W 2019 roku firma doradcza Miercom przeprowadziła niezależną ocenę technologiczną kontrolerów Wi-Fi 6 z serii Cisco Catalyst 9800. Na potrzeby niniejszego badania zmontowano stanowisko testowe składające się z kontrolerów i punktów dostępowych Cisco Wi-Fi 6, a rozwiązanie techniczne zostało oceniane w następujących kategoriach:
- Dostępność;
- Bezpieczeństwo;
- Automatyzacja.
Wyniki badania przedstawiono poniżej. Od 2019 roku znacznie poprawiono funkcjonalność kontrolerów Cisco Catalyst serii 9800 – te punkty znalazły odzwierciedlenie również w tym artykule.
Możesz przeczytać o innych zaletach technologii Wi-Fi 6, przykładach wdrożeń i obszarach zastosowań.
Omówienie rozwiązania
Kontrolery Wi-Fi 6 serii Cisco Catalyst 9800
Bezprzewodowe kontrolery Cisco Catalyst 9800 Series, oparte na systemie operacyjnym IOS-XE (używanym również w przełącznikach i routerach Cisco), są dostępne w różnych opcjach.
Starszy model kontrolera 9800-80 obsługuje przepustowość sieci bezprzewodowej do 80 Gbps. Jeden kontroler 9800-80 obsługuje do 6000 punktów dostępowych i do 64 000 klientów bezprzewodowych.
Model średniej klasy, kontroler 9800-40, obsługuje przepustowość do 40 Gb/s, do 2000 punktów dostępowych i do 32 000 klientów bezprzewodowych.
Oprócz tych modeli analiza konkurencyjna objęła także kontroler bezprzewodowy 9800-CL (CL oznacza Cloud). 9800-CL działa w środowiskach wirtualnych na hiperwizorach VMWare ESXI i KVM, a jego wydajność zależy od zasobów sprzętowych dedykowanych dla maszyny wirtualnej kontrolera. W maksymalnej konfiguracji kontroler Cisco 9800-CL, podobnie jak starszy model 9800-80, obsługuje skalowalność do 6000 punktów dostępowych i do 64 000 klientów bezprzewodowych.
Do badań z kontrolerami wykorzystano punkty dostępowe Cisco Aironet serii AP 4800, obsługujące pracę na częstotliwościach 2,4 i 5 GHz z możliwością dynamicznego przełączania do trybu dualnego 5 GHz.
Stanowisko badawcze
W ramach testów zmontowano stanowisko z dwóch kontrolerów bezprzewodowych Cisco Catalyst 9800-CL pracujących w klastrze oraz punktów dostępowych Cisco Aironet serii AP 4800.
Jako urządzenia klienckie wykorzystano laptopy firm Dell i Apple, a także smartfon Apple iPhone.
Testowanie dostępności
Dostępność definiuje się jako zdolność użytkowników do dostępu do systemu lub usługi i korzystania z nich. Wysoka dostępność oznacza ciągły dostęp do systemu lub usługi, niezależny od pewnych zdarzeń.
Wysoka dostępność została przetestowana w czterech scenariuszach. Pierwsze trzy scenariusze obejmowały przewidywalne lub zaplanowane zdarzenia, które mogły wystąpić w godzinach pracy lub po nich. Piąty scenariusz to klasyczna porażka, czyli zdarzenie nieprzewidywalne.
Opis scenariuszy:
- Korekta błędów – mikroaktualizacja systemu (bugfix lub poprawka bezpieczeństwa), która pozwala naprawić konkretny błąd lub podatność bez konieczności całkowitej aktualizacji oprogramowania systemowego;
- Aktualizacja funkcjonalna – dodanie lub rozszerzenie dotychczasowej funkcjonalności systemu poprzez instalację aktualizacji funkcjonalnych;
- Pełna aktualizacja – aktualizacja obrazu oprogramowania sterownika;
- Dodanie punktu dostępowego – dodanie nowego modelu punktu dostępowego do sieci bezprzewodowej bez konieczności rekonfiguracji lub aktualizacji oprogramowania kontrolera bezprzewodowego;
- Awaria – awaria kontrolera bezprzewodowego.
Naprawianie błędów i luk w zabezpieczeniach
Często w przypadku wielu konkurencyjnych rozwiązań łatanie wymaga pełnej aktualizacji oprogramowania systemu kontrolera bezprzewodowego, co może skutkować nieplanowanymi przestojami. W przypadku rozwiązania Cisco patchowanie odbywa się bez zatrzymywania produktu. Poprawki można instalować na dowolnym komponencie, podczas gdy infrastruktura bezprzewodowa nadal działa.
Sama procedura jest dość prosta. Plik poprawki jest kopiowany do folderu bootstrap na jednym z kontrolerów bezprzewodowych Cisco, a następnie operacja jest potwierdzana za pomocą interfejsu GUI lub wiersza poleceń. Ponadto można także cofnąć i usunąć poprawkę za pomocą interfejsu GUI lub wiersza poleceń, także bez przerywania pracy systemu.
Aktualizacja funkcjonalna
Stosowane są funkcjonalne aktualizacje oprogramowania, aby umożliwić korzystanie z nowych funkcji. Jednym z tych ulepszeń jest aktualizacja bazy sygnatur aplikacji. Ten pakiet został zainstalowany na kontrolerach Cisco w ramach testu. Podobnie jak w przypadku poprawek, aktualizacje funkcji są stosowane, instalowane lub usuwane bez przestojów i przerw w działaniu systemu.
Pełna aktualizacja
Na chwilę obecną pełna aktualizacja obrazu oprogramowania sterownika odbywa się w taki sam sposób jak aktualizacja funkcjonalna, czyli bez przestojów. Jednak ta funkcja jest dostępna tylko w konfiguracji klastra, gdy istnieje więcej niż jeden kontroler. Pełna aktualizacja odbywa się sekwencyjnie: najpierw na jednym kontrolerze, potem na drugim.
Dodanie nowego modelu punktu dostępowego
Podłączanie nowych punktów dostępowych, które nie były wcześniej obsługiwane z zastosowanym obrazem oprogramowania kontrolera, do sieci bezprzewodowej jest operacją dość powszechną, szczególnie w dużych sieciach (lotniska, hotele, fabryki). Dość często w rozwiązaniach konkurencji operacja ta wymaga aktualizacji oprogramowania systemowego lub ponownego uruchomienia sterowników.
Przy podłączaniu nowych punktów dostępowych Wi-Fi 6 do klastra kontrolerów Cisco Catalyst serii 9800 nie obserwuje się takich problemów. Podłączenie nowych punktów do kontrolera odbywa się bez aktualizacji oprogramowania kontrolera, a proces ten nie wymaga restartu, dzięki czemu nie wpływa w żaden sposób na działanie sieci bezprzewodowej.
Awaria sterownika
Środowisko testowe wykorzystuje dwa kontrolery Wi-Fi 6 (Active/StandBy), a punkt dostępowy ma bezpośrednie połączenie z obydwoma kontrolerami.
Jeden kontroler bezprzewodowy jest aktywny, a drugi odpowiednio zapasowy. W przypadku awarii aktywnego kontrolera, kontrolę przejmuje kontroler zapasowy i jego status zmienia się na aktywny. Ta procedura odbywa się bez przerwy dla punktu dostępu i Wi-Fi dla klientów.
bezpieczeństwo
W tej części omówiono aspekty bezpieczeństwa, które jest niezwykle palącym problemem w sieciach bezprzewodowych. Bezpieczeństwo rozwiązania oceniane jest na podstawie następujących cech:
- Rozpoznawanie aplikacji;
- Śledzenie przepływu;
- Analiza zaszyfrowanego ruchu;
- Wykrywanie włamań i zapobieganie im;
- Uwierzytelnianie oznacza;
- Narzędzia do ochrony urządzeń klienckich.
Rozpoznawanie aplikacji
Wśród różnorodnych produktów dostępnych na rynku Wi-Fi dla przedsiębiorstw i przemysłu istnieją różnice w stopniu, w jakim produkty identyfikują ruch według aplikacji. Produkty różnych producentów mogą mieć różną liczbę zastosowań. Jednak wiele aplikacji, które konkurencyjne rozwiązania wymieniają jako możliwe do identyfikacji, to tak naprawdę strony internetowe, a nie unikalne aplikacje.
Rozpoznawanie aplikacji ma jeszcze jedną interesującą cechę: rozwiązania znacznie różnią się pod względem dokładności identyfikacji.
Biorąc pod uwagę wszystkie przeprowadzone testy, możemy z pełną odpowiedzialnością stwierdzić, że rozwiązanie Cisco Wi-Fi-6 bardzo dokładnie rozpoznaje aplikacje: Jabber, Netflix, Dropbox, YouTube i inne popularne aplikacje, a także usługi internetowe zostały trafnie zidentyfikowane. Rozwiązania Cisco mogą również głębiej analizować pakiety danych za pomocą DPI (Deep Packet Inspection).
Śledzenie przepływu ruchu
Przeprowadzono kolejny test, aby sprawdzić, czy system może dokładnie śledzić i raportować przepływy danych (takie jak ruchy dużych plików). Aby to przetestować, plik o wielkości 6,5 megabajta został przesłany przez sieć przy użyciu protokołu FTP.
Rozwiązanie Cisco w pełni stanęło na wysokości zadania i było w stanie śledzić ten ruch dzięki NetFlow i jego możliwościom sprzętowym. Ruch został wykryty i natychmiast zidentyfikowany na podstawie dokładnej ilości przesłanych danych.
Szyfrowana analiza ruchu
Przesyłanie danych użytkowników jest coraz częściej szyfrowane. Odbywa się to w celu ochrony przed śledzeniem lub przechwyceniem przez osoby atakujące. Jednocześnie jednak hakerzy coraz częściej korzystają z szyfrowania, aby ukryć swoje złośliwe oprogramowanie i przeprowadzać inne podejrzane operacje, takie jak ataki typu Man-in-the-Middle (MiTM) lub rejestrowanie naciśnięć klawiszy.
Większość firm sprawdza część zaszyfrowanego ruchu, najpierw odszyfrowując go za pomocą zapór sieciowych lub systemów zapobiegania włamaniom. Jednak proces ten zajmuje dużo czasu i nie wpływa korzystnie na wydajność sieci jako całości. Ponadto po odszyfrowaniu dane te stają się podatne na wścibskie oczy.
Kontrolery Cisco Catalyst 9800 Series z powodzeniem rozwiązują problem analizy zaszyfrowanego ruchu innymi sposobami. Rozwiązanie nosi nazwę Encrypted Traffic Analytics (ETA). ETA to technologia nie mająca obecnie odpowiednika w konkurencyjnych rozwiązaniach, która wykrywa złośliwe oprogramowanie w zaszyfrowanym ruchu bez konieczności jego deszyfrowania. ETA to podstawowa funkcja IOS-XE, która obejmuje ulepszony NetFlow i wykorzystuje zaawansowane algorytmy behawioralne do identyfikowania złośliwych wzorców ruchu ukrywających się w zaszyfrowanym ruchu.
ETA nie odszyfrowuje wiadomości, ale zbiera profile metadanych zaszyfrowanych przepływów ruchu – rozmiar pakietu, odstępy czasu między pakietami i wiele więcej. Metadane są następnie eksportowane w rekordach NetFlow v9 do Cisco Stealthwatch.
Kluczową funkcją Stealthwatch jest ciągłe monitorowanie ruchu, a także tworzenie punktu odniesienia normalnej aktywności sieciowej. Wykorzystując zaszyfrowane metadane strumieniowe przesyłane do niego przez ETA, Stealthwatch stosuje wielowarstwowe uczenie maszynowe w celu identyfikacji anomalii behawioralnych w ruchu, które mogą wskazywać na podejrzane zdarzenia.
W zeszłym roku firma Cisco zaangażowała firmę Miercom do niezależnej oceny rozwiązania Cisco Encrypted Traffic Analytics. Podczas tej oceny firma Miercom osobno wysyłała znane i nieznane zagrożenia (wirusy, trojany, oprogramowanie ransomware) w zaszyfrowanym i niezaszyfrowanym ruchu w dużych sieciach ETA i innych niż ETA w celu zidentyfikowania zagrożeń.
W celu przeprowadzenia testów w obu sieciach uruchomiono szkodliwy kod. W obu przypadkach stopniowo wykrywano podejrzaną aktywność. Sieć ETA początkowo wykrywała zagrożenia o 36% szybciej niż sieć inna niż ETA. Jednocześnie w miarę postępu prac zaczęła wzrastać wydajność detekcji w sieci ETA. W rezultacie po kilku godzinach pracy udało się wykryć dwie trzecie aktywnych zagrożeń w sieci ETA, czyli dwukrotnie więcej niż w sieci innej niż ETA.
Funkcjonalność ETA jest dobrze zintegrowana z Stealthwatch. Zagrożenia są sortowane według ważności i wyświetlane ze szczegółowymi informacjami, a po potwierdzeniu dostępnymi opcjami zaradczymi. Wniosek – ETA działa!
Wykrywanie i zapobieganie włamaniom
Cisco ma teraz kolejne skuteczne narzędzie bezpieczeństwa — Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mechanizm służący do wykrywania zagrożeń dla sieci bezprzewodowych i zapobiegania im. Rozwiązanie aWIPS działa na poziomie kontrolerów, punktów dostępowych oraz oprogramowania zarządzającego Cisco DNA Center. Wykrywanie, ostrzeganie i zapobieganie zagrożeniom łączy analizę ruchu sieciowego, informacje o urządzeniach sieciowych i topologii sieci, techniki oparte na sygnaturach oraz wykrywanie anomalii, aby zapewnić bardzo dokładne i możliwe do uniknięcia zagrożenia bezprzewodowe.
Dzięki pełnej integracji technologii aWIPS z infrastrukturą sieciową możesz stale monitorować ruch bezprzewodowy zarówno w sieciach przewodowych, jak i bezprzewodowych oraz wykorzystywać go do automatycznej analizy potencjalnych ataków z wielu źródeł, aby zapewnić najbardziej wszechstronne możliwe wykrywanie i zapobieganie.
Uwierzytelnianie oznacza
W tej chwili, oprócz klasycznych narzędzi uwierzytelniających, rozwiązania Cisco Catalyst z serii 9800 obsługują WPA3. WPA3 to najnowsza wersja WPA, czyli zestawu protokołów i technologii zapewniających uwierzytelnianie i szyfrowanie sieci Wi-Fi.
WPA3 wykorzystuje jednoczesne uwierzytelnianie równości (SAE), aby zapewnić użytkownikom najsilniejszą ochronę przed próbami odgadnięcia hasła przez osoby trzecie. Gdy klient łączy się z punktem dostępowym, przeprowadza wymianę SAE. Jeśli się powiedzie, każdy z nich utworzy silny kryptograficznie klucz, z którego zostanie wyprowadzony klucz sesyjny, po czym wejdzie w stan potwierdzenia. Klient i punkt dostępu mogą następnie wejść w stan uzgadniania za każdym razem, gdy konieczne jest wygenerowanie klucza sesji. Metoda ta wykorzystuje tajemnicę przekazywania, w ramach której osoba atakująca może złamać jeden klucz, ale nie wszystkie pozostałe.
Oznacza to, że SAE jest zaprojektowany w taki sposób, że osoba atakująca przechwytująca ruch ma tylko jedną próbę odgadnięcia hasła, zanim przechwycone dane staną się bezużyteczne. Aby zorganizować długie odzyskiwanie hasła, będziesz potrzebować fizycznego dostępu do punktu dostępu.
Ochrona urządzenia klienckiego
Rozwiązania bezprzewodowe Cisco Catalyst 9800 Series zapewniają obecnie podstawową funkcję ochrony klienta za pośrednictwem Cisco Umbrella WLAN, opartej na chmurze usługi bezpieczeństwa sieci, która działa na poziomie DNS z automatycznym wykrywaniem zarówno znanych, jak i pojawiających się zagrożeń.
Cisco Umbrella WLAN zapewnia urządzeniom klienckim bezpieczne połączenie z Internetem. Odbywa się to poprzez filtrowanie treści, czyli blokowanie dostępu do zasobów w Internecie zgodnie z polityką przedsiębiorstwa. W ten sposób urządzenia klienckie w Internecie są chronione przed złośliwym oprogramowaniem, oprogramowaniem ransomware i phishingiem. Egzekwowanie zasad opiera się na 60 stale aktualizowanych kategoriach treści.
Automatyzacja
Dzisiejsze sieci bezprzewodowe są znacznie bardziej elastyczne i złożone, dlatego tradycyjne metody konfigurowania i pobierania informacji z kontrolerów bezprzewodowych nie wystarczą. Administratorzy sieci i specjaliści ds. bezpieczeństwa informacji potrzebują narzędzi do automatyzacji i analizy, dlatego dostawcy rozwiązań bezprzewodowych oferują takie narzędzia.
Aby rozwiązać te problemy, bezprzewodowe kontrolery Cisco Catalyst serii 9800 wraz z tradycyjnym API zapewniają obsługę protokołu konfiguracji sieci RESTCONF/NETCONF z językiem modelowania danych YANG (Yet Another Next Generation).
NETCONF to protokół oparty na języku XML, którego aplikacje mogą używać do wysyłania zapytań o informacje i zmiany konfiguracji urządzeń sieciowych, takich jak kontrolery bezprzewodowe.
Oprócz tych metod kontrolery Cisco Catalyst 9800 Series umożliwiają przechwytywanie, pobieranie i analizowanie danych przepływu informacji przy użyciu protokołów NetFlow i sFlow.
W przypadku bezpieczeństwa i modelowania ruchu cennym narzędziem jest możliwość śledzenia określonych przepływów. Aby rozwiązać ten problem, zaimplementowano protokół sFlow, który pozwala przechwycić dwa pakiety na sto. Czasami jednak może to nie wystarczyć do przeanalizowania i odpowiedniego zbadania i oceny przepływu. Dlatego alternatywą jest wdrożony przez Cisco NetFlow, który pozwala w 100% zbierać i eksportować wszystkie pakiety w określonym przepływie do późniejszej analizy.
Inną jednak funkcją dostępną jedynie w sprzętowej implementacji kontrolerów, która pozwala na automatyzację pracy sieci bezprzewodowej w kontrolerach Cisco Catalyst serii 9800, jest wbudowana obsługa języka Python jako dodatek do obsługi skrypty bezpośrednio na samym kontrolerze bezprzewodowym.
Wreszcie kontrolery Cisco Catalyst 9800 Series obsługują sprawdzony protokół SNMP w wersji 1, 2 i 3 do monitorowania i zarządzania.
Tym samym pod względem automatyzacji rozwiązania Cisco Catalyst 9800 Series w pełni spełniają wymagania współczesnego biznesu, oferując zarówno nowe, unikalne, jak i sprawdzone narzędzia do zautomatyzowanych operacji i analiz w sieciach bezprzewodowych dowolnej wielkości i złożoności.
wniosek
W rozwiązaniach bazujących na kontrolerach Cisco Catalyst serii 9800, Cisco wykazało się doskonałymi wynikami w kategoriach wysokiej dostępności, bezpieczeństwa i automatyzacji.
Rozwiązanie w pełni spełnia wszystkie wymagania dotyczące wysokiej dostępności, takie jak przełączenie awaryjne w czasie krótszym niż sekunda podczas nieplanowanych zdarzeń i zerowy czas przestojów w przypadku zaplanowanych zdarzeń.
Kontrolery Cisco Catalyst 9800 Series zapewniają kompleksowe bezpieczeństwo, które zapewnia głęboką inspekcję pakietów w celu rozpoznawania i kontroli aplikacji, pełny wgląd w przepływy danych i identyfikację zagrożeń ukrytych w zaszyfrowanym ruchu, a także zaawansowane mechanizmy uwierzytelniania i bezpieczeństwa dla urządzeń klienckich.
Do automatyzacji i analityki seria Cisco Catalyst 9800 oferuje potężne możliwości przy użyciu popularnych standardowych modeli: YANG, NETCONF, RESTCONF, tradycyjnych interfejsów API i wbudowanych skryptów Python.
Tym samym Cisco po raz kolejny potwierdza swój status wiodącego na świecie producenta rozwiązań sieciowych, idącego z duchem czasu i uwzględniającego wszystkie wyzwania współczesnego biznesu.
Więcej informacji na temat rodziny przełączników Catalyst można znaleźć na stronie cisco.
Źródło: www.habr.com