Ak máte ovládač, žiadny problém: ako jednoducho udržiavať bezdrôtovú sieť

V roku 2019 konzultačná spoločnosť Miercom vykonala nezávislé technologické posúdenie ovládačov Wi-Fi 6 radu Cisco Catalyst 9800. Pre túto štúdiu bola z ovládačov a prístupových bodov Cisco Wi-Fi 6 zostavená testovacia lavica a technické riešenie bolo hodnotené v týchto kategóriách:

• Dostupnosť;
• zabezpečenia;
• automatizácia.

Výsledky štúdie sú uvedené nižšie. Od roku 2019 bola funkcionalita radičov Cisco Catalyst série 9800 výrazne vylepšená – tieto body sú zohľadnené aj v tomto článku.

Môžete si prečítať o ďalších výhodách technológie Wi-Fi 6, príkladoch implementácie a oblastiach použitia tu.

Prehľad riešení

Wi-Fi 6 ovládačov série Cisco Catalyst 9800

Bezdrôtové ovládače Cisco Catalyst 9800 Series založené na operačnom systéme IOS-XE (používané aj pre prepínače a smerovače Cisco) sú dostupné v rôznych variantoch.

Starší model radiča 9800-80 podporuje priepustnosť bezdrôtovej siete až do 80 Gbps. Jeden ovládač 9800-80 podporuje až 6000 64 prístupových bodov a až 000 XNUMX bezdrôtových klientov.

Model strednej triedy, radič 9800-40, podporuje priepustnosť až 40 Gbps, až 2000 32 prístupových bodov a až 000 XNUMX bezdrôtových klientov.

Okrem týchto modelov zahŕňala analýza konkurencie aj bezdrôtový ovládač 9800-CL (CL znamená Cloud). 9800-CL beží vo virtuálnych prostrediach na hypervízoroch VMWare ESXI a KVM a jeho výkon závisí od vyhradených hardvérových prostriedkov pre virtuálny stroj radiča. Radič Cisco 9800-CL vo svojej maximálnej konfigurácii, podobne ako starší model 9800-80, podporuje škálovateľnosť až do 6000 64 prístupových bodov a až 000 XNUMX bezdrôtových klientov.

Pri výskume s ovládačmi boli použité prístupové body Cisco Aironet série AP 4800 podporujúce prevádzku na frekvenciách 2,4 a 5 GHz s možnosťou dynamického prepínania do duálneho 5-GHz režimu.

skúšobná stolica

V rámci testovania bol zostavený stojan z dvoch bezdrôtových ovládačov Cisco Catalyst 9800-CL pracujúcich v klastri a prístupových bodov série Cisco Aironet AP 4800.

Ako klientske zariadenia boli použité notebooky od spoločností Dell a Apple, ako aj smartfón Apple iPhone.

Testovanie prístupnosti

Dostupnosť je definovaná ako schopnosť používateľov pristupovať a používať systém alebo službu. Vysoká dostupnosť znamená nepretržitý prístup k systému alebo službe, nezávislý od určitých udalostí.

Vysoká dostupnosť bola testovaná v štyroch scenároch, pričom prvé tri scenáre boli predvídateľné alebo plánované udalosti, ktoré by sa mohli vyskytnúť počas pracovnej doby alebo po nej. Piaty scenár je klasické zlyhanie, ktoré je nepredvídateľnou udalosťou.

Popis scenárov:

• Oprava chýb – mikroaktualizácia systému (oprava chýb alebo bezpečnostná záplata), ktorá vám umožňuje opraviť konkrétnu chybu alebo zraniteľnosť bez úplnej aktualizácie systémového softvéru;
• Funkčná aktualizácia – pridanie alebo rozšírenie aktuálnej funkcionality systému inštaláciou funkčných aktualizácií;
• Úplná aktualizácia – aktualizujte obraz softvéru ovládača;
• Pridanie prístupového bodu – pridanie nového modelu prístupového bodu do bezdrôtovej siete bez potreby prekonfigurovania alebo aktualizácie softvéru bezdrôtového ovládača;
• Porucha—zlyhanie bezdrôtového ovládača.

Oprava chýb a zraniteľností

Pri mnohých konkurenčných riešeniach si záplata často vyžaduje úplnú aktualizáciu softvéru systému bezdrôtového ovládača, čo môže viesť k neplánovaným prestojom. V prípade riešenia Cisco sa záplata vykonáva bez zastavenia produktu. Záplaty možno nainštalovať na ktorýkoľvek z komponentov, zatiaľ čo bezdrôtová infraštruktúra pokračuje v prevádzke.

Samotný postup je celkom jednoduchý. Súbor opravy sa skopíruje do priečinka bootstrap na jednom z bezdrôtových ovládačov Cisco a operácia sa potom potvrdí cez grafické používateľské rozhranie alebo príkazový riadok. Okrem toho môžete opravu vrátiť späť a odstrániť ju prostredníctvom grafického používateľského rozhrania alebo príkazového riadku, a to aj bez prerušenia prevádzky systému.

Funkčná aktualizácia

Na aktiváciu nových funkcií sa používajú funkčné aktualizácie softvéru. Jedným z týchto vylepšení je aktualizácia databázy podpisov aplikácií. Tento balík bol nainštalovaný na ovládače Cisco ako test. Rovnako ako pri opravách sa aktualizácie funkcií aplikujú, inštalujú alebo odstraňujú bez akéhokoľvek prestoja alebo prerušenia systému.

Úplná aktualizácia

V súčasnosti sa úplná aktualizácia obrazu softvéru ovládača vykonáva rovnakým spôsobom ako funkčná aktualizácia, teda bez prestojov. Táto funkcia je však dostupná iba v konfigurácii klastra, ak existuje viac ako jeden radič. Kompletná aktualizácia sa vykonáva postupne: najprv na jednom ovládači, potom na druhom.

Pridanie nového modelu prístupového bodu

Pripojenie nových prístupových bodov, ktoré doteraz neboli prevádzkované s použitým softvérom ovládača, k bezdrôtovej sieti je pomerne bežnou operáciou, najmä vo veľkých sieťach (letiská, hotely, továrne). Pomerne často v konkurenčných riešeniach táto operácia vyžaduje aktualizáciu systémového softvéru alebo reštartovanie ovládačov.

Pri pripájaní nových prístupových bodov Wi-Fi 6 ku klastru radičov Cisco Catalyst série 9800 sa takéto problémy nepozorujú. Pripojenie nových bodov k ovládaču sa vykonáva bez aktualizácie softvéru ovládača a tento proces nevyžaduje reštart, takže žiadnym spôsobom neovplyvňuje bezdrôtovú sieť.

Porucha ovládača

Testovacie prostredie využíva dva ovládače Wi-Fi 6 (Active/StandBy) a prístupový bod má priame pripojenie k obom ovládačom.

Jeden bezdrôtový ovládač je aktívny a druhý je záložný. Ak aktívny ovládač zlyhá, prevezme ho záložný ovládač a jeho stav sa zmení na aktívny. Tento postup prebieha bez prerušenia pre prístupový bod a Wi-Fi pre klientov.

zabezpečenia

Táto časť sa zaoberá aspektmi bezpečnosti, čo je mimoriadne naliehavý problém v bezdrôtových sieťach. Bezpečnosť riešenia sa hodnotí na základe nasledujúcich charakteristík:

• Rozpoznávanie aplikácií;
• sledovanie toku;
• Analýza šifrovanej prevádzky;
• Detekcia a prevencia narušenia;
• Autentifikačné prostriedky;
• Nástroje na ochranu klientskych zariadení.

Rozpoznávanie aplikácií

Medzi rôznymi produktmi na trhu podnikových a priemyselných Wi-Fi existujú rozdiely v tom, ako dobre produkty identifikujú prevádzku podľa aplikácie. Produkty od rôznych výrobcov môžu identifikovať rôzne počty aplikácií. Mnohé z aplikácií, ktoré konkurenčné riešenia uvádzajú ako možné na identifikáciu, sú však v skutočnosti webové stránky a nie jedinečné aplikácie.

Existuje ďalšia zaujímavá vlastnosť rozpoznávania aplikácií: riešenia sa veľmi líšia v presnosti identifikácie.

Berúc do úvahy všetky vykonané testy, môžeme zodpovedne konštatovať, že riešenie Cisco Wi-Fi-6 vykonáva rozpoznávanie aplikácií veľmi presne: Jabber, Netflix, Dropbox, YouTube a ďalšie populárne aplikácie, ako aj webové služby, boli presne identifikované. Riešenia Cisco sa tiež môžu ponoriť hlbšie do dátových paketov pomocou DPI (Deep Packet Inspection).

Sledovanie toku dopravy

Uskutočnil sa ďalší test, aby sa zistilo, či systém dokáže presne sledovať a hlásiť toky údajov (napríklad pohyby veľkých súborov). Na testovanie bol cez sieť odoslaný 6,5 megabajtový súbor pomocou protokolu FTP (File Transfer Protocol).

Riešenie Cisco plne vyhovovalo tejto úlohe a dokázalo túto prevádzku sledovať vďaka NetFlow a jeho hardvérovým možnostiam. Prevádzka bola rozpoznaná a okamžite identifikovaná s presným množstvom prenesených dát.

Šifrovaná analýza návštevnosti

Dátová prevádzka používateľov je čoraz častejšie šifrovaná. Deje sa tak s cieľom chrániť ho pred sledovaním alebo zachytením útočníkmi. Zároveň však hackeri čoraz častejšie využívajú šifrovanie na skrytie svojho malvéru a na vykonávanie ďalších pochybných operácií, ako sú útoky typu Man-in-the-Middle (MiTM) alebo keylogging.

Väčšina podnikov kontroluje časť svojej šifrovanej prevádzky tak, že ju najskôr dešifruje pomocou brán firewall alebo systémov prevencie narušenia. Tento proces však zaberie veľa času a neprospieva výkonu siete ako celku. Po dešifrovaní sa navyše tieto údaje stanú zraniteľnými pre zvedavé oči.

Kontroléry Cisco Catalyst radu 9800 úspešne riešia problém analýzy šifrovanej prevádzky inými prostriedkami. Riešenie sa nazýva Encrypted Traffic Analytics (ETA). ETA je technológia, ktorá v súčasnosti nemá v konkurenčných riešeniach obdobu a ktorá deteguje malvér v šifrovanej prevádzke bez potreby dešifrovania. ETA je základná funkcia IOS-XE, ktorá zahŕňa Enhanced NetFlow a využíva pokročilé behaviorálne algoritmy na identifikáciu škodlivých vzorcov návštevnosti, ktoré sa skrývajú v šifrovanej prevádzke.

ETA nedešifruje správy, ale zhromažďuje metadátové profily šifrovaných prevádzkových tokov - veľkosť paketov, časové intervaly medzi paketmi a oveľa viac. Metadáta sa potom exportujú v záznamoch NetFlow v9 do Cisco Stealthwatch.

Kľúčovou funkciou Stealthwatch je neustále monitorovať prevádzku, ako aj vytvárať základnú líniu bežnej sieťovej aktivity. Pomocou šifrovaných metadát streamu, ktoré mu posiela ETA, Stealthwatch používa viacvrstvové strojové učenie na identifikáciu anomálií v správaní, ktoré môžu naznačovať podozrivé udalosti.

Minulý rok spoločnosť Cisco poverila spoločnosť Miercom, aby nezávisle vyhodnotila svoje riešenie Cisco Encrypted Traffic Analytics. Počas tohto hodnotenia Miercom samostatne posielal známe a neznáme hrozby (vírusy, trójske kone, ransomvér) v šifrovanej a nešifrovanej prevádzke cez veľké siete ETA a non-ETA na identifikáciu hrozieb.

Na testovanie bol v oboch sieťach spustený škodlivý kód. V oboch prípadoch bola postupne odhalená podozrivá aktivita. Sieť ETA spočiatku detekovala hrozby o 36 % rýchlejšie ako sieť mimo ETA. Zároveň s postupom prác sa začala zvyšovať produktivita detekcie v sieti ETA. Výsledkom bolo, že po niekoľkých hodinách práce boli dve tretiny aktívnych hrozieb úspešne detekované v sieti ETA, čo je dvakrát viac ako v sieti mimo ETA.

Funkcia ETA je dobre integrovaná do Stealthwatch. Hrozby sú zoradené podľa závažnosti a zobrazené s podrobnými informáciami, ako aj s možnosťami nápravy po potvrdení. Záver – ETA funguje!

Detekcia a prevencia narušenia

Cisco má teraz ďalší účinný bezpečnostný nástroj – Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mechanizmus na detekciu a prevenciu hrozieb pre bezdrôtové siete. Riešenie aWIPS funguje na úrovni kontrolérov, prístupových bodov a riadiaceho softvéru Cisco DNA Center. Detekcia hrozieb, varovanie a prevencia kombinujú analýzu sieťovej prevádzky, informácie o sieťových zariadeniach a topológii siete, techniky založené na signatúrach a detekciu anomálií, aby poskytovali vysoko presné bezdrôtové hrozby, ktorým možno predchádzať.

Plnou integráciou aWIPS do vašej sieťovej infraštruktúry môžete nepretržite monitorovať bezdrôtovú prevádzku v káblových aj bezdrôtových sieťach a používať ju na automatickú analýzu potenciálnych útokov z viacerých zdrojov, aby ste zabezpečili čo najkomplexnejšiu detekciu a prevenciu.

Autentifikačné prostriedky

V súčasnosti okrem klasických autentifikačných nástrojov podporujú riešenia série Cisco Catalyst 9800 WPA3. WPA3 je najnovšia verzia WPA, čo je súbor protokolov a technológií, ktoré poskytujú autentifikáciu a šifrovanie pre Wi-Fi siete.

WPA3 používa Simultaneous Authentication of Equals (SAE) na zabezpečenie najsilnejšej ochrany používateľov pred pokusmi o uhádnutie hesla tretími stranami. Keď sa klient pripojí k prístupovému bodu, vykoná výmenu SAE. V prípade úspechu si každý z nich vytvorí kryptograficky silný kľúč, z ktorého bude odvodený kľúč relácie a následne prejde do stavu potvrdenia. Klient a prístupový bod potom môžu zadať stavy handshake zakaždým, keď je potrebné vygenerovať kľúč relácie. Metóda využíva dopredné utajenie, pri ktorom môže útočník prelomiť jeden kľúč, ale nie všetky ostatné kľúče.

To znamená, že SAE je navrhnutý tak, že útočník, ktorý zachytí prevádzku, má iba jeden pokus uhádnuť heslo, kým sa zachytené údaje stanú zbytočnými. Ak chcete zorganizovať dlhé obnovenie hesla, budete potrebovať fyzický prístup k prístupovému bodu.

Ochrana klientskeho zariadenia

Bezdrôtové riešenia Cisco Catalyst 9800 Series v súčasnosti poskytujú základnú ochranu zákazníkov prostredníctvom Cisco Umbrella WLAN, cloudovej sieťovej bezpečnostnej služby, ktorá funguje na úrovni DNS s automatickou detekciou známych aj nových hrozieb.

Cisco Umbrella WLAN poskytuje klientskym zariadeniam bezpečné pripojenie k internetu. Dosahuje sa to filtrovaním obsahu, teda blokovaním prístupu k zdrojom na internete v súlade s podnikovou politikou. Klientske zariadenia na internete sú teda chránené pred malvérom, ransomvérom a phishingom. Presadzovanie pravidiel je založené na 60 priebežne aktualizovaných kategóriách obsahu.

automatizácia

Dnešné bezdrôtové siete sú oveľa flexibilnejšie a komplexnejšie, takže tradičné metódy konfigurácie a získavania informácií z bezdrôtových ovládačov nestačia. Správcovia sietí a profesionáli v oblasti informačnej bezpečnosti požadujú nástroje na automatizáciu a analýzu, čo vyzýva dodávateľov bezdrôtových zariadení, aby takéto nástroje ponúkali.

Na vyriešenie týchto problémov poskytujú bezdrôtové ovládače série Cisco Catalyst 9800 spolu s tradičným API podporu pre konfiguračný protokol siete RESTCONF / NETCONF s jazykom dátového modelovania YANG (Yet Another Next Generation).

NETCONF je protokol založený na XML, ktorý môžu aplikácie použiť na vyhľadávanie informácií a zmenu konfigurácie sieťových zariadení, ako sú bezdrôtové ovládače.

Okrem týchto metód poskytujú radiče Cisco Catalyst 9800 Series schopnosť zachytávať, získavať a analyzovať dáta toku informácií pomocou protokolov NetFlow a sFlow.

Pre bezpečnosť a modelovanie dopravy je cenným nástrojom možnosť sledovať špecifické toky. Na vyriešenie tohto problému bol implementovaný protokol sFlow, ktorý umožňuje zachytiť dva pakety z každých sto. Niekedy to však nemusí stačiť na analýzu a adekvátne štúdium a vyhodnotenie toku. Alternatívou je preto NetFlow, implementovaný spoločnosťou Cisco, ktorý vám umožňuje 100% zhromažďovať a exportovať všetky pakety v špecifikovanom toku na následnú analýzu.

Ďalšou funkciou, dostupnou len v hardvérovej implementácii ovládačov, ktorá umožňuje automatizovať prevádzku bezdrôtovej siete v ovládačoch Cisco Catalyst série 9800, je vstavaná podpora jazyka Python ako doplnok pre používanie skripty priamo na samotnom bezdrôtovom ovládači.

Nakoniec, radiče Cisco Catalyst 9800 Series podporujú osvedčený protokol SNMP verzie 1, 2 a 3 na monitorovanie a správu operácií.

Z hľadiska automatizácie teda riešenia Cisco Catalyst 9800 Series plne spĺňajú moderné obchodné požiadavky a ponúkajú nové a jedinečné, ako aj časom overené nástroje pre automatizované operácie a analýzy v bezdrôtových sieťach akejkoľvek veľkosti a zložitosti.

Záver

V riešeniach založených na radičoch radu Cisco Catalyst 9800 Cisco preukázalo vynikajúce výsledky v kategóriách vysoká dostupnosť, bezpečnosť a automatizácia.

Riešenie plne spĺňa všetky požiadavky na vysokú dostupnosť, ako je subsekundové zlyhanie počas neplánovaných udalostí a nulové prestoje pre plánované udalosti.

Radiče Cisco Catalyst 9800 Series poskytujú komplexné zabezpečenie, ktoré poskytuje hĺbkovú kontrolu paketov na rozpoznávanie a kontrolu aplikácií, úplnú viditeľnosť dátových tokov a identifikáciu hrozieb skrytých v šifrovanej prevádzke, ako aj pokročilé mechanizmy autentifikácie a zabezpečenia pre klientske zariadenia.

Pre automatizáciu a analýzu ponúka séria Cisco Catalyst 9800 výkonné funkcie využívajúce obľúbené štandardné modely: YANG, NETCONF, RESTCONF, tradičné rozhrania API a vstavané skripty Python.

Cisco tak opäť potvrdzuje svoj status popredného svetového výrobcu sieťových riešení, ktorý kráča s dobou a zohľadňuje všetky výzvy moderného podnikania.

Viac informácií o rade prepínačov Catalyst nájdete na Online cisco.

Zdroj: hab.com

V roku 2019 konzultačná spoločnosť Miercom vykonala nezávislé technologické posúdenie ovládačov Wi-Fi 6 radu Cisco Catalyst 9800. Pre túto štúdiu bola z ovládačov a prístupových bodov Cisco Wi-Fi 6 zostavená testovacia lavica a technické riešenie bolo hodnotené v týchto kategóriách:

• Dostupnosť;
• zabezpečenia;
• automatizácia.

Výsledky štúdie sú uvedené nižšie. Od roku 2019 bola funkcionalita radičov Cisco Catalyst série 9800 výrazne vylepšená – tieto body sú zohľadnené aj v tomto článku.

Môžete si prečítať o ďalších výhodách technológie Wi-Fi 6, príkladoch implementácie a oblastiach použitia tu.

Prehľad riešení

Wi-Fi 6 ovládačov série Cisco Catalyst 9800

Bezdrôtové ovládače Cisco Catalyst 9800 Series založené na operačnom systéme IOS-XE (používané aj pre prepínače a smerovače Cisco) sú dostupné v rôznych variantoch.

Starší model radiča 9800-80 podporuje priepustnosť bezdrôtovej siete až do 80 Gbps. Jeden ovládač 9800-80 podporuje až 6000 64 prístupových bodov a až 000 XNUMX bezdrôtových klientov.

Model strednej triedy, radič 9800-40, podporuje priepustnosť až 40 Gbps, až 2000 32 prístupových bodov a až 000 XNUMX bezdrôtových klientov.

Okrem týchto modelov zahŕňala analýza konkurencie aj bezdrôtový ovládač 9800-CL (CL znamená Cloud). 9800-CL beží vo virtuálnych prostrediach na hypervízoroch VMWare ESXI a KVM a jeho výkon závisí od vyhradených hardvérových prostriedkov pre virtuálny stroj radiča. Radič Cisco 9800-CL vo svojej maximálnej konfigurácii, podobne ako starší model 9800-80, podporuje škálovateľnosť až do 6000 64 prístupových bodov a až 000 XNUMX bezdrôtových klientov.

Pri výskume s ovládačmi boli použité prístupové body Cisco Aironet série AP 4800 podporujúce prevádzku na frekvenciách 2,4 a 5 GHz s možnosťou dynamického prepínania do duálneho 5-GHz režimu.

skúšobná stolica

V rámci testovania bol zostavený stojan z dvoch bezdrôtových ovládačov Cisco Catalyst 9800-CL pracujúcich v klastri a prístupových bodov série Cisco Aironet AP 4800.

Ako klientske zariadenia boli použité notebooky od spoločností Dell a Apple, ako aj smartfón Apple iPhone.

Testovanie prístupnosti

Dostupnosť je definovaná ako schopnosť používateľov pristupovať a používať systém alebo službu. Vysoká dostupnosť znamená nepretržitý prístup k systému alebo službe, nezávislý od určitých udalostí.

Vysoká dostupnosť bola testovaná v štyroch scenároch, pričom prvé tri scenáre boli predvídateľné alebo plánované udalosti, ktoré by sa mohli vyskytnúť počas pracovnej doby alebo po nej. Piaty scenár je klasické zlyhanie, ktoré je nepredvídateľnou udalosťou.

Popis scenárov:

• Oprava chýb – mikroaktualizácia systému (oprava chýb alebo bezpečnostná záplata), ktorá vám umožňuje opraviť konkrétnu chybu alebo zraniteľnosť bez úplnej aktualizácie systémového softvéru;
• Funkčná aktualizácia – pridanie alebo rozšírenie aktuálnej funkcionality systému inštaláciou funkčných aktualizácií;
• Úplná aktualizácia – aktualizujte obraz softvéru ovládača;
• Pridanie prístupového bodu – pridanie nového modelu prístupového bodu do bezdrôtovej siete bez potreby prekonfigurovania alebo aktualizácie softvéru bezdrôtového ovládača;
• Porucha—zlyhanie bezdrôtového ovládača.

Oprava chýb a zraniteľností

Pri mnohých konkurenčných riešeniach si záplata často vyžaduje úplnú aktualizáciu softvéru systému bezdrôtového ovládača, čo môže viesť k neplánovaným prestojom. V prípade riešenia Cisco sa záplata vykonáva bez zastavenia produktu. Záplaty možno nainštalovať na ktorýkoľvek z komponentov, zatiaľ čo bezdrôtová infraštruktúra pokračuje v prevádzke.

Samotný postup je celkom jednoduchý. Súbor opravy sa skopíruje do priečinka bootstrap na jednom z bezdrôtových ovládačov Cisco a operácia sa potom potvrdí cez grafické používateľské rozhranie alebo príkazový riadok. Okrem toho môžete opravu vrátiť späť a odstrániť ju prostredníctvom grafického používateľského rozhrania alebo príkazového riadku, a to aj bez prerušenia prevádzky systému.

Funkčná aktualizácia

Na aktiváciu nových funkcií sa používajú funkčné aktualizácie softvéru. Jedným z týchto vylepšení je aktualizácia databázy podpisov aplikácií. Tento balík bol nainštalovaný na ovládače Cisco ako test. Rovnako ako pri opravách sa aktualizácie funkcií aplikujú, inštalujú alebo odstraňujú bez akéhokoľvek prestoja alebo prerušenia systému.

Úplná aktualizácia

V súčasnosti sa úplná aktualizácia obrazu softvéru ovládača vykonáva rovnakým spôsobom ako funkčná aktualizácia, teda bez prestojov. Táto funkcia je však dostupná iba v konfigurácii klastra, ak existuje viac ako jeden radič. Kompletná aktualizácia sa vykonáva postupne: najprv na jednom ovládači, potom na druhom.

Pridanie nového modelu prístupového bodu

Pripojenie nových prístupových bodov, ktoré doteraz neboli prevádzkované s použitým softvérom ovládača, k bezdrôtovej sieti je pomerne bežnou operáciou, najmä vo veľkých sieťach (letiská, hotely, továrne). Pomerne často v konkurenčných riešeniach táto operácia vyžaduje aktualizáciu systémového softvéru alebo reštartovanie ovládačov.

Pri pripájaní nových prístupových bodov Wi-Fi 6 ku klastru radičov Cisco Catalyst série 9800 sa takéto problémy nepozorujú. Pripojenie nových bodov k ovládaču sa vykonáva bez aktualizácie softvéru ovládača a tento proces nevyžaduje reštart, takže žiadnym spôsobom neovplyvňuje bezdrôtovú sieť.

Porucha ovládača

Testovacie prostredie využíva dva ovládače Wi-Fi 6 (Active/StandBy) a prístupový bod má priame pripojenie k obom ovládačom.

Jeden bezdrôtový ovládač je aktívny a druhý je záložný. Ak aktívny ovládač zlyhá, prevezme ho záložný ovládač a jeho stav sa zmení na aktívny. Tento postup prebieha bez prerušenia pre prístupový bod a Wi-Fi pre klientov.

zabezpečenia

Táto časť sa zaoberá aspektmi bezpečnosti, čo je mimoriadne naliehavý problém v bezdrôtových sieťach. Bezpečnosť riešenia sa hodnotí na základe nasledujúcich charakteristík:

• Rozpoznávanie aplikácií;
• sledovanie toku;
• Analýza šifrovanej prevádzky;
• Detekcia a prevencia narušenia;
• Autentifikačné prostriedky;
• Nástroje na ochranu klientskych zariadení.

Rozpoznávanie aplikácií

Medzi rôznymi produktmi na trhu podnikových a priemyselných Wi-Fi existujú rozdiely v tom, ako dobre produkty identifikujú prevádzku podľa aplikácie. Produkty od rôznych výrobcov môžu identifikovať rôzne počty aplikácií. Mnohé z aplikácií, ktoré konkurenčné riešenia uvádzajú ako možné na identifikáciu, sú však v skutočnosti webové stránky a nie jedinečné aplikácie.

Existuje ďalšia zaujímavá vlastnosť rozpoznávania aplikácií: riešenia sa veľmi líšia v presnosti identifikácie.

Berúc do úvahy všetky vykonané testy, môžeme zodpovedne konštatovať, že riešenie Cisco Wi-Fi-6 vykonáva rozpoznávanie aplikácií veľmi presne: Jabber, Netflix, Dropbox, YouTube a ďalšie populárne aplikácie, ako aj webové služby, boli presne identifikované. Riešenia Cisco sa tiež môžu ponoriť hlbšie do dátových paketov pomocou DPI (Deep Packet Inspection).

Sledovanie toku dopravy

Uskutočnil sa ďalší test, aby sa zistilo, či systém dokáže presne sledovať a hlásiť toky údajov (napríklad pohyby veľkých súborov). Na testovanie bol cez sieť odoslaný 6,5 megabajtový súbor pomocou protokolu FTP (File Transfer Protocol).

Riešenie Cisco plne vyhovovalo tejto úlohe a dokázalo túto prevádzku sledovať vďaka NetFlow a jeho hardvérovým možnostiam. Prevádzka bola rozpoznaná a okamžite identifikovaná s presným množstvom prenesených dát.

Šifrovaná analýza návštevnosti

Dátová prevádzka používateľov je čoraz častejšie šifrovaná. Deje sa tak s cieľom chrániť ho pred sledovaním alebo zachytením útočníkmi. Zároveň však hackeri čoraz častejšie využívajú šifrovanie na skrytie svojho malvéru a na vykonávanie ďalších pochybných operácií, ako sú útoky typu Man-in-the-Middle (MiTM) alebo keylogging.

Väčšina podnikov kontroluje časť svojej šifrovanej prevádzky tak, že ju najskôr dešifruje pomocou brán firewall alebo systémov prevencie narušenia. Tento proces však zaberie veľa času a neprospieva výkonu siete ako celku. Po dešifrovaní sa navyše tieto údaje stanú zraniteľnými pre zvedavé oči.

Kontroléry Cisco Catalyst radu 9800 úspešne riešia problém analýzy šifrovanej prevádzky inými prostriedkami. Riešenie sa nazýva Encrypted Traffic Analytics (ETA). ETA je technológia, ktorá v súčasnosti nemá v konkurenčných riešeniach obdobu a ktorá deteguje malvér v šifrovanej prevádzke bez potreby dešifrovania. ETA je základná funkcia IOS-XE, ktorá zahŕňa Enhanced NetFlow a využíva pokročilé behaviorálne algoritmy na identifikáciu škodlivých vzorcov návštevnosti, ktoré sa skrývajú v šifrovanej prevádzke.

ETA nedešifruje správy, ale zhromažďuje metadátové profily šifrovaných prevádzkových tokov - veľkosť paketov, časové intervaly medzi paketmi a oveľa viac. Metadáta sa potom exportujú v záznamoch NetFlow v9 do Cisco Stealthwatch.

Kľúčovou funkciou Stealthwatch je neustále monitorovať prevádzku, ako aj vytvárať základnú líniu bežnej sieťovej aktivity. Pomocou šifrovaných metadát streamu, ktoré mu posiela ETA, Stealthwatch používa viacvrstvové strojové učenie na identifikáciu anomálií v správaní, ktoré môžu naznačovať podozrivé udalosti.

Minulý rok spoločnosť Cisco poverila spoločnosť Miercom, aby nezávisle vyhodnotila svoje riešenie Cisco Encrypted Traffic Analytics. Počas tohto hodnotenia Miercom samostatne posielal známe a neznáme hrozby (vírusy, trójske kone, ransomvér) v šifrovanej a nešifrovanej prevádzke cez veľké siete ETA a non-ETA na identifikáciu hrozieb.

Na testovanie bol v oboch sieťach spustený škodlivý kód. V oboch prípadoch bola postupne odhalená podozrivá aktivita. Sieť ETA spočiatku detekovala hrozby o 36 % rýchlejšie ako sieť mimo ETA. Zároveň s postupom prác sa začala zvyšovať produktivita detekcie v sieti ETA. Výsledkom bolo, že po niekoľkých hodinách práce boli dve tretiny aktívnych hrozieb úspešne detekované v sieti ETA, čo je dvakrát viac ako v sieti mimo ETA.

Funkcia ETA je dobre integrovaná do Stealthwatch. Hrozby sú zoradené podľa závažnosti a zobrazené s podrobnými informáciami, ako aj s možnosťami nápravy po potvrdení. Záver – ETA funguje!

Detekcia a prevencia narušenia

Cisco má teraz ďalší účinný bezpečnostný nástroj – Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mechanizmus na detekciu a prevenciu hrozieb pre bezdrôtové siete. Riešenie aWIPS funguje na úrovni kontrolérov, prístupových bodov a riadiaceho softvéru Cisco DNA Center. Detekcia hrozieb, varovanie a prevencia kombinujú analýzu sieťovej prevádzky, informácie o sieťových zariadeniach a topológii siete, techniky založené na signatúrach a detekciu anomálií, aby poskytovali vysoko presné bezdrôtové hrozby, ktorým možno predchádzať.

Plnou integráciou aWIPS do vašej sieťovej infraštruktúry môžete nepretržite monitorovať bezdrôtovú prevádzku v káblových aj bezdrôtových sieťach a používať ju na automatickú analýzu potenciálnych útokov z viacerých zdrojov, aby ste zabezpečili čo najkomplexnejšiu detekciu a prevenciu.

Autentifikačné prostriedky

V súčasnosti okrem klasických autentifikačných nástrojov podporujú riešenia série Cisco Catalyst 9800 WPA3. WPA3 je najnovšia verzia WPA, čo je súbor protokolov a technológií, ktoré poskytujú autentifikáciu a šifrovanie pre Wi-Fi siete.

WPA3 používa Simultaneous Authentication of Equals (SAE) na zabezpečenie najsilnejšej ochrany používateľov pred pokusmi o uhádnutie hesla tretími stranami. Keď sa klient pripojí k prístupovému bodu, vykoná výmenu SAE. V prípade úspechu si každý z nich vytvorí kryptograficky silný kľúč, z ktorého bude odvodený kľúč relácie a následne prejde do stavu potvrdenia. Klient a prístupový bod potom môžu zadať stavy handshake zakaždým, keď je potrebné vygenerovať kľúč relácie. Metóda využíva dopredné utajenie, pri ktorom môže útočník prelomiť jeden kľúč, ale nie všetky ostatné kľúče.

To znamená, že SAE je navrhnutý tak, že útočník, ktorý zachytí prevádzku, má iba jeden pokus uhádnuť heslo, kým sa zachytené údaje stanú zbytočnými. Ak chcete zorganizovať dlhé obnovenie hesla, budete potrebovať fyzický prístup k prístupovému bodu.

Ochrana klientskeho zariadenia

Bezdrôtové riešenia Cisco Catalyst 9800 Series v súčasnosti poskytujú základnú ochranu zákazníkov prostredníctvom Cisco Umbrella WLAN, cloudovej sieťovej bezpečnostnej služby, ktorá funguje na úrovni DNS s automatickou detekciou známych aj nových hrozieb.

Cisco Umbrella WLAN poskytuje klientskym zariadeniam bezpečné pripojenie k internetu. Dosahuje sa to filtrovaním obsahu, teda blokovaním prístupu k zdrojom na internete v súlade s podnikovou politikou. Klientske zariadenia na internete sú teda chránené pred malvérom, ransomvérom a phishingom. Presadzovanie pravidiel je založené na 60 priebežne aktualizovaných kategóriách obsahu.

automatizácia

Dnešné bezdrôtové siete sú oveľa flexibilnejšie a komplexnejšie, takže tradičné metódy konfigurácie a získavania informácií z bezdrôtových ovládačov nestačia. Správcovia sietí a profesionáli v oblasti informačnej bezpečnosti požadujú nástroje na automatizáciu a analýzu, čo vyzýva dodávateľov bezdrôtových zariadení, aby takéto nástroje ponúkali.

Na vyriešenie týchto problémov poskytujú bezdrôtové ovládače série Cisco Catalyst 9800 spolu s tradičným API podporu pre konfiguračný protokol siete RESTCONF / NETCONF s jazykom dátového modelovania YANG (Yet Another Next Generation).

NETCONF je protokol založený na XML, ktorý môžu aplikácie použiť na vyhľadávanie informácií a zmenu konfigurácie sieťových zariadení, ako sú bezdrôtové ovládače.

Okrem týchto metód poskytujú radiče Cisco Catalyst 9800 Series schopnosť zachytávať, získavať a analyzovať dáta toku informácií pomocou protokolov NetFlow a sFlow.

Pre bezpečnosť a modelovanie dopravy je cenným nástrojom možnosť sledovať špecifické toky. Na vyriešenie tohto problému bol implementovaný protokol sFlow, ktorý umožňuje zachytiť dva pakety z každých sto. Niekedy to však nemusí stačiť na analýzu a adekvátne štúdium a vyhodnotenie toku. Alternatívou je preto NetFlow, implementovaný spoločnosťou Cisco, ktorý vám umožňuje 100% zhromažďovať a exportovať všetky pakety v špecifikovanom toku na následnú analýzu.

Ďalšou funkciou, dostupnou len v hardvérovej implementácii ovládačov, ktorá umožňuje automatizovať prevádzku bezdrôtovej siete v ovládačoch Cisco Catalyst série 9800, je vstavaná podpora jazyka Python ako doplnok pre používanie skripty priamo na samotnom bezdrôtovom ovládači.

Nakoniec, radiče Cisco Catalyst 9800 Series podporujú osvedčený protokol SNMP verzie 1, 2 a 3 na monitorovanie a správu operácií.

Z hľadiska automatizácie teda riešenia Cisco Catalyst 9800 Series plne spĺňajú moderné obchodné požiadavky a ponúkajú nové a jedinečné, ako aj časom overené nástroje pre automatizované operácie a analýzy v bezdrôtových sieťach akejkoľvek veľkosti a zložitosti.

Záver

V riešeniach založených na radičoch radu Cisco Catalyst 9800 Cisco preukázalo vynikajúce výsledky v kategóriách vysoká dostupnosť, bezpečnosť a automatizácia.

Riešenie plne spĺňa všetky požiadavky na vysokú dostupnosť, ako je subsekundové zlyhanie počas neplánovaných udalostí a nulové prestoje pre plánované udalosti.

Radiče Cisco Catalyst 9800 Series poskytujú komplexné zabezpečenie, ktoré poskytuje hĺbkovú kontrolu paketov na rozpoznávanie a kontrolu aplikácií, úplnú viditeľnosť dátových tokov a identifikáciu hrozieb skrytých v šifrovanej prevádzke, ako aj pokročilé mechanizmy autentifikácie a zabezpečenia pre klientske zariadenia.

Pre automatizáciu a analýzu ponúka séria Cisco Catalyst 9800 výkonné funkcie využívajúce obľúbené štandardné modely: YANG, NETCONF, RESTCONF, tradičné rozhrania API a vstavané skripty Python.

Cisco tak opäť potvrdzuje svoj status popredného svetového výrobcu sieťových riešení, ktorý kráča s dobou a zohľadňuje všetky výzvy moderného podnikania.

Viac informácií o rade prepínačov Catalyst nájdete na Online cisco.

Zdroj: hab.com