Ha van vezérlője, nem probléma: hogyan karbantarthatja egyszerűen vezeték nélküli hálózatát

A Miercom tanácsadó cég 2019-ben független technológiai értékelést végzett a Cisco Catalyst 6 sorozatú Wi-Fi 9800 vezérlőkről. Ehhez a vizsgálathoz egy tesztpadot állítottak össze Cisco Wi-Fi 6 vezérlőkből és hozzáférési pontokból, és a műszaki megoldást a következő kategóriákban értékelték:

• Elérhetőség;
• biztonság;
• Automatizálás.

A vizsgálat eredményeit az alábbiakban mutatjuk be. 2019 óta a Cisco Catalyst 9800 sorozatú vezérlők funkcionalitása jelentősen javult – ezeket a szempontokat ez a cikk is tükrözi.

A Wi-Fi 6 technológia további előnyeiről, megvalósítási példákról és alkalmazási területekről olvashat itt.

Megoldás áttekintése

Wi-Fi 6 vezérlő Cisco Catalyst 9800 sorozat

Az IOS-XE operációs rendszeren alapuló Cisco Catalyst 9800 sorozatú vezeték nélküli vezérlők (amelyek Cisco kapcsolókhoz és útválasztókhoz is használatosak) számos opcióban állnak rendelkezésre.

A 9800-80 vezérlő régebbi modellje 80 Gbps-ig támogatja a vezeték nélküli hálózati átvitelt. Egy 9800-80 vezérlő akár 6000 hozzáférési pontot és akár 64 000 vezeték nélküli klienst támogat.

A középkategóriás modell, a 9800-40 vezérlő akár 40 Gbps átviteli sebességet, akár 2000 hozzáférési pontot és akár 32 000 vezeték nélküli klienst is támogat.

A versenyelemzés ezen modelleken kívül a 9800-CL vezeték nélküli vezérlőt is magában foglalta (a CL a Cloud rövidítése). A 9800-CL virtuális környezetben fut VMWare ESXI és KVM hipervizorokon, és teljesítménye a vezérlő virtuális gépéhez dedikált hardvererőforrásoktól függ. Maximális konfigurációjában a Cisco 9800-CL vezérlő, akárcsak a régebbi 9800-80 modell, akár 6000 hozzáférési pontig és 64 000 vezeték nélküli kliensig támogatja a méretezhetőséget.

A vezérlőkkel végzett kutatások során Cisco Aironet AP 4800 sorozatú hozzáférési pontokat használtak, amelyek támogatták a 2,4 és 5 GHz-es frekvenciákon történő működést, és képesek voltak dinamikusan átváltani kettős 5 GHz-es módra.

Próbapad

A tesztelés részeként két fürtben működő Cisco Catalyst 9800-CL vezeték nélküli vezérlőből és Cisco Aironet AP 4800 sorozatú hozzáférési pontokból állványt állítottak össze.

Klienseszközként a Dell és az Apple laptopjait, valamint egy Apple iPhone okostelefont használtak.

Kisegítő lehetőségek tesztelése

Az elérhetőség a felhasználók azon képessége, hogy hozzáférjenek egy rendszerhez vagy szolgáltatáshoz, és azt használják. A magas rendelkezésre állás egy rendszerhez vagy szolgáltatáshoz való folyamatos hozzáférést jelent, bizonyos eseményektől függetlenül.

A magas rendelkezésre állást négy forgatókönyvben tesztelték, az első három forgatókönyv előre látható vagy ütemezett események voltak, amelyek munkaidőben vagy után következhetnek be. Az ötödik forgatókönyv egy klasszikus kudarc, ami egy előre nem látható esemény.

A forgatókönyvek leírása:

• Hibajavítás – a rendszer mikrofrissítése (hibajavítás vagy biztonsági javítás), amely lehetővé teszi egy adott hiba vagy sebezhetőség kijavítását a rendszerszoftver teljes frissítése nélkül;
• Funkcionális frissítés – a rendszer jelenlegi funkcionalitásának hozzáadása vagy bővítése funkcionális frissítések telepítésével;
• Teljes frissítés – frissítse a vezérlő szoftver képét;
• Hozzáférési pont hozzáadása – új hozzáférési pont modell hozzáadása a vezeték nélküli hálózathoz anélkül, hogy újrakonfigurálni kellene vagy frissíteni kellene a vezeték nélküli vezérlő szoftverét;
• Hiba – a vezeték nélküli vezérlő meghibásodása.

Hibák és sebezhetőségek javítása

Sok versenyképes megoldás esetén gyakran a javításhoz a vezeték nélküli vezérlőrendszer teljes szoftverfrissítése szükséges, ami nem tervezett leálláshoz vezethet. A Cisco megoldás esetében a foltozás a termék leállítása nélkül történik. A javítások bármelyik összetevőre telepíthetők, miközben a vezeték nélküli infrastruktúra továbbra is működik.

Maga az eljárás meglehetősen egyszerű. A javítófájlt a rendszer az egyik Cisco vezeték nélküli vezérlő bootstrap mappájába másolja, majd a műveletet a grafikus felhasználói felületen vagy a parancssoron keresztül megerősíti. Ezenkívül a GUI-n vagy a parancssoron keresztül is visszavonhatja és eltávolíthatja a javítást, a rendszer működésének megszakítása nélkül.

Funkcionális frissítés

A funkcionális szoftverfrissítések új funkciókat tesznek lehetővé. Az egyik ilyen fejlesztés az alkalmazás aláírási adatbázisának frissítése. Ezt a csomagot tesztként telepítették Cisco vezérlőkre. Csakúgy, mint a javítások esetében, a funkciófrissítések alkalmazása, telepítése vagy eltávolítása leállás vagy rendszermegszakítás nélkül történik.

Teljes frissítés

Jelenleg a vezérlő szoftver képének teljes frissítése ugyanúgy történik, mint a funkcionális frissítés, vagyis leállás nélkül. Ez a szolgáltatás azonban csak fürtkonfigurációban érhető el, ha egynél több vezérlő van. A teljes frissítés szekvenciálisan történik: először az egyik vezérlőn, majd a másodikon.

Új hozzáférési pont modell hozzáadása

Új, korábban nem a használt vezérlőszoftver-képpel üzemeltetett hozzáférési pontok vezeték nélküli hálózathoz csatlakoztatása meglehetősen gyakori művelet, különösen nagy hálózatokban (repülőterek, szállodák, gyárak). A versenytársak megoldásaiban ez a művelet gyakran a rendszerszoftver frissítését vagy a vezérlők újraindítását igényli.

Amikor új Wi-Fi 6 hozzáférési pontokat csatlakoztat a Cisco Catalyst 9800 sorozatú vezérlők fürtjéhez, nem figyelhető meg ilyen probléma. Az új pontok csatlakoztatása a vezérlőhöz a vezérlő szoftverének frissítése nélkül történik, és ez a folyamat nem igényel újraindítást, így a vezeték nélküli hálózatot semmilyen módon nem érinti.

Vezérlő hiba

A tesztkörnyezet két Wi-Fi 6 vezérlőt használ (Active/StandBy), és a hozzáférési pont közvetlen kapcsolatban áll mindkét vezérlővel.

Az egyik vezeték nélküli vezérlő aktív, a másik pedig tartalék. Ha az aktív vezérlő meghibásodik, a tartalék vezérlő átveszi az irányítást, és állapota aktívra változik. Ez az eljárás megszakítás nélkül történik a hozzáférési pont és a Wi-Fi számára az ügyfelek számára.

biztonság

Ez a rész a biztonság szempontjait tárgyalja, ami rendkívül sürgető probléma a vezeték nélküli hálózatokban. A megoldás biztonságát a következő jellemzők alapján értékeljük:

• Alkalmazás felismerés;
• Áramláskövetés;
• Titkosított forgalom elemzése;
• Behatolás észlelése és megelőzése;
• Hitelesítési eszközök;
• Kliens eszközvédelmi eszközök.

Alkalmazás felismerés

A vállalati és ipari Wi-Fi-piacon található termékek sokfélesége között különbségek vannak abban, hogy a termékek mennyire jól azonosítják a forgalmat alkalmazásonként. A különböző gyártók termékei eltérő számú alkalmazást azonosíthatnak. A versenytárs megoldások azonosítása céljából felsorolt ​​alkalmazások közül azonban sok valójában webhely, és nem egyedi alkalmazás.

Az alkalmazásfelismerésnek van egy másik érdekessége is: a megoldások azonosítási pontossága nagyon eltérő.

Az összes elvégzett tesztet figyelembe véve felelősséggel kijelenthetjük, hogy a Cisco Wi-Fi-6 megoldása nagyon pontosan végzi el az alkalmazásfelismerést: a Jabber, a Netflix, a Dropbox, a YouTube és más népszerű alkalmazások, valamint a webszolgáltatások pontosan azonosításra kerültek. A Cisco megoldásai a DPI (Deep Packet Inspection) segítségével mélyebbre áshatnak az adatcsomagokban.

A forgalom nyomon követése

Egy másik tesztet végeztek annak megállapítására, hogy a rendszer képes-e pontosan nyomon követni és jelenteni az adatfolyamokat (például nagy fájlmozgásokat). Ennek tesztelésére egy 6,5 megabájtos fájlt küldtek a hálózaton File Transfer Protocol (FTP) segítségével.

A Cisco megoldás teljes mértékben megfelelt a feladatnak, és a NetFlow-nak és hardveres képességeinek köszönhetően nyomon tudta követni ezt a forgalmat. A forgalmat azonnal észlelték és azonosították az átvitt adatok pontos mennyiségével.

Titkosított forgalomelemzés

A felhasználói adatforgalom egyre inkább titkosított. Ez azért történik, hogy megvédjük a támadók nyomon követésétől vagy elfogásától. Ugyanakkor a hackerek egyre gyakrabban használnak titkosítást rosszindulatú programjaik elrejtésére, és más kétes műveleteket hajtanak végre, mint például a Man-in-the-Middle (MiTM) vagy a keylogging támadások.

A legtöbb vállalkozás úgy ellenőrzi a titkosított forgalom egy részét, hogy először tűzfallal vagy behatolásgátló rendszerrel dekódolja azt. Ez a folyamat azonban sok időt vesz igénybe, és nem javítja a hálózat egészének teljesítményét. Ezenkívül a visszafejtést követően ezek az adatok sebezhetővé válnak a kíváncsi szemek számára.

A Cisco Catalyst 9800 sorozatú vezérlők sikeresen megoldják a titkosított forgalom más eszközökkel történő elemzésének problémáját. A megoldás neve Encrypted Traffic Analytics (ETA). Az ETA egy olyan technológia, amelynek jelenleg nincsenek analógjai a versenyképes megoldásokban, és amely a titkosított forgalomban észleli a rosszindulatú programokat anélkül, hogy vissza kellene fejteni. Az ETA az IOS-XE alapfunkciója, amely tartalmazza az Enhanced NetFlow-t, és fejlett viselkedési algoritmusokat használ a titkosított forgalomban megbúvó rosszindulatú forgalmi minták azonosítására.

Az ETA nem fejti vissza az üzeneteket, hanem összegyűjti a titkosított forgalmi áramlások metaadatprofiljait – a csomagméretet, a csomagok közötti időintervallumokat és még sok mást. A metaadatok ezután NetFlow v9 rekordokban exportálódnak a Cisco Stealthwatchba.

A Stealthwatch fő funkciója a forgalom folyamatos figyelése, valamint a normál hálózati tevékenység alapvonalának létrehozása. Az ETA által neki küldött titkosított adatfolyam-metaadatok felhasználásával a Stealthwatch többrétegű gépi tanulást alkalmaz a viselkedési forgalmi anomáliák azonosítására, amelyek gyanús eseményekre utalhatnak.

Tavaly a Cisco megbízta a Miercomot, hogy önállóan értékelje Cisco titkosított forgalomelemző megoldását. Az értékelés során a Miercom külön küldött ismert és ismeretlen fenyegetéseket (vírusok, trójaiak, zsarolóprogramok) titkosított és titkosítatlan forgalomban nagy ETA és nem ETA hálózatokon keresztül, hogy azonosítsa a fenyegetéseket.

Tesztelés céljából mindkét hálózaton rosszindulatú kódot indítottak el. Mindkét esetben fokozatosan fedeztek fel gyanús tevékenységet. Az ETA hálózat kezdetben 36%-kal gyorsabban észlelte a fenyegetéseket, mint a nem ETA hálózat. Ugyanakkor a munka előrehaladtával az ETA hálózatban az észlelés hatékonysága növekedni kezdett. Ennek eredményeként több órás munka után az aktív fenyegetések kétharmadát sikeresen észlelték az ETA hálózatában, ami kétszer annyi, mint a nem ETA hálózatban.

Az ETA funkció jól integrálva van a Stealthwatch-val. A fenyegetéseket súlyosságuk szerint rangsorolják, és a megerősítést követően részletes információkkal, valamint orvoslási lehetőségekkel jelennek meg. Következtetés – az ETA működik!

Behatolás észlelése és megelőzése

A Cisco most egy másik hatékony biztonsági eszközzel is rendelkezik – a Cisco Advanced Wireless Intrusion Prevention System (aWIPS) rendszerrel: a vezeték nélküli hálózatokat fenyegető veszélyek észlelésére és megelőzésére szolgáló mechanizmus. Az aWIPS megoldás a vezérlők, hozzáférési pontok és a Cisco DNA Center felügyeleti szoftverek szintjén működik. A fenyegetésészlelés, riasztás és megelőzés egyesíti a hálózati forgalom elemzését, a hálózati eszközökre és a hálózati topológiára vonatkozó információkat, az aláírás-alapú technikákat és az anomáliák észlelését, hogy rendkívül pontos és megelőzhető vezeték nélküli fenyegetéseket biztosítson.

Az aWIPS-t teljes mértékben integrálva hálózati infrastruktúrájába, folyamatosan figyelemmel kísérheti a vezeték nélküli forgalmat mind a vezetékes, mind a vezeték nélküli hálózatokon, és automatikusan elemezheti a több forrásból származó potenciális támadásokat a lehető legátfogóbb észlelés és megelőzés érdekében.

A hitelesítés azt jelenti

Jelenleg a klasszikus hitelesítési eszközök mellett a Cisco Catalyst 9800 sorozatú megoldások támogatják a WPA3-at. A WPA3 a WPA legújabb verziója, amely a Wi-Fi hálózatok hitelesítését és titkosítását biztosító protokollok és technológiák összessége.

A WPA3 az Egyenlőség szimultán hitelesítését (SAE) használja, hogy a legerősebb védelmet nyújtsa a felhasználók számára a harmadik felek jelszókitaláló kísérletei ellen. Amikor egy ügyfél hozzáférési ponthoz csatlakozik, SAE-cserét hajt végre. Sikeres esetben mindegyik létrehoz egy titkosításilag erős kulcsot, amelyből a munkamenet kulcsa lesz származtatva, majd visszaigazoló állapotba kerül. Az ügyfél és a hozzáférési pont ezután minden alkalommal kézfogási állapotba léphet, amikor munkamenetkulcsot kell létrehozni. A módszer a továbbítási titkosítást használja, amelyben a támadó egy kulcsot feltörhet, de az összes többi kulcsot nem.

Ez azt jelenti, hogy a SAE-t úgy tervezték, hogy a forgalmat elfogó támadónak csak egyszer legyen lehetősége kitalálni a jelszót, mielőtt az elfogott adatok használhatatlanná válnának. A hosszú jelszó-helyreállítás megszervezéséhez fizikai hozzáférésre van szüksége a hozzáférési ponthoz.

Kliens eszköz védelem

A Cisco Catalyst 9800 sorozatú vezeték nélküli megoldások jelenleg a Cisco Umbrella WLAN felhőalapú hálózati biztonsági szolgáltatáson keresztül biztosítják az elsődleges ügyfélvédelmi szolgáltatást, amely DNS-szinten működik, az ismert és az újonnan megjelenő fenyegetések automatikus észlelésével.

A Cisco Umbrella WLAN biztonságos internetkapcsolatot biztosít az ügyféleszközöknek. Ezt tartalomszűréssel érik el, vagyis az internetes erőforrásokhoz való hozzáférés blokkolásával a vállalati szabályzatnak megfelelően. Így az interneten lévő klienseszközök védve vannak a rosszindulatú programoktól, a zsarolóprogramoktól és az adathalászattól. Az irányelvek betartatása 60 folyamatosan frissített tartalomkategórián alapul.

automatizálás

Napjaink vezeték nélküli hálózatai sokkal rugalmasabbak és összetettebbek, ezért a vezeték nélküli vezérlőkből származó információk konfigurálására és lekérésére szolgáló hagyományos módszerek nem elegendőek. A hálózati rendszergazdáknak és az információbiztonsági szakembereknek automatizálási és elemzési eszközökre van szükségük, ezért a vezeték nélküli szállítók ilyen eszközöket kínálnak.

E problémák megoldására a Cisco Catalyst 9800 sorozatú vezeték nélküli vezérlők a hagyományos API-val együtt támogatják a RESTCONF / NETCONF hálózati konfigurációs protokollt a YANG (Yet Another Next Generation) adatmodellező nyelvvel.

A NETCONF egy XML-alapú protokoll, amelyet az alkalmazások információk lekérdezésére és a hálózati eszközök, például a vezeték nélküli vezérlők konfigurációjának megváltoztatására használhatnak.

Ezen módszerek mellett a Cisco Catalyst 9800 sorozatú vezérlők lehetővé teszik az információáramlási adatok rögzítését, lekérését és elemzését a NetFlow és sFlow protokollok használatával.

A biztonság és a forgalommodellezés szempontjából értékes eszköz az adott áramlások nyomon követésének képessége. A probléma megoldására az sFlow protokollt implementálták, amely lehetővé teszi, hogy százból két csomagot rögzítsen. Néha azonban ez nem elegendő az áramlás elemzéséhez, megfelelő tanulmányozásához és értékeléséhez. Ezért egy alternatíva a Cisco által megvalósított NetFlow, amely lehetővé teszi az összes csomag 100%-os összegyűjtését és exportálását egy meghatározott folyamatban a későbbi elemzés céljából.

Egy másik funkció azonban, amely csak a vezérlők hardveres megvalósításában érhető el, és amely lehetővé teszi a vezeték nélküli hálózat működésének automatizálását a Cisco Catalyst 9800 sorozatú vezérlőkben, a Python nyelv beépített támogatása, amely kiegészítőként használható. szkripteket közvetlenül a vezeték nélküli vezérlőn.

Végül a Cisco Catalyst 9800 sorozatú vezérlők támogatják a bevált SNMP 1., 2. és 3. verziójú protokollt a megfigyelési és felügyeleti műveletekhez.

Így az automatizálás szempontjából a Cisco Catalyst 9800 sorozatú megoldások teljes mértékben megfelelnek a modern üzleti követelményeknek, új és egyedi, valamint jól bevált eszközöket kínálnak az automatizált műveletekhez és elemzésekhez bármilyen méretű és összetettségű vezeték nélküli hálózatokban.

Következtetés

A Cisco Catalyst 9800 sorozatú vezérlőkön alapuló megoldások terén a Cisco kiváló eredményeket ért el a magas rendelkezésre állás, biztonság és automatizálás kategóriáiban.

A megoldás teljes mértékben megfelel az összes magas rendelkezésre állási követelménynek, például a nem tervezett események alatti feladatátvételnek és az ütemezett események nulla leállásának.

A Cisco Catalyst 9800 sorozatú vezérlők átfogó biztonságot nyújtanak, amely mély csomagellenőrzést tesz lehetővé az alkalmazások felismeréséhez és vezérléséhez, az adatfolyamok teljes áttekintését és a titkosított forgalomban rejtett fenyegetések azonosítását, valamint fejlett hitelesítési és biztonsági mechanizmusokat biztosít az ügyféleszközök számára.

Az automatizáláshoz és az elemzéshez a Cisco Catalyst 9800 Series erőteljes képességeket kínál népszerű szabványos modellekkel: YANG, NETCONF, RESTCONF, hagyományos API-k és beépített Python-szkriptek.

Ezzel a Cisco ismét megerősíti státuszát a világ vezető hálózati megoldások gyártójaként, lépést tartva a korral, és figyelembe véve a modern üzleti élet minden kihívását.

A Catalyst kapcsolócsaláddal kapcsolatos további információkért látogasson el a webhelyre Online cisco.

Forrás: will.com

A Miercom tanácsadó cég 2019-ben független technológiai értékelést végzett a Cisco Catalyst 6 sorozatú Wi-Fi 9800 vezérlőkről. Ehhez a vizsgálathoz egy tesztpadot állítottak össze Cisco Wi-Fi 6 vezérlőkből és hozzáférési pontokból, és a műszaki megoldást a következő kategóriákban értékelték:

• Elérhetőség;
• biztonság;
• Automatizálás.

A vizsgálat eredményeit az alábbiakban mutatjuk be. 2019 óta a Cisco Catalyst 9800 sorozatú vezérlők funkcionalitása jelentősen javult – ezeket a szempontokat ez a cikk is tükrözi.

A Wi-Fi 6 technológia további előnyeiről, megvalósítási példákról és alkalmazási területekről olvashat itt.

Megoldás áttekintése

Wi-Fi 6 vezérlő Cisco Catalyst 9800 sorozat

Az IOS-XE operációs rendszeren alapuló Cisco Catalyst 9800 sorozatú vezeték nélküli vezérlők (amelyek Cisco kapcsolókhoz és útválasztókhoz is használatosak) számos opcióban állnak rendelkezésre.

A 9800-80 vezérlő régebbi modellje 80 Gbps-ig támogatja a vezeték nélküli hálózati átvitelt. Egy 9800-80 vezérlő akár 6000 hozzáférési pontot és akár 64 000 vezeték nélküli klienst támogat.

A középkategóriás modell, a 9800-40 vezérlő akár 40 Gbps átviteli sebességet, akár 2000 hozzáférési pontot és akár 32 000 vezeték nélküli klienst is támogat.

A versenyelemzés ezen modelleken kívül a 9800-CL vezeték nélküli vezérlőt is magában foglalta (a CL a Cloud rövidítése). A 9800-CL virtuális környezetben fut VMWare ESXI és KVM hipervizorokon, és teljesítménye a vezérlő virtuális gépéhez dedikált hardvererőforrásoktól függ. Maximális konfigurációjában a Cisco 9800-CL vezérlő, akárcsak a régebbi 9800-80 modell, akár 6000 hozzáférési pontig és 64 000 vezeték nélküli kliensig támogatja a méretezhetőséget.

A vezérlőkkel végzett kutatások során Cisco Aironet AP 4800 sorozatú hozzáférési pontokat használtak, amelyek támogatták a 2,4 és 5 GHz-es frekvenciákon történő működést, és képesek voltak dinamikusan átváltani kettős 5 GHz-es módra.

Próbapad

A tesztelés részeként két fürtben működő Cisco Catalyst 9800-CL vezeték nélküli vezérlőből és Cisco Aironet AP 4800 sorozatú hozzáférési pontokból állványt állítottak össze.

Klienseszközként a Dell és az Apple laptopjait, valamint egy Apple iPhone okostelefont használtak.

Kisegítő lehetőségek tesztelése

Az elérhetőség a felhasználók azon képessége, hogy hozzáférjenek egy rendszerhez vagy szolgáltatáshoz, és azt használják. A magas rendelkezésre állás egy rendszerhez vagy szolgáltatáshoz való folyamatos hozzáférést jelent, bizonyos eseményektől függetlenül.

A magas rendelkezésre állást négy forgatókönyvben tesztelték, az első három forgatókönyv előre látható vagy ütemezett események voltak, amelyek munkaidőben vagy után következhetnek be. Az ötödik forgatókönyv egy klasszikus kudarc, ami egy előre nem látható esemény.

A forgatókönyvek leírása:

• Hibajavítás – a rendszer mikrofrissítése (hibajavítás vagy biztonsági javítás), amely lehetővé teszi egy adott hiba vagy sebezhetőség kijavítását a rendszerszoftver teljes frissítése nélkül;
• Funkcionális frissítés – a rendszer jelenlegi funkcionalitásának hozzáadása vagy bővítése funkcionális frissítések telepítésével;
• Teljes frissítés – frissítse a vezérlő szoftver képét;
• Hozzáférési pont hozzáadása – új hozzáférési pont modell hozzáadása a vezeték nélküli hálózathoz anélkül, hogy újrakonfigurálni kellene vagy frissíteni kellene a vezeték nélküli vezérlő szoftverét;
• Hiba – a vezeték nélküli vezérlő meghibásodása.

Hibák és sebezhetőségek javítása

Sok versenyképes megoldás esetén gyakran a javításhoz a vezeték nélküli vezérlőrendszer teljes szoftverfrissítése szükséges, ami nem tervezett leálláshoz vezethet. A Cisco megoldás esetében a foltozás a termék leállítása nélkül történik. A javítások bármelyik összetevőre telepíthetők, miközben a vezeték nélküli infrastruktúra továbbra is működik.

Maga az eljárás meglehetősen egyszerű. A javítófájlt a rendszer az egyik Cisco vezeték nélküli vezérlő bootstrap mappájába másolja, majd a műveletet a grafikus felhasználói felületen vagy a parancssoron keresztül megerősíti. Ezenkívül a GUI-n vagy a parancssoron keresztül is visszavonhatja és eltávolíthatja a javítást, a rendszer működésének megszakítása nélkül.

Funkcionális frissítés

A funkcionális szoftverfrissítések új funkciókat tesznek lehetővé. Az egyik ilyen fejlesztés az alkalmazás aláírási adatbázisának frissítése. Ezt a csomagot tesztként telepítették Cisco vezérlőkre. Csakúgy, mint a javítások esetében, a funkciófrissítések alkalmazása, telepítése vagy eltávolítása leállás vagy rendszermegszakítás nélkül történik.

Teljes frissítés

Jelenleg a vezérlő szoftver képének teljes frissítése ugyanúgy történik, mint a funkcionális frissítés, vagyis leállás nélkül. Ez a szolgáltatás azonban csak fürtkonfigurációban érhető el, ha egynél több vezérlő van. A teljes frissítés szekvenciálisan történik: először az egyik vezérlőn, majd a másodikon.

Új hozzáférési pont modell hozzáadása

Új, korábban nem a használt vezérlőszoftver-képpel üzemeltetett hozzáférési pontok vezeték nélküli hálózathoz csatlakoztatása meglehetősen gyakori művelet, különösen nagy hálózatokban (repülőterek, szállodák, gyárak). A versenytársak megoldásaiban ez a művelet gyakran a rendszerszoftver frissítését vagy a vezérlők újraindítását igényli.

Amikor új Wi-Fi 6 hozzáférési pontokat csatlakoztat a Cisco Catalyst 9800 sorozatú vezérlők fürtjéhez, nem figyelhető meg ilyen probléma. Az új pontok csatlakoztatása a vezérlőhöz a vezérlő szoftverének frissítése nélkül történik, és ez a folyamat nem igényel újraindítást, így a vezeték nélküli hálózatot semmilyen módon nem érinti.

Vezérlő hiba

A tesztkörnyezet két Wi-Fi 6 vezérlőt használ (Active/StandBy), és a hozzáférési pont közvetlen kapcsolatban áll mindkét vezérlővel.

Az egyik vezeték nélküli vezérlő aktív, a másik pedig tartalék. Ha az aktív vezérlő meghibásodik, a tartalék vezérlő átveszi az irányítást, és állapota aktívra változik. Ez az eljárás megszakítás nélkül történik a hozzáférési pont és a Wi-Fi számára az ügyfelek számára.

biztonság

Ez a rész a biztonság szempontjait tárgyalja, ami rendkívül sürgető probléma a vezeték nélküli hálózatokban. A megoldás biztonságát a következő jellemzők alapján értékeljük:

• Alkalmazás felismerés;
• Áramláskövetés;
• Titkosított forgalom elemzése;
• Behatolás észlelése és megelőzése;
• Hitelesítési eszközök;
• Kliens eszközvédelmi eszközök.

Alkalmazás felismerés

A vállalati és ipari Wi-Fi-piacon található termékek sokfélesége között különbségek vannak abban, hogy a termékek mennyire jól azonosítják a forgalmat alkalmazásonként. A különböző gyártók termékei eltérő számú alkalmazást azonosíthatnak. A versenytárs megoldások azonosítása céljából felsorolt ​​alkalmazások közül azonban sok valójában webhely, és nem egyedi alkalmazás.

Az alkalmazásfelismerésnek van egy másik érdekessége is: a megoldások azonosítási pontossága nagyon eltérő.

Az összes elvégzett tesztet figyelembe véve felelősséggel kijelenthetjük, hogy a Cisco Wi-Fi-6 megoldása nagyon pontosan végzi el az alkalmazásfelismerést: a Jabber, a Netflix, a Dropbox, a YouTube és más népszerű alkalmazások, valamint a webszolgáltatások pontosan azonosításra kerültek. A Cisco megoldásai a DPI (Deep Packet Inspection) segítségével mélyebbre áshatnak az adatcsomagokban.

A forgalom nyomon követése

Egy másik tesztet végeztek annak megállapítására, hogy a rendszer képes-e pontosan nyomon követni és jelenteni az adatfolyamokat (például nagy fájlmozgásokat). Ennek tesztelésére egy 6,5 megabájtos fájlt küldtek a hálózaton File Transfer Protocol (FTP) segítségével.

A Cisco megoldás teljes mértékben megfelelt a feladatnak, és a NetFlow-nak és hardveres képességeinek köszönhetően nyomon tudta követni ezt a forgalmat. A forgalmat azonnal észlelték és azonosították az átvitt adatok pontos mennyiségével.

Titkosított forgalomelemzés

A felhasználói adatforgalom egyre inkább titkosított. Ez azért történik, hogy megvédjük a támadók nyomon követésétől vagy elfogásától. Ugyanakkor a hackerek egyre gyakrabban használnak titkosítást rosszindulatú programjaik elrejtésére, és más kétes műveleteket hajtanak végre, mint például a Man-in-the-Middle (MiTM) vagy a keylogging támadások.

A legtöbb vállalkozás úgy ellenőrzi a titkosított forgalom egy részét, hogy először tűzfallal vagy behatolásgátló rendszerrel dekódolja azt. Ez a folyamat azonban sok időt vesz igénybe, és nem javítja a hálózat egészének teljesítményét. Ezenkívül a visszafejtést követően ezek az adatok sebezhetővé válnak a kíváncsi szemek számára.

A Cisco Catalyst 9800 sorozatú vezérlők sikeresen megoldják a titkosított forgalom más eszközökkel történő elemzésének problémáját. A megoldás neve Encrypted Traffic Analytics (ETA). Az ETA egy olyan technológia, amelynek jelenleg nincsenek analógjai a versenyképes megoldásokban, és amely a titkosított forgalomban észleli a rosszindulatú programokat anélkül, hogy vissza kellene fejteni. Az ETA az IOS-XE alapfunkciója, amely tartalmazza az Enhanced NetFlow-t, és fejlett viselkedési algoritmusokat használ a titkosított forgalomban megbúvó rosszindulatú forgalmi minták azonosítására.

Az ETA nem fejti vissza az üzeneteket, hanem összegyűjti a titkosított forgalmi áramlások metaadatprofiljait – a csomagméretet, a csomagok közötti időintervallumokat és még sok mást. A metaadatok ezután NetFlow v9 rekordokban exportálódnak a Cisco Stealthwatchba.

A Stealthwatch fő funkciója a forgalom folyamatos figyelése, valamint a normál hálózati tevékenység alapvonalának létrehozása. Az ETA által neki küldött titkosított adatfolyam-metaadatok felhasználásával a Stealthwatch többrétegű gépi tanulást alkalmaz a viselkedési forgalmi anomáliák azonosítására, amelyek gyanús eseményekre utalhatnak.

Tavaly a Cisco megbízta a Miercomot, hogy önállóan értékelje Cisco titkosított forgalomelemző megoldását. Az értékelés során a Miercom külön küldött ismert és ismeretlen fenyegetéseket (vírusok, trójaiak, zsarolóprogramok) titkosított és titkosítatlan forgalomban nagy ETA és nem ETA hálózatokon keresztül, hogy azonosítsa a fenyegetéseket.

Tesztelés céljából mindkét hálózaton rosszindulatú kódot indítottak el. Mindkét esetben fokozatosan fedeztek fel gyanús tevékenységet. Az ETA hálózat kezdetben 36%-kal gyorsabban észlelte a fenyegetéseket, mint a nem ETA hálózat. Ugyanakkor a munka előrehaladtával az ETA hálózatban az észlelés hatékonysága növekedni kezdett. Ennek eredményeként több órás munka után az aktív fenyegetések kétharmadát sikeresen észlelték az ETA hálózatában, ami kétszer annyi, mint a nem ETA hálózatban.

Az ETA funkció jól integrálva van a Stealthwatch-val. A fenyegetéseket súlyosságuk szerint rangsorolják, és a megerősítést követően részletes információkkal, valamint orvoslási lehetőségekkel jelennek meg. Következtetés – az ETA működik!

Behatolás észlelése és megelőzése

A Cisco most egy másik hatékony biztonsági eszközzel is rendelkezik – a Cisco Advanced Wireless Intrusion Prevention System (aWIPS) rendszerrel: a vezeték nélküli hálózatokat fenyegető veszélyek észlelésére és megelőzésére szolgáló mechanizmus. Az aWIPS megoldás a vezérlők, hozzáférési pontok és a Cisco DNA Center felügyeleti szoftverek szintjén működik. A fenyegetésészlelés, riasztás és megelőzés egyesíti a hálózati forgalom elemzését, a hálózati eszközökre és a hálózati topológiára vonatkozó információkat, az aláírás-alapú technikákat és az anomáliák észlelését, hogy rendkívül pontos és megelőzhető vezeték nélküli fenyegetéseket biztosítson.

Az aWIPS-t teljes mértékben integrálva hálózati infrastruktúrájába, folyamatosan figyelemmel kísérheti a vezeték nélküli forgalmat mind a vezetékes, mind a vezeték nélküli hálózatokon, és automatikusan elemezheti a több forrásból származó potenciális támadásokat a lehető legátfogóbb észlelés és megelőzés érdekében.

A hitelesítés azt jelenti

Jelenleg a klasszikus hitelesítési eszközök mellett a Cisco Catalyst 9800 sorozatú megoldások támogatják a WPA3-at. A WPA3 a WPA legújabb verziója, amely a Wi-Fi hálózatok hitelesítését és titkosítását biztosító protokollok és technológiák összessége.

A WPA3 az Egyenlőség szimultán hitelesítését (SAE) használja, hogy a legerősebb védelmet nyújtsa a felhasználók számára a harmadik felek jelszókitaláló kísérletei ellen. Amikor egy ügyfél hozzáférési ponthoz csatlakozik, SAE-cserét hajt végre. Sikeres esetben mindegyik létrehoz egy titkosításilag erős kulcsot, amelyből a munkamenet kulcsa lesz származtatva, majd visszaigazoló állapotba kerül. Az ügyfél és a hozzáférési pont ezután minden alkalommal kézfogási állapotba léphet, amikor munkamenetkulcsot kell létrehozni. A módszer a továbbítási titkosítást használja, amelyben a támadó egy kulcsot feltörhet, de az összes többi kulcsot nem.

Ez azt jelenti, hogy a SAE-t úgy tervezték, hogy a forgalmat elfogó támadónak csak egyszer legyen lehetősége kitalálni a jelszót, mielőtt az elfogott adatok használhatatlanná válnának. A hosszú jelszó-helyreállítás megszervezéséhez fizikai hozzáférésre van szüksége a hozzáférési ponthoz.

Kliens eszköz védelem

A Cisco Catalyst 9800 sorozatú vezeték nélküli megoldások jelenleg a Cisco Umbrella WLAN felhőalapú hálózati biztonsági szolgáltatáson keresztül biztosítják az elsődleges ügyfélvédelmi szolgáltatást, amely DNS-szinten működik, az ismert és az újonnan megjelenő fenyegetések automatikus észlelésével.

A Cisco Umbrella WLAN biztonságos internetkapcsolatot biztosít az ügyféleszközöknek. Ezt tartalomszűréssel érik el, vagyis az internetes erőforrásokhoz való hozzáférés blokkolásával a vállalati szabályzatnak megfelelően. Így az interneten lévő klienseszközök védve vannak a rosszindulatú programoktól, a zsarolóprogramoktól és az adathalászattól. Az irányelvek betartatása 60 folyamatosan frissített tartalomkategórián alapul.

automatizálás

Napjaink vezeték nélküli hálózatai sokkal rugalmasabbak és összetettebbek, ezért a vezeték nélküli vezérlőkből származó információk konfigurálására és lekérésére szolgáló hagyományos módszerek nem elegendőek. A hálózati rendszergazdáknak és az információbiztonsági szakembereknek automatizálási és elemzési eszközökre van szükségük, ezért a vezeték nélküli szállítók ilyen eszközöket kínálnak.

E problémák megoldására a Cisco Catalyst 9800 sorozatú vezeték nélküli vezérlők a hagyományos API-val együtt támogatják a RESTCONF / NETCONF hálózati konfigurációs protokollt a YANG (Yet Another Next Generation) adatmodellező nyelvvel.

A NETCONF egy XML-alapú protokoll, amelyet az alkalmazások információk lekérdezésére és a hálózati eszközök, például a vezeték nélküli vezérlők konfigurációjának megváltoztatására használhatnak.

Ezen módszerek mellett a Cisco Catalyst 9800 sorozatú vezérlők lehetővé teszik az információáramlási adatok rögzítését, lekérését és elemzését a NetFlow és sFlow protokollok használatával.

A biztonság és a forgalommodellezés szempontjából értékes eszköz az adott áramlások nyomon követésének képessége. A probléma megoldására az sFlow protokollt implementálták, amely lehetővé teszi, hogy százból két csomagot rögzítsen. Néha azonban ez nem elegendő az áramlás elemzéséhez, megfelelő tanulmányozásához és értékeléséhez. Ezért egy alternatíva a Cisco által megvalósított NetFlow, amely lehetővé teszi az összes csomag 100%-os összegyűjtését és exportálását egy meghatározott folyamatban a későbbi elemzés céljából.

Egy másik funkció azonban, amely csak a vezérlők hardveres megvalósításában érhető el, és amely lehetővé teszi a vezeték nélküli hálózat működésének automatizálását a Cisco Catalyst 9800 sorozatú vezérlőkben, a Python nyelv beépített támogatása, amely kiegészítőként használható. szkripteket közvetlenül a vezeték nélküli vezérlőn.

Végül a Cisco Catalyst 9800 sorozatú vezérlők támogatják a bevált SNMP 1., 2. és 3. verziójú protokollt a megfigyelési és felügyeleti műveletekhez.

Így az automatizálás szempontjából a Cisco Catalyst 9800 sorozatú megoldások teljes mértékben megfelelnek a modern üzleti követelményeknek, új és egyedi, valamint jól bevált eszközöket kínálnak az automatizált műveletekhez és elemzésekhez bármilyen méretű és összetettségű vezeték nélküli hálózatokban.

Következtetés

A Cisco Catalyst 9800 sorozatú vezérlőkön alapuló megoldások terén a Cisco kiváló eredményeket ért el a magas rendelkezésre állás, biztonság és automatizálás kategóriáiban.

A megoldás teljes mértékben megfelel az összes magas rendelkezésre állási követelménynek, például a nem tervezett események alatti feladatátvételnek és az ütemezett események nulla leállásának.

A Cisco Catalyst 9800 sorozatú vezérlők átfogó biztonságot nyújtanak, amely mély csomagellenőrzést tesz lehetővé az alkalmazások felismeréséhez és vezérléséhez, az adatfolyamok teljes áttekintését és a titkosított forgalomban rejtett fenyegetések azonosítását, valamint fejlett hitelesítési és biztonsági mechanizmusokat biztosít az ügyféleszközök számára.

Az automatizáláshoz és az elemzéshez a Cisco Catalyst 9800 Series erőteljes képességeket kínál népszerű szabványos modellekkel: YANG, NETCONF, RESTCONF, hagyományos API-k és beépített Python-szkriptek.

Ezzel a Cisco ismét megerősíti státuszát a világ vezető hálózati megoldások gyártójaként, lépést tartva a korral, és figyelembe véve a modern üzleti élet minden kihívását.

A Catalyst kapcsolócsaláddal kapcsolatos további információkért látogasson el a webhelyre Online cisco.

Forrás: will.com