifriranom prometu.

ETA ne dekriptira poruke, ali prikuplja profile metapodataka šifriranih tokova prometa - veličinu paketa, vremenske intervale između paketa i još mnogo toga. Metapodaci se zatim izvoze u NetFlow v9 zapisima u Cisco Stealthwatch.

Ključna funkcija Stealthwatcha je stalno nadziranje prometa, kao i stvaranje osnove normalne mrežne aktivnosti. Koristeći šifrirane metapodatke toka koje mu šalje ETA, Stealthwatch primjenjuje višeslojno strojno učenje za prepoznavanje anomalija u ponašanju prometa koje mogu ukazivati ​​na sumnjive događaje.

Prošle godine Cisco je angažirao Miercom da neovisno ocijeni svoje rješenje Cisco Encrypted Traffic Analytics. Tijekom ove procjene Miercom je odvojeno slao poznate i nepoznate prijetnje (viruse, trojance, ransomware) u šifriranom i nekriptiranom prometu preko velikih ETA i ne-ETA mreža kako bi identificirao prijetnje.

Za testiranje je na obje mreže pokrenut zlonamjerni kod. U oba slučaja postupno je otkrivana sumnjiva aktivnost. ETA mreža je u početku otkrila prijetnje 36% brže od mreže koja nije ETA. U isto vrijeme, kako je rad napredovao, počela je rasti produktivnost detekcije u ETA mreži. Kao rezultat toga, nakon nekoliko sati rada, dvije trećine aktivnih prijetnji uspješno je otkriveno u ETA mreži, što je dvostruko više nego u non-ETA mreži.

Funkcionalnost ETA dobro je integrirana sa Stealthwatchom. Prijetnje su rangirane prema ozbiljnosti i prikazane s detaljnim informacijama, kao i mogućnostima ispravljanja nakon potvrde. Zaključak – ETA radi!

Otkrivanje i sprječavanje upada

Cisco sada ima još jedan učinkovit sigurnosni alat - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mehanizam za otkrivanje i sprječavanje prijetnji bežičnim mrežama. Rješenje aWIPS funkcionira na razini kontrolera, pristupnih točaka i softvera za upravljanje Cisco DNA Center. Otkrivanje prijetnji, upozoravanje i prevencija kombinira analizu mrežnog prometa, informacije o mrežnom uređaju i mrežnoj topologiji, tehnike temeljene na potpisima i otkrivanje anomalija za isporuku vrlo preciznih bežičnih prijetnji koje je moguće spriječiti.

Potpunom integracijom aWIPS-a u vašu mrežnu infrastrukturu, možete kontinuirano nadzirati bežični promet na žičanim i bežičnim mrežama i koristiti ga za automatsku analizu potencijalnih napada iz više izvora kako biste pružili najopsežniju moguću detekciju i prevenciju.

Autentifikacija znači

U ovom trenutku, osim klasičnih alata za autentifikaciju, Cisco Catalyst 9800 serija rješenja podržavaju WPA3. WPA3 je najnovija verzija WPA, koja je skup protokola i tehnologija koje pružaju autentifikaciju i enkripciju za Wi-Fi mreže.

WPA3 koristi Simultaneous Authentication of Equals (SAE) kako bi pružio najjaču zaštitu korisnicima od pokušaja pogađanja lozinke od strane trećih strana. Kada se klijent spoji na pristupnu točku, on izvodi SAE razmjenu. U slučaju uspjeha, svaki od njih će kreirati kriptografski jak ključ iz kojeg će se izvesti ključ sesije, a zatim će ući u stanje potvrde. Klijent i pristupna točka tada mogu unijeti stanja rukovanja svaki put kada treba generirati ključ sesije. Metoda koristi unaprijed tajnost, u kojoj napadač može probiti jedan ključ, ali ne i sve ostale ključeve.

Odnosno, SAE je dizajniran na takav način da napadač koji presreće promet ima samo jedan pokušaj da pogodi lozinku prije nego što presretnuti podaci postanu beskorisni. Da biste organizirali dugi oporavak lozinke, trebat će vam fizički pristup pristupnoj točki.

Zaštita klijentskog uređaja

Bežična rješenja serije Cisco Catalyst 9800 trenutno pružaju primarnu značajku zaštite korisnika putem Cisco Umbrella WLAN-a, mrežne sigurnosne usluge temeljene na oblaku koja radi na razini DNS-a s automatskim otkrivanjem poznatih i prijetnji u nastajanju.

Cisco Umbrella WLAN klijentskim uređajima pruža sigurnu vezu s internetom. To se postiže filtriranjem sadržaja, odnosno blokiranjem pristupa resursima na Internetu u skladu s politikom poduzeća. Tako su klijentski uređaji na Internetu zaštićeni od zlonamjernog softvera, ransomwarea i krađe identiteta. Provedba pravila temelji se na 60 kategorija sadržaja koje se kontinuirano ažuriraju.

Automatizacija

Današnje bežične mreže mnogo su fleksibilnije i složenije, tako da tradicionalne metode konfiguriranja i dohvaćanja informacija s bežičnih kontrolera nisu dovoljne. Mrežni administratori i stručnjaci za informacijsku sigurnost trebaju alate za automatizaciju i analitiku, što potiče dobavljače bežičnih usluga da ponude takve alate.

Kako bi riješili ove probleme, bežični kontroleri serije Cisco Catalyst 9800, zajedno s tradicionalnim API-jem, pružaju podršku za RESTCONF / NETCONF mrežni konfiguracijski protokol s YANG (Još jedna sljedeća generacija) jezikom za modeliranje podataka.

NETCONF je protokol temeljen na XML-u koji aplikacije mogu koristiti za traženje informacija i promjenu konfiguracije mrežnih uređaja kao što su bežični kontroleri.

Uz ove metode, kontroleri serije Cisco Catalyst 9800 pružaju mogućnost hvatanja, dohvaćanja i analize podataka o protoku informacija korištenjem NetFlow i sFlow protokola.

Za sigurnosno i prometno modeliranje, mogućnost praćenja određenih tokova vrijedan je alat. Kako bi se riješio ovaj problem, implementiran je protokol sFlow koji vam omogućuje snimanje dva paketa od svakih sto. Međutim, ponekad to možda neće biti dovoljno za analizu i adekvatno proučavanje i evaluaciju protoka. Stoga je alternativa NetFlow, implementiran od strane Cisca, koji vam omogućuje 100% prikupljanje i izvoz svih paketa u određenom toku za naknadnu analizu.

Još jedna značajka, međutim, dostupna samo u hardverskoj implementaciji kontrolera, koja vam omogućuje automatizaciju rada bežične mreže u kontrolerima serije Cisco Catalyst 9800, jest ugrađena podrška za jezik Python kao dodatak za korištenje skripte izravno na samom bežičnom upravljaču.

Konačno, kontroleri serije Cisco Catalyst 9800 podržavaju provjereni protokol SNMP verzije 1, 2 i 3 za nadzor i upravljanje operacijama.

Stoga, u smislu automatizacije, rješenja Cisco Catalyst serije 9800 u potpunosti zadovoljavaju suvremene poslovne zahtjeve, nudeći nove i jedinstvene, kao i vremenski provjerene alate za automatizirane operacije i analitiku u bežičnim mrežama bilo koje veličine i složenosti.

Zaključak

U rješenjima temeljenim na Cisco Catalyst 9800 Series Controllerima, Cisco je pokazao izvrsne rezultate u kategorijama visoke dostupnosti, sigurnosti i automatizacije.

Rješenje u potpunosti ispunjava sve zahtjeve visoke dostupnosti, kao što je krak od manje od sekunde tijekom neplaniranih događaja i nulti prekid rada za zakazane događaje.

Kontroleri serije Cisco Catalyst 9800 pružaju sveobuhvatnu sigurnost koja pruža dubinsku inspekciju paketa za prepoznavanje i kontrolu aplikacija, potpunu vidljivost protoka podataka i identifikaciju prijetnji skrivenih u šifriranom prometu, kao i naprednu autentifikaciju i sigurnosne mehanizme za klijentske uređaje.

Za automatizaciju i analitiku, serija Cisco Catalyst 9800 nudi moćne mogućnosti koristeći popularne standardne modele: YANG, NETCONF, RESTCONF, tradicionalne API-je i ugrađene Python skripte.

Time Cisco još jednom potvrđuje svoj status vodećeg svjetskog proizvođača mrežnih rješenja, idući u korak s vremenom i uvažavajući sve izazove suvremenog poslovanja.

Za više informacija o obitelji prekidača Catalyst posjetite Online cisco.

Izvor: www.habr.com