Nel 2019, la società di consulenza Miercom ha condotto una valutazione tecnologica indipendente dei controller Wi-Fi 6 della serie Cisco Catalyst 9800. Per questo studio, è stato assemblato un banco di prova composto da controller e punti di accesso Cisco Wi-Fi 6 e la soluzione tecnica è stata valutati nelle seguenti categorie:
- Disponibilità;
- sicurezza;
- Automazione.
I risultati dello studio sono mostrati di seguito. Dal 2019, la funzionalità dei controller Cisco Catalyst serie 9800 è stata notevolmente migliorata: questi punti si riflettono anche in questo articolo.
Puoi leggere altri vantaggi della tecnologia Wi-Fi 6, esempi di implementazione e aree di applicazione.
Panoramica della soluzione
Controller Wi-Fi 6 Cisco Catalyst serie 9800
I controller wireless Cisco Catalyst serie 9800, basati sul sistema operativo IOS-XE (utilizzato anche per switch e router Cisco), sono disponibili in una varietà di opzioni.
Il modello precedente del controller 9800-80 supporta un throughput di rete wireless fino a 80 Gbps. Un controller 9800-80 supporta fino a 6000 punti di accesso e fino a 64 client wireless.
Il modello di fascia media, il controller 9800-40, supporta un throughput fino a 40 Gbps, fino a 2000 punti di accesso e fino a 32 client wireless.
Oltre a questi modelli, l'analisi della concorrenza ha incluso anche il controller wireless 9800-CL (CL sta per Cloud). Il 9800-CL viene eseguito in ambienti virtuali su hypervisor VMWare ESXI e KVM e le sue prestazioni dipendono dalle risorse hardware dedicate per la macchina virtuale del controller. Nella sua configurazione massima, il controller Cisco 9800-CL, come il vecchio modello 9800-80, supporta la scalabilità fino a 6000 punti di accesso e fino a 64 client wireless.
Durante la ricerca con i controller, sono stati utilizzati i punti di accesso della serie Cisco Aironet AP 4800, che supportano il funzionamento a frequenze di 2,4 e 5 GHz con la possibilità di passare dinamicamente alla modalità doppia a 5 GHz.
banco di prova
Nell'ambito del test, è stato assemblato un supporto composto da due controller wireless Cisco Catalyst 9800-CL funzionanti in un cluster e punti di accesso Cisco Aironet AP serie 4800.
Come dispositivi client sono stati utilizzati laptop di Dell e Apple, nonché uno smartphone iPhone di Apple.
Test di accessibilità
La disponibilità è definita come la capacità degli utenti di accedere e utilizzare un sistema o un servizio. L'elevata disponibilità implica l'accesso continuo a un sistema o servizio, indipendentemente da determinati eventi.
La disponibilità elevata è stata testata in quattro scenari, i primi tre scenari erano eventi prevedibili o pianificati che potevano verificarsi durante o dopo l'orario lavorativo. Il quinto scenario è un classico fallimento, ovvero un evento imprevedibile.
Descrizione degli scenari:
- Correzione degli errori – un micro-aggiornamento del sistema (bugfix o patch di sicurezza), che consente di correggere un particolare errore o vulnerabilità senza un aggiornamento completo del software di sistema;
- Aggiornamento funzionale: aggiunta o espansione delle funzionalità attuali del sistema installando aggiornamenti funzionali;
- Aggiornamento completo: aggiorna l'immagine del software del controller;
- Aggiunta di un punto di accesso: aggiunta di un nuovo modello di punto di accesso a una rete wireless senza la necessità di riconfigurare o aggiornare il software del controller wireless;
- Guasto: guasto del controller wireless.
Correzione di bug e vulnerabilità
Spesso, con molte soluzioni della concorrenza, l'applicazione delle patch richiede un aggiornamento software completo del sistema di controller wireless, che può comportare tempi di inattività non pianificati. Nel caso della soluzione Cisco, l'applicazione delle patch viene eseguita senza arrestare il prodotto. Le patch possono essere installate su qualsiasi componente mentre l'infrastruttura wireless continua a funzionare.
La procedura in sé è abbastanza semplice. Il file patch viene copiato nella cartella bootstrap su uno dei controller wireless Cisco e l'operazione viene quindi confermata tramite la GUI o la riga di comando. Inoltre, puoi anche annullare e rimuovere la correzione tramite la GUI o la riga di comando, anche senza interrompere il funzionamento del sistema.
Aggiornamento funzionale
Vengono applicati aggiornamenti software funzionali per abilitare nuove funzionalità. Uno di questi miglioramenti è l'aggiornamento del database delle firme dell'applicazione. Questo pacchetto è stato installato sui controller Cisco come test. Proprio come con le patch, gli aggiornamenti delle funzionalità vengono applicati, installati o rimossi senza tempi di inattività o interruzione del sistema.
Aggiornamento completo
Al momento, un aggiornamento completo dell'immagine software del controller viene eseguito allo stesso modo di un aggiornamento funzionale, ovvero senza tempi di inattività. Tuttavia, questa funzionalità è disponibile solo in una configurazione cluster quando è presente più di un controller. Un aggiornamento completo viene eseguito in sequenza: prima su un controller, poi sul secondo.
Aggiunta di un nuovo modello di punto di accesso
Il collegamento di nuovi punti di accesso, che non sono stati precedentemente gestiti con l'immagine software del controller utilizzata, a una rete wireless è un'operazione abbastanza comune, soprattutto nelle reti di grandi dimensioni (aeroporti, hotel, fabbriche). Molto spesso nelle soluzioni della concorrenza questa operazione richiede l'aggiornamento del software di sistema o il riavvio dei controller.
Quando si collegano nuovi punti di accesso Wi-Fi 6 a un cluster di controller Cisco Catalyst serie 9800, non si osservano tali problemi. La connessione di nuovi punti al controller viene eseguita senza aggiornare il software del controller e questo processo non richiede un riavvio, quindi non influisce in alcun modo sulla rete wireless.
Guasto del controller
L'ambiente di test utilizza due controller Wi-Fi 6 (Active/StandBy) e il punto di accesso ha una connessione diretta ad entrambi i controller.
Un controller wireless è attivo e l'altro rispettivamente è di backup. Se il controller attivo si guasta, subentra il controller di backup e il suo stato diventa attivo. Questa procedura avviene senza interruzioni per l'access point e Wi-Fi per i client.
sicurezza
Questa sezione discute gli aspetti della sicurezza, che è un problema estremamente urgente nelle reti wireless. La sicurezza della soluzione viene valutata in base alle seguenti caratteristiche:
- Riconoscimento delle domande;
- Monitoraggio del flusso;
- Analisi del traffico crittografato;
- Rilevamento e prevenzione delle intrusioni;
- Mezzi di autenticazione;
- Strumenti di protezione del dispositivo client.
Riconoscimento della domanda
Nella varietà di prodotti presenti nel mercato Wi-Fi aziendale e industriale, esistono differenze nella capacità dei prodotti di identificare il traffico in base all'applicazione. Prodotti di diversi produttori possono identificare diversi numeri di applicazioni. Tuttavia, molte delle applicazioni che le soluzioni della concorrenza elencano come possibili per l'identificazione sono, in effetti, siti Web e non applicazioni uniche.
C'è un'altra caratteristica interessante del riconoscimento delle applicazioni: le soluzioni variano notevolmente in termini di precisione dell'identificazione.
Tenendo conto di tutti i test eseguiti, possiamo affermare con responsabilità che la soluzione Wi-Fi-6 di Cisco esegue il riconoscimento delle applicazioni in modo molto accurato: Jabber, Netflix, Dropbox, YouTube e altre applicazioni popolari, nonché i servizi web, sono stati identificati con precisione. Le soluzioni Cisco possono anche approfondire i pacchetti di dati utilizzando DPI (Deep Packet Inspection).
Monitoraggio del flusso di traffico
È stato condotto un altro test per verificare se il sistema fosse in grado di tracciare e segnalare accuratamente i flussi di dati (come i movimenti di file di grandi dimensioni). Per verificarlo, un file da 6,5 megabyte è stato inviato in rete utilizzando il protocollo FTP (File Transfer Protocol).
La soluzione Cisco è stata pienamente all'altezza del compito ed è stata in grado di tracciare questo traffico grazie a NetFlow e alle sue capacità hardware. Il traffico è stato rilevato e identificato immediatamente con l'esatta quantità di dati trasferiti.
Analisi del traffico crittografato
Il traffico dati degli utenti viene sempre più crittografato. Questo viene fatto per proteggerlo dall'essere tracciato o intercettato dagli aggressori. Allo stesso tempo, però, gli hacker utilizzano sempre più la crittografia per nascondere il proprio malware ed eseguire altre operazioni dubbie come attacchi Man-in-the-Middle (MiTM) o keylogging.
La maggior parte delle aziende ispeziona parte del proprio traffico crittografato decrittografandolo prima utilizzando firewall o sistemi di prevenzione delle intrusioni. Ma questo processo richiede molto tempo e non apporta alcun beneficio alle prestazioni della rete nel suo insieme. Inoltre, una volta decrittografati, questi dati diventano vulnerabili a occhi indiscreti.
I controller Cisco Catalyst serie 9800 risolvono con successo il problema dell'analisi del traffico crittografato con altri mezzi. La soluzione si chiama Encrypted Traffic Analytics (ETA). ETA è una tecnologia che attualmente non ha analoghi nelle soluzioni della concorrenza e che rileva il malware nel traffico crittografato senza doverlo decrittografare. ETA è una funzionalità fondamentale di IOS-XE che include Enhanced NetFlow e utilizza algoritmi comportamentali avanzati per identificare modelli di traffico dannosi nascosti nel traffico crittografato.
ETA non decrittografa i messaggi, ma raccoglie profili di metadati dei flussi di traffico crittografati: dimensione dei pacchetti, intervalli di tempo tra i pacchetti e molto altro. I metadati vengono quindi esportati nei record NetFlow v9 su Cisco Stealthwatch.
La funzione chiave di Stealthwatch è monitorare costantemente il traffico, nonché creare una base di riferimento per la normale attività di rete. Utilizzando i metadati del flusso crittografati inviati dall'ETA, Stealthwatch applica l'apprendimento automatico a più livelli per identificare anomalie comportamentali del traffico che potrebbero indicare eventi sospetti.
L'anno scorso, Cisco ha incaricato Miercom di valutare in modo indipendente la sua soluzione Cisco Encrypted Traffic Analytics. Durante questa valutazione, Miercom ha inviato separatamente minacce note e sconosciute (virus, trojan, ransomware) nel traffico crittografato e non crittografato su grandi reti ETA e non ETA per identificare le minacce.
A scopo di test, su entrambe le reti è stato lanciato codice dannoso. In entrambi i casi l'attività sospetta è stata gradualmente scoperta. La rete ETA inizialmente ha rilevato le minacce con una velocità del 36% più rapida rispetto alla rete non ETA. Allo stesso tempo, man mano che i lavori procedevano, la produttività del rilevamento nella rete ETA ha cominciato ad aumentare. Di conseguenza, dopo diverse ore di lavoro, due terzi delle minacce attive sono state rilevate con successo nella rete ETA, ovvero il doppio rispetto alla rete non ETA.
La funzionalità ETA è ben integrata con Stealthwatch. Le minacce vengono classificate in base alla gravità e visualizzate con informazioni dettagliate, nonché opzioni di risoluzione una volta confermate. Conclusione: l’ETA funziona!
Rilevamento e prevenzione delle intrusioni
Cisco ora dispone di un altro strumento di sicurezza efficace: il Cisco Advanced Wireless Intrusion Prevention System (aWIPS): un meccanismo per rilevare e prevenire le minacce alle reti wireless. La soluzione aWIPS opera a livello di controller, access point e software di gestione Cisco DNA Center. Il rilevamento, gli avvisi e la prevenzione delle minacce combinano l'analisi del traffico di rete, le informazioni sui dispositivi di rete e sulla topologia della rete, le tecniche basate sulle firme e il rilevamento delle anomalie per fornire minacce wireless estremamente precise e prevenibili.
Integrando completamente aWIPS nella tua infrastruttura di rete, puoi monitorare continuamente il traffico wireless su reti sia cablate che wireless e utilizzarlo per analizzare automaticamente potenziali attacchi da più fonti per fornire il rilevamento e la prevenzione più completi possibili.
Autenticazione significa
Al momento, oltre ai classici strumenti di autenticazione, le soluzioni Cisco Catalyst serie 9800 supportano WPA3. WPA3 è l'ultima versione di WPA, ovvero un insieme di protocolli e tecnologie che forniscono autenticazione e crittografia per le reti Wi-Fi.
WPA3 utilizza l'autenticazione simultanea di uguali (SAE) per fornire la massima protezione agli utenti contro i tentativi di indovinare la password da parte di terzi. Quando un client si connette a un punto di accesso, esegue uno scambio SAE. In caso di successo, ognuno di essi creerà una chiave crittograficamente forte da cui deriverà la chiave di sessione, e quindi entreranno nello stato di conferma. Il client e il punto di accesso possono quindi entrare negli stati di handshake ogni volta che è necessario generare una chiave di sessione. Il metodo utilizza la segretezza in avanti, in cui un utente malintenzionato può violare una chiave, ma non tutte le altre chiavi.
Cioè, SAE è progettato in modo tale che un utente malintenzionato che intercetta il traffico abbia solo un tentativo di indovinare la password prima che i dati intercettati diventino inutili. Per organizzare un lungo recupero della password, avrai bisogno dell'accesso fisico al punto di accesso.
Protezione del dispositivo client
Le soluzioni wireless Cisco Catalyst serie 9800 attualmente forniscono la principale funzionalità di protezione del cliente tramite Cisco Umbrella WLAN, un servizio di sicurezza di rete basato su cloud che opera a livello DNS con rilevamento automatico delle minacce note ed emergenti.
Cisco Umbrella WLAN fornisce ai dispositivi client una connessione sicura a Internet. Ciò si ottiene filtrando i contenuti, ovvero bloccando l'accesso alle risorse su Internet in conformità con la politica aziendale. Pertanto, i dispositivi client su Internet sono protetti da malware, ransomware e phishing. L'applicazione delle policy si basa su 60 categorie di contenuti continuamente aggiornate.
Automazione
Le reti wireless odierne sono molto più flessibili e complesse, pertanto i metodi tradizionali di configurazione e recupero delle informazioni dai controller wireless non sono sufficienti. Gli amministratori di rete e i professionisti della sicurezza informatica necessitano di strumenti per l'automazione e l'analisi, spingendo i fornitori wireless a offrire tali strumenti.
Per risolvere questi problemi, i controller wireless Cisco Catalyst serie 9800, insieme alle tradizionali API, forniscono il supporto al protocollo di configurazione di rete RESTCONF/NETCONF con il linguaggio di modellazione dati YANG (Yet Another Next Generation).
NETCONF è un protocollo basato su XML che le applicazioni possono utilizzare per interrogare informazioni e modificare la configurazione di dispositivi di rete come i controller wireless.
Oltre a questi metodi, i controller Cisco Catalyst serie 9800 offrono la possibilità di acquisire, recuperare e analizzare i dati del flusso di informazioni utilizzando i protocolli NetFlow e sFlow.
Per la sicurezza e la modellazione del traffico, la capacità di tracciare flussi specifici è uno strumento prezioso. Per risolvere questo problema è stato implementato il protocollo sFlow, che consente di catturare due pacchetti su cento. Tuttavia, a volte questo potrebbe non essere sufficiente per analizzare e studiare e valutare adeguatamente il flusso. Un'alternativa quindi è NetFlow, implementato da Cisco, che consente di raccogliere ed esportare al 100% tutti i pacchetti in un flusso specificato per la successiva analisi.
Un'altra caratteristica, tuttavia, disponibile solo nell'implementazione hardware dei controller, che consente di automatizzare il funzionamento della rete wireless nei controller Cisco Catalyst serie 9800, è il supporto integrato per il linguaggio Python come componente aggiuntivo per l'utilizzo script direttamente sul controller wireless stesso.
Infine, i controller Cisco Catalyst serie 9800 supportano il collaudato protocollo SNMP versione 1, 2 e 3 per le operazioni di monitoraggio e gestione.
Pertanto, in termini di automazione, le soluzioni Cisco Catalyst serie 9800 soddisfano pienamente i moderni requisiti aziendali, offrendo strumenti nuovi, unici e collaudati nel tempo per operazioni automatizzate e analisi in reti wireless di qualsiasi dimensione e complessità.
conclusione
Nelle soluzioni basate sui controller Cisco Catalyst serie 9800, Cisco ha dimostrato ottimi risultati nelle categorie di alta disponibilità, sicurezza e automazione.
La soluzione soddisfa pienamente tutti i requisiti di alta disponibilità, come il failover inferiore al secondo durante eventi non pianificati e zero tempi di inattività per gli eventi pianificati.
I controller Cisco Catalyst serie 9800 forniscono una sicurezza completa che fornisce ispezione approfondita dei pacchetti per il riconoscimento e il controllo delle applicazioni, visibilità completa nei flussi di dati e identificazione delle minacce nascoste nel traffico crittografato, nonché meccanismi avanzati di autenticazione e sicurezza per i dispositivi client.
Per l'automazione e l'analisi, la serie Cisco Catalyst 9800 offre potenti funzionalità utilizzando i modelli standard più diffusi: YANG, NETCONF, RESTCONF, API tradizionali e script Python integrati.
Cisco conferma così ancora una volta il suo status di produttore leader mondiale di soluzioni di rete, al passo con i tempi e tenendo conto di tutte le sfide del business moderno.
Per ulteriori informazioni sulla famiglia di interruttori Catalyst, visitare cisco.
Fonte: habr.com