Pada tahun 2019, perusahaan konsultan Miercom melakukan penilaian teknologi independen terhadap pengontrol Wi-Fi 6 dari seri Cisco Catalyst 9800. Untuk penelitian ini, bangku tes dirakit dari pengontrol dan titik akses Cisco Wi-Fi 6, dan solusi teknisnya adalah dinilai dalam kategori berikut:
- Ketersediaan;
- Keamanan;
- Otomatisasi.
Hasil penelitian ditunjukkan di bawah ini. Sejak 2019, fungsionalitas pengontrol seri Cisco Catalyst 9800 telah ditingkatkan secara signifikan - poin ini juga tercermin dalam artikel ini.
Anda dapat membaca tentang keunggulan lain dari teknologi Wi-Fi 6, contoh implementasi dan area penerapannya.
Ikhtisar Solusi
Pengontrol Wi-Fi 6 seri Cisco Catalyst 9800
Pengontrol Nirkabel Cisco Catalyst 9800 Series, berdasarkan sistem operasi IOS-XE (juga digunakan untuk switch dan router Cisco), tersedia dalam berbagai pilihan.
Model pengontrol 9800-80 yang lebih lama mendukung throughput jaringan nirkabel hingga 80 Gbps. Satu pengontrol 9800-80 mendukung hingga 6000 titik akses dan hingga 64 klien nirkabel.
Model kelas menengah, pengontrol 9800-40, mendukung throughput hingga 40 Gbps, hingga 2000 titik akses, dan hingga 32 klien nirkabel.
Selain model-model ini, analisis kompetitif juga mencakup pengontrol nirkabel 9800-CL (CL adalah singkatan dari Cloud). 9800-CL berjalan di lingkungan virtual pada hypervisor VMWare ESXI dan KVM, dan kinerjanya bergantung pada sumber daya perangkat keras khusus untuk mesin virtual pengontrol. Dalam konfigurasi maksimumnya, pengontrol Cisco 9800-CL, seperti model lama 9800-80, mendukung skalabilitas hingga 6000 titik akses dan hingga 64 klien nirkabel.
Saat melakukan penelitian dengan pengontrol, titik akses seri Cisco Aironet AP 4800 digunakan, mendukung operasi pada frekuensi 2,4 dan 5 GHz dengan kemampuan untuk beralih secara dinamis ke mode ganda 5-GHz.
Tempat uji coba
Sebagai bagian dari pengujian, stand dirakit dari dua pengontrol nirkabel Cisco Catalyst 9800-CL yang beroperasi dalam sebuah cluster dan titik akses seri Cisco Aironet AP 4800.
Laptop dari Dell dan Apple, serta smartphone Apple iPhone, digunakan sebagai perangkat klien.
Pengujian Aksesibilitas
Ketersediaan didefinisikan sebagai kemampuan pengguna untuk mengakses dan menggunakan sistem atau layanan. Ketersediaan tinggi menyiratkan akses berkelanjutan ke sistem atau layanan, terlepas dari peristiwa tertentu.
Ketersediaan tinggi diuji dalam empat skenario, tiga skenario pertama adalah kejadian yang dapat diprediksi atau dijadwalkan yang dapat terjadi selama atau setelah jam kerja. Skenario kelima adalah kegagalan klasik, yaitu kejadian yang tidak dapat diprediksi.
Deskripsi skenario:
- Koreksi kesalahan β pembaruan mikro sistem (perbaikan bug atau patch keamanan), yang memungkinkan Anda memperbaiki kesalahan atau kerentanan tertentu tanpa pembaruan lengkap perangkat lunak sistem;
- Pembaruan fungsional β menambah atau memperluas fungsionalitas sistem saat ini dengan menginstal pembaruan fungsional;
- Pembaruan penuh β memperbarui gambar perangkat lunak pengontrol;
- Menambahkan titik akses β menambahkan model titik akses baru ke jaringan nirkabel tanpa perlu mengkonfigurasi ulang atau memperbarui perangkat lunak pengontrol nirkabel;
- Kegagalanβkegagalan pengontrol nirkabel.
Memperbaiki bug dan kerentanan
Seringkali, dengan banyak solusi kompetitif, patching memerlukan pembaruan perangkat lunak lengkap pada sistem pengontrol nirkabel, yang dapat mengakibatkan waktu henti yang tidak direncanakan. Dalam kasus solusi Cisco, patching dilakukan tanpa menghentikan produk. Patch dapat diinstal pada komponen mana pun sementara infrastruktur nirkabel terus beroperasi.
Prosedurnya sendiri cukup sederhana. File patch disalin ke folder bootstrap di salah satu pengontrol nirkabel Cisco, dan pengoperasiannya kemudian dikonfirmasi melalui GUI atau baris perintah. Selain itu, Anda juga dapat membatalkan dan menghapus perbaikan melalui GUI atau baris perintah, juga tanpa mengganggu pengoperasian sistem.
Pembaruan fungsional
Pembaruan perangkat lunak fungsional diterapkan untuk mengaktifkan fitur-fitur baru. Salah satu perbaikan tersebut adalah memperbarui database tanda tangan aplikasi. Paket ini diinstal pada pengontrol Cisco sebagai pengujian. Sama seperti patch, pembaruan fitur diterapkan, diinstal, atau dihapus tanpa downtime atau gangguan sistem.
Pembaruan penuh
Saat ini, pembaruan penuh pada gambar perangkat lunak pengontrol dilakukan dengan cara yang sama seperti pembaruan fungsional, yaitu tanpa waktu henti. Namun, fitur ini hanya tersedia dalam konfigurasi cluster jika terdapat lebih dari satu pengontrol. Pembaruan lengkap dilakukan secara berurutan: pertama pada satu pengontrol, lalu pada pengontrol kedua.
Menambahkan model titik akses baru
Menghubungkan titik akses baru, yang sebelumnya belum pernah dioperasikan dengan gambar perangkat lunak pengontrol yang digunakan, ke jaringan nirkabel adalah operasi yang cukup umum, terutama di jaringan besar (bandara, hotel, pabrik). Seringkali dalam solusi pesaing, operasi ini memerlukan pembaruan perangkat lunak sistem atau me-reboot pengontrol.
Saat menyambungkan titik akses Wi-Fi 6 baru ke cluster pengontrol seri Cisco Catalyst 9800, tidak ada masalah seperti itu yang terlihat. Menghubungkan titik-titik baru ke pengontrol dilakukan tanpa memperbarui perangkat lunak pengontrol, dan proses ini tidak memerlukan reboot, sehingga tidak mempengaruhi jaringan nirkabel dengan cara apa pun.
Kegagalan pengontrol
Lingkungan pengujian menggunakan dua pengontrol Wi-Fi 6 (Aktif/Siaga) dan titik akses memiliki koneksi langsung ke kedua pengontrol.
Satu pengontrol nirkabel aktif, dan yang lainnya, masing-masing, cadangan. Jika pengontrol aktif gagal, pengontrol cadangan mengambil alih dan statusnya berubah menjadi aktif. Prosedur ini terjadi tanpa gangguan untuk titik akses dan Wi-Fi untuk klien.
keamanan
Bagian ini membahas aspek keamanan, yang merupakan masalah yang sangat mendesak dalam jaringan nirkabel. Keamanan solusi dinilai berdasarkan karakteristik berikut:
- Pengenalan aplikasi;
- Pelacakan aliran;
- Analisis lalu lintas terenkripsi;
- Deteksi dan pencegahan intrusi;
- Otentikasi berarti;
- Alat perlindungan perangkat klien.
Pengenalan aplikasi
Di antara beragam produk di pasar Wi-Fi perusahaan dan industri, terdapat perbedaan dalam seberapa baik produk mengidentifikasi lalu lintas berdasarkan aplikasi. Produk dari produsen yang berbeda mungkin mengidentifikasi jumlah aplikasi yang berbeda. Namun, banyak aplikasi yang mencantumkan solusi kompetitif yang mungkin untuk diidentifikasi, pada kenyataannya, adalah situs web, dan bukan aplikasi unik.
Ada fitur menarik lainnya dari pengenalan aplikasi: solusi sangat bervariasi dalam akurasi identifikasi.
Dengan mempertimbangkan semua pengujian yang dilakukan, kami dapat menyatakan secara bertanggung jawab bahwa solusi Wi-Fi-6 Cisco melakukan pengenalan aplikasi dengan sangat akurat: Jabber, Netflix, Dropbox, YouTube dan aplikasi populer lainnya, serta layanan web, diidentifikasi secara akurat. Solusi Cisco juga dapat menyelami paket data lebih dalam menggunakan DPI (Deep Packet Inspection).
Pelacakan arus lalu lintas
Pengujian lain dilakukan untuk melihat apakah sistem dapat melacak dan melaporkan aliran data secara akurat (seperti pergerakan file besar). Untuk mengujinya, file berukuran 6,5 megabyte dikirim melalui jaringan menggunakan File Transfer Protocol (FTP).
Solusi Cisco sepenuhnya mampu melakukan tugasnya dan mampu melacak lalu lintas ini berkat NetFlow dan kemampuan perangkat kerasnya. Lalu lintas terdeteksi dan segera diidentifikasi dengan jumlah pasti data yang ditransfer.
Analisis lalu lintas terenkripsi
Lalu lintas data pengguna semakin dienkripsi. Hal ini dilakukan untuk melindunginya agar tidak dilacak atau dicegat oleh penyerang. Namun pada saat yang sama, peretas semakin banyak menggunakan enkripsi untuk menyembunyikan malware mereka dan melakukan operasi meragukan lainnya seperti serangan Man-in-the-Middle (MiTM) atau keylogging.
Sebagian besar bisnis memeriksa beberapa lalu lintas terenkripsi mereka dengan terlebih dahulu mendekripsinya menggunakan firewall atau sistem pencegahan intrusi. Namun proses ini memakan banyak waktu dan tidak memberikan keuntungan bagi kinerja jaringan secara keseluruhan. Selain itu, setelah didekripsi, data ini menjadi rentan untuk diintip.
Pengontrol Cisco Catalyst 9800 Series berhasil memecahkan masalah analisis lalu lintas terenkripsi dengan cara lain. Solusinya disebut Encrypted Traffic Analytics (ETA). ETA adalah teknologi yang saat ini tidak memiliki analog dalam solusi kompetitif dan mampu mendeteksi malware dalam lalu lintas terenkripsi tanpa perlu mendekripsinya. ETA adalah fitur inti IOS-XE yang mencakup Enhanced NetFlow dan menggunakan algoritme perilaku tingkat lanjut untuk mengidentifikasi pola lalu lintas berbahaya yang bersembunyi di lalu lintas terenkripsi.
ETA tidak mendekripsi pesan, tetapi mengumpulkan profil metadata dari arus lalu lintas terenkripsi - ukuran paket, interval waktu antar paket, dan banyak lagi. Metadata tersebut kemudian diekspor dalam catatan NetFlow v9 ke Cisco Stealthwatch.
Fungsi utama Stealthwatch adalah memantau lalu lintas secara konstan, serta membuat garis dasar aktivitas jaringan normal. Menggunakan metadata aliran terenkripsi yang dikirimkan oleh ETA, Stealthwatch menerapkan pembelajaran mesin berlapis-lapis untuk mengidentifikasi anomali lalu lintas perilaku yang mungkin mengindikasikan peristiwa mencurigakan.
Tahun lalu, Cisco melibatkan Miercom untuk mengevaluasi secara independen solusi Cisco Encrypted Traffic Analytics. Selama penilaian ini, Miercom secara terpisah mengirimkan ancaman yang dikenal dan tidak dikenal (virus, Trojan, ransomware) dalam lalu lintas terenkripsi dan tidak terenkripsi ke seluruh jaringan ETA dan non-ETA besar untuk mengidentifikasi ancaman.
Untuk pengujian, kode berbahaya diluncurkan di kedua jaringan. Dalam kedua kasus tersebut, aktivitas mencurigakan secara bertahap ditemukan. Jaringan ETA awalnya mendeteksi ancaman 36% lebih cepat dibandingkan jaringan non-ETA. Pada saat yang sama, seiring dengan kemajuan pekerjaan, produktivitas deteksi di jaringan ETA mulai meningkat. Hasilnya, setelah beberapa jam bekerja, dua pertiga ancaman aktif berhasil dideteksi di jaringan ETA, dua kali lebih banyak dibandingkan di jaringan non-ETA.
Fungsionalitas ETA terintegrasi dengan baik dengan Stealthwatch. Ancaman diberi peringkat berdasarkan tingkat keparahannya dan ditampilkan dengan informasi terperinci, serta opsi remediasi setelah dikonfirmasi. Kesimpulan β ETA berhasil!
Deteksi dan pencegahan intrusi
Cisco kini memiliki alat keamanan lain yang efektif - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): sebuah mekanisme untuk mendeteksi dan mencegah ancaman terhadap jaringan nirkabel. Solusi aWIPS beroperasi pada tingkat pengontrol, titik akses, dan perangkat lunak manajemen Cisco DNA Center. Deteksi, peringatan, dan pencegahan ancaman menggabungkan analisis lalu lintas jaringan, informasi perangkat jaringan dan topologi jaringan, teknik berbasis tanda tangan, dan deteksi anomali untuk menghasilkan ancaman nirkabel yang sangat akurat dan dapat dicegah.
Mengintegrasikan aWIPS sepenuhnya ke dalam infrastruktur jaringan Anda, Anda dapat terus memantau lalu lintas nirkabel di jaringan kabel dan nirkabel dan menggunakannya untuk secara otomatis menganalisis potensi serangan dari berbagai sumber untuk memberikan deteksi dan pencegahan yang paling komprehensif.
Berarti otentikasi
Saat ini, selain alat otentikasi klasik, solusi Cisco Catalyst 9800 series mendukung WPA3. WPA3 adalah versi terbaru WPA, yang merupakan seperangkat protokol dan teknologi yang menyediakan otentikasi dan enkripsi untuk jaringan Wi-Fi.
WPA3 menggunakan Simultaneous Authentication of Equals (SAE) untuk memberikan perlindungan terkuat bagi pengguna terhadap upaya menebak kata sandi oleh pihak ketiga. Ketika klien terhubung ke titik akses, ia melakukan pertukaran SAE. Jika berhasil, masing-masing dari mereka akan membuat kunci kriptografi yang kuat dari mana kunci sesi akan diturunkan, dan kemudian mereka akan memasuki keadaan konfirmasi. Klien dan titik akses kemudian dapat memasuki status jabat tangan setiap kali kunci sesi perlu dibuat. Metode ini menggunakan kerahasiaan maju, di mana penyerang dapat memecahkan satu kunci, namun tidak semua kunci lainnya.
Artinya, SAE dirancang sedemikian rupa sehingga penyerang yang mencegat lalu lintas hanya memiliki satu upaya untuk menebak kata sandi sebelum data yang disadap menjadi tidak berguna. Untuk mengatur pemulihan kata sandi yang lama, Anda memerlukan akses fisik ke titik akses.
Perlindungan perangkat klien
Solusi nirkabel Cisco Catalyst 9800 Series saat ini menyediakan fitur perlindungan pelanggan utama melalui Cisco Umbrella WLAN, layanan keamanan jaringan berbasis cloud yang beroperasi pada tingkat DNS dengan deteksi otomatis terhadap ancaman yang diketahui dan yang muncul.
Cisco Umbrella WLAN menyediakan perangkat klien dengan koneksi aman ke Internet. Hal ini dicapai melalui pemfilteran konten, yaitu dengan memblokir akses ke sumber daya di Internet sesuai dengan kebijakan perusahaan. Dengan demikian, perangkat klien di Internet terlindungi dari malware, ransomware, dan phishing. Penegakan kebijakan didasarkan pada 60 kategori konten yang terus diperbarui.
Otomasi
Jaringan nirkabel saat ini jauh lebih fleksibel dan kompleks, sehingga metode tradisional dalam mengonfigurasi dan mengambil informasi dari pengontrol nirkabel saja tidak cukup. Administrator jaringan dan profesional keamanan informasi memerlukan alat untuk otomatisasi dan analisis, sehingga mendorong vendor nirkabel untuk menawarkan alat tersebut.
Untuk mengatasi masalah ini, pengontrol nirkabel seri Cisco Catalyst 9800, bersama dengan API tradisional, menyediakan dukungan untuk protokol konfigurasi jaringan RESTCONF / NETCONF dengan bahasa pemodelan data YANG (Yet Another Next Generation).
NETCONF adalah protokol berbasis XML yang dapat digunakan aplikasi untuk menanyakan informasi dan mengubah konfigurasi perangkat jaringan seperti pengontrol nirkabel.
Selain metode ini, Pengontrol Cisco Catalyst 9800 Series menyediakan kemampuan untuk menangkap, mengambil, dan menganalisis data aliran informasi menggunakan protokol NetFlow dan sFlow.
Untuk pemodelan keamanan dan lalu lintas, kemampuan untuk melacak arus tertentu adalah alat yang berharga. Untuk mengatasi masalah ini, protokol sFlow diterapkan, yang memungkinkan Anda menangkap dua dari setiap seratus paket. Namun, kadang-kadang hal ini mungkin tidak cukup untuk menganalisis dan mempelajari serta mengevaluasi aliran tersebut. Oleh karena itu, alternatifnya adalah NetFlow, yang diterapkan oleh Cisco, yang memungkinkan Anda 100% mengumpulkan dan mengekspor semua paket dalam aliran tertentu untuk analisis selanjutnya.
Namun, fitur lain yang hanya tersedia dalam implementasi perangkat keras pengontrol, yang memungkinkan Anda mengotomatiskan pengoperasian jaringan nirkabel di pengontrol seri Cisco Catalyst 9800, adalah dukungan bawaan untuk bahasa Python sebagai tambahan untuk menggunakan skrip langsung pada pengontrol nirkabel itu sendiri.
Terakhir, Pengontrol Cisco Catalyst 9800 Series mendukung protokol SNMP versi 1, 2, dan 3 yang telah terbukti untuk pemantauan dan manajemen operasi.
Oleh karena itu, dalam hal otomatisasi, solusi Cisco Catalyst 9800 Series sepenuhnya memenuhi kebutuhan bisnis modern, menawarkan alat baru dan unik, serta alat yang telah teruji waktu untuk operasi otomatis dan analisis dalam jaringan nirkabel dengan berbagai ukuran dan kompleksitas.
Kesimpulan
Dalam solusi berbasis Cisco Catalyst 9800 Series Controllers, Cisco menunjukkan hasil luar biasa dalam kategori ketersediaan tinggi, keamanan, dan otomatisasi.
Solusi ini sepenuhnya memenuhi semua persyaratan ketersediaan tinggi seperti failover sub-detik selama kejadian yang tidak direncanakan dan tidak ada waktu henti untuk kejadian terjadwal.
Pengontrol Cisco Catalyst 9800 Series memberikan keamanan komprehensif yang menyediakan inspeksi paket mendalam untuk pengenalan dan kontrol aplikasi, visibilitas lengkap ke dalam aliran data, dan identifikasi ancaman yang tersembunyi dalam lalu lintas terenkripsi, serta mekanisme otentikasi dan keamanan tingkat lanjut untuk perangkat klien.
Untuk otomatisasi dan analitik, Cisco Catalyst 9800 Series menawarkan kemampuan canggih menggunakan model standar populer: YANG, NETCONF, RESTCONF, API tradisional, dan skrip Python bawaan.
Dengan demikian, Cisco sekali lagi mengukuhkan statusnya sebagai produsen solusi jaringan terkemuka di dunia, mengikuti perkembangan zaman dan mempertimbangkan semua tantangan bisnis modern.
Untuk informasi lebih lanjut tentang keluarga saklar Catalyst, kunjungi Cisco.
Sumber: www.habr.com