Se você possui um controlador, não há problema: como manter sua rede sem fio facilmente

Em 2019, a consultoria Miercom realizou uma avaliação tecnológica independente dos controladores Wi-Fi 6 da série Cisco Catalyst 9800. Para este estudo foi montada uma bancada de testes a partir de controladores e pontos de acesso Cisco Wi-Fi 6, e a solução técnica foi avaliado nas seguintes categorias:

• Disponibilidade;
• Segurança;
• Automação.

Os resultados do estudo são mostrados abaixo. Desde 2019, a funcionalidade dos controladores Cisco Catalyst série 9800 foi significativamente melhorada – esses pontos também são refletidos neste artigo.

Você pode ler sobre outras vantagens da tecnologia Wi-Fi 6, exemplos de implementação e áreas de aplicação aqui.

Visão geral da solução

Controladores Wi-Fi 6 Cisco Catalyst série 9800

Os controladores sem fio Cisco Catalyst série 9800, baseados no sistema operacional IOS-XE (também usado para switches e roteadores Cisco), estão disponíveis em diversas opções.

O modelo mais antigo do controlador 9800-80 suporta taxa de transferência de rede sem fio de até 80 Gbps. Um controlador 9800-80 suporta até 6000 pontos de acesso e até 64 clientes sem fio.

O modelo intermediário, o controlador 9800-40, suporta taxa de transferência de até 40 Gbps, até 2000 pontos de acesso e até 32 clientes sem fio.

Além desses modelos, a análise competitiva também incluiu o controlador sem fio 9800-CL (CL significa Cloud). O 9800-CL é executado em ambientes virtuais em hipervisores VMWare ESXI e KVM, e seu desempenho depende dos recursos de hardware dedicados para a máquina virtual controladora. Em sua configuração máxima, o controlador Cisco 9800-CL, assim como o modelo antigo 9800-80, suporta escalabilidade de até 6000 pontos de acesso e até 64 clientes sem fio.

Ao realizar pesquisas com controladores, foram utilizados pontos de acesso Cisco Aironet série AP 4800, que suportam operação em frequências de 2,4 e 5 GHz com a capacidade de alternar dinamicamente para o modo duplo de 5 GHz.

bancada de teste

Como parte dos testes, um suporte foi montado com dois controladores sem fio Cisco Catalyst 9800-CL operando em um cluster e pontos de acesso Cisco Aironet AP 4800 Series.

Laptops da Dell e da Apple, bem como um smartphone Apple iPhone, foram usados ​​como dispositivos clientes.

Teste de acessibilidade

Disponibilidade é definida como a capacidade dos usuários de acessar e usar um sistema ou serviço. A alta disponibilidade implica acesso contínuo a um sistema ou serviço, independente de determinados eventos.

A alta disponibilidade foi testada em quatro cenários, sendo os três primeiros cenários eventos previsíveis ou programados que poderiam ocorrer durante ou após o horário comercial. O quinto cenário é um fracasso clássico, que é um evento imprevisível.

Descrição dos cenários:

• Correção de erros – uma microatualização do sistema (correção de bug ou patch de segurança), que permite corrigir um determinado erro ou vulnerabilidade sem uma atualização completa do software do sistema;
• Atualização funcional – adicionar ou expandir a funcionalidade atual do sistema instalando atualizações funcionais;
• Atualização completa – atualiza a imagem do software do controlador;
• Adicionar um ponto de acesso – adicionar um novo modelo de ponto de acesso a uma rede sem fio sem a necessidade de reconfigurar ou atualizar o software do controlador sem fio;
• Falha—falha do controlador sem fio.

Correção de bugs e vulnerabilidades

Muitas vezes, com muitas soluções concorrentes, a aplicação de patches requer uma atualização completa do software do sistema do controlador sem fio, o que pode resultar em tempo de inatividade não planejado. No caso da solução Cisco, a aplicação de patches é realizada sem parar o produto. Patches podem ser instalados em qualquer um dos componentes enquanto a infraestrutura sem fio continua a operar.

O procedimento em si é bastante simples. O arquivo de patch é copiado para a pasta bootstrap em um dos controladores sem fio Cisco e a operação é então confirmada por meio da GUI ou da linha de comando. Além disso, você também pode desfazer e remover a correção por meio da GUI ou linha de comando, também sem interromper a operação do sistema.

Atualização funcional

Atualizações funcionais de software são aplicadas para habilitar novos recursos. Uma dessas melhorias é a atualização do banco de dados de assinaturas de aplicativos. Este pacote foi instalado nos controladores Cisco como teste. Assim como acontece com os patches, as atualizações de recursos são aplicadas, instaladas ou removidas sem qualquer tempo de inatividade ou interrupção do sistema.

Atualização completa

No momento, uma atualização completa da imagem do software do controlador é realizada da mesma forma que uma atualização funcional, ou seja, sem tempo de inatividade. Entretanto, esse recurso só está disponível em uma configuração de cluster quando há mais de um controlador. Uma atualização completa é realizada sequencialmente: primeiro em um controlador e depois no segundo.

Adicionando um novo modelo de ponto de acesso

Conectar novos pontos de acesso, que não tenham sido operados anteriormente com a imagem de software do controlador utilizado, a uma rede sem fio é uma operação bastante comum, principalmente em grandes redes (aeroportos, hotéis, fábricas). Muitas vezes, em soluções concorrentes, esta operação requer a atualização do software do sistema ou a reinicialização dos controladores.

Ao conectar novos pontos de acesso Wi-Fi 6 a um cluster de controladores Cisco Catalyst série 9800, esses problemas não são observados. A conexão de novos pontos ao controlador é realizada sem atualização do software do controlador, e este processo não requer reinicialização, não afetando de forma alguma a rede wireless.

Falha do controlador

O ambiente de teste utiliza dois controladores Wi-Fi 6 (Ativo/StandBy) e o ponto de acesso possui conexão direta com ambos os controladores.

Um controlador sem fio está ativo e o outro, respectivamente, é de backup. Se o controlador ativo falhar, o controlador reserva assume o controle e seu status muda para ativo. Este procedimento ocorre sem interrupção para o ponto de acesso e Wi-Fi para os clientes.

segurança

Esta seção discute aspectos de segurança, que é uma questão extremamente urgente em redes sem fio. A segurança da solução é avaliada com base nas seguintes características:

• Reconhecimento de aplicativos;
• Rastreamento de fluxo;
• Análise de tráfego criptografado;
• Detecção e prevenção de intrusões;
• Meios de autenticação;
• Ferramentas de proteção de dispositivos clientes.

Reconhecimento de aplicativos

Entre a variedade de produtos no mercado Wi-Fi empresarial e industrial, há diferenças na forma como os produtos identificam o tráfego por aplicativo. Produtos de diferentes fabricantes podem identificar diferentes números de aplicações. Contudo, muitas das aplicações que as soluções concorrentes elencam como possíveis de identificação são, na verdade, websites, e não aplicações únicas.

Há outra característica interessante do reconhecimento de aplicativos: as soluções variam muito na precisão da identificação.

Levando em consideração todos os testes realizados, podemos afirmar com responsabilidade que a solução Wi-Fi-6 da Cisco realiza o reconhecimento de aplicativos com muita precisão: Jabber, Netflix, Dropbox, YouTube e outros aplicativos populares, bem como serviços web, foram identificados com precisão. As soluções Cisco também podem se aprofundar nos pacotes de dados usando DPI (Deep Packet Inspection).

Rastreamento de fluxo de tráfego

Outro teste foi realizado para verificar se o sistema conseguia rastrear e relatar fluxos de dados com precisão (como movimentos de arquivos grandes). Para testar isso, um arquivo de 6,5 megabytes foi enviado pela rede usando File Transfer Protocol (FTP).

A solução da Cisco estava totalmente à altura da tarefa e foi capaz de rastrear esse tráfego graças ao NetFlow e aos seus recursos de hardware. O tráfego foi detectado e identificado imediatamente com a quantidade exata de dados transferidos.

Análise de tráfego criptografado

O tráfego de dados do usuário está cada vez mais criptografado. Isso é feito para protegê-lo de ser rastreado ou interceptado por invasores. Mas, ao mesmo tempo, os hackers usam cada vez mais criptografia para ocultar seus malwares e realizar outras operações duvidosas, como Man-in-the-Middle (MiTM) ou ataques de keylogging.

A maioria das empresas inspeciona parte de seu tráfego criptografado, primeiro descriptografando-o usando firewalls ou sistemas de prevenção de intrusões. Mas esse processo leva muito tempo e não beneficia o desempenho da rede como um todo. Além disso, uma vez desencriptados, estes dados tornam-se vulneráveis ​​a olhares indiscretos.

Os controladores Cisco Catalyst 9800 Series resolvem com êxito o problema de análise do tráfego criptografado por outros meios. A solução é chamada de Análise de Tráfego Criptografado (ETA). ETA é uma tecnologia que atualmente não tem análogos em soluções concorrentes e que detecta malware em tráfego criptografado sem a necessidade de descriptografá-lo. O ETA é um recurso central do IOS-XE que inclui Enhanced NetFlow e usa algoritmos comportamentais avançados para identificar padrões de tráfego maliciosos ocultos no tráfego criptografado.

O ETA não descriptografa mensagens, mas coleta perfis de metadados de fluxos de tráfego criptografados - tamanho do pacote, intervalos de tempo entre pacotes e muito mais. Os metadados são então exportados em registros do NetFlow v9 para o Cisco Stealthwatch.

A principal função do Stealthwatch é monitorar constantemente o tráfego, bem como criar uma linha de base da atividade normal da rede. Usando metadados de fluxo criptografados enviados pelo ETA, o Stealthwatch aplica aprendizado de máquina em várias camadas para identificar anomalias comportamentais de tráfego que podem indicar eventos suspeitos.

No ano passado, a Cisco contratou a Miercom para avaliar de forma independente sua solução Cisco Encrypted Traffic Analytics. Durante esta avaliação, a Miercom enviou separadamente ameaças conhecidas e desconhecidas (vírus, cavalos de Troia, ransomware) em tráfego criptografado e não criptografado em grandes redes ETA e não ETA para identificar ameaças.

Para testes, foi lançado código malicioso em ambas as redes. Em ambos os casos, atividades suspeitas foram descobertas gradualmente. A rede ETA detectou inicialmente ameaças 36% mais rápido do que a rede não ETA. Ao mesmo tempo, à medida que o trabalho avançava, a produtividade de detecção na rede ETA começou a aumentar. Como resultado, após várias horas de trabalho, dois terços das ameaças ativas foram detectadas com sucesso na rede ETA, o que é o dobro da rede não ETA.

A funcionalidade ETA está bem integrada ao Stealthwatch. As ameaças são classificadas por gravidade e exibidas com informações detalhadas, bem como opções de correção, uma vez confirmadas. Conclusão – ETA funciona!

Detecção e prevenção de intrusões

A Cisco agora possui outra ferramenta de segurança eficaz - o Cisco Advanced Wireless Intrusion Prevention System (aWIPS): um mecanismo para detectar e prevenir ameaças a redes sem fio. A solução aWIPS opera ao nível de controladores, pontos de acesso e software de gestão Cisco DNA Center. A detecção, alerta e prevenção de ameaças combinam análise de tráfego de rede, informações de dispositivos de rede e topologia de rede, técnicas baseadas em assinaturas e detecção de anomalias para fornecer ameaças sem fio altamente precisas e evitáveis.

Integrando totalmente o aWIPS à sua infraestrutura de rede, você pode monitorar continuamente o tráfego sem fio em redes com e sem fio e usá-lo para analisar automaticamente ataques potenciais de múltiplas fontes para fornecer a detecção e prevenção mais abrangentes possíveis.

Autenticação significa

No momento, além das ferramentas clássicas de autenticação, as soluções da série Cisco Catalyst 9800 oferecem suporte a WPA3. WPA3 é a versão mais recente do WPA, que é um conjunto de protocolos e tecnologias que fornecem autenticação e criptografia para redes Wi-Fi.

WPA3 usa Autenticação Simultânea de Iguais (SAE) para fornecer a proteção mais forte aos usuários contra tentativas de adivinhação de senha por terceiros. Quando um cliente se conecta a um ponto de acesso, ele realiza uma troca SAE. Se for bem-sucedido, cada um deles criará uma chave criptograficamente forte da qual a chave de sessão será derivada e, em seguida, entrará no estado de confirmação. O cliente e o ponto de acesso podem então entrar em estados de handshake sempre que uma chave de sessão precisar ser gerada. O método usa sigilo direto, no qual um invasor pode quebrar uma chave, mas não todas as outras chaves.

Ou seja, o SAE é projetado de tal forma que um invasor que intercepta o tráfego tenha apenas uma tentativa de adivinhar a senha antes que os dados interceptados se tornem inúteis. Para organizar uma recuperação de senha longa, você precisará de acesso físico ao ponto de acesso.

Proteção do dispositivo cliente

As soluções sem fio Cisco Catalyst 9800 Series fornecem atualmente o principal recurso de proteção ao cliente por meio do Cisco Umbrella WLAN, um serviço de segurança de rede baseado em nuvem que opera no nível DNS com detecção automática de ameaças conhecidas e emergentes.

O Cisco Umbrella WLAN fornece aos dispositivos clientes uma conexão segura à Internet. Isto é conseguido através da filtragem de conteúdo, ou seja, bloqueando o acesso aos recursos da Internet de acordo com a política empresarial. Assim, os dispositivos clientes na Internet ficam protegidos contra malware, ransomware e phishing. A aplicação da política é baseada em 60 categorias de conteúdo atualizadas continuamente.

Automação

As redes sem fio atuais são muito mais flexíveis e complexas, portanto os métodos tradicionais de configuração e recuperação de informações dos controladores sem fio não são suficientes. Administradores de rede e profissionais de segurança da informação necessitam de ferramentas para automação e análise, o que leva os fornecedores de serviços sem fio a oferecer tais ferramentas.

Para resolver esses problemas, os controladores sem fio Cisco Catalyst série 9800, juntamente com a API tradicional, fornecem suporte ao protocolo de configuração de rede RESTCONF/NETCONF com a linguagem de modelagem de dados YANG (Yet Another Next Generation).

NETCONF é um protocolo baseado em XML que os aplicativos podem usar para consultar informações e alterar a configuração de dispositivos de rede, como controladores sem fio.

Além desses métodos, os controladores Cisco Catalyst série 9800 oferecem a capacidade de capturar, recuperar e analisar dados de fluxo de informações usando os protocolos NetFlow e sFlow.

Para modelagem de segurança e tráfego, a capacidade de rastrear fluxos específicos é uma ferramenta valiosa. Para resolver este problema, foi implementado o protocolo sFlow, que permite capturar dois pacotes em cada cem. Porém, às vezes isso pode não ser suficiente para analisar, estudar e avaliar adequadamente o fluxo. Portanto, uma alternativa é o NetFlow, implementado pela Cisco, que permite coletar e exportar 100% todos os pacotes em um fluxo especificado para posterior análise.

Outro recurso, porém, disponível apenas na implementação de hardware dos controladores, que permite automatizar a operação da rede sem fio nos controladores Cisco Catalyst série 9800, é o suporte integrado para a linguagem Python como um complemento para usar scripts diretamente no próprio controlador sem fio.

Por fim, os controladores Cisco Catalyst série 9800 suportam o protocolo SNMP versão 1, 2 e 3 comprovado para operações de monitoramento e gerenciamento.

Assim, em termos de automação, as soluções Cisco Catalyst 9800 Series atendem plenamente aos requisitos de negócios modernos, oferecendo ferramentas novas e exclusivas, bem como ferramentas testadas pelo tempo para operações automatizadas e análises em redes sem fio de qualquer tamanho e complexidade.

Conclusão

Em soluções baseadas nos Controladores Cisco Catalyst Série 9800, a Cisco demonstrou excelentes resultados nas categorias de alta disponibilidade, segurança e automação.

A solução atende totalmente a todos os requisitos de alta disponibilidade, como failover em menos de um segundo durante eventos não planejados e tempo de inatividade zero para eventos programados.

Os controladores Cisco Catalyst série 9800 oferecem segurança abrangente que fornece inspeção profunda de pacotes para reconhecimento e controle de aplicativos, visibilidade completa dos fluxos de dados e identificação de ameaças ocultas no tráfego criptografado, bem como mecanismos avançados de autenticação e segurança para dispositivos clientes.

Para automação e análise, o Cisco Catalyst série 9800 oferece recursos poderosos usando modelos padrão populares: YANG, NETCONF, RESTCONF, APIs tradicionais e scripts Python integrados.

Assim, a Cisco confirma mais uma vez o seu estatuto de fabricante líder mundial de soluções de rede, acompanhando os tempos e tendo em conta todos os desafios dos negócios modernos.

Para obter mais informações sobre a família de switches Catalyst, visite On-line Cisco.

Fonte: habr.com

Em 2019, a consultoria Miercom realizou uma avaliação tecnológica independente dos controladores Wi-Fi 6 da série Cisco Catalyst 9800. Para este estudo foi montada uma bancada de testes a partir de controladores e pontos de acesso Cisco Wi-Fi 6, e a solução técnica foi avaliado nas seguintes categorias:

• Disponibilidade;
• Segurança;
• Automação.

Os resultados do estudo são mostrados abaixo. Desde 2019, a funcionalidade dos controladores Cisco Catalyst série 9800 foi significativamente melhorada – esses pontos também são refletidos neste artigo.

Você pode ler sobre outras vantagens da tecnologia Wi-Fi 6, exemplos de implementação e áreas de aplicação aqui.

Visão geral da solução

Controladores Wi-Fi 6 Cisco Catalyst série 9800

Os controladores sem fio Cisco Catalyst série 9800, baseados no sistema operacional IOS-XE (também usado para switches e roteadores Cisco), estão disponíveis em diversas opções.

O modelo mais antigo do controlador 9800-80 suporta taxa de transferência de rede sem fio de até 80 Gbps. Um controlador 9800-80 suporta até 6000 pontos de acesso e até 64 clientes sem fio.

O modelo intermediário, o controlador 9800-40, suporta taxa de transferência de até 40 Gbps, até 2000 pontos de acesso e até 32 clientes sem fio.

Além desses modelos, a análise competitiva também incluiu o controlador sem fio 9800-CL (CL significa Cloud). O 9800-CL é executado em ambientes virtuais em hipervisores VMWare ESXI e KVM, e seu desempenho depende dos recursos de hardware dedicados para a máquina virtual controladora. Em sua configuração máxima, o controlador Cisco 9800-CL, assim como o modelo antigo 9800-80, suporta escalabilidade de até 6000 pontos de acesso e até 64 clientes sem fio.

Ao realizar pesquisas com controladores, foram utilizados pontos de acesso Cisco Aironet série AP 4800, que suportam operação em frequências de 2,4 e 5 GHz com a capacidade de alternar dinamicamente para o modo duplo de 5 GHz.

bancada de teste

Como parte dos testes, um suporte foi montado com dois controladores sem fio Cisco Catalyst 9800-CL operando em um cluster e pontos de acesso Cisco Aironet AP 4800 Series.

Laptops da Dell e da Apple, bem como um smartphone Apple iPhone, foram usados ​​como dispositivos clientes.

Teste de acessibilidade

Disponibilidade é definida como a capacidade dos usuários de acessar e usar um sistema ou serviço. A alta disponibilidade implica acesso contínuo a um sistema ou serviço, independente de determinados eventos.

A alta disponibilidade foi testada em quatro cenários, sendo os três primeiros cenários eventos previsíveis ou programados que poderiam ocorrer durante ou após o horário comercial. O quinto cenário é um fracasso clássico, que é um evento imprevisível.

Descrição dos cenários:

• Correção de erros – uma microatualização do sistema (correção de bug ou patch de segurança), que permite corrigir um determinado erro ou vulnerabilidade sem uma atualização completa do software do sistema;
• Atualização funcional – adicionar ou expandir a funcionalidade atual do sistema instalando atualizações funcionais;
• Atualização completa – atualiza a imagem do software do controlador;
• Adicionar um ponto de acesso – adicionar um novo modelo de ponto de acesso a uma rede sem fio sem a necessidade de reconfigurar ou atualizar o software do controlador sem fio;
• Falha—falha do controlador sem fio.

Correção de bugs e vulnerabilidades

Muitas vezes, com muitas soluções concorrentes, a aplicação de patches requer uma atualização completa do software do sistema do controlador sem fio, o que pode resultar em tempo de inatividade não planejado. No caso da solução Cisco, a aplicação de patches é realizada sem parar o produto. Patches podem ser instalados em qualquer um dos componentes enquanto a infraestrutura sem fio continua a operar.

O procedimento em si é bastante simples. O arquivo de patch é copiado para a pasta bootstrap em um dos controladores sem fio Cisco e a operação é então confirmada por meio da GUI ou da linha de comando. Além disso, você também pode desfazer e remover a correção por meio da GUI ou linha de comando, também sem interromper a operação do sistema.

Atualização funcional

Atualizações funcionais de software são aplicadas para habilitar novos recursos. Uma dessas melhorias é a atualização do banco de dados de assinaturas de aplicativos. Este pacote foi instalado nos controladores Cisco como teste. Assim como acontece com os patches, as atualizações de recursos são aplicadas, instaladas ou removidas sem qualquer tempo de inatividade ou interrupção do sistema.

Atualização completa

No momento, uma atualização completa da imagem do software do controlador é realizada da mesma forma que uma atualização funcional, ou seja, sem tempo de inatividade. Entretanto, esse recurso só está disponível em uma configuração de cluster quando há mais de um controlador. Uma atualização completa é realizada sequencialmente: primeiro em um controlador e depois no segundo.

Adicionando um novo modelo de ponto de acesso

Conectar novos pontos de acesso, que não tenham sido operados anteriormente com a imagem de software do controlador utilizado, a uma rede sem fio é uma operação bastante comum, principalmente em grandes redes (aeroportos, hotéis, fábricas). Muitas vezes, em soluções concorrentes, esta operação requer a atualização do software do sistema ou a reinicialização dos controladores.

Ao conectar novos pontos de acesso Wi-Fi 6 a um cluster de controladores Cisco Catalyst série 9800, esses problemas não são observados. A conexão de novos pontos ao controlador é realizada sem atualização do software do controlador, e este processo não requer reinicialização, não afetando de forma alguma a rede wireless.

Falha do controlador

O ambiente de teste utiliza dois controladores Wi-Fi 6 (Ativo/StandBy) e o ponto de acesso possui conexão direta com ambos os controladores.

Um controlador sem fio está ativo e o outro, respectivamente, é de backup. Se o controlador ativo falhar, o controlador reserva assume o controle e seu status muda para ativo. Este procedimento ocorre sem interrupção para o ponto de acesso e Wi-Fi para os clientes.

segurança

Esta seção discute aspectos de segurança, que é uma questão extremamente urgente em redes sem fio. A segurança da solução é avaliada com base nas seguintes características:

• Reconhecimento de aplicativos;
• Rastreamento de fluxo;
• Análise de tráfego criptografado;
• Detecção e prevenção de intrusões;
• Meios de autenticação;
• Ferramentas de proteção de dispositivos clientes.

Reconhecimento de aplicativos

Entre a variedade de produtos no mercado Wi-Fi empresarial e industrial, há diferenças na forma como os produtos identificam o tráfego por aplicativo. Produtos de diferentes fabricantes podem identificar diferentes números de aplicações. Contudo, muitas das aplicações que as soluções concorrentes elencam como possíveis de identificação são, na verdade, websites, e não aplicações únicas.

Há outra característica interessante do reconhecimento de aplicativos: as soluções variam muito na precisão da identificação.

Levando em consideração todos os testes realizados, podemos afirmar com responsabilidade que a solução Wi-Fi-6 da Cisco realiza o reconhecimento de aplicativos com muita precisão: Jabber, Netflix, Dropbox, YouTube e outros aplicativos populares, bem como serviços web, foram identificados com precisão. As soluções Cisco também podem se aprofundar nos pacotes de dados usando DPI (Deep Packet Inspection).

Rastreamento de fluxo de tráfego

Outro teste foi realizado para verificar se o sistema conseguia rastrear e relatar fluxos de dados com precisão (como movimentos de arquivos grandes). Para testar isso, um arquivo de 6,5 megabytes foi enviado pela rede usando File Transfer Protocol (FTP).

A solução da Cisco estava totalmente à altura da tarefa e foi capaz de rastrear esse tráfego graças ao NetFlow e aos seus recursos de hardware. O tráfego foi detectado e identificado imediatamente com a quantidade exata de dados transferidos.

Análise de tráfego criptografado

O tráfego de dados do usuário está cada vez mais criptografado. Isso é feito para protegê-lo de ser rastreado ou interceptado por invasores. Mas, ao mesmo tempo, os hackers usam cada vez mais criptografia para ocultar seus malwares e realizar outras operações duvidosas, como Man-in-the-Middle (MiTM) ou ataques de keylogging.

A maioria das empresas inspeciona parte de seu tráfego criptografado, primeiro descriptografando-o usando firewalls ou sistemas de prevenção de intrusões. Mas esse processo leva muito tempo e não beneficia o desempenho da rede como um todo. Além disso, uma vez desencriptados, estes dados tornam-se vulneráveis ​​a olhares indiscretos.

Os controladores Cisco Catalyst 9800 Series resolvem com êxito o problema de análise do tráfego criptografado por outros meios. A solução é chamada de Análise de Tráfego Criptografado (ETA). ETA é uma tecnologia que atualmente não tem análogos em soluções concorrentes e que detecta malware em tráfego criptografado sem a necessidade de descriptografá-lo. O ETA é um recurso central do IOS-XE que inclui Enhanced NetFlow e usa algoritmos comportamentais avançados para identificar padrões de tráfego maliciosos ocultos no tráfego criptografado.

O ETA não descriptografa mensagens, mas coleta perfis de metadados de fluxos de tráfego criptografados - tamanho do pacote, intervalos de tempo entre pacotes e muito mais. Os metadados são então exportados em registros do NetFlow v9 para o Cisco Stealthwatch.

A principal função do Stealthwatch é monitorar constantemente o tráfego, bem como criar uma linha de base da atividade normal da rede. Usando metadados de fluxo criptografados enviados pelo ETA, o Stealthwatch aplica aprendizado de máquina em várias camadas para identificar anomalias comportamentais de tráfego que podem indicar eventos suspeitos.

No ano passado, a Cisco contratou a Miercom para avaliar de forma independente sua solução Cisco Encrypted Traffic Analytics. Durante esta avaliação, a Miercom enviou separadamente ameaças conhecidas e desconhecidas (vírus, cavalos de Troia, ransomware) em tráfego criptografado e não criptografado em grandes redes ETA e não ETA para identificar ameaças.

Para testes, foi lançado código malicioso em ambas as redes. Em ambos os casos, atividades suspeitas foram descobertas gradualmente. A rede ETA detectou inicialmente ameaças 36% mais rápido do que a rede não ETA. Ao mesmo tempo, à medida que o trabalho avançava, a produtividade de detecção na rede ETA começou a aumentar. Como resultado, após várias horas de trabalho, dois terços das ameaças ativas foram detectadas com sucesso na rede ETA, o que é o dobro da rede não ETA.

A funcionalidade ETA está bem integrada ao Stealthwatch. As ameaças são classificadas por gravidade e exibidas com informações detalhadas, bem como opções de correção, uma vez confirmadas. Conclusão – ETA funciona!

Detecção e prevenção de intrusões

A Cisco agora possui outra ferramenta de segurança eficaz - o Cisco Advanced Wireless Intrusion Prevention System (aWIPS): um mecanismo para detectar e prevenir ameaças a redes sem fio. A solução aWIPS opera ao nível de controladores, pontos de acesso e software de gestão Cisco DNA Center. A detecção, alerta e prevenção de ameaças combinam análise de tráfego de rede, informações de dispositivos de rede e topologia de rede, técnicas baseadas em assinaturas e detecção de anomalias para fornecer ameaças sem fio altamente precisas e evitáveis.

Integrando totalmente o aWIPS à sua infraestrutura de rede, você pode monitorar continuamente o tráfego sem fio em redes com e sem fio e usá-lo para analisar automaticamente ataques potenciais de múltiplas fontes para fornecer a detecção e prevenção mais abrangentes possíveis.

Autenticação significa

No momento, além das ferramentas clássicas de autenticação, as soluções da série Cisco Catalyst 9800 oferecem suporte a WPA3. WPA3 é a versão mais recente do WPA, que é um conjunto de protocolos e tecnologias que fornecem autenticação e criptografia para redes Wi-Fi.

WPA3 usa Autenticação Simultânea de Iguais (SAE) para fornecer a proteção mais forte aos usuários contra tentativas de adivinhação de senha por terceiros. Quando um cliente se conecta a um ponto de acesso, ele realiza uma troca SAE. Se for bem-sucedido, cada um deles criará uma chave criptograficamente forte da qual a chave de sessão será derivada e, em seguida, entrará no estado de confirmação. O cliente e o ponto de acesso podem então entrar em estados de handshake sempre que uma chave de sessão precisar ser gerada. O método usa sigilo direto, no qual um invasor pode quebrar uma chave, mas não todas as outras chaves.

Ou seja, o SAE é projetado de tal forma que um invasor que intercepta o tráfego tenha apenas uma tentativa de adivinhar a senha antes que os dados interceptados se tornem inúteis. Para organizar uma recuperação de senha longa, você precisará de acesso físico ao ponto de acesso.

Proteção do dispositivo cliente

As soluções sem fio Cisco Catalyst 9800 Series fornecem atualmente o principal recurso de proteção ao cliente por meio do Cisco Umbrella WLAN, um serviço de segurança de rede baseado em nuvem que opera no nível DNS com detecção automática de ameaças conhecidas e emergentes.

O Cisco Umbrella WLAN fornece aos dispositivos clientes uma conexão segura à Internet. Isto é conseguido através da filtragem de conteúdo, ou seja, bloqueando o acesso aos recursos da Internet de acordo com a política empresarial. Assim, os dispositivos clientes na Internet ficam protegidos contra malware, ransomware e phishing. A aplicação da política é baseada em 60 categorias de conteúdo atualizadas continuamente.

Automação

As redes sem fio atuais são muito mais flexíveis e complexas, portanto os métodos tradicionais de configuração e recuperação de informações dos controladores sem fio não são suficientes. Administradores de rede e profissionais de segurança da informação necessitam de ferramentas para automação e análise, o que leva os fornecedores de serviços sem fio a oferecer tais ferramentas.

Para resolver esses problemas, os controladores sem fio Cisco Catalyst série 9800, juntamente com a API tradicional, fornecem suporte ao protocolo de configuração de rede RESTCONF/NETCONF com a linguagem de modelagem de dados YANG (Yet Another Next Generation).

NETCONF é um protocolo baseado em XML que os aplicativos podem usar para consultar informações e alterar a configuração de dispositivos de rede, como controladores sem fio.

Além desses métodos, os controladores Cisco Catalyst série 9800 oferecem a capacidade de capturar, recuperar e analisar dados de fluxo de informações usando os protocolos NetFlow e sFlow.

Para modelagem de segurança e tráfego, a capacidade de rastrear fluxos específicos é uma ferramenta valiosa. Para resolver este problema, foi implementado o protocolo sFlow, que permite capturar dois pacotes em cada cem. Porém, às vezes isso pode não ser suficiente para analisar, estudar e avaliar adequadamente o fluxo. Portanto, uma alternativa é o NetFlow, implementado pela Cisco, que permite coletar e exportar 100% todos os pacotes em um fluxo especificado para posterior análise.

Outro recurso, porém, disponível apenas na implementação de hardware dos controladores, que permite automatizar a operação da rede sem fio nos controladores Cisco Catalyst série 9800, é o suporte integrado para a linguagem Python como um complemento para usar scripts diretamente no próprio controlador sem fio.

Por fim, os controladores Cisco Catalyst série 9800 suportam o protocolo SNMP versão 1, 2 e 3 comprovado para operações de monitoramento e gerenciamento.

Assim, em termos de automação, as soluções Cisco Catalyst 9800 Series atendem plenamente aos requisitos de negócios modernos, oferecendo ferramentas novas e exclusivas, bem como ferramentas testadas pelo tempo para operações automatizadas e análises em redes sem fio de qualquer tamanho e complexidade.

Conclusão

Em soluções baseadas nos Controladores Cisco Catalyst Série 9800, a Cisco demonstrou excelentes resultados nas categorias de alta disponibilidade, segurança e automação.

A solução atende totalmente a todos os requisitos de alta disponibilidade, como failover em menos de um segundo durante eventos não planejados e tempo de inatividade zero para eventos programados.

Os controladores Cisco Catalyst série 9800 oferecem segurança abrangente que fornece inspeção profunda de pacotes para reconhecimento e controle de aplicativos, visibilidade completa dos fluxos de dados e identificação de ameaças ocultas no tráfego criptografado, bem como mecanismos avançados de autenticação e segurança para dispositivos clientes.

Para automação e análise, o Cisco Catalyst série 9800 oferece recursos poderosos usando modelos padrão populares: YANG, NETCONF, RESTCONF, APIs tradicionais e scripts Python integrados.

Assim, a Cisco confirma mais uma vez o seu estatuto de fabricante líder mundial de soluções de rede, acompanhando os tempos e tendo em conta todos os desafios dos negócios modernos.

Para obter mais informações sobre a família de switches Catalyst, visite On-line Cisco.

Fonte: habr.com