In 2019 voerde het adviesbureau Miercom een onafhankelijke technologische beoordeling uit van Wi-Fi 6-controllers uit de Cisco Catalyst 9800-serie. Voor dit onderzoek werd een testbank samengesteld uit Cisco Wi-Fi 6-controllers en toegangspunten, en de technische oplossing werd beoordeeld in de volgende categorieën:
- Beschikbaarheid;
- veiligheid;
- Automatisering.
De resultaten van het onderzoek worden hieronder weergegeven. Sinds 2019 is de functionaliteit van de Cisco Catalyst 9800-serie controllers aanzienlijk verbeterd - deze punten komen ook terug in dit artikel.
U kunt lezen over andere voordelen van Wi-Fi 6-technologie, implementatievoorbeelden en toepassingsgebieden.
Oplossingsoverzicht
Wi-Fi 6-controllers Cisco Catalyst 9800-serie
De Cisco Catalyst 9800 Series Wireless Controllers, gebaseerd op het IOS-XE besturingssysteem (ook gebruikt voor Cisco switches en routers), zijn verkrijgbaar in verschillende opties.
Het oudere model van de 9800-80-controller ondersteunt draadloze netwerkdoorvoer tot 80 Gbps. Eén 9800-80-controller ondersteunt maximaal 6000 toegangspunten en maximaal 64 draadloze clients.
Het middenklassemodel, de 9800-40-controller, ondersteunt een doorvoersnelheid tot 40 Gbps, maximaal 2000 toegangspunten en maximaal 32 draadloze clients.
Naast deze modellen omvatte de concurrentieanalyse ook de 9800-CL draadloze controller (CL staat voor Cloud). De 9800-CL draait in virtuele omgevingen op VMWare ESXI en KVM-hypervisors, en de prestaties zijn afhankelijk van de speciale hardwarebronnen voor de virtuele controllermachine. In zijn maximale configuratie ondersteunt de Cisco 9800-CL-controller, net als het oudere model 9800-80, schaalbaarheid tot 6000 toegangspunten en tot 64 draadloze clients.
Bij het uitvoeren van onderzoek met controllers werden toegangspunten uit de Cisco Aironet AP 4800-serie gebruikt, die de werking op frequenties van 2,4 en 5 GHz ondersteunen met de mogelijkheid om dynamisch over te schakelen naar de dubbele 5 GHz-modus.
Testbank
В рамках тестирования был собран стенд из двух беспроводных контроллеров Cisco Catalyst 9800-CL, работающих в кластере, и точек доступа Cisco Aironet AP серии 4800.
Laptops van Dell en Apple, evenals een Apple iPhone-smartphone, werden gebruikt als clientapparaten.
Toegankelijkheidstesten
Beschikbaarheid wordt gedefinieerd als de mogelijkheid van gebruikers om toegang te krijgen tot een systeem of dienst en deze te gebruiken. Hoge beschikbaarheid impliceert continue toegang tot een systeem of dienst, onafhankelijk van bepaalde gebeurtenissen.
Hoge beschikbaarheid werd getest in vier scenario's, waarbij de eerste drie scenario's voorspelbare of geplande gebeurtenissen waren die zich tijdens of na kantooruren konden voordoen. Het vijfde scenario is een klassieke mislukking, een onvoorspelbare gebeurtenis.
Beschrijving van scenario's:
- Foutcorrectie – een micro-update van het systeem (bugfix of beveiligingspatch), waarmee u een bepaalde fout of kwetsbaarheid kunt herstellen zonder een volledige update van de systeemsoftware;
- Functionele update – het toevoegen of uitbreiden van de huidige functionaliteit van het systeem door het installeren van functionele updates;
- Volledige update – update het software-image van de controller;
- Een toegangspunt toevoegen – een nieuw toegangspuntmodel toevoegen aan een draadloos netwerk zonder de noodzaak om de software van de draadloze controller opnieuw te configureren of bij te werken;
- Storing: storing van de draadloze controller.
Het oplossen van bugs en kwetsbaarheden
Bij veel concurrerende oplossingen vereist patching vaak een volledige software-update van het draadloze controllersysteem, wat kan resulteren in ongeplande downtime. In het geval van de Cisco-oplossing wordt het patchen uitgevoerd zonder het product te stoppen. Patches kunnen op elk van de componenten worden geïnstalleerd terwijl de draadloze infrastructuur blijft functioneren.
De procedure zelf is vrij eenvoudig. Het patchbestand wordt gekopieerd naar de bootstrapmap op een van de draadloze Cisco-controllers en de bewerking wordt vervolgens bevestigd via de GUI of opdrachtregel. Bovendien kunt u de fix ook ongedaan maken en verwijderen via de GUI of de opdrachtregel, ook zonder de werking van het systeem te onderbreken.
Functionele update
Functionele software-updates worden toegepast om nieuwe functies mogelijk te maken. Een van deze verbeteringen is het bijwerken van de database met handtekeningen van toepassingen. Dit pakket is als test op Cisco-controllers geïnstalleerd. Net als bij patches worden functie-updates toegepast, geïnstalleerd of verwijderd zonder enige downtime of systeemonderbreking.
Volledige update
Momenteel wordt een volledige update van het controllersoftware-image op dezelfde manier uitgevoerd als een functionele update, dat wil zeggen zonder downtime. Deze functie is echter alleen beschikbaar in een clusterconfiguratie als er meer dan één controller is. Een volledige update wordt opeenvolgend uitgevoerd: eerst op één controller, daarna op de tweede.
Een nieuw toegangspuntmodel toevoegen
Het verbinden van nieuwe toegangspunten, die nog niet eerder met de gebruikte controllersoftware-image zijn gebruikt, op een draadloos netwerk is een vrij gebruikelijke handeling, vooral in grote netwerken (luchthavens, hotels, fabrieken). Bij oplossingen van concurrenten vereist deze handeling vaak het updaten van de systeemsoftware of het opnieuw opstarten van de controllers.
Bij het aansluiten van nieuwe Wi-Fi 6-toegangspunten op een cluster van Cisco Catalyst 9800-serie controllers worden dergelijke problemen niet waargenomen. Het verbinden van nieuwe punten met de controller wordt uitgevoerd zonder de controllersoftware bij te werken, en dit proces vereist geen herstart, waardoor het draadloze netwerk op geen enkele manier wordt beïnvloed.
Fout in de controller
De testomgeving maakt gebruik van twee Wi-Fi 6-controllers (Active/StandBy) en het access point heeft een directe verbinding met beide controllers.
Eén draadloze controller is actief en de andere is back-up. Als de actieve controller uitvalt, neemt de back-upcontroller het over en verandert de status naar actief. Deze procedure vindt zonder onderbreking plaats voor het toegangspunt en Wi-Fi voor clients.
veiligheid
In dit gedeelte worden aspecten van beveiliging besproken, wat een uiterst urgent probleem is in draadloze netwerken. De veiligheid van de oplossing wordt beoordeeld op basis van de volgende kenmerken:
- Applicatieherkenning;
- Stroom volgen;
- Analyse van versleuteld verkeer;
- Inbraakdetectie en -preventie;
- Authenticatie betekent;
- Hulpmiddelen voor clientapparaatbeveiliging.
Applicatieherkenning
Binnen de verscheidenheid aan producten op de zakelijke en industriële Wi-Fi-markt zijn er verschillen in hoe goed de producten verkeer per toepassing identificeren. Producten van verschillende fabrikanten kunnen verschillende aantallen toepassingen identificeren. Veel van de toepassingen die door concurrerende oplossingen als mogelijk voor identificatie worden genoemd, zijn echter in feite websites en geen unieke toepassingen.
Er is nog een interessant kenmerk van applicatieherkenning: oplossingen variëren sterk in identificatienauwkeurigheid.
Rekening houdend met alle uitgevoerde tests, kunnen we op verantwoorde wijze stellen dat Cisco’s Wi-Fi-6-oplossing applicatieherkenning zeer nauwkeurig uitvoert: Jabber, Netflix, Dropbox, YouTube en andere populaire applicaties, evenals webservices, werden nauwkeurig geïdentificeerd. Cisco-oplossingen kunnen ook dieper in datapakketten duiken met behulp van DPI (Deep Packet Inspection).
Het volgen van de verkeersstroom
Er werd opnieuw getest of het systeem datastromen (zoals grote bestandsverplaatsingen) accuraat kon volgen en rapporteren. Om dit te testen werd een bestand van 6,5 megabyte over het netwerk verzonden met behulp van File Transfer Protocol (FTP).
De Cisco-oplossing was volledig opgewassen tegen deze taak en kon dit verkeer volgen dankzij NetFlow en zijn hardwaremogelijkheden. Verkeer werd onmiddellijk gedetecteerd en geïdentificeerd met de exacte hoeveelheid overgedragen gegevens.
Gecodeerde verkeersanalyse
Het gebruikersdataverkeer wordt steeds vaker versleuteld. Dit wordt gedaan om te voorkomen dat het wordt gevolgd of onderschept door aanvallers. Maar tegelijkertijd gebruiken hackers steeds vaker encryptie om hun malware te verbergen en andere dubieuze operaties uit te voeren, zoals Man-in-the-Middle (MiTM) of keylogging-aanvallen.
De meeste bedrijven inspecteren een deel van hun versleutelde verkeer door het eerst te ontsleutelen met behulp van firewalls of inbraakpreventiesystemen. Maar dit proces kost veel tijd en komt de prestaties van het netwerk als geheel niet ten goede. Bovendien worden deze gegevens, zodra ze zijn gedecodeerd, kwetsbaar voor nieuwsgierige blikken.
Cisco Catalyst 9800 Series-controllers lossen met succes het probleem op van het analyseren van gecodeerd verkeer op andere manieren. De oplossing heet Encrypted Traffic Analytics (ETA). ETA is een technologie die momenteel geen analogen kent in concurrerende oplossingen en die malware in gecodeerd verkeer detecteert zonder dat deze hoeft te worden gedecodeerd. ETA is een kernfunctie van IOS-XE die Enhanced NetFlow omvat en geavanceerde gedragsalgoritmen gebruikt om kwaadaardige verkeerspatronen te identificeren die zich in gecodeerd verkeer verbergen.
ETA decodeert geen berichten, maar verzamelt metadataprofielen van gecodeerde verkeersstromen: pakketgrootte, tijdsintervallen tussen pakketten en nog veel meer. De metagegevens worden vervolgens in NetFlow v9-records geëxporteerd naar Cisco Stealthwatch.
De belangrijkste functie van Stealthwatch is het voortdurend monitoren van het verkeer en het creëren van een basislijn voor normale netwerkactiviteit. Met behulp van gecodeerde stream-metagegevens die door de ETA naar het netwerk zijn verzonden, past Stealthwatch meerlaags machinaal leren toe om gedragsafwijkingen in het verkeer te identificeren die op verdachte gebeurtenissen kunnen duiden.
Vorig jaar schakelde Cisco Miercom in om zijn Cisco Encrypted Traffic Analytics-oplossing onafhankelijk te evalueren. Tijdens deze beoordeling stuurde Miercom bekende en onbekende bedreigingen (virussen, Trojaanse paarden, ransomware) afzonderlijk in versleuteld en niet-versleuteld verkeer over grote ETA- en niet-ETA-netwerken om bedreigingen te identificeren.
Om te testen werd op beide netwerken kwaadaardige code gelanceerd. In beide gevallen werd geleidelijk verdachte activiteit ontdekt. Het ETA-netwerk detecteerde aanvankelijk 36% sneller bedreigingen dan het niet-ETA-netwerk. Tegelijkertijd begon, naarmate het werk vorderde, de productiviteit van de detectie in het ETA-netwerk toe te nemen. Als gevolg hiervan werd na enkele uren werken twee derde van de actieve dreigingen met succes gedetecteerd in het ETA-netwerk, wat twee keer zoveel is als in het niet-ETA-netwerk.
ETA-functionaliteit is goed geïntegreerd met Stealthwatch. Bedreigingen worden gerangschikt op ernst en weergegeven met gedetailleerde informatie, evenals herstelopties zodra ze zijn bevestigd. Conclusie – ETA werkt!
Inbraakdetectie en -preventie
Cisco heeft nu nog een effectief beveiligingshulpmiddel: het Cisco Advanced Wireless Inbraakpreventiesysteem (aWIPS): een mechanisme voor het detecteren en voorkomen van bedreigingen voor draadloze netwerken. De aWIPS-oplossing werkt op het niveau van controllers, access points en Cisco DNA Center-beheersoftware. Detectie, waarschuwing en preventie van bedreigingen combineren analyse van netwerkverkeer, netwerkapparaat- en netwerktopologie-informatie, op handtekeningen gebaseerde technieken en detectie van afwijkingen om zeer nauwkeurige en vermijdbare draadloze bedreigingen te leveren.
Door aWIPS volledig te integreren in uw netwerkinfrastructuur, kunt u continu het draadloze verkeer op zowel bekabelde als draadloze netwerken monitoren en dit gebruiken om automatisch potentiële aanvallen vanuit meerdere bronnen te analyseren om de meest uitgebreide detectie en preventie mogelijk te maken.
Authenticatie betekent
Momenteel ondersteunen de oplossingen uit de Cisco Catalyst 9800-serie, naast de klassieke authenticatietools, WPA3. WPA3 is de nieuwste versie van WPA, een reeks protocollen en technologieën die authenticatie en codering voor Wi-Fi-netwerken bieden.
WPA3 maakt gebruik van Simultaneous Authentication of Equals (SAE) om gebruikers de sterkste bescherming te bieden tegen pogingen om wachtwoorden te raden door derden. Wanneer een client verbinding maakt met een toegangspunt, voert deze een SAE-uitwisseling uit. Als dit lukt, zal elk van hen een cryptografisch sterke sleutel creëren waarvan de sessiesleutel zal worden afgeleid, en vervolgens zullen ze de bevestigingsstatus ingaan. De client en het toegangspunt kunnen vervolgens elke keer dat er een sessiesleutel moet worden gegenereerd, een handshakestatus invoeren. De methode maakt gebruik van forward secrecy, waarbij een aanvaller één sleutel kan kraken, maar niet alle andere sleutels.
Dat wil zeggen dat SAE zo is ontworpen dat een aanvaller die verkeer onderschept slechts één poging heeft om het wachtwoord te raden voordat de onderschepte gegevens onbruikbaar worden. Om een langdurig wachtwoordherstel te organiseren, hebt u fysieke toegang tot het toegangspunt nodig.
Beveiliging van clientapparaten
De draadloze oplossingen uit de Cisco Catalyst 9800-serie bieden momenteel de belangrijkste functie voor klantbescherming via Cisco Umbrella WLAN, een cloudgebaseerde netwerkbeveiligingsservice die op DNS-niveau werkt met automatische detectie van zowel bekende als opkomende bedreigingen.
Cisco Umbrella WLAN biedt clientapparaten een veilige verbinding met internet. Dit wordt bereikt door inhoudsfiltering, dat wil zeggen door de toegang tot bronnen op internet te blokkeren in overeenstemming met het bedrijfsbeleid. Zo worden clientapparaten op internet beschermd tegen malware, ransomware en phishing. Beleidshandhaving is gebaseerd op 60 voortdurend bijgewerkte inhoudscategorieën.
Automatisering
De huidige draadloze netwerken zijn veel flexibeler en complexer, dus traditionele methoden voor het configureren en ophalen van informatie van draadloze controllers zijn niet voldoende. Netwerkbeheerders en informatiebeveiligingsprofessionals hebben tools nodig voor automatisering en analyse, wat leveranciers van draadloze netwerken ertoe aanzet dergelijke tools aan te bieden.
Om deze problemen op te lossen bieden de draadloze controllers uit de Cisco Catalyst 9800-serie, samen met de traditionele API, ondersteuning voor het RESTCONF / NETCONF-netwerkconfiguratieprotocol met de YANG (Yet Another Next Generation) datamodelleringstaal.
NETCONF is een op XML gebaseerd protocol dat toepassingen kunnen gebruiken om informatie op te vragen en de configuratie van netwerkapparaten zoals draadloze controllers te wijzigen.
Naast deze methoden bieden de Cisco Catalyst 9800 Series-controllers de mogelijkheid om informatiestroomgegevens vast te leggen, op te halen en te analyseren met behulp van de NetFlow- en sFlow-protocollen.
Voor veiligheids- en verkeersmodellering is de mogelijkheid om specifieke stromen te volgen een waardevol hulpmiddel. Om dit probleem op te lossen is het sFlow-protocol geïmplementeerd, waarmee u twee van de honderd pakketten kunt vastleggen. Soms is dit echter mogelijk niet voldoende om de stroom te analyseren, adequaat te bestuderen en te evalueren. Daarom is een alternatief NetFlow, geïmplementeerd door Cisco, waarmee u alle pakketten in een gespecificeerde stroom 100% kunt verzamelen en exporteren voor latere analyse.
Een andere functie die echter alleen beschikbaar is in de hardware-implementatie van de controllers, waarmee u de werking van het draadloze netwerk in de Cisco Catalyst 9800-serie controllers kunt automatiseren, is ingebouwde ondersteuning voor de Python-taal als add-on voor het gebruik van scripts rechtstreeks op de draadloze controller zelf.
Ten slotte ondersteunen Cisco Catalyst 9800 Series-controllers het beproefde SNMP-versie 1, 2 en 3-protocol voor monitoring- en beheeractiviteiten.
Op het gebied van automatisering voldoen de oplossingen uit de Cisco Catalyst 9800-serie dus volledig aan de moderne zakelijke vereisten en bieden ze zowel nieuwe als unieke, evenals beproefde tools voor geautomatiseerde bewerkingen en analyses in draadloze netwerken van elke omvang en complexiteit.
Conclusie
Met oplossingen gebaseerd op de Cisco Catalyst 9800 Series Controllers liet Cisco uitstekende resultaten zien in de categorieën hoge beschikbaarheid, beveiliging en automatisering.
De oplossing voldoet volledig aan alle vereisten voor hoge beschikbaarheid, zoals een failover van minder dan een seconde tijdens ongeplande gebeurtenissen en nul downtime voor geplande gebeurtenissen.
De Cisco Catalyst 9800 Series-controllers bieden uitgebreide beveiliging die diepgaande pakketinspectie biedt voor applicatieherkenning en -controle, volledig inzicht in gegevensstromen en identificatie van bedreigingen die verborgen zijn in gecodeerd verkeer, evenals geavanceerde authenticatie- en beveiligingsmechanismen voor clientapparaten.
Voor automatisering en analyse biedt de Cisco Catalyst 9800-serie krachtige mogelijkheden met behulp van populaire standaardmodellen: YANG, NETCONF, RESTCONF, traditionele API's en ingebouwde Python-scripts.
Daarmee bevestigt Cisco nogmaals zijn status als 's werelds toonaangevende fabrikant van netwerkoplossingen, waarbij het gelijke tred houdt met de tijd en rekening houdt met alle uitdagingen van het moderne bedrijfsleven.
Ga voor meer informatie over de Catalyst-schakelaarfamilie naar Cisco.
Bron: www.habr.com