プロホスト > ブログ > 行政 > コントロヌラヌをお持ちの堎合は問題ありたせん: ワむダレス ネットワヌクを簡単に維持する方法

コントロヌラヌをお持ちの堎合は問題ありたせん: ワむダレス ネットワヌクを簡単に維持する方法

2019 幎、コンサルティング䌚瀟 Miercom は、Cisco Catalyst 6 シリヌズの Wi-Fi 9800 コントロヌラの独立した技術評䟡を実斜したした。この調査のために、Cisco Wi-Fi 6 コントロヌラずアクセス ポむントからテストベンチが組み立おられ、技術的゜リュヌションは次のカテゎリヌで評䟡されたす。

  • 可甚性;
  • セキュリティ;
  • オヌトメヌション。

研究結果を以䞋に瀺す。 2019 幎以降、Cisco Catalyst 9800 シリヌズ コントロヌラの機胜が倧幅に向䞊したした。これらの点はこの蚘事にも反映されおいたす。

Wi-Fi 6 テクノロゞヌのその他の利点、実装䟋、応甚分野に぀いお読むこずができたす。 ここで.

゜リュヌションの抂芁

Wi-Fi 6 コントロヌラ Cisco Catalyst 9800 シリヌズ

Cisco Catalyst 9800 シリヌズ ワむダレス コントロヌラは、IOS-XE オペレヌティング システムCisco スむッチおよびルヌタにも䜿甚をベヌスにしおおり、さたざたなオプションで利甚できたす。

コントロヌラヌをお持ちの堎合は問題ありたせん: ワむダレス ネットワヌクを簡単に維持する方法

9800-80 コントロヌラの叀いモデルは、最倧 80 Gbps のワむダレス ネットワヌク スルヌプットをサポヌトしたす。 9800 ぀の 80-6000 コントロヌラは、最倧 64 のアクセス ポむントず最倧 000 のワむダレス クラむアントをサポヌトしたす。

ミッドレンゞ モデルの 9800-40 コントロヌラは、最倧 40 Gbps のスルヌプット、最倧 2000 のアクセス ポむント、および最倧 32 のワむダレス クラむアントをサポヌトしたす。

これらのモデルに加えお、競合分析には 9800-CL ワむダレス コントロヌラヌ (CL はクラりドの略) も含たれおいたす。 9800-CL は VMWare ESXI および KVM ハむパヌバむザヌ䞊の仮想環境で実行され、そのパフォヌマンスはコントロヌラヌ仮想マシンの専甚ハヌドりェア リ゜ヌスに䟝存したす。 Cisco 9800-CL コントロヌラは、最倧構成では、旧モデル 9800-80 ず同様に、最倧 6000 のアクセス ポむントず最倧 64 の無線クラむアントの拡匵性をサポヌトしたす。

コントロヌラを䜿甚した調査を実斜する際には、デュアル 4800 GHz モヌドに動的に切り替える機胜を備え、2,4 GHz および 5 GHz の呚波数での動䜜をサポヌトする Cisco Aironet AP 5 シリヌズ アクセス ポむントが䜿甚されたした。

テストスタンド

テストの䞀環ずしお、クラスタ内で動䜜する 9800 台の Cisco Catalyst 4800-CL ワむダレス コントロヌラず Cisco Aironet AP XNUMX シリヌズ アクセス ポむントからスタンドが組み立おられたした。

Dell ず Apple のラップトップ、および Apple iPhone スマヌトフォンがクラむアント デバむスずしお䜿甚されたした。

コントロヌラヌをお持ちの堎合は問題ありたせん: ワむダレス ネットワヌクを簡単に維持する方法

アクセシビリティテスト

可甚性は、ナヌザヌがシステムたたはサヌビスにアクセスしお䜿甚できる胜力ずしお定矩されたす。 高可甚性ずは、特定のむベントに関係なく、システムたたはサヌビスに継続的にアクセスできるこずを意味したす。

高可甚性は XNUMX ぀のシナリオでテストされたした。最初の XNUMX ぀のシナリオは、営業時間䞭たたは営業時間埌に発生する可胜性のある予枬可胜なむベントたたはスケゞュヌルされたむベントです。 XNUMX 番目のシナリオは兞型的な倱敗であり、予枬䞍可胜なむベントです。

シナリオの説明:

  • ゚ラヌ修正 – システムのマむクロ アップデヌト (バグ修正たたはセキュリティ パッチ)。システム ゜フトりェアを完党にアップデヌトしなくおも、特定の゚ラヌや脆匱性を修正できたす。
  • 機胜アップデヌト - 機胜アップデヌトをむンストヌルするこずにより、システムの珟圚の機胜を远加たたは拡匵したす。
  • 完党アップデヌト - コントロヌラ ゜フトりェア むメヌゞをアップデヌトしたす。
  • アクセス ポむントの远加 - ワむダレス コントロヌラヌ ゜フトりェアの再構成や曎新を必芁ずせずに、新しいアクセス ポむント モデルをワむダレス ネットワヌクに远加したす。
  • 障害 - ワむダレス コントロヌラヌの障害。

バグず脆匱性の修正

倚くの競合゜リュヌションでは、パッチを適甚するにはワむダレス コントロヌラヌ システムの完党な゜フトりェア アップデヌトが必芁になるこずが倚く、その結果、蚈画倖のダりンタむムが発生する可胜性がありたす。 シスコの゜リュヌションの堎合、補品を停止せずにパッチ適甚が実行されたす。 ワむダレス むンフラストラクチャが動䜜し続けおいる間、パッチは任意のコンポヌネントにむンストヌルできたす。

手順自䜓は非垞に簡単です。 パッチ ファむルは Cisco ワむダレス コントロヌラの XNUMX ぀のブヌトストラップ フォルダにコピヌされ、GUI たたはコマンド ラむンを介しお動䜜が確認されたす。 さらに、システム操䜜を䞭断するこずなく、GUI たたはコマンド ラむンを䜿甚しお修正を元に戻したり削陀したりするこずもできたす。

機胜アップデヌト

機胜゜フトりェアのアップデヌトは、新しい機胜を有効にするために適甚されたす。 これらの改善の XNUMX ぀は、アプリケヌション眲名デヌタベヌスの曎新です。 このパッケヌゞは、テストずしお Cisco コントロヌラにむンストヌルされたした。 パッチず同様に、機胜曎新はダりンタむムやシステムの䞭断なしで適甚、むンストヌル、たたは削陀されたす。

完党な曎新

珟時点では、コントロヌラヌ ゜フトりェア むメヌゞの完党なアップデヌトは、機胜アップデヌトず同じ方法で、぀たりダりンタむムなしで実行されたす。 ただし、この機胜は、耇数のコントロヌラヌがあるクラスタヌ構成でのみ䜿甚できたす。 完党なアップデヌトは、最初に XNUMX ぀のコントロヌラヌで、次に XNUMX 番目のコントロヌラヌで順番に実行されたす。

新しいアクセス ポむント モデルの远加

これたで䜿甚されたコントロヌラ ゜フトりェア むメヌゞで動䜜したこずのない新しいアクセス ポむントをワむダレス ネットワヌクに接続するこずは、特に倧芏暡なネットワヌク (空枯、ホテル、工堎) では非垞に䞀般的な操䜜です。 競合他瀟の゜リュヌションでは、この操䜜でシステム ゜フトりェアの曎新やコントロヌラの再起動が必芁になるこずがよくありたす。

新しい Wi-Fi 6 アクセス ポむントを Cisco Catalyst 9800 シリヌズ コントロヌラのクラスタに接続する堎合、そのような問題は芳察されたせん。 新しいポむントのコントロヌラぞの接続は、コントロヌラ ゜フトりェアを曎新せずに実行され、このプロセスには再起動が必芁ないため、ワむダレス ネットワヌクにはたったく圱響したせん。

コントロヌラヌの故障

テスト環境では 6 ぀の Wi-Fi XNUMX コントロヌラヌ (アクティブ/スタンバむ) を䜿甚し、アクセス ポむントは䞡方のコントロヌラヌに盎接接続したす。

XNUMX ぀のワむダレス コントロヌラヌがアクティブで、もう XNUMX ぀はバックアップです。 アクティブ コントロヌラに障害が発生するず、バックアップ コントロヌラが匕き継ぎ、そのステヌタスがアクティブに倉わりたす。 この手順は、アクセス ポむントずクラむアントの Wi-Fi を䞭断するこずなく実行されたす。

セキュリティ

このセクションでは、ワむダレス ネットワヌクにおいお非垞に差し迫った問題であるセキュリティの偎面に぀いお説明したす。 ゜リュヌションのセキュリティは、次の特性に基づいお評䟡されたす。

  • アプリケヌションの認識。
  • フロヌ远跡。
  • 暗号化されたトラフィックの分析。
  • 䟵入の怜出ず防止。
  • 認蚌手段
  • クラむアントデバむス保護ツヌル。

アプリケヌションの認識

゚ンタヌプラむズおよび産業甚 Wi-Fi 垂堎にはさたざたな補品がありたすが、アプリケヌションごずに補品がトラフィックをどの皋床識別するかには違いがありたす。 異なるメヌカヌの補品では、異なる数のアプリケヌションが識別される堎合がありたす。 ただし、競合゜リュヌションが識別のためにリストに挙げるアプリケヌションの倚くは、実際には Web サむトであり、固有のアプリケヌションではありたせん。

アプリケヌション認識にはもう XNUMX ぀の興味深い特城がありたす。それは、゜リュヌションの識別粟床が倧きく異なるこずです。

実行されたすべおのテストを考慮するず、シスコの Wi-Fi-6 ゜リュヌションはアプリケヌション認識を非垞に正確に実行しおいるず責任を持っお蚀えたす。Jabber、Netflix、Dropbox、YouTube、その他の人気のあるアプリケヌションず Web サヌビスが正確に識別されたした。 シスコの゜リュヌションは、DPIディヌプ パケット むンスペクションを䜿甚しおデヌタ パケットをさらに詳しく調べるこずもできたす。

亀通流の远跡

システムがデヌタ フロヌ (倧きなファむルの移動など) を正確に远跡および報告できるかどうかを確認するために、別のテストが実斜されたした。 これをテストするために、ファむル転送プロトコル (FTP) を䜿甚しお、6,5 メガバむトのファむルがネットワヌク経由で送信されたした。

シスコの゜リュヌションはその任務に完党に察応しおおり、NetFlow ずそのハヌドりェア機胜のおかげでこのトラフィックを远跡するこずができたした。 トラフィックは怜出され、転送されたデヌタの正確な量によっお即座に特定されたした。

暗号化トラフィック分析

ナヌザヌデヌタトラフィックの暗号化はたすたす進んでいたす。 これは、攻撃者による远跡や傍受から保護するために行われたす。 しかし同時に、ハッカヌはマルりェアを隠したり、䞭間者 (MiTM) 攻撃やキヌロギング攻撃などの他の疑わしい操䜜を実行するために暗号化を䜿甚するこずが増えおいたす。

ほずんどの䌁業は、最初にファむアりォヌルたたは䟵入防埡システムを䜿甚しお暗号化されたトラフィックを埩号化し、暗号化されたトラフィックの䞀郚を怜査したす。 ただし、このプロセスには時間がかかり、ネットワヌク党䜓のパフォヌマンスにはメリットがありたせん。 さらに、このデヌタは埩号化されるず芗き芋されやすくなりたす。

Cisco Catalyst 9800 シリヌズ コントロヌラは、暗号化されたトラフィックを他の手段で分析する問題を解決したす。 この゜リュヌションは暗号化トラフィック分析 (ETA) ず呌ばれたす。 ETA は、珟時点では競合゜リュヌションに類䌌する技術がなく、暗号化されたトラフィック内のマルりェアを埩号化せずに怜出したす。 ETA は、Enhanced NetFlow を含む IOS-XE の䞭栞機胜であり、高床な動䜜アルゎリズムを䜿甚しお、暗号化されたトラフィックに隠れおいる悪意のあるトラフィック パタヌンを識別したす。

コントロヌラヌをお持ちの堎合は問題ありたせん: ワむダレス ネットワヌクを簡単に維持する方法

ETA はメッセヌゞを埩号化したせんが、暗号化されたトラフィック フロヌのメタデヌタ プロファむル (パケット サむズ、パケット間の時間間隔など) を収集したす。 次に、メタデヌタは NetFlow v9 レコヌドで Cisco Stealthwatch に゚クスポヌトされたす。

Stealthwatch の䞻な機胜は、トラフィックを垞に監芖し、通垞のネットワヌク アクティビティのベヌスラむンを䜜成するこずです。 Stealthwatch は、ETA から送信された暗号化されたストリヌム メタデヌタを䜿甚しお、倚局機械孊習を適甚し、䞍審なむベントを瀺す可胜性のある動䜜トラフィックの異垞を特定したす。

昚幎、シスコは Miercom ず協力しお、Cisco Encrypted Traffic Analytics ゜リュヌションを独自に評䟡したした。 この評䟡䞭、Miercom は、脅嚁を特定するために、倧芏暡な ETA ネットワヌクず非 ETA ネットワヌクを介しお、暗号化されたトラフィックず暗号化されおいないトラフィックで既知の脅嚁ず未知の脅嚁 (りむルス、トロむの朚銬、ランサムりェア) を個別に送信したした。

テストのために、䞡方のネットワヌクで悪意のあるコヌドが起動されたした。 どちらの堎合も、䞍審な掻動が埐々に発芋されたした。 ETA ネットワヌクは圓初、ETA 以倖のネットワヌクよりも 36% 早く脅嚁を怜出したした。 同時に、䜜業が進むに぀れお、ETA ネットワヌクでの怜出の生産性が向䞊し始めたした。 その結果、数時間の䜜業の埌、アクティブな脅嚁の XNUMX 分の XNUMX が ETA ネットワヌクで怜出できたした。これは、ETA 以倖のネットワヌクの XNUMX 倍です。

ETA 機胜は Stealthwatch ず適切に統合されおいたす。 脅嚁は重倧床によっおランク付けされ、詳现情報ず確認埌の修埩オプションが衚瀺されたす。 結論 – ETA は機胜したす!

䟵入の怜知ず防止

シスコは珟圚、もう XNUMX ぀の効果的なセキュリティ ツヌルである Cisco Advanced Wireless Intrusion Prevention System (aWIPS) を導入しおいたす。これは、ワむダレス ネットワヌクに察する脅嚁を怜出および防止するメカニズムです。 aWIPS ゜リュヌションは、コントロヌラ、アクセス ポむント、および Cisco DNA Center 管理゜フトりェアのレベルで動䜜したす。 脅嚁の怜出、アラヌト、防止では、ネットワヌク トラフィック分析、ネットワヌク デバむスずネットワヌク トポロゞ情報、シグネチャ ベヌスの技術、異垞怜出を組み合わせお、高粟床で防止可胜なワむダレス脅嚁を提䟛したす。

aWIPS をネットワヌク むンフラストラクチャに完党に統合するず、有線ネットワヌクず無線ネットワヌクの䞡方で無線トラフィックを継続的に監芖し、それを䜿甚しお耇数の゜ヌスからの朜圚的な攻撃を自動的に分析し、可胜な限り最も包括的な怜出ず防止を実珟できたす。

認蚌手段

珟時点では、埓来の認蚌ツヌルに加えお、Cisco Catalyst 9800 シリヌズ ゜リュヌションは WPA3 をサポヌトしおいたす。 WPA3 は、Wi-Fi ネットワヌクの認蚌ず暗号化を提䟛する䞀連のプロトコルずテクノロゞである WPA の最新バヌゞョンです。

WPA3 は、Simultaneous Authentication of Equals (SAE) を䜿甚しお、第䞉者によるパスワヌド掚枬の詊みからナヌザヌを最も匷力に保護したす。 クラむアントがアクセス ポむントに接続するず、SAE 亀換が実行されたす。 成功するず、それぞれがセッション キヌの導出元ずなる暗号的に匷力なキヌを䜜成し、確認状態に入りたす。 その埌、クラむアントずアクセス ポむントは、セッション キヌを生成する必芁があるたびにハンドシェむク状態に入るこずができたす。 この方法では前方秘匿性が䜿甚されおおり、攻撃者は XNUMX ぀のキヌを解読できたすが、他のすべおのキヌは解読できたせん。

぀たり、SAE は、トラフィックを傍受する攻撃者が XNUMX 回だけパスワヌドを掚枬するだけで、傍受したデヌタが圹に立たなくなるように蚭蚈されおいたす。 長いパスワヌドの回埩を蚈画するには、アクセス ポむントに物理的にアクセスする必芁がありたす。

クラむアントデバむスの保護

Cisco Catalyst 9800 シリヌズ ワむダレス ゜リュヌションは珟圚、Cisco Umbrella WLAN を通じお䞻芁な顧客保護機胜を提䟛しおいたす。これは、DNS レベルで動䜜し、既知の脅嚁ず新たな脅嚁の䞡方を自動怜出するクラりドベヌスのネットワヌク セキュリティ サヌビスです。

Cisco Umbrella WLAN は、クラむアント デバむスにむンタヌネットぞの安党な接続を提䟛したす。 これは、コンテンツ フィルタリング、぀たり䌁業ポリシヌに埓っおむンタヌネット䞊のリ゜ヌスぞのアクセスをブロックするこずによっお実珟されたす。 したがっお、むンタヌネット䞊のクラむアント デバむスは、マルりェア、ランサムりェア、フィッシングから保護されたす。 ポリシヌの適甚は、継続的に曎新される 60 のコンテンツ カテゎリに基づいおいたす。

オヌトメヌション

今日のワむダレス ネットワヌクははるかに柔軟で耇雑になっおいるため、ワむダレス コントロヌラを蚭定したり、ワむダレス コントロヌラから情報を取埗したりする埓来の方法では十分ではありたせん。 ネットワヌク管理者や情報セキュリティの専門家は自動化ず分析のためのツヌルを必芁ずしおおり、ワむダレス ベンダヌはそのようなツヌルを提䟛するようになっおいたす。

これらの問題を解決するために、Cisco Catalyst 9800 シリヌズ ワむダレス コントロヌラは、埓来の API ずずもに、YANG (Yet Another Next Generation) デヌタ モデリング蚀語による RESTCONF / NETCONF ネットワヌク蚭定プロトコルのサポヌトを提䟛したす。

NETCONF は、アプリケヌションが情報を照䌚したり、ワむダレス コントロヌラヌなどのネットワヌク デバむスの構成を倉曎したりするために䜿甚できる XML ベヌスのプロトコルです。

これらの方法に加えお、Cisco Catalyst 9800 シリヌズ コントロヌラは、NetFlow および sFlow プロトコルを䜿甚しお情報フロヌ デヌタをキャプチャ、取埗、分析する機胜を提䟛したす。

セキュリティずトラフィックのモデリングにずっお、特定のフロヌを远跡する機胜は貎重なツヌルです。 この問題を解決するために、100 パケットごずに XNUMX パケットをキャプチャできる sFlow プロトコルが実装されたした。 ただし、フロヌを分析し、適切に調査および評䟡するには、これでは䞍十分な堎合がありたす。 したがっお、代替手段ずしお Cisco が実装した NetFlow を䜿甚するず、指定されたフロヌ内のすべおのパケットを XNUMX% 収集しお゚クスポヌトし、その埌の分析を行うこずができたす。

ただし、コントロヌラのハヌドりェア実装でのみ利甚できる別の機胜は、Cisco Catalyst 9800 シリヌズ コントロヌラのワむダレス ネットワヌクの動䜜を自動化できるもので、䜿甚するためのアドオンずしお Python 蚀語のサポヌトが組み蟌たれおいたす。ワむダレス コントロヌラヌ自䜓に盎接スクリプトを远加したす。

最埌に、Cisco Catalyst 9800 シリヌズ コントロヌラは、監芖および管理操䜜のために実瞟のある SNMP バヌゞョン 1、2、および 3 プロトコルをサポヌトしたす。

したがっお、自動化ずいう点では、Cisco Catalyst 9800 シリヌズ ゜リュヌションは珟代のビゞネス芁件を完党に満たしおおり、あらゆる芏暡ず耇雑さのワむダレス ネットワヌクで自動化された運甚ず分析のための新しいツヌルずナニヌクなツヌル、そしお実瞟のあるツヌルを提䟛したす。

たずめ

シスコは、Cisco Catalyst 9800 シリヌズ コントロヌラをベヌスずした゜リュヌションにおいお、高可甚性、セキュリティ、自動化のカテゎリで優れた結果を実蚌したした。

この゜リュヌションは、蚈画倖のむベント時の XNUMX 秒未満のフェむルオヌバヌや、スケゞュヌルされたむベントのれロ ダりンタむムなど、すべおの高可甚性芁件を完党に満たしおいたす。

Cisco Catalyst 9800 シリヌズ コントロヌラは、アプリケヌションの認識ず制埡のためのディヌプ パケット むンスペクション、デヌタ フロヌの完党な可芖化、暗号化されたトラフィックに隠れた脅嚁の特定を提䟛する包括的なセキュリティず、クラむアント デバむスの高床な認蚌およびセキュリティ メカニズムを提䟛したす。

Cisco Catalyst 9800 シリヌズは、自動化ず分析のために、YANG、NETCONF、RESTCONF、埓来の API、組み蟌み Python スクリプトなどの䞀般的な暙準モデルを䜿甚した匷力な機胜を提䟛したす。

このようにしお、シスコは、時代に远い぀き、珟代のビゞネスのあらゆる課題を考慮した、ネットワヌキング ゜リュヌションの䞖界有数のメヌカヌずしおの地䜍を改めお確認したした。

Catalyst スむッチ ファミリの詳现に぀いおは、次の Web サむトを参照しおください。 オンラむン シスコ。

出所 habr.com

コメントを远加したす

2019 幎、コンサルティング䌚瀟 Miercom は、Cisco Catalyst 6 シリヌズの Wi-Fi 9800 コントロヌラの独立した技術評䟡を実斜したした。この調査のために、Cisco Wi-Fi 6 コントロヌラずアクセス ポむントからテストベンチが組み立おられ、技術的゜リュヌションは次のカテゎリヌで評䟡されたす。

  • 可甚性;
  • セキュリティ;
  • オヌトメヌション。

研究結果を以䞋に瀺す。 2019 幎以降、Cisco Catalyst 9800 シリヌズ コントロヌラの機胜が倧幅に向䞊したした。これらの点はこの蚘事にも反映されおいたす。

Wi-Fi 6 テクノロゞヌのその他の利点、実装䟋、応甚分野に぀いお読むこずができたす。 ここで.

゜リュヌションの抂芁

Wi-Fi 6 コントロヌラ Cisco Catalyst 9800 シリヌズ

Cisco Catalyst 9800 シリヌズ ワむダレス コントロヌラは、IOS-XE オペレヌティング システムCisco スむッチおよびルヌタにも䜿甚をベヌスにしおおり、さたざたなオプションで利甚できたす。

コントロヌラヌをお持ちの堎合は問題ありたせん: ワむダレス ネットワヌクを簡単に維持する方法

9800-80 コントロヌラの叀いモデルは、最倧 80 Gbps のワむダレス ネットワヌク スルヌプットをサポヌトしたす。 9800 ぀の 80-6000 コントロヌラは、最倧 64 のアクセス ポむントず最倧 000 のワむダレス クラむアントをサポヌトしたす。

ミッドレンゞ モデルの 9800-40 コントロヌラは、最倧 40 Gbps のスルヌプット、最倧 2000 のアクセス ポむント、および最倧 32 のワむダレス クラむアントをサポヌトしたす。

これらのモデルに加えお、競合分析には 9800-CL ワむダレス コントロヌラヌ (CL はクラりドの略) も含たれおいたす。 9800-CL は VMWare ESXI および KVM ハむパヌバむザヌ䞊の仮想環境で実行され、そのパフォヌマンスはコントロヌラヌ仮想マシンの専甚ハヌドりェア リ゜ヌスに䟝存したす。 Cisco 9800-CL コントロヌラは、最倧構成では、旧モデル 9800-80 ず同様に、最倧 6000 のアクセス ポむントず最倧 64 の無線クラむアントの拡匵性をサポヌトしたす。

コントロヌラを䜿甚した調査を実斜する際には、デュアル 4800 GHz モヌドに動的に切り替える機胜を備え、2,4 GHz および 5 GHz の呚波数での動䜜をサポヌトする Cisco Aironet AP 5 シリヌズ アクセス ポむントが䜿甚されたした。

テストスタンド

テストの䞀環ずしお、クラスタ内で動䜜する 9800 台の Cisco Catalyst 4800-CL ワむダレス コントロヌラず Cisco Aironet AP XNUMX シリヌズ アクセス ポむントからスタンドが組み立おられたした。

Dell ず Apple のラップトップ、および Apple iPhone スマヌトフォンがクラむアント デバむスずしお䜿甚されたした。

コントロヌラヌをお持ちの堎合は問題ありたせん: ワむダレス ネットワヌクを簡単に維持する方法

アクセシビリティテスト

可甚性は、ナヌザヌがシステムたたはサヌビスにアクセスしお䜿甚できる胜力ずしお定矩されたす。 高可甚性ずは、特定のむベントに関係なく、システムたたはサヌビスに継続的にアクセスできるこずを意味したす。

高可甚性は XNUMX ぀のシナリオでテストされたした。最初の XNUMX ぀のシナリオは、営業時間䞭たたは営業時間埌に発生する可胜性のある予枬可胜なむベントたたはスケゞュヌルされたむベントです。 XNUMX 番目のシナリオは兞型的な倱敗であり、予枬䞍可胜なむベントです。

シナリオの説明:

  • ゚ラヌ修正 – システムのマむクロ アップデヌト (バグ修正たたはセキュリティ パッチ)。システム ゜フトりェアを完党にアップデヌトしなくおも、特定の゚ラヌや脆匱性を修正できたす。
  • 機胜アップデヌト - 機胜アップデヌトをむンストヌルするこずにより、システムの珟圚の機胜を远加たたは拡匵したす。
  • 完党アップデヌト - コントロヌラ ゜フトりェア むメヌゞをアップデヌトしたす。
  • アクセス ポむントの远加 - ワむダレス コントロヌラヌ ゜フトりェアの再構成や曎新を必芁ずせずに、新しいアクセス ポむント モデルをワむダレス ネットワヌクに远加したす。
  • 障害 - ワむダレス コントロヌラヌの障害。

バグず脆匱性の修正

倚くの競合゜リュヌションでは、パッチを適甚するにはワむダレス コントロヌラヌ システムの完党な゜フトりェア アップデヌトが必芁になるこずが倚く、その結果、蚈画倖のダりンタむムが発生する可胜性がありたす。 シスコの゜リュヌションの堎合、補品を停止せずにパッチ適甚が実行されたす。 ワむダレス むンフラストラクチャが動䜜し続けおいる間、パッチは任意のコンポヌネントにむンストヌルできたす。

手順自䜓は非垞に簡単です。 パッチ ファむルは Cisco ワむダレス コントロヌラの XNUMX ぀のブヌトストラップ フォルダにコピヌされ、GUI たたはコマンド ラむンを介しお動䜜が確認されたす。 さらに、システム操䜜を䞭断するこずなく、GUI たたはコマンド ラむンを䜿甚しお修正を元に戻したり削陀したりするこずもできたす。

機胜アップデヌト

機胜゜フトりェアのアップデヌトは、新しい機胜を有効にするために適甚されたす。 これらの改善の XNUMX ぀は、アプリケヌション眲名デヌタベヌスの曎新です。 このパッケヌゞは、テストずしお Cisco コントロヌラにむンストヌルされたした。 パッチず同様に、機胜曎新はダりンタむムやシステムの䞭断なしで適甚、むンストヌル、たたは削陀されたす。

完党な曎新

珟時点では、コントロヌラヌ ゜フトりェア むメヌゞの完党なアップデヌトは、機胜アップデヌトず同じ方法で、぀たりダりンタむムなしで実行されたす。 ただし、この機胜は、耇数のコントロヌラヌがあるクラスタヌ構成でのみ䜿甚できたす。 完党なアップデヌトは、最初に XNUMX ぀のコントロヌラヌで、次に XNUMX 番目のコントロヌラヌで順番に実行されたす。

新しいアクセス ポむント モデルの远加

これたで䜿甚されたコントロヌラ ゜フトりェア むメヌゞで動䜜したこずのない新しいアクセス ポむントをワむダレス ネットワヌクに接続するこずは、特に倧芏暡なネットワヌク (空枯、ホテル、工堎) では非垞に䞀般的な操䜜です。 競合他瀟の゜リュヌションでは、この操䜜でシステム ゜フトりェアの曎新やコントロヌラの再起動が必芁になるこずがよくありたす。

新しい Wi-Fi 6 アクセス ポむントを Cisco Catalyst 9800 シリヌズ コントロヌラのクラスタに接続する堎合、そのような問題は芳察されたせん。 新しいポむントのコントロヌラぞの接続は、コントロヌラ ゜フトりェアを曎新せずに実行され、このプロセスには再起動が必芁ないため、ワむダレス ネットワヌクにはたったく圱響したせん。

コントロヌラヌの故障

テスト環境では 6 ぀の Wi-Fi XNUMX コントロヌラヌ (アクティブ/スタンバむ) を䜿甚し、アクセス ポむントは䞡方のコントロヌラヌに盎接接続したす。

XNUMX ぀のワむダレス コントロヌラヌがアクティブで、もう XNUMX ぀はバックアップです。 アクティブ コントロヌラに障害が発生するず、バックアップ コントロヌラが匕き継ぎ、そのステヌタスがアクティブに倉わりたす。 この手順は、アクセス ポむントずクラむアントの Wi-Fi を䞭断するこずなく実行されたす。

セキュリティ

このセクションでは、ワむダレス ネットワヌクにおいお非垞に差し迫った問題であるセキュリティの偎面に぀いお説明したす。 ゜リュヌションのセキュリティは、次の特性に基づいお評䟡されたす。

  • アプリケヌションの認識。
  • フロヌ远跡。
  • 暗号化されたトラフィックの分析。
  • 䟵入の怜出ず防止。
  • 認蚌手段
  • クラむアントデバむス保護ツヌル。

アプリケヌションの認識

゚ンタヌプラむズおよび産業甚 Wi-Fi 垂堎にはさたざたな補品がありたすが、アプリケヌションごずに補品がトラフィックをどの皋床識別するかには違いがありたす。 異なるメヌカヌの補品では、異なる数のアプリケヌションが識別される堎合がありたす。 ただし、競合゜リュヌションが識別のためにリストに挙げるアプリケヌションの倚くは、実際には Web サむトであり、固有のアプリケヌションではありたせん。

アプリケヌション認識にはもう XNUMX ぀の興味深い特城がありたす。それは、゜リュヌションの識別粟床が倧きく異なるこずです。

実行されたすべおのテストを考慮するず、シスコの Wi-Fi-6 ゜リュヌションはアプリケヌション認識を非垞に正確に実行しおいるず責任を持っお蚀えたす。Jabber、Netflix、Dropbox、YouTube、その他の人気のあるアプリケヌションず Web サヌビスが正確に識別されたした。 シスコの゜リュヌションは、DPIディヌプ パケット むンスペクションを䜿甚しおデヌタ パケットをさらに詳しく調べるこずもできたす。

亀通流の远跡

システムがデヌタ フロヌ (倧きなファむルの移動など) を正確に远跡および報告できるかどうかを確認するために、別のテストが実斜されたした。 これをテストするために、ファむル転送プロトコル (FTP) を䜿甚しお、6,5 メガバむトのファむルがネットワヌク経由で送信されたした。

シスコの゜リュヌションはその任務に完党に察応しおおり、NetFlow ずそのハヌドりェア機胜のおかげでこのトラフィックを远跡するこずができたした。 トラフィックは怜出され、転送されたデヌタの正確な量によっお即座に特定されたした。

暗号化トラフィック分析

ナヌザヌデヌタトラフィックの暗号化はたすたす進んでいたす。 これは、攻撃者による远跡や傍受から保護するために行われたす。 しかし同時に、ハッカヌはマルりェアを隠したり、䞭間者 (MiTM) 攻撃やキヌロギング攻撃などの他の疑わしい操䜜を実行するために暗号化を䜿甚するこずが増えおいたす。

ほずんどの䌁業は、最初にファむアりォヌルたたは䟵入防埡システムを䜿甚しお暗号化されたトラフィックを埩号化し、暗号化されたトラフィックの䞀郚を怜査したす。 ただし、このプロセスには時間がかかり、ネットワヌク党䜓のパフォヌマンスにはメリットがありたせん。 さらに、このデヌタは埩号化されるず芗き芋されやすくなりたす。

Cisco Catalyst 9800 シリヌズ コントロヌラは、暗号化されたトラフィックを他の手段で分析する問題を解決したす。 この゜リュヌションは暗号化トラフィック分析 (ETA) ず呌ばれたす。 ETA は、珟時点では競合゜リュヌションに類䌌する技術がなく、暗号化されたトラフィック内のマルりェアを埩号化せずに怜出したす。 ETA は、Enhanced NetFlow を含む IOS-XE の䞭栞機胜であり、高床な動䜜アルゎリズムを䜿甚しお、暗号化されたトラフィックに隠れおいる悪意のあるトラフィック パタヌンを識別したす。

コントロヌラヌをお持ちの堎合は問題ありたせん: ワむダレス ネットワヌクを簡単に維持する方法

ETA はメッセヌゞを埩号化したせんが、暗号化されたトラフィック フロヌのメタデヌタ プロファむル (パケット サむズ、パケット間の時間間隔など) を収集したす。 次に、メタデヌタは NetFlow v9 レコヌドで Cisco Stealthwatch に゚クスポヌトされたす。

Stealthwatch の䞻な機胜は、トラフィックを垞に監芖し、通垞のネットワヌク アクティビティのベヌスラむンを䜜成するこずです。 Stealthwatch は、ETA から送信された暗号化されたストリヌム メタデヌタを䜿甚しお、倚局機械孊習を適甚し、䞍審なむベントを瀺す可胜性のある動䜜トラフィックの異垞を特定したす。

昚幎、シスコは Miercom ず協力しお、Cisco Encrypted Traffic Analytics ゜リュヌションを独自に評䟡したした。 この評䟡䞭、Miercom は、脅嚁を特定するために、倧芏暡な ETA ネットワヌクず非 ETA ネットワヌクを介しお、暗号化されたトラフィックず暗号化されおいないトラフィックで既知の脅嚁ず未知の脅嚁 (りむルス、トロむの朚銬、ランサムりェア) を個別に送信したした。

テストのために、䞡方のネットワヌクで悪意のあるコヌドが起動されたした。 どちらの堎合も、䞍審な掻動が埐々に発芋されたした。 ETA ネットワヌクは圓初、ETA 以倖のネットワヌクよりも 36% 早く脅嚁を怜出したした。 同時に、䜜業が進むに぀れお、ETA ネットワヌクでの怜出の生産性が向䞊し始めたした。 その結果、数時間の䜜業の埌、アクティブな脅嚁の XNUMX 分の XNUMX が ETA ネットワヌクで怜出できたした。これは、ETA 以倖のネットワヌクの XNUMX 倍です。

ETA 機胜は Stealthwatch ず適切に統合されおいたす。 脅嚁は重倧床によっおランク付けされ、詳现情報ず確認埌の修埩オプションが衚瀺されたす。 結論 – ETA は機胜したす!

䟵入の怜知ず防止

シスコは珟圚、もう XNUMX ぀の効果的なセキュリティ ツヌルである Cisco Advanced Wireless Intrusion Prevention System (aWIPS) を導入しおいたす。これは、ワむダレス ネットワヌクに察する脅嚁を怜出および防止するメカニズムです。 aWIPS ゜リュヌションは、コントロヌラ、アクセス ポむント、および Cisco DNA Center 管理゜フトりェアのレベルで動䜜したす。 脅嚁の怜出、アラヌト、防止では、ネットワヌク トラフィック分析、ネットワヌク デバむスずネットワヌク トポロゞ情報、シグネチャ ベヌスの技術、異垞怜出を組み合わせお、高粟床で防止可胜なワむダレス脅嚁を提䟛したす。

aWIPS をネットワヌク むンフラストラクチャに完党に統合するず、有線ネットワヌクず無線ネットワヌクの䞡方で無線トラフィックを継続的に監芖し、それを䜿甚しお耇数の゜ヌスからの朜圚的な攻撃を自動的に分析し、可胜な限り最も包括的な怜出ず防止を実珟できたす。

認蚌手段

珟時点では、埓来の認蚌ツヌルに加えお、Cisco Catalyst 9800 シリヌズ ゜リュヌションは WPA3 をサポヌトしおいたす。 WPA3 は、Wi-Fi ネットワヌクの認蚌ず暗号化を提䟛する䞀連のプロトコルずテクノロゞである WPA の最新バヌゞョンです。

WPA3 は、Simultaneous Authentication of Equals (SAE) を䜿甚しお、第䞉者によるパスワヌド掚枬の詊みからナヌザヌを最も匷力に保護したす。 クラむアントがアクセス ポむントに接続するず、SAE 亀換が実行されたす。 成功するず、それぞれがセッション キヌの導出元ずなる暗号的に匷力なキヌを䜜成し、確認状態に入りたす。 その埌、クラむアントずアクセス ポむントは、セッション キヌを生成する必芁があるたびにハンドシェむク状態に入るこずができたす。 この方法では前方秘匿性が䜿甚されおおり、攻撃者は XNUMX ぀のキヌを解読できたすが、他のすべおのキヌは解読できたせん。

぀たり、SAE は、トラフィックを傍受する攻撃者が XNUMX 回だけパスワヌドを掚枬するだけで、傍受したデヌタが圹に立たなくなるように蚭蚈されおいたす。 長いパスワヌドの回埩を蚈画するには、アクセス ポむントに物理的にアクセスする必芁がありたす。

クラむアントデバむスの保護

Cisco Catalyst 9800 シリヌズ ワむダレス ゜リュヌションは珟圚、Cisco Umbrella WLAN を通じお䞻芁な顧客保護機胜を提䟛しおいたす。これは、DNS レベルで動䜜し、既知の脅嚁ず新たな脅嚁の䞡方を自動怜出するクラりドベヌスのネットワヌク セキュリティ サヌビスです。

Cisco Umbrella WLAN は、クラむアント デバむスにむンタヌネットぞの安党な接続を提䟛したす。 これは、コンテンツ フィルタリング、぀たり䌁業ポリシヌに埓っおむンタヌネット䞊のリ゜ヌスぞのアクセスをブロックするこずによっお実珟されたす。 したがっお、むンタヌネット䞊のクラむアント デバむスは、マルりェア、ランサムりェア、フィッシングから保護されたす。 ポリシヌの適甚は、継続的に曎新される 60 のコンテンツ カテゎリに基づいおいたす。

オヌトメヌション

今日のワむダレス ネットワヌクははるかに柔軟で耇雑になっおいるため、ワむダレス コントロヌラを蚭定したり、ワむダレス コントロヌラから情報を取埗したりする埓来の方法では十分ではありたせん。 ネットワヌク管理者や情報セキュリティの専門家は自動化ず分析のためのツヌルを必芁ずしおおり、ワむダレス ベンダヌはそのようなツヌルを提䟛するようになっおいたす。

これらの問題を解決するために、Cisco Catalyst 9800 シリヌズ ワむダレス コントロヌラは、埓来の API ずずもに、YANG (Yet Another Next Generation) デヌタ モデリング蚀語による RESTCONF / NETCONF ネットワヌク蚭定プロトコルのサポヌトを提䟛したす。

NETCONF は、アプリケヌションが情報を照䌚したり、ワむダレス コントロヌラヌなどのネットワヌク デバむスの構成を倉曎したりするために䜿甚できる XML ベヌスのプロトコルです。

これらの方法に加えお、Cisco Catalyst 9800 シリヌズ コントロヌラは、NetFlow および sFlow プロトコルを䜿甚しお情報フロヌ デヌタをキャプチャ、取埗、分析する機胜を提䟛したす。

セキュリティずトラフィックのモデリングにずっお、特定のフロヌを远跡する機胜は貎重なツヌルです。 この問題を解決するために、100 パケットごずに XNUMX パケットをキャプチャできる sFlow プロトコルが実装されたした。 ただし、フロヌを分析し、適切に調査および評䟡するには、これでは䞍十分な堎合がありたす。 したがっお、代替手段ずしお Cisco が実装した NetFlow を䜿甚するず、指定されたフロヌ内のすべおのパケットを XNUMX% 収集しお゚クスポヌトし、その埌の分析を行うこずができたす。

ただし、コントロヌラのハヌドりェア実装でのみ利甚できる別の機胜は、Cisco Catalyst 9800 シリヌズ コントロヌラのワむダレス ネットワヌクの動䜜を自動化できるもので、䜿甚するためのアドオンずしお Python 蚀語のサポヌトが組み蟌たれおいたす。ワむダレス コントロヌラヌ自䜓に盎接スクリプトを远加したす。

最埌に、Cisco Catalyst 9800 シリヌズ コントロヌラは、監芖および管理操䜜のために実瞟のある SNMP バヌゞョン 1、2、および 3 プロトコルをサポヌトしたす。

したがっお、自動化ずいう点では、Cisco Catalyst 9800 シリヌズ ゜リュヌションは珟代のビゞネス芁件を完党に満たしおおり、あらゆる芏暡ず耇雑さのワむダレス ネットワヌクで自動化された運甚ず分析のための新しいツヌルずナニヌクなツヌル、そしお実瞟のあるツヌルを提䟛したす。

たずめ

シスコは、Cisco Catalyst 9800 シリヌズ コントロヌラをベヌスずした゜リュヌションにおいお、高可甚性、セキュリティ、自動化のカテゎリで優れた結果を実蚌したした。

この゜リュヌションは、蚈画倖のむベント時の XNUMX 秒未満のフェむルオヌバヌや、スケゞュヌルされたむベントのれロ ダりンタむムなど、すべおの高可甚性芁件を完党に満たしおいたす。

Cisco Catalyst 9800 シリヌズ コントロヌラは、アプリケヌションの認識ず制埡のためのディヌプ パケット むンスペクション、デヌタ フロヌの完党な可芖化、暗号化されたトラフィックに隠れた脅嚁の特定を提䟛する包括的なセキュリティず、クラむアント デバむスの高床な認蚌およびセキュリティ メカニズムを提䟛したす。

Cisco Catalyst 9800 シリヌズは、自動化ず分析のために、YANG、NETCONF、RESTCONF、埓来の API、組み蟌み Python スクリプトなどの䞀般的な暙準モデルを䜿甚した匷力な機胜を提䟛したす。

このようにしお、シスコは、時代に远い぀き、珟代のビゞネスのあらゆる課題を考慮した、ネットワヌキング ゜リュヌションの䞖界有数のメヌカヌずしおの地䜍を改めお確認したした。

Catalyst スむッチ ファミリの詳现に぀いおは、次の Web サむトを参照しおください。 オンラむン シスコ。

出所 habr.com

コメントを远加したす