Ja jums ir kontrolieris, bez problēmām: kā viegli uzturēt bezvadu tīklu

Konsultāciju uzņēmums Miercom 2019. gadā veica neatkarīgu tehnoloģisko novērtējumu Cisco Catalyst 6 sērijas kontrolleriem Wi-Fi 9800. Šim pētījumam tika salikts testēšanas stends no Cisco Wi-Fi 6 kontrolleriem un piekļuves punktiem, un tehniskais risinājums tika izstrādāts. novērtēts šādās kategorijās:

• Pieejamība;
• Drošība;
• Automatizācija.

Pētījuma rezultāti ir parādīti zemāk. Kopš 2019. gada ir būtiski uzlabota Cisco Catalyst 9800 sērijas kontrolleru funkcionalitāte – šie punkti ir atspoguļoti arī šajā rakstā.

Varat lasīt par citām Wi-Fi 6 tehnoloģijas priekšrocībām, ieviešanas piemēriem un pielietojuma jomām šeit.

Risinājuma pārskats

Wi-Fi 6 kontrolieri Cisco Catalyst 9800 sērija

Cisco Catalyst 9800. sērijas bezvadu kontrolleri, kuru pamatā ir IOS-XE operētājsistēma (izmanto arī Cisco slēdžiem un maršrutētājiem), ir pieejami dažādās opcijās.

Vecākais 9800-80 kontrollera modelis atbalsta bezvadu tīkla caurlaidspēju līdz 80 Gbps. Viens 9800-80 kontrolleris atbalsta līdz 6000 piekļuves punktiem un līdz 64 000 bezvadu klientiem.

Vidējās klases modelis, 9800-40 kontrolieris, atbalsta līdz 40 Gbps caurlaidspēju, līdz 2000 piekļuves punktiem un līdz 32 000 bezvadu klientiem.

Papildus šiem modeļiem konkurences analīzē tika iekļauts arī bezvadu kontrolieris 9800-CL (CL apzīmē Cloud). 9800-CL darbojas virtuālajā vidē VMWare ESXI un KVM hipervizoros, un tā veiktspēja ir atkarīga no kontroliera virtuālajai mašīnai atvēlētajiem aparatūras resursiem. Maksimālajā konfigurācijā Cisco 9800-CL kontrolleris, tāpat kā vecākais modelis 9800-80, atbalsta mērogojamību līdz 6000 piekļuves punktiem un līdz 64 000 bezvadu klientiem.

Veicot pētījumus ar kontrolieriem, tika izmantoti Cisco Aironet AP 4800 sērijas piekļuves punkti, kas atbalsta darbību 2,4 un 5 GHz frekvencēs ar iespēju dinamiski pārslēgties uz dubulto 5 GHz režīmu.

Testa stends

Pārbaudes ietvaros tika salikts statīvs no diviem Cisco Catalyst 9800-CL bezvadu kontrolleriem, kas darbojās klasterī, un Cisco Aironet AP 4800 sērijas piekļuves punktiem.

Kā klientu ierīces tika izmantoti Dell un Apple klēpjdatori, kā arī Apple iPhone viedtālrunis.

Pieejamības pārbaude

Pieejamība ir definēta kā lietotāju spēja piekļūt sistēmai vai pakalpojumam un to izmantot. Augsta pieejamība nozīmē nepārtrauktu piekļuvi sistēmai vai pakalpojumam neatkarīgi no noteiktiem notikumiem.

Augsta pieejamība tika pārbaudīta četros scenārijos, pirmie trīs scenāriji bija paredzami vai plānoti notikumi, kas varētu notikt darba laikā vai pēc tā. Piektais scenārijs ir klasiska neveiksme, kas ir neparedzams notikums.

Scenāriju apraksts:

• Kļūdu labošana – sistēmas mikroatjauninājums (bugfix vai drošības ielāps), kas ļauj izlabot konkrētu kļūdu vai ievainojamību bez pilnīgas sistēmas programmatūras atjaunināšanas;
• Funkcionālais atjauninājums – esošās sistēmas funkcionalitātes pievienošana vai paplašināšana, instalējot funkcionālos atjauninājumus;
• Pilns atjauninājums – atjaunināt kontroliera programmatūras attēlu;
• Piekļuves punkta pievienošana – jauna piekļuves punkta modeļa pievienošana bezvadu tīklam bez nepieciešamības pārkonfigurēt vai atjaunināt bezvadu kontrollera programmatūru;
• Failure — bezvadu kontrollera kļūme.

Kļūdu un ievainojamību labošana

Bieži vien ar daudziem konkurētspējīgiem risinājumiem ielāpu veikšanai ir nepieciešams pilnīgs bezvadu kontrollera sistēmas programmatūras atjauninājums, kas var izraisīt neplānotu dīkstāvi. Cisco risinājuma gadījumā lāpīšana tiek veikta, neapturot izstrādājumu. Kamēr bezvadu infrastruktūra turpina darboties, ielāpus var uzstādīt jebkuram komponentam.

Pati procedūra ir diezgan vienkārša. Ielāpa fails tiek kopēts bootstrap mapē vienā no Cisco bezvadu kontrolleriem, un pēc tam darbība tiek apstiprināta, izmantojot GUI vai komandrindu. Turklāt labojumu var atsaukt un noņemt, izmantojot GUI vai komandrindu, arī nepārtraucot sistēmas darbību.

Funkcionāls atjauninājums

Funkcionālie programmatūras atjauninājumi tiek lietoti, lai iespējotu jaunas funkcijas. Viens no šiem uzlabojumiem ir lietojumprogrammu parakstu datu bāzes atjaunināšana. Šī pakotne tika instalēta Cisco kontrolleros kā pārbaude. Tāpat kā ielāpu gadījumā, funkciju atjauninājumi tiek lietoti, instalēti vai noņemti bez dīkstāves vai sistēmas pārtraukumiem.

Pilns atjauninājums

Šobrīd pilna kontroliera programmatūras attēla atjaunināšana tiek veikta tāpat kā funkcionālā atjaunināšana, tas ir, bez dīkstāves. Tomēr šī funkcija ir pieejama tikai klastera konfigurācijā, ja ir vairāk nekā viens kontrolleris. Pilnīga atjaunināšana tiek veikta secīgi: vispirms vienā kontrollerī, pēc tam otrajā.

Jauna piekļuves punkta modeļa pievienošana

Jaunu piekļuves punktu, kas iepriekš nav darbināti ar izmantoto kontroliera programmatūras attēlu, pievienošana bezvadu tīklam ir diezgan izplatīta darbība, īpaši lielos tīklos (lidostās, viesnīcās, rūpnīcās). Diezgan bieži konkurentu risinājumos šī darbība prasa sistēmas programmatūras atjaunināšanu vai kontrolleru pārstartēšanu.

Pievienojot jaunus Wi-Fi 6 piekļuves punktus Cisco Catalyst 9800 sērijas kontrolleru kopai, šādas problēmas netiek novērotas. Jaunu punktu pievienošana kontrollerim tiek veikta bez kontroliera programmatūras atjaunināšanas, un šim procesam nav nepieciešama pārstartēšana, tādējādi nekādā veidā neietekmējot bezvadu tīklu.

Kontroliera kļūme

Testa vidē tiek izmantoti divi Wi-Fi 6 kontrolleri (Active/StandBy), un piekļuves punktam ir tiešs savienojums ar abiem kontrolleriem.

Viens bezvadu kontrolieris ir aktīvs, bet otrs attiecīgi ir rezerves. Ja aktīvais kontrolleris neizdodas, rezerves kontrolleris pārņem un tā statuss tiek mainīts uz aktīvs. Šī procedūra notiek bez pārtraukuma piekļuves punktam un Wi-Fi klientiem.

Drošība

Šajā sadaļā ir apskatīti drošības aspekti, kas ir ārkārtīgi aktuāla problēma bezvadu tīklos. Risinājuma drošība tiek novērtēta, pamatojoties uz šādiem raksturlielumiem:

• Lietojumprogrammu atpazīšana;
• Plūsmas izsekošana;
• Šifrētās trafika analīze;
• Ielaušanās atklāšana un novēršana;
• Autentifikācijas līdzekļi;
• Klientu ierīču aizsardzības rīki.

Lietojumprogrammu atpazīšana

Uzņēmumu un rūpniecisko Wi-Fi tirgū piedāvāto produktu daudzveidība atšķiras attiecībā uz to, cik labi produkti identificē trafiku pēc lietojumprogrammas. Dažādu ražotāju izstrādājumi var identificēt dažādu lietojumu skaitu. Tomēr daudzas no lietojumprogrammām, kuras konkurētspējīgos risinājumos identificē kā iespējamos, patiesībā ir vietnes, nevis unikālas lietojumprogrammas.

Ir vēl viena interesanta lietojumprogrammu atpazīšanas iezīme: risinājumi ievērojami atšķiras identifikācijas precizitātes ziņā.

Ņemot vērā visus veiktos testus, varam atbildīgi apgalvot, ka Cisco Wi-Fi-6 risinājums aplikāciju atpazīšanu veic ļoti precīzi: precīzi tika identificētas Jabber, Netflix, Dropbox, YouTube un citas populāras aplikācijas, kā arī tīmekļa pakalpojumi. Cisco risinājumi var arī ienirt dziļāk datu paketēs, izmantojot DPI (Deep Packet Inspection).

Satiksmes plūsmas izsekošana

Vēl viens tests tika veikts, lai noskaidrotu, vai sistēma var precīzi izsekot un ziņot par datu plūsmām (piemēram, lielu failu kustību). Lai to pārbaudītu, tīklā, izmantojot failu pārsūtīšanas protokolu (FTP), tika nosūtīts 6,5 megabaitu fails.

Cisco risinājums pilnībā izpildīja uzdevumu un varēja izsekot šai trafikai, pateicoties NetFlow un tā aparatūras iespējām. Satiksme tika atklāta un identificēta nekavējoties ar precīzu pārsūtīto datu apjomu.

Šifrēta trafika analīze

Lietotāju datu trafiks arvien vairāk tiek šifrēts. Tas tiek darīts, lai to pasargātu no uzbrucēju izsekošanas vai pārtveršanas. Taču tajā pašā laikā hakeri arvien vairāk izmanto šifrēšanu, lai slēptu savu ļaunprogrammatūru un veiktu citas apšaubāmas darbības, piemēram, Man-in-the-Middle (MiTM) vai taustiņu bloķēšanas uzbrukumus.

Lielākā daļa uzņēmumu pārbauda daļu no šifrētās trafika, vispirms to atšifrējot, izmantojot ugunsmūrus vai ielaušanās novēršanas sistēmas. Taču šis process aizņem daudz laika un nedod labumu tīkla darbībai kopumā. Turklāt pēc atšifrēšanas šie dati kļūst neaizsargāti pret ziņkārīgo acīm.

Cisco Catalyst 9800 sērijas kontrolleri veiksmīgi atrisina šifrētās trafika analīzes problēmu ar citiem līdzekļiem. Risinājums tiek saukts par šifrētu trafika analīzi (ETA). ETA ir tehnoloģija, kurai pašlaik nav analogu konkurētspējīgos risinājumos un kas atklāj ļaunprātīgu programmatūru šifrētā trafikā bez nepieciešamības to atšifrēt. ETA ir IOS-XE pamatfunkcija, kas ietver Enhanced NetFlow un izmanto uzlabotus uzvedības algoritmus, lai identificētu ļaunprātīgas trafika modeļus, kas slēpjas šifrētā trafikā.

ETA neatšifrē ziņojumus, bet apkopo šifrētu trafika plūsmu metadatu profilus – pakešu lielumu, laika intervālus starp paketēm un daudz ko citu. Pēc tam metadati tiek eksportēti NetFlow v9 ierakstos uz Cisco Stealthwatch.

Stealthwatch galvenā funkcija ir pastāvīgi uzraudzīt trafiku, kā arī izveidot parasto tīkla darbību bāzes līniju. Izmantojot šifrētus straumes metadatus, ko tam nosūtījis ETA, Stealthwatch izmanto daudzslāņu mašīnmācīšanos, lai identificētu uzvedības trafika anomālijas, kas var norādīt uz aizdomīgiem notikumiem.

Pagājušajā gadā Cisco piesaistīja Miercom, lai neatkarīgi novērtētu savu Cisco šifrētās trafika analīzes risinājumu. Šī novērtējuma laikā Miercom atsevišķi nosūtīja zināmus un nezināmus draudus (vīrusus, Trojas zirgus, izpirkuma programmatūru) šifrētā un nešifrētā trafikā lielos ETA un ne-ETA tīklos, lai identificētu draudus.

Pārbaudei abos tīklos tika palaists ļaunprātīgs kods. Abos gadījumos pamazām tika atklāta aizdomīga darbība. ETA tīkls sākotnēji atklāja draudus par 36% ātrāk nekā tīkls, kas nav ETA tīkls. Tajā pašā laikā, darba gaitā sāka pieaugt atklāšanas produktivitāte ETA tīklā. Rezultātā pēc vairāku stundu darba ETA tīklā veiksmīgi tika konstatētas divas trešdaļas aktīvo apdraudējumu, kas ir divas reizes vairāk nekā ne-ETA tīklā.

ETA funkcionalitāte ir labi integrēta ar Stealthwatch. Draudi tiek sarindoti pēc smaguma pakāpes un tiek parādīti ar detalizētu informāciju, kā arī novēršanas iespējām, kad tie ir apstiprināti. Secinājums – ETA strādā!

Ielaušanās atklāšana un novēršana

Cisco tagad ir vēl viens efektīvs drošības rīks - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mehānisms bezvadu tīklu apdraudējumu noteikšanai un novēršanai. AWIPS risinājums darbojas kontrolieru, piekļuves punktu un Cisco DNA Center pārvaldības programmatūras līmenī. Draudi noteikšana, brīdināšana un novēršana apvieno tīkla trafika analīzi, tīkla ierīču un tīkla topoloģijas informāciju, uz parakstu balstītas metodes un anomāliju noteikšanu, lai nodrošinātu ļoti precīzus un novēršamus bezvadu draudus.

Pilnībā integrējot aWIPS savā tīkla infrastruktūrā, varat nepārtraukti uzraudzīt bezvadu trafiku gan vadu, gan bezvadu tīklos un izmantot to, lai automātiski analizētu iespējamos uzbrukumus no vairākiem avotiem, lai nodrošinātu visplašāko iespējamo atklāšanu un novēršanu.

Autentifikācija nozīmē

Šobrīd papildus klasiskajiem autentifikācijas rīkiem Cisco Catalyst 9800 sērijas risinājumi atbalsta WPA3. WPA3 ir jaunākā WPA versija, kas ir protokolu un tehnoloģiju kopums, kas nodrošina Wi-Fi tīklu autentifikāciju un šifrēšanu.

WPA3 izmanto vienlaicīgu vienādojumu autentifikāciju (SAE), lai nodrošinātu lietotājiem spēcīgāko aizsardzību pret trešo pušu mēģinājumiem uzminēt paroli. Kad klients izveido savienojumu ar piekļuves punktu, tas veic SAE apmaiņu. Ja tas būs veiksmīgs, katrs no tiem izveidos kriptogrāfiski spēcīgu atslēgu, no kuras tiks iegūta sesijas atslēga, un pēc tam viņi nonāks apstiprinājuma stāvoklī. Pēc tam klients un piekļuves punkts var ievadīt rokasspiediena stāvokļus katru reizi, kad ir jāģenerē sesijas atslēga. Metode izmanto pārsūtīšanas slepenību, kurā uzbrucējs var uzlauzt vienu atslēgu, bet ne visas pārējās atslēgas.

Tas nozīmē, ka SAE ir izstrādāts tā, ka uzbrucējam, kas pārtver trafiku, ir tikai viens mēģinājums uzminēt paroli, pirms pārtvertie dati kļūst nederīgi. Lai organizētu ilgu paroles atkopšanu, jums būs nepieciešama fiziska piekļuve piekļuves punktam.

Klienta ierīču aizsardzība

Cisco Catalyst 9800 sērijas bezvadu risinājumi pašlaik nodrošina galveno klientu aizsardzību, izmantojot Cisco Umbrella WLAN — uz mākoņa balstītu tīkla drošības pakalpojumu, kas darbojas DNS līmenī ar automātisku gan zināmu, gan jaunu apdraudējumu noteikšanu.

Cisco Umbrella WLAN nodrošina klientu ierīcēm drošu savienojumu ar internetu. Tas tiek panākts, izmantojot satura filtrēšanu, tas ir, bloķējot piekļuvi resursiem internetā saskaņā ar uzņēmuma politiku. Tādējādi klientu ierīces internetā ir aizsargātas no ļaunprātīgas programmatūras, izspiedējprogrammatūras un pikšķerēšanas. Politikas ieviešanas pamatā ir 60 pastāvīgi atjauninātas satura kategorijas.

Automatizācija

Mūsdienu bezvadu tīkli ir daudz elastīgāki un sarežģītāki, tāpēc ar tradicionālajām metodēm informācijas konfigurēšanai un izgūšanai no bezvadu kontrolleriem nepietiek. Tīkla administratoriem un informācijas drošības speciālistiem ir nepieciešami automatizācijas un analīzes rīki, mudinot bezvadu pakalpojumu sniedzējus piedāvāt šādus rīkus.

Lai atrisinātu šīs problēmas, Cisco Catalyst 9800 sērijas bezvadu kontrolleri kopā ar tradicionālo API nodrošina atbalstu tīkla konfigurācijas protokolam RESTCONF / NETCONF ar YANG (Yet Another Next Generation) datu modelēšanas valodu.

NETCONF ir uz XML balstīts protokols, ko lietojumprogrammas var izmantot, lai meklētu informāciju un mainītu tīkla ierīču, piemēram, bezvadu kontrolleru, konfigurāciju.

Papildus šīm metodēm Cisco Catalyst 9800 sērijas kontrolleri nodrošina iespēju uztvert, izgūt un analizēt informācijas plūsmas datus, izmantojot NetFlow un sFlow protokolus.

Drošības un satiksmes modelēšanai iespēja izsekot konkrētas plūsmas ir vērtīgs rīks. Lai atrisinātu šo problēmu, tika ieviests sFlow protokols, kas ļauj tvert divas paketes no katrām simts. Tomēr dažreiz ar to var nepietikt, lai analizētu un adekvāti izpētītu un novērtētu plūsmu. Tāpēc alternatīva ir NetFlow, ko ieviesa Cisco, kas ļauj 100% apkopot un eksportēt visas paketes noteiktā plūsmā turpmākai analīzei.

Tomēr vēl viena funkcija, kas pieejama tikai kontrolieru aparatūras ieviešanā, kas ļauj automatizēt bezvadu tīkla darbību Cisco Catalyst 9800 sērijas kontrolleros, ir iebūvēts atbalsts Python valodai kā papildinājums lietošanai. skriptus tieši uz paša bezvadu kontrollera.

Visbeidzot, Cisco Catalyst 9800. sērijas kontrolleri atbalsta pārbaudīto SNMP 1., 2. un 3. versijas protokolu uzraudzības un pārvaldības darbībām.

Tādējādi automatizācijas ziņā Cisco Catalyst 9800 sērijas risinājumi pilnībā atbilst mūsdienu biznesa prasībām, piedāvājot gan jaunus, gan unikālus, kā arī laika pārbaudītus rīkus automatizētām darbībām un analītikai jebkura izmēra un sarežģītības bezvadu tīklos.

Secinājums

Risinājumos, kuru pamatā ir Cisco Catalyst 9800 sērijas kontrolleri, Cisco uzrādīja izcilus rezultātus augstas pieejamības, drošības un automatizācijas kategorijās.

Risinājums pilnībā atbilst visām augstajām pieejamības prasībām, piemēram, nepilnu sekunžu kļūmjpārlēce neplānotu notikumu laikā un nulles dīkstāves ieplānotajiem notikumiem.

Cisco Catalyst 9800. sērijas kontrolleri nodrošina visaptverošu drošību, kas nodrošina dziļu pakešu pārbaudi lietojumprogrammu atpazīšanai un kontrolei, pilnīgu datu plūsmu redzamību un šifrētā trafikā slēpto draudu identificēšanu, kā arī uzlabotus autentifikācijas un drošības mehānismus klientu ierīcēm.

Automatizācijai un analītikai Cisco Catalyst 9800 Series piedāvā jaudīgas iespējas, izmantojot populārus standarta modeļus: YANG, NETCONF, RESTCONF, tradicionālās API un iebūvētos Python skriptus.

Tādējādi Cisco vēlreiz apliecina savu pasaules vadošā tīkla risinājumu ražotāja statusu, ejot līdzi laikam un ņemot vērā visus mūsdienu biznesa izaicinājumus.

Lai iegūtu papildinformāciju par Catalyst slēdžu saimi, apmeklējiet vietni Tiešsaistē cisco.

Avots: www.habr.com

Konsultāciju uzņēmums Miercom 2019. gadā veica neatkarīgu tehnoloģisko novērtējumu Cisco Catalyst 6 sērijas kontrolleriem Wi-Fi 9800. Šim pētījumam tika salikts testēšanas stends no Cisco Wi-Fi 6 kontrolleriem un piekļuves punktiem, un tehniskais risinājums tika izstrādāts. novērtēts šādās kategorijās:

• Pieejamība;
• Drošība;
• Automatizācija.

Pētījuma rezultāti ir parādīti zemāk. Kopš 2019. gada ir būtiski uzlabota Cisco Catalyst 9800 sērijas kontrolleru funkcionalitāte – šie punkti ir atspoguļoti arī šajā rakstā.

Varat lasīt par citām Wi-Fi 6 tehnoloģijas priekšrocībām, ieviešanas piemēriem un pielietojuma jomām šeit.

Risinājuma pārskats

Wi-Fi 6 kontrolieri Cisco Catalyst 9800 sērija

Cisco Catalyst 9800. sērijas bezvadu kontrolleri, kuru pamatā ir IOS-XE operētājsistēma (izmanto arī Cisco slēdžiem un maršrutētājiem), ir pieejami dažādās opcijās.

Vecākais 9800-80 kontrollera modelis atbalsta bezvadu tīkla caurlaidspēju līdz 80 Gbps. Viens 9800-80 kontrolleris atbalsta līdz 6000 piekļuves punktiem un līdz 64 000 bezvadu klientiem.

Vidējās klases modelis, 9800-40 kontrolieris, atbalsta līdz 40 Gbps caurlaidspēju, līdz 2000 piekļuves punktiem un līdz 32 000 bezvadu klientiem.

Papildus šiem modeļiem konkurences analīzē tika iekļauts arī bezvadu kontrolieris 9800-CL (CL apzīmē Cloud). 9800-CL darbojas virtuālajā vidē VMWare ESXI un KVM hipervizoros, un tā veiktspēja ir atkarīga no kontroliera virtuālajai mašīnai atvēlētajiem aparatūras resursiem. Maksimālajā konfigurācijā Cisco 9800-CL kontrolleris, tāpat kā vecākais modelis 9800-80, atbalsta mērogojamību līdz 6000 piekļuves punktiem un līdz 64 000 bezvadu klientiem.

Veicot pētījumus ar kontrolieriem, tika izmantoti Cisco Aironet AP 4800 sērijas piekļuves punkti, kas atbalsta darbību 2,4 un 5 GHz frekvencēs ar iespēju dinamiski pārslēgties uz dubulto 5 GHz režīmu.

Testa stends

Pārbaudes ietvaros tika salikts statīvs no diviem Cisco Catalyst 9800-CL bezvadu kontrolleriem, kas darbojās klasterī, un Cisco Aironet AP 4800 sērijas piekļuves punktiem.

Kā klientu ierīces tika izmantoti Dell un Apple klēpjdatori, kā arī Apple iPhone viedtālrunis.

Pieejamības pārbaude

Pieejamība ir definēta kā lietotāju spēja piekļūt sistēmai vai pakalpojumam un to izmantot. Augsta pieejamība nozīmē nepārtrauktu piekļuvi sistēmai vai pakalpojumam neatkarīgi no noteiktiem notikumiem.

Augsta pieejamība tika pārbaudīta četros scenārijos, pirmie trīs scenāriji bija paredzami vai plānoti notikumi, kas varētu notikt darba laikā vai pēc tā. Piektais scenārijs ir klasiska neveiksme, kas ir neparedzams notikums.

Scenāriju apraksts:

• Kļūdu labošana – sistēmas mikroatjauninājums (bugfix vai drošības ielāps), kas ļauj izlabot konkrētu kļūdu vai ievainojamību bez pilnīgas sistēmas programmatūras atjaunināšanas;
• Funkcionālais atjauninājums – esošās sistēmas funkcionalitātes pievienošana vai paplašināšana, instalējot funkcionālos atjauninājumus;
• Pilns atjauninājums – atjaunināt kontroliera programmatūras attēlu;
• Piekļuves punkta pievienošana – jauna piekļuves punkta modeļa pievienošana bezvadu tīklam bez nepieciešamības pārkonfigurēt vai atjaunināt bezvadu kontrollera programmatūru;
• Failure — bezvadu kontrollera kļūme.

Kļūdu un ievainojamību labošana

Bieži vien ar daudziem konkurētspējīgiem risinājumiem ielāpu veikšanai ir nepieciešams pilnīgs bezvadu kontrollera sistēmas programmatūras atjauninājums, kas var izraisīt neplānotu dīkstāvi. Cisco risinājuma gadījumā lāpīšana tiek veikta, neapturot izstrādājumu. Kamēr bezvadu infrastruktūra turpina darboties, ielāpus var uzstādīt jebkuram komponentam.

Pati procedūra ir diezgan vienkārša. Ielāpa fails tiek kopēts bootstrap mapē vienā no Cisco bezvadu kontrolleriem, un pēc tam darbība tiek apstiprināta, izmantojot GUI vai komandrindu. Turklāt labojumu var atsaukt un noņemt, izmantojot GUI vai komandrindu, arī nepārtraucot sistēmas darbību.

Funkcionāls atjauninājums

Funkcionālie programmatūras atjauninājumi tiek lietoti, lai iespējotu jaunas funkcijas. Viens no šiem uzlabojumiem ir lietojumprogrammu parakstu datu bāzes atjaunināšana. Šī pakotne tika instalēta Cisco kontrolleros kā pārbaude. Tāpat kā ielāpu gadījumā, funkciju atjauninājumi tiek lietoti, instalēti vai noņemti bez dīkstāves vai sistēmas pārtraukumiem.

Pilns atjauninājums

Šobrīd pilna kontroliera programmatūras attēla atjaunināšana tiek veikta tāpat kā funkcionālā atjaunināšana, tas ir, bez dīkstāves. Tomēr šī funkcija ir pieejama tikai klastera konfigurācijā, ja ir vairāk nekā viens kontrolleris. Pilnīga atjaunināšana tiek veikta secīgi: vispirms vienā kontrollerī, pēc tam otrajā.

Jauna piekļuves punkta modeļa pievienošana

Jaunu piekļuves punktu, kas iepriekš nav darbināti ar izmantoto kontroliera programmatūras attēlu, pievienošana bezvadu tīklam ir diezgan izplatīta darbība, īpaši lielos tīklos (lidostās, viesnīcās, rūpnīcās). Diezgan bieži konkurentu risinājumos šī darbība prasa sistēmas programmatūras atjaunināšanu vai kontrolleru pārstartēšanu.

Pievienojot jaunus Wi-Fi 6 piekļuves punktus Cisco Catalyst 9800 sērijas kontrolleru kopai, šādas problēmas netiek novērotas. Jaunu punktu pievienošana kontrollerim tiek veikta bez kontroliera programmatūras atjaunināšanas, un šim procesam nav nepieciešama pārstartēšana, tādējādi nekādā veidā neietekmējot bezvadu tīklu.

Kontroliera kļūme

Testa vidē tiek izmantoti divi Wi-Fi 6 kontrolleri (Active/StandBy), un piekļuves punktam ir tiešs savienojums ar abiem kontrolleriem.

Viens bezvadu kontrolieris ir aktīvs, bet otrs attiecīgi ir rezerves. Ja aktīvais kontrolleris neizdodas, rezerves kontrolleris pārņem un tā statuss tiek mainīts uz aktīvs. Šī procedūra notiek bez pārtraukuma piekļuves punktam un Wi-Fi klientiem.

Drošība

Šajā sadaļā ir apskatīti drošības aspekti, kas ir ārkārtīgi aktuāla problēma bezvadu tīklos. Risinājuma drošība tiek novērtēta, pamatojoties uz šādiem raksturlielumiem:

• Lietojumprogrammu atpazīšana;
• Plūsmas izsekošana;
• Šifrētās trafika analīze;
• Ielaušanās atklāšana un novēršana;
• Autentifikācijas līdzekļi;
• Klientu ierīču aizsardzības rīki.

Lietojumprogrammu atpazīšana

Uzņēmumu un rūpniecisko Wi-Fi tirgū piedāvāto produktu daudzveidība atšķiras attiecībā uz to, cik labi produkti identificē trafiku pēc lietojumprogrammas. Dažādu ražotāju izstrādājumi var identificēt dažādu lietojumu skaitu. Tomēr daudzas no lietojumprogrammām, kuras konkurētspējīgos risinājumos identificē kā iespējamos, patiesībā ir vietnes, nevis unikālas lietojumprogrammas.

Ir vēl viena interesanta lietojumprogrammu atpazīšanas iezīme: risinājumi ievērojami atšķiras identifikācijas precizitātes ziņā.

Ņemot vērā visus veiktos testus, varam atbildīgi apgalvot, ka Cisco Wi-Fi-6 risinājums aplikāciju atpazīšanu veic ļoti precīzi: precīzi tika identificētas Jabber, Netflix, Dropbox, YouTube un citas populāras aplikācijas, kā arī tīmekļa pakalpojumi. Cisco risinājumi var arī ienirt dziļāk datu paketēs, izmantojot DPI (Deep Packet Inspection).

Satiksmes plūsmas izsekošana

Vēl viens tests tika veikts, lai noskaidrotu, vai sistēma var precīzi izsekot un ziņot par datu plūsmām (piemēram, lielu failu kustību). Lai to pārbaudītu, tīklā, izmantojot failu pārsūtīšanas protokolu (FTP), tika nosūtīts 6,5 megabaitu fails.

Cisco risinājums pilnībā izpildīja uzdevumu un varēja izsekot šai trafikai, pateicoties NetFlow un tā aparatūras iespējām. Satiksme tika atklāta un identificēta nekavējoties ar precīzu pārsūtīto datu apjomu.

Šifrēta trafika analīze

Lietotāju datu trafiks arvien vairāk tiek šifrēts. Tas tiek darīts, lai to pasargātu no uzbrucēju izsekošanas vai pārtveršanas. Taču tajā pašā laikā hakeri arvien vairāk izmanto šifrēšanu, lai slēptu savu ļaunprogrammatūru un veiktu citas apšaubāmas darbības, piemēram, Man-in-the-Middle (MiTM) vai taustiņu bloķēšanas uzbrukumus.

Lielākā daļa uzņēmumu pārbauda daļu no šifrētās trafika, vispirms to atšifrējot, izmantojot ugunsmūrus vai ielaušanās novēršanas sistēmas. Taču šis process aizņem daudz laika un nedod labumu tīkla darbībai kopumā. Turklāt pēc atšifrēšanas šie dati kļūst neaizsargāti pret ziņkārīgo acīm.

Cisco Catalyst 9800 sērijas kontrolleri veiksmīgi atrisina šifrētās trafika analīzes problēmu ar citiem līdzekļiem. Risinājums tiek saukts par šifrētu trafika analīzi (ETA). ETA ir tehnoloģija, kurai pašlaik nav analogu konkurētspējīgos risinājumos un kas atklāj ļaunprātīgu programmatūru šifrētā trafikā bez nepieciešamības to atšifrēt. ETA ir IOS-XE pamatfunkcija, kas ietver Enhanced NetFlow un izmanto uzlabotus uzvedības algoritmus, lai identificētu ļaunprātīgas trafika modeļus, kas slēpjas šifrētā trafikā.

ETA neatšifrē ziņojumus, bet apkopo šifrētu trafika plūsmu metadatu profilus – pakešu lielumu, laika intervālus starp paketēm un daudz ko citu. Pēc tam metadati tiek eksportēti NetFlow v9 ierakstos uz Cisco Stealthwatch.

Stealthwatch galvenā funkcija ir pastāvīgi uzraudzīt trafiku, kā arī izveidot parasto tīkla darbību bāzes līniju. Izmantojot šifrētus straumes metadatus, ko tam nosūtījis ETA, Stealthwatch izmanto daudzslāņu mašīnmācīšanos, lai identificētu uzvedības trafika anomālijas, kas var norādīt uz aizdomīgiem notikumiem.

Pagājušajā gadā Cisco piesaistīja Miercom, lai neatkarīgi novērtētu savu Cisco šifrētās trafika analīzes risinājumu. Šī novērtējuma laikā Miercom atsevišķi nosūtīja zināmus un nezināmus draudus (vīrusus, Trojas zirgus, izpirkuma programmatūru) šifrētā un nešifrētā trafikā lielos ETA un ne-ETA tīklos, lai identificētu draudus.

Pārbaudei abos tīklos tika palaists ļaunprātīgs kods. Abos gadījumos pamazām tika atklāta aizdomīga darbība. ETA tīkls sākotnēji atklāja draudus par 36% ātrāk nekā tīkls, kas nav ETA tīkls. Tajā pašā laikā, darba gaitā sāka pieaugt atklāšanas produktivitāte ETA tīklā. Rezultātā pēc vairāku stundu darba ETA tīklā veiksmīgi tika konstatētas divas trešdaļas aktīvo apdraudējumu, kas ir divas reizes vairāk nekā ne-ETA tīklā.

ETA funkcionalitāte ir labi integrēta ar Stealthwatch. Draudi tiek sarindoti pēc smaguma pakāpes un tiek parādīti ar detalizētu informāciju, kā arī novēršanas iespējām, kad tie ir apstiprināti. Secinājums – ETA strādā!

Ielaušanās atklāšana un novēršana

Cisco tagad ir vēl viens efektīvs drošības rīks - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mehānisms bezvadu tīklu apdraudējumu noteikšanai un novēršanai. AWIPS risinājums darbojas kontrolieru, piekļuves punktu un Cisco DNA Center pārvaldības programmatūras līmenī. Draudi noteikšana, brīdināšana un novēršana apvieno tīkla trafika analīzi, tīkla ierīču un tīkla topoloģijas informāciju, uz parakstu balstītas metodes un anomāliju noteikšanu, lai nodrošinātu ļoti precīzus un novēršamus bezvadu draudus.

Pilnībā integrējot aWIPS savā tīkla infrastruktūrā, varat nepārtraukti uzraudzīt bezvadu trafiku gan vadu, gan bezvadu tīklos un izmantot to, lai automātiski analizētu iespējamos uzbrukumus no vairākiem avotiem, lai nodrošinātu visplašāko iespējamo atklāšanu un novēršanu.

Autentifikācija nozīmē

Šobrīd papildus klasiskajiem autentifikācijas rīkiem Cisco Catalyst 9800 sērijas risinājumi atbalsta WPA3. WPA3 ir jaunākā WPA versija, kas ir protokolu un tehnoloģiju kopums, kas nodrošina Wi-Fi tīklu autentifikāciju un šifrēšanu.

WPA3 izmanto vienlaicīgu vienādojumu autentifikāciju (SAE), lai nodrošinātu lietotājiem spēcīgāko aizsardzību pret trešo pušu mēģinājumiem uzminēt paroli. Kad klients izveido savienojumu ar piekļuves punktu, tas veic SAE apmaiņu. Ja tas būs veiksmīgs, katrs no tiem izveidos kriptogrāfiski spēcīgu atslēgu, no kuras tiks iegūta sesijas atslēga, un pēc tam viņi nonāks apstiprinājuma stāvoklī. Pēc tam klients un piekļuves punkts var ievadīt rokasspiediena stāvokļus katru reizi, kad ir jāģenerē sesijas atslēga. Metode izmanto pārsūtīšanas slepenību, kurā uzbrucējs var uzlauzt vienu atslēgu, bet ne visas pārējās atslēgas.

Tas nozīmē, ka SAE ir izstrādāts tā, ka uzbrucējam, kas pārtver trafiku, ir tikai viens mēģinājums uzminēt paroli, pirms pārtvertie dati kļūst nederīgi. Lai organizētu ilgu paroles atkopšanu, jums būs nepieciešama fiziska piekļuve piekļuves punktam.

Klienta ierīču aizsardzība

Cisco Catalyst 9800 sērijas bezvadu risinājumi pašlaik nodrošina galveno klientu aizsardzību, izmantojot Cisco Umbrella WLAN — uz mākoņa balstītu tīkla drošības pakalpojumu, kas darbojas DNS līmenī ar automātisku gan zināmu, gan jaunu apdraudējumu noteikšanu.

Cisco Umbrella WLAN nodrošina klientu ierīcēm drošu savienojumu ar internetu. Tas tiek panākts, izmantojot satura filtrēšanu, tas ir, bloķējot piekļuvi resursiem internetā saskaņā ar uzņēmuma politiku. Tādējādi klientu ierīces internetā ir aizsargātas no ļaunprātīgas programmatūras, izspiedējprogrammatūras un pikšķerēšanas. Politikas ieviešanas pamatā ir 60 pastāvīgi atjauninātas satura kategorijas.

Automatizācija

Mūsdienu bezvadu tīkli ir daudz elastīgāki un sarežģītāki, tāpēc ar tradicionālajām metodēm informācijas konfigurēšanai un izgūšanai no bezvadu kontrolleriem nepietiek. Tīkla administratoriem un informācijas drošības speciālistiem ir nepieciešami automatizācijas un analīzes rīki, mudinot bezvadu pakalpojumu sniedzējus piedāvāt šādus rīkus.

Lai atrisinātu šīs problēmas, Cisco Catalyst 9800 sērijas bezvadu kontrolleri kopā ar tradicionālo API nodrošina atbalstu tīkla konfigurācijas protokolam RESTCONF / NETCONF ar YANG (Yet Another Next Generation) datu modelēšanas valodu.

NETCONF ir uz XML balstīts protokols, ko lietojumprogrammas var izmantot, lai meklētu informāciju un mainītu tīkla ierīču, piemēram, bezvadu kontrolleru, konfigurāciju.

Papildus šīm metodēm Cisco Catalyst 9800 sērijas kontrolleri nodrošina iespēju uztvert, izgūt un analizēt informācijas plūsmas datus, izmantojot NetFlow un sFlow protokolus.

Drošības un satiksmes modelēšanai iespēja izsekot konkrētas plūsmas ir vērtīgs rīks. Lai atrisinātu šo problēmu, tika ieviests sFlow protokols, kas ļauj tvert divas paketes no katrām simts. Tomēr dažreiz ar to var nepietikt, lai analizētu un adekvāti izpētītu un novērtētu plūsmu. Tāpēc alternatīva ir NetFlow, ko ieviesa Cisco, kas ļauj 100% apkopot un eksportēt visas paketes noteiktā plūsmā turpmākai analīzei.

Tomēr vēl viena funkcija, kas pieejama tikai kontrolieru aparatūras ieviešanā, kas ļauj automatizēt bezvadu tīkla darbību Cisco Catalyst 9800 sērijas kontrolleros, ir iebūvēts atbalsts Python valodai kā papildinājums lietošanai. skriptus tieši uz paša bezvadu kontrollera.

Visbeidzot, Cisco Catalyst 9800. sērijas kontrolleri atbalsta pārbaudīto SNMP 1., 2. un 3. versijas protokolu uzraudzības un pārvaldības darbībām.

Tādējādi automatizācijas ziņā Cisco Catalyst 9800 sērijas risinājumi pilnībā atbilst mūsdienu biznesa prasībām, piedāvājot gan jaunus, gan unikālus, kā arī laika pārbaudītus rīkus automatizētām darbībām un analītikai jebkura izmēra un sarežģītības bezvadu tīklos.

Secinājums

Risinājumos, kuru pamatā ir Cisco Catalyst 9800 sērijas kontrolleri, Cisco uzrādīja izcilus rezultātus augstas pieejamības, drošības un automatizācijas kategorijās.

Risinājums pilnībā atbilst visām augstajām pieejamības prasībām, piemēram, nepilnu sekunžu kļūmjpārlēce neplānotu notikumu laikā un nulles dīkstāves ieplānotajiem notikumiem.

Cisco Catalyst 9800. sērijas kontrolleri nodrošina visaptverošu drošību, kas nodrošina dziļu pakešu pārbaudi lietojumprogrammu atpazīšanai un kontrolei, pilnīgu datu plūsmu redzamību un šifrētā trafikā slēpto draudu identificēšanu, kā arī uzlabotus autentifikācijas un drošības mehānismus klientu ierīcēm.

Automatizācijai un analītikai Cisco Catalyst 9800 Series piedāvā jaudīgas iespējas, izmantojot populārus standarta modeļus: YANG, NETCONF, RESTCONF, tradicionālās API un iebūvētos Python skriptus.

Tādējādi Cisco vēlreiz apliecina savu pasaules vadošā tīkla risinājumu ražotāja statusu, ejot līdzi laikam un ņemot vērā visus mūsdienu biznesa izaicinājumus.

Lai iegūtu papildinformāciju par Catalyst slēdžu saimi, apmeklējiet vietni Tiešsaistē cisco.

Avots: www.habr.com