Če imate krmilnik, ni problema: kako preprosto vzdrževati svoje brezžično omrežje

Leta 2019 je svetovalno podjetje Miercom izvedlo neodvisno tehnološko presojo krmilnikov Wi-Fi 6 serije Cisco Catalyst 9800. Za to študijo je bila testna miza sestavljena iz krmilnikov in dostopnih točk Cisco Wi-Fi 6, tehnična rešitev pa je bila ocenjeni v naslednjih kategorijah:

• razpoložljivost;
• Varnost;
• Avtomatizacija.

Rezultati študije so prikazani spodaj. Od leta 2019 je bila funkcionalnost krmilnikov serije Cisco Catalyst 9800 znatno izboljšana - te točke se odražajo tudi v tem članku.

O drugih prednostih tehnologije Wi-Fi 6, primerih izvedbe in področjih uporabe si lahko preberete tukaj.

Pregled rešitve

Wi-Fi 6 krmilniki serije Cisco Catalyst 9800

Brezžični krmilniki serije Cisco Catalyst 9800, ki temeljijo na operacijskem sistemu IOS-XE (uporabljajo se tudi za stikala in usmerjevalnike Cisco), so na voljo v različnih možnostih.

Starejši model krmilnika 9800-80 podpira prepustnost brezžičnega omrežja do 80 Gbps. En krmilnik 9800-80 podpira do 6000 dostopnih točk in do 64 brezžičnih odjemalcev.

Model srednjega razreda, krmilnik 9800-40, podpira prepustnost do 40 Gbps, do 2000 dostopnih točk in do 32 brezžičnih odjemalcev.

Poleg teh modelov je konkurenčna analiza vključevala tudi brezžični krmilnik 9800-CL (CL pomeni Cloud). 9800-CL deluje v virtualnih okoljih na hipervizorjih VMWare ESXI in KVM, njegova zmogljivost pa je odvisna od namenskih virov strojne opreme za virtualni stroj krmilnika. V največji konfiguraciji krmilnik Cisco 9800-CL, tako kot starejši model 9800-80, podpira razširljivost do 6000 dostopnih točk in do 64 brezžičnih odjemalcev.

Pri izvajanju raziskav s krmilniki so bile uporabljene dostopne točke serije Cisco Aironet AP 4800, ki podpirajo delovanje na frekvencah 2,4 in 5 GHz z možnostjo dinamičnega preklopa v dvojni 5-GHz način.

Testno stojalo

V okviru testiranja je bilo stojalo sestavljeno iz dveh brezžičnih krmilnikov Cisco Catalyst 9800-CL, ki delujeta v gruči, in dostopnih točk serije Cisco Aironet AP 4800.

Kot odjemalske naprave so bili uporabljeni prenosni računalniki proizvajalcev Dell in Apple ter pametni telefon Apple iPhone.

Testiranje dostopnosti

Razpoložljivost je opredeljena kot zmožnost uporabnikov za dostop in uporabo sistema ali storitve. Visoka razpoložljivost pomeni stalen dostop do sistema ali storitve, neodvisno od določenih dogodkov.

Visoka razpoložljivost je bila testirana v štirih scenarijih, pri čemer so bili prvi trije scenariji predvidljivi ali načrtovani dogodki, ki bi se lahko zgodili med ali po delovnem času. Peti scenarij je klasični neuspeh, ki je nepredvidljiv dogodek.

Opis scenarijev:

• Popravek napake – mikroposodobitev sistema (popravek hrošča ali varnostni popravek), ki omogoča odpravo določene napake ali ranljivosti brez popolne posodobitve sistemske programske opreme;
• Funkcionalna posodobitev – dodajanje ali razširitev trenutne funkcionalnosti sistema z namestitvijo funkcionalnih posodobitev;
• Popolna posodobitev – posodobite sliko programske opreme krmilnika;
• Dodajanje dostopne točke – dodajanje novega modela dostopne točke v brezžično omrežje brez potrebe po ponovni konfiguraciji ali posodobitvi programske opreme brezžičnega krmilnika;
• Napaka—napaka brezžičnega krmilnika.

Odpravljanje hroščev in ranljivosti

Pogosto pri številnih konkurenčnih rešitvah popravljanje zahteva popolno posodobitev programske opreme sistema brezžičnega krmilnika, kar lahko povzroči nenačrtovane izpade. V primeru rešitve Cisco se popravljanje izvede brez zaustavitve izdelka. Popravke je mogoče namestiti na katero koli komponento, medtem ko brezžična infrastruktura še naprej deluje.

Sam postopek je precej preprost. Datoteka popravka se prekopira v zagonsko mapo na enem od brezžičnih krmilnikov Cisco, operacija pa se nato potrdi prek GUI ali ukazne vrstice. Poleg tega lahko tudi razveljavite in odstranite popravek prek GUI ali ukazne vrstice, tudi brez prekinitve delovanja sistema.

Funkcionalna posodobitev

Funkcionalne posodobitve programske opreme se uporabljajo za omogočanje novih funkcij. Ena od teh izboljšav je posodabljanje baze podatkov podpisov aplikacij. Ta paket je bil testno nameščen na krmilnike Cisco. Tako kot pri popravkih se posodobitve funkcij uporabijo, namestijo ali odstranijo brez izpada ali prekinitve sistema.

Popolna posodobitev

Trenutno se popolna posodobitev slike programske opreme krmilnika izvede na enak način kot funkcionalna posodobitev, torej brez izpadov. Vendar pa je ta funkcija na voljo samo v konfiguraciji gruče, če obstaja več kot en krmilnik. Popolna posodobitev se izvede zaporedno: najprej na enem krmilniku, nato na drugem.

Dodajanje novega modela dostopne točke

Povezovanje novih dostopnih točk, ki prej niso bile upravljane z uporabljeno sliko programske opreme krmilnika, v brezžično omrežje je dokaj pogosta operacija, zlasti v velikih omrežjih (letališča, hoteli, tovarne). Pri konkurenčnih rešitvah ta operacija pogosto zahteva posodobitev sistemske programske opreme ali ponovni zagon krmilnikov.

Pri povezovanju novih dostopnih točk Wi-Fi 6 v gručo krmilnikov serije Cisco Catalyst 9800 takih težav ni. Priključitev novih točk na krmilnik poteka brez posodabljanja programske opreme krmilnika in ta proces ne zahteva ponovnega zagona, zato na noben način ne vpliva na brezžično omrežje.

Okvara krmilnika

Testno okolje uporablja dva krmilnika Wi-Fi 6 (Active/StandBy), dostopna točka pa ima neposredno povezavo z obema krmilnikoma.

En brezžični krmilnik je aktiven, drugi pa rezervni. Če aktivni krmilnik odpove, prevzame rezervni krmilnik in njegovo stanje se spremeni v aktivno. Ta postopek poteka brez prekinitev za dostopno točko in Wi-Fi za odjemalce.

varnost

Ta razdelek obravnava vidike varnosti, ki je izjemno pereč problem v brezžičnih omrežjih. Varnost rešitve ocenjujemo na podlagi naslednjih značilnosti:

• Prepoznavanje vlog;
• Sledenje pretoka;
• Analiza šifriranega prometa;
• Odkrivanje in preprečevanje vdorov;
• Sredstva za preverjanje pristnosti;
• Orodja za zaščito odjemalske naprave.

Prepoznavanje aplikacije

Med različnimi izdelki na podjetniškem in industrijskem trgu Wi-Fi obstajajo razlike v tem, kako dobro izdelki identificirajo promet glede na aplikacijo. Izdelki različnih proizvajalcev lahko identificirajo različno število aplikacij. Vendar pa je veliko aplikacij, ki jih konkurenčne rešitve navajajo kot možne za identifikacijo, v resnici spletna mesta in ne edinstvene aplikacije.

Zanimiva je še ena lastnost prepoznavanja aplikacij: rešitve se zelo razlikujejo po natančnosti identifikacije.

Glede na vse opravljene teste lahko odgovorno trdimo, da Ciscova rešitev Wi-Fi-6 zelo natančno izvaja prepoznavanje aplikacij: Jabber, Netflix, Dropbox, YouTube in druge priljubljene aplikacije ter spletne storitve so bile natančno identificirane. Rešitve Cisco se lahko tudi poglobijo v podatkovne pakete z uporabo DPI (Deep Packet Inspection).

Sledenje prometnemu toku

Opravljen je bil še en preizkus, da bi ugotovili, ali lahko sistem natančno sledi in poroča o tokovih podatkov (kot so premiki velikih datotek). Da bi to preizkusili, je bila po omrežju poslana 6,5 ​​megabajtna datoteka s protokolom za prenos datotek (FTP).

Rešitev Cisco je bila popolnoma kos nalogi in je lahko sledila temu prometu zahvaljujoč NetFlowu in njegovim zmogljivostim strojne opreme. Promet je bil zaznan in takoj identificiran z natančno količino prenesenih podatkov.

Analiza šifriranega prometa

Promet uporabniških podatkov je vedno bolj šifriran. To se naredi, da bi ga zaščitili pred sledenjem ali prestrezanjem s strani napadalcev. Hkrati pa hekerji vse pogosteje uporabljajo šifriranje, da skrijejo svojo zlonamerno programsko opremo in izvajajo druge dvomljive operacije, kot so napadi Man-in-the-Middle (MiTM) ali zapisovanje tipk.

Večina podjetij pregleda del svojega šifriranega prometa tako, da ga najprej dešifrira s požarnimi zidovi ali sistemi za preprečevanje vdorov. Toda ta postopek traja veliko časa in ne koristi delovanju omrežja kot celote. Poleg tega ti podatki, ko so dešifrirani, postanejo ranljivi za radovedne oči.

Krmilniki serije Cisco Catalyst 9800 uspešno rešujejo problem analiziranja šifriranega prometa z drugimi sredstvi. Rešitev se imenuje Encrypted Traffic Analytics (ETA). ETA je tehnologija, ki trenutno nima analogov v konkurenčnih rešitvah in ki zazna zlonamerno programsko opremo v šifriranem prometu, ne da bi jo bilo treba dešifrirati. ETA je osrednja funkcija IOS-XE, ki vključuje izboljšan NetFlow in uporablja napredne vedenjske algoritme za prepoznavanje vzorcev zlonamernega prometa, ki se skrivajo v šifriranem prometu.

ETA ne dešifrira sporočil, ampak zbira profile metapodatkov šifriranih prometnih tokov - velikost paketa, časovne intervale med paketi in še veliko več. Metapodatki se nato izvozijo v zapisih NetFlow v9 v Cisco Stealthwatch.

Ključna funkcija Stealthwatcha je nenehno spremljanje prometa in ustvarjanje izhodišča normalne omrežne dejavnosti. Z uporabo šifriranih metapodatkov toka, ki mu jih pošlje ETA, Stealthwatch uporablja večplastno strojno učenje za prepoznavanje vedenjskih prometnih anomalij, ki lahko kažejo na sumljive dogodke.

Lani je Cisco angažiral Miercom, da neodvisno oceni svojo rešitev Cisco Encrypted Traffic Analytics. Med to oceno je Miercom ločeno pošiljal znane in neznane grožnje (viruse, trojance, izsiljevalsko programsko opremo) v šifriranem in nešifriranem prometu prek velikih omrežij ETA in ne-ETA, da bi identificiral grožnje.

Za testiranje je bila v obeh omrežjih zagnana zlonamerna koda. V obeh primerih je bila sumljiva dejavnost odkrita postopoma. Omrežje ETA je na začetku zaznalo grožnje 36 % hitreje kot omrežje brez ETA. Hkrati se je z napredovanjem dela produktivnost detekcije v omrežju ETA začela povečevati. Posledično je bilo po več urah dela uspešno zaznanih dve tretjini aktivnih groženj v omrežju ETA, kar je dvakrat več kot v omrežju brez ETA.

Funkcionalnost ETA je dobro integrirana s Stealthwatch. Grožnje so razvrščene glede na resnost in prikazane s podrobnimi informacijami ter možnostmi popravljanja, ko so potrjene. Zaključek – ETA deluje!

Zaznavanje in preprečevanje vdorov

Cisco ima zdaj še eno učinkovito varnostno orodje - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mehanizem za zaznavanje in preprečevanje groženj brezžičnim omrežjem. Rešitev aWIPS deluje na ravni krmilnikov, dostopnih točk in programske opreme za upravljanje Cisco DNA Center. Zaznavanje groženj, opozarjanje in preprečevanje združuje analizo omrežnega prometa, informacije o omrežni napravi in ​​topologiji omrežja, tehnike, ki temeljijo na podpisu, in zaznavanje anomalij za zagotavljanje zelo natančnih brezžičnih groženj, ki jih je mogoče preprečiti.

S popolno integracijo aWIPS v vašo omrežno infrastrukturo lahko nenehno spremljate brezžični promet tako v žičnih kot brezžičnih omrežjih in ga uporabite za samodejno analizo morebitnih napadov iz več virov, da zagotovite najobsežnejše možno odkrivanje in preprečevanje.

Preverjanje pristnosti pomeni

Rešitve serije Cisco Catalyst 9800 trenutno poleg klasičnih orodij za avtentikacijo podpirajo WPA3. WPA3 je najnovejša različica WPA, ki je niz protokolov in tehnologij, ki zagotavljajo preverjanje pristnosti in šifriranje za omrežja Wi-Fi.

WPA3 uporablja SAE (Simultaneous Authentication of Equals), da uporabnikom zagotovi najmočnejšo zaščito pred poskusi ugibanja gesel s strani tretjih oseb. Ko se odjemalec poveže z dostopno točko, izvede izmenjavo SAE. Če bo uspešen, bo vsak izmed njih ustvaril kriptografsko močan ključ, iz katerega bo izpeljan ključ seje, nato pa bo prešel v stanje potrditve. Odjemalec in dostopna točka lahko nato vstopita v stanja rokovanja vsakič, ko je treba ustvariti ključ seje. Metoda uporablja vnaprejšnjo tajnost, pri kateri lahko napadalec vdre v en ključ, ne pa tudi v vse druge ključe.

To pomeni, da je SAE zasnovan tako, da ima napadalec, ki prestreže promet, samo en poskus uganjanja gesla, preden prestreženi podatki postanejo neuporabni. Če želite organizirati dolgo obnovitev gesla, boste potrebovali fizični dostop do dostopne točke.

Zaščita odjemalske naprave

Brezžične rešitve serije Cisco Catalyst 9800 trenutno zagotavljajo primarno funkcijo zaščite strank prek Cisco Umbrella WLAN, varnostne storitve omrežja v oblaku, ki deluje na ravni DNS s samodejnim zaznavanjem znanih in nastajajočih groženj.

Cisco Umbrella WLAN zagotavlja odjemalskim napravam varno povezavo z internetom. To dosežemo s filtriranjem vsebine, torej z blokiranjem dostopa do virov na internetu v skladu s politiko podjetja. Tako so odjemalske naprave v internetu zaščitene pred zlonamerno programsko opremo, izsiljevalsko programsko opremo in lažnim predstavljanjem. Uveljavljanje pravilnika temelji na 60 kategorijah vsebine, ki se nenehno posodabljajo.

Avtomatizacija

Današnja brezžična omrežja so veliko bolj prilagodljiva in kompleksna, zato tradicionalni načini konfiguriranja in pridobivanja informacij iz brezžičnih krmilnikov niso dovolj. Omrežni skrbniki in strokovnjaki za informacijsko varnost potrebujejo orodja za avtomatizacijo in analitiko, zaradi česar so ponudniki brezžičnih storitev ponudili takšna orodja.

Za rešitev teh težav brezžični krmilniki serije Cisco Catalyst 9800 skupaj s tradicionalnim API-jem zagotavljajo podporo za omrežni konfiguracijski protokol RESTCONF / NETCONF z jezikom za modeliranje podatkov YANG (Yet Another Next Generation).

NETCONF je protokol na osnovi XML, ki ga lahko aplikacije uporabljajo za poizvedovanje informacij in spreminjanje konfiguracije omrežnih naprav, kot so brezžični krmilniki.

Poleg teh metod krmilniki serije Cisco Catalyst 9800 ponujajo možnost zajemanja, pridobivanja in analiziranja podatkov o pretoku informacij z uporabo protokolov NetFlow in sFlow.

Za modeliranje varnosti in prometa je zmožnost sledenja določenim tokovom dragoceno orodje. Za rešitev te težave je bil implementiran protokol sFlow, ki omogoča zajem dveh paketov od vsakih sto. Vendar pa včasih to morda ne bo dovolj za analizo in ustrezno proučevanje ter ovrednotenje toka. Zato je alternativa NetFlow, ki ga izvaja Cisco, ki vam omogoča 100-odstotno zbiranje in izvoz vseh paketov v določenem toku za nadaljnjo analizo.

Druga lastnost, ki pa je na voljo samo v strojni izvedbi krmilnikov in omogoča avtomatizacijo delovanja brezžičnega omrežja v krmilnikih serije Cisco Catalyst 9800, je vgrajena podpora za jezik Python kot dodatek za uporabo skripte neposredno na samem brezžičnem krmilniku.

Končno, krmilniki serije Cisco Catalyst 9800 podpirajo preizkušen protokol SNMP različice 1, 2 in 3 za nadzor in upravljanje operacij.

Rešitve Cisco Catalyst 9800 Series tako z vidika avtomatizacije v celoti izpolnjujejo zahteve sodobnega poslovanja, saj ponujajo tako nova in unikatna kot tudi preizkušena orodja za avtomatizirano delovanje in analitiko v brezžičnih omrežjih vseh velikosti in zahtevnosti.

Zaključek

Pri rešitvah, ki temeljijo na krmilnikih serije Cisco Catalyst 9800, je Cisco pokazal odlične rezultate v kategorijah visoke razpoložljivosti, varnosti in avtomatizacije.

Rešitev v celoti izpolnjuje vse zahteve glede visoke razpoložljivosti, kot je podsekundni preklop med nenačrtovanimi dogodki in nič izpadov za načrtovane dogodke.

Krmilniki serije Cisco Catalyst 9800 zagotavljajo celovito varnost, ki zagotavlja globok pregled paketov za prepoznavanje in upravljanje aplikacij, popoln vpogled v tokove podatkov in identifikacijo groženj, skritih v šifriranem prometu, kot tudi napredne avtentikacijske in varnostne mehanizme za odjemalske naprave.

Za avtomatizacijo in analitiko serija Cisco Catalyst 9800 ponuja zmogljive zmogljivosti z uporabo priljubljenih standardnih modelov: YANG, NETCONF, RESTCONF, tradicionalni API-ji in vgrajeni skripti Python.

Tako Cisco ponovno potrjuje svoj status vodilnega svetovnega proizvajalca omrežnih rešitev, ki gre v korak s časom in upošteva vse izzive sodobnega poslovanja.

Za več informacij o družini stikal Catalyst obiščite Online Cisco.

Vir: www.habr.com

Leta 2019 je svetovalno podjetje Miercom izvedlo neodvisno tehnološko presojo krmilnikov Wi-Fi 6 serije Cisco Catalyst 9800. Za to študijo je bila testna miza sestavljena iz krmilnikov in dostopnih točk Cisco Wi-Fi 6, tehnična rešitev pa je bila ocenjeni v naslednjih kategorijah:

• razpoložljivost;
• Varnost;
• Avtomatizacija.

Rezultati študije so prikazani spodaj. Od leta 2019 je bila funkcionalnost krmilnikov serije Cisco Catalyst 9800 znatno izboljšana - te točke se odražajo tudi v tem članku.

O drugih prednostih tehnologije Wi-Fi 6, primerih izvedbe in področjih uporabe si lahko preberete tukaj.

Pregled rešitve

Wi-Fi 6 krmilniki serije Cisco Catalyst 9800

Brezžični krmilniki serije Cisco Catalyst 9800, ki temeljijo na operacijskem sistemu IOS-XE (uporabljajo se tudi za stikala in usmerjevalnike Cisco), so na voljo v različnih možnostih.

Starejši model krmilnika 9800-80 podpira prepustnost brezžičnega omrežja do 80 Gbps. En krmilnik 9800-80 podpira do 6000 dostopnih točk in do 64 brezžičnih odjemalcev.

Model srednjega razreda, krmilnik 9800-40, podpira prepustnost do 40 Gbps, do 2000 dostopnih točk in do 32 brezžičnih odjemalcev.

Poleg teh modelov je konkurenčna analiza vključevala tudi brezžični krmilnik 9800-CL (CL pomeni Cloud). 9800-CL deluje v virtualnih okoljih na hipervizorjih VMWare ESXI in KVM, njegova zmogljivost pa je odvisna od namenskih virov strojne opreme za virtualni stroj krmilnika. V največji konfiguraciji krmilnik Cisco 9800-CL, tako kot starejši model 9800-80, podpira razširljivost do 6000 dostopnih točk in do 64 brezžičnih odjemalcev.

Pri izvajanju raziskav s krmilniki so bile uporabljene dostopne točke serije Cisco Aironet AP 4800, ki podpirajo delovanje na frekvencah 2,4 in 5 GHz z možnostjo dinamičnega preklopa v dvojni 5-GHz način.

Testno stojalo

V okviru testiranja je bilo stojalo sestavljeno iz dveh brezžičnih krmilnikov Cisco Catalyst 9800-CL, ki delujeta v gruči, in dostopnih točk serije Cisco Aironet AP 4800.

Kot odjemalske naprave so bili uporabljeni prenosni računalniki proizvajalcev Dell in Apple ter pametni telefon Apple iPhone.

Testiranje dostopnosti

Razpoložljivost je opredeljena kot zmožnost uporabnikov za dostop in uporabo sistema ali storitve. Visoka razpoložljivost pomeni stalen dostop do sistema ali storitve, neodvisno od določenih dogodkov.

Visoka razpoložljivost je bila testirana v štirih scenarijih, pri čemer so bili prvi trije scenariji predvidljivi ali načrtovani dogodki, ki bi se lahko zgodili med ali po delovnem času. Peti scenarij je klasični neuspeh, ki je nepredvidljiv dogodek.

Opis scenarijev:

• Popravek napake – mikroposodobitev sistema (popravek hrošča ali varnostni popravek), ki omogoča odpravo določene napake ali ranljivosti brez popolne posodobitve sistemske programske opreme;
• Funkcionalna posodobitev – dodajanje ali razširitev trenutne funkcionalnosti sistema z namestitvijo funkcionalnih posodobitev;
• Popolna posodobitev – posodobite sliko programske opreme krmilnika;
• Dodajanje dostopne točke – dodajanje novega modela dostopne točke v brezžično omrežje brez potrebe po ponovni konfiguraciji ali posodobitvi programske opreme brezžičnega krmilnika;
• Napaka—napaka brezžičnega krmilnika.

Odpravljanje hroščev in ranljivosti

Pogosto pri številnih konkurenčnih rešitvah popravljanje zahteva popolno posodobitev programske opreme sistema brezžičnega krmilnika, kar lahko povzroči nenačrtovane izpade. V primeru rešitve Cisco se popravljanje izvede brez zaustavitve izdelka. Popravke je mogoče namestiti na katero koli komponento, medtem ko brezžična infrastruktura še naprej deluje.

Sam postopek je precej preprost. Datoteka popravka se prekopira v zagonsko mapo na enem od brezžičnih krmilnikov Cisco, operacija pa se nato potrdi prek GUI ali ukazne vrstice. Poleg tega lahko tudi razveljavite in odstranite popravek prek GUI ali ukazne vrstice, tudi brez prekinitve delovanja sistema.

Funkcionalna posodobitev

Funkcionalne posodobitve programske opreme se uporabljajo za omogočanje novih funkcij. Ena od teh izboljšav je posodabljanje baze podatkov podpisov aplikacij. Ta paket je bil testno nameščen na krmilnike Cisco. Tako kot pri popravkih se posodobitve funkcij uporabijo, namestijo ali odstranijo brez izpada ali prekinitve sistema.

Popolna posodobitev

Trenutno se popolna posodobitev slike programske opreme krmilnika izvede na enak način kot funkcionalna posodobitev, torej brez izpadov. Vendar pa je ta funkcija na voljo samo v konfiguraciji gruče, če obstaja več kot en krmilnik. Popolna posodobitev se izvede zaporedno: najprej na enem krmilniku, nato na drugem.

Dodajanje novega modela dostopne točke

Povezovanje novih dostopnih točk, ki prej niso bile upravljane z uporabljeno sliko programske opreme krmilnika, v brezžično omrežje je dokaj pogosta operacija, zlasti v velikih omrežjih (letališča, hoteli, tovarne). Pri konkurenčnih rešitvah ta operacija pogosto zahteva posodobitev sistemske programske opreme ali ponovni zagon krmilnikov.

Pri povezovanju novih dostopnih točk Wi-Fi 6 v gručo krmilnikov serije Cisco Catalyst 9800 takih težav ni. Priključitev novih točk na krmilnik poteka brez posodabljanja programske opreme krmilnika in ta proces ne zahteva ponovnega zagona, zato na noben način ne vpliva na brezžično omrežje.

Okvara krmilnika

Testno okolje uporablja dva krmilnika Wi-Fi 6 (Active/StandBy), dostopna točka pa ima neposredno povezavo z obema krmilnikoma.

En brezžični krmilnik je aktiven, drugi pa rezervni. Če aktivni krmilnik odpove, prevzame rezervni krmilnik in njegovo stanje se spremeni v aktivno. Ta postopek poteka brez prekinitev za dostopno točko in Wi-Fi za odjemalce.

varnost

Ta razdelek obravnava vidike varnosti, ki je izjemno pereč problem v brezžičnih omrežjih. Varnost rešitve ocenjujemo na podlagi naslednjih značilnosti:

• Prepoznavanje vlog;
• Sledenje pretoka;
• Analiza šifriranega prometa;
• Odkrivanje in preprečevanje vdorov;
• Sredstva za preverjanje pristnosti;
• Orodja za zaščito odjemalske naprave.

Prepoznavanje aplikacije

Med različnimi izdelki na podjetniškem in industrijskem trgu Wi-Fi obstajajo razlike v tem, kako dobro izdelki identificirajo promet glede na aplikacijo. Izdelki različnih proizvajalcev lahko identificirajo različno število aplikacij. Vendar pa je veliko aplikacij, ki jih konkurenčne rešitve navajajo kot možne za identifikacijo, v resnici spletna mesta in ne edinstvene aplikacije.

Zanimiva je še ena lastnost prepoznavanja aplikacij: rešitve se zelo razlikujejo po natančnosti identifikacije.

Glede na vse opravljene teste lahko odgovorno trdimo, da Ciscova rešitev Wi-Fi-6 zelo natančno izvaja prepoznavanje aplikacij: Jabber, Netflix, Dropbox, YouTube in druge priljubljene aplikacije ter spletne storitve so bile natančno identificirane. Rešitve Cisco se lahko tudi poglobijo v podatkovne pakete z uporabo DPI (Deep Packet Inspection).

Sledenje prometnemu toku

Opravljen je bil še en preizkus, da bi ugotovili, ali lahko sistem natančno sledi in poroča o tokovih podatkov (kot so premiki velikih datotek). Da bi to preizkusili, je bila po omrežju poslana 6,5 ​​megabajtna datoteka s protokolom za prenos datotek (FTP).

Rešitev Cisco je bila popolnoma kos nalogi in je lahko sledila temu prometu zahvaljujoč NetFlowu in njegovim zmogljivostim strojne opreme. Promet je bil zaznan in takoj identificiran z natančno količino prenesenih podatkov.

Analiza šifriranega prometa

Promet uporabniških podatkov je vedno bolj šifriran. To se naredi, da bi ga zaščitili pred sledenjem ali prestrezanjem s strani napadalcev. Hkrati pa hekerji vse pogosteje uporabljajo šifriranje, da skrijejo svojo zlonamerno programsko opremo in izvajajo druge dvomljive operacije, kot so napadi Man-in-the-Middle (MiTM) ali zapisovanje tipk.

Večina podjetij pregleda del svojega šifriranega prometa tako, da ga najprej dešifrira s požarnimi zidovi ali sistemi za preprečevanje vdorov. Toda ta postopek traja veliko časa in ne koristi delovanju omrežja kot celote. Poleg tega ti podatki, ko so dešifrirani, postanejo ranljivi za radovedne oči.

Krmilniki serije Cisco Catalyst 9800 uspešno rešujejo problem analiziranja šifriranega prometa z drugimi sredstvi. Rešitev se imenuje Encrypted Traffic Analytics (ETA). ETA je tehnologija, ki trenutno nima analogov v konkurenčnih rešitvah in ki zazna zlonamerno programsko opremo v šifriranem prometu, ne da bi jo bilo treba dešifrirati. ETA je osrednja funkcija IOS-XE, ki vključuje izboljšan NetFlow in uporablja napredne vedenjske algoritme za prepoznavanje vzorcev zlonamernega prometa, ki se skrivajo v šifriranem prometu.

ETA ne dešifrira sporočil, ampak zbira profile metapodatkov šifriranih prometnih tokov - velikost paketa, časovne intervale med paketi in še veliko več. Metapodatki se nato izvozijo v zapisih NetFlow v9 v Cisco Stealthwatch.

Ključna funkcija Stealthwatcha je nenehno spremljanje prometa in ustvarjanje izhodišča normalne omrežne dejavnosti. Z uporabo šifriranih metapodatkov toka, ki mu jih pošlje ETA, Stealthwatch uporablja večplastno strojno učenje za prepoznavanje vedenjskih prometnih anomalij, ki lahko kažejo na sumljive dogodke.

Lani je Cisco angažiral Miercom, da neodvisno oceni svojo rešitev Cisco Encrypted Traffic Analytics. Med to oceno je Miercom ločeno pošiljal znane in neznane grožnje (viruse, trojance, izsiljevalsko programsko opremo) v šifriranem in nešifriranem prometu prek velikih omrežij ETA in ne-ETA, da bi identificiral grožnje.

Za testiranje je bila v obeh omrežjih zagnana zlonamerna koda. V obeh primerih je bila sumljiva dejavnost odkrita postopoma. Omrežje ETA je na začetku zaznalo grožnje 36 % hitreje kot omrežje brez ETA. Hkrati se je z napredovanjem dela produktivnost detekcije v omrežju ETA začela povečevati. Posledično je bilo po več urah dela uspešno zaznanih dve tretjini aktivnih groženj v omrežju ETA, kar je dvakrat več kot v omrežju brez ETA.

Funkcionalnost ETA je dobro integrirana s Stealthwatch. Grožnje so razvrščene glede na resnost in prikazane s podrobnimi informacijami ter možnostmi popravljanja, ko so potrjene. Zaključek – ETA deluje!

Zaznavanje in preprečevanje vdorov

Cisco ima zdaj še eno učinkovito varnostno orodje - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mehanizem za zaznavanje in preprečevanje groženj brezžičnim omrežjem. Rešitev aWIPS deluje na ravni krmilnikov, dostopnih točk in programske opreme za upravljanje Cisco DNA Center. Zaznavanje groženj, opozarjanje in preprečevanje združuje analizo omrežnega prometa, informacije o omrežni napravi in ​​topologiji omrežja, tehnike, ki temeljijo na podpisu, in zaznavanje anomalij za zagotavljanje zelo natančnih brezžičnih groženj, ki jih je mogoče preprečiti.

S popolno integracijo aWIPS v vašo omrežno infrastrukturo lahko nenehno spremljate brezžični promet tako v žičnih kot brezžičnih omrežjih in ga uporabite za samodejno analizo morebitnih napadov iz več virov, da zagotovite najobsežnejše možno odkrivanje in preprečevanje.

Preverjanje pristnosti pomeni

Rešitve serije Cisco Catalyst 9800 trenutno poleg klasičnih orodij za avtentikacijo podpirajo WPA3. WPA3 je najnovejša različica WPA, ki je niz protokolov in tehnologij, ki zagotavljajo preverjanje pristnosti in šifriranje za omrežja Wi-Fi.

WPA3 uporablja SAE (Simultaneous Authentication of Equals), da uporabnikom zagotovi najmočnejšo zaščito pred poskusi ugibanja gesel s strani tretjih oseb. Ko se odjemalec poveže z dostopno točko, izvede izmenjavo SAE. Če bo uspešen, bo vsak izmed njih ustvaril kriptografsko močan ključ, iz katerega bo izpeljan ključ seje, nato pa bo prešel v stanje potrditve. Odjemalec in dostopna točka lahko nato vstopita v stanja rokovanja vsakič, ko je treba ustvariti ključ seje. Metoda uporablja vnaprejšnjo tajnost, pri kateri lahko napadalec vdre v en ključ, ne pa tudi v vse druge ključe.

To pomeni, da je SAE zasnovan tako, da ima napadalec, ki prestreže promet, samo en poskus uganjanja gesla, preden prestreženi podatki postanejo neuporabni. Če želite organizirati dolgo obnovitev gesla, boste potrebovali fizični dostop do dostopne točke.

Zaščita odjemalske naprave

Brezžične rešitve serije Cisco Catalyst 9800 trenutno zagotavljajo primarno funkcijo zaščite strank prek Cisco Umbrella WLAN, varnostne storitve omrežja v oblaku, ki deluje na ravni DNS s samodejnim zaznavanjem znanih in nastajajočih groženj.

Cisco Umbrella WLAN zagotavlja odjemalskim napravam varno povezavo z internetom. To dosežemo s filtriranjem vsebine, torej z blokiranjem dostopa do virov na internetu v skladu s politiko podjetja. Tako so odjemalske naprave v internetu zaščitene pred zlonamerno programsko opremo, izsiljevalsko programsko opremo in lažnim predstavljanjem. Uveljavljanje pravilnika temelji na 60 kategorijah vsebine, ki se nenehno posodabljajo.

Avtomatizacija

Današnja brezžična omrežja so veliko bolj prilagodljiva in kompleksna, zato tradicionalni načini konfiguriranja in pridobivanja informacij iz brezžičnih krmilnikov niso dovolj. Omrežni skrbniki in strokovnjaki za informacijsko varnost potrebujejo orodja za avtomatizacijo in analitiko, zaradi česar so ponudniki brezžičnih storitev ponudili takšna orodja.

Za rešitev teh težav brezžični krmilniki serije Cisco Catalyst 9800 skupaj s tradicionalnim API-jem zagotavljajo podporo za omrežni konfiguracijski protokol RESTCONF / NETCONF z jezikom za modeliranje podatkov YANG (Yet Another Next Generation).

NETCONF je protokol na osnovi XML, ki ga lahko aplikacije uporabljajo za poizvedovanje informacij in spreminjanje konfiguracije omrežnih naprav, kot so brezžični krmilniki.

Poleg teh metod krmilniki serije Cisco Catalyst 9800 ponujajo možnost zajemanja, pridobivanja in analiziranja podatkov o pretoku informacij z uporabo protokolov NetFlow in sFlow.

Za modeliranje varnosti in prometa je zmožnost sledenja določenim tokovom dragoceno orodje. Za rešitev te težave je bil implementiran protokol sFlow, ki omogoča zajem dveh paketov od vsakih sto. Vendar pa včasih to morda ne bo dovolj za analizo in ustrezno proučevanje ter ovrednotenje toka. Zato je alternativa NetFlow, ki ga izvaja Cisco, ki vam omogoča 100-odstotno zbiranje in izvoz vseh paketov v določenem toku za nadaljnjo analizo.

Druga lastnost, ki pa je na voljo samo v strojni izvedbi krmilnikov in omogoča avtomatizacijo delovanja brezžičnega omrežja v krmilnikih serije Cisco Catalyst 9800, je vgrajena podpora za jezik Python kot dodatek za uporabo skripte neposredno na samem brezžičnem krmilniku.

Končno, krmilniki serije Cisco Catalyst 9800 podpirajo preizkušen protokol SNMP različice 1, 2 in 3 za nadzor in upravljanje operacij.

Rešitve Cisco Catalyst 9800 Series tako z vidika avtomatizacije v celoti izpolnjujejo zahteve sodobnega poslovanja, saj ponujajo tako nova in unikatna kot tudi preizkušena orodja za avtomatizirano delovanje in analitiko v brezžičnih omrežjih vseh velikosti in zahtevnosti.

Zaključek

Pri rešitvah, ki temeljijo na krmilnikih serije Cisco Catalyst 9800, je Cisco pokazal odlične rezultate v kategorijah visoke razpoložljivosti, varnosti in avtomatizacije.

Rešitev v celoti izpolnjuje vse zahteve glede visoke razpoložljivosti, kot je podsekundni preklop med nenačrtovanimi dogodki in nič izpadov za načrtovane dogodke.

Krmilniki serije Cisco Catalyst 9800 zagotavljajo celovito varnost, ki zagotavlja globok pregled paketov za prepoznavanje in upravljanje aplikacij, popoln vpogled v tokove podatkov in identifikacijo groženj, skritih v šifriranem prometu, kot tudi napredne avtentikacijske in varnostne mehanizme za odjemalske naprave.

Za avtomatizacijo in analitiko serija Cisco Catalyst 9800 ponuja zmogljive zmogljivosti z uporabo priljubljenih standardnih modelov: YANG, NETCONF, RESTCONF, tradicionalni API-ji in vgrajeni skripti Python.

Tako Cisco ponovno potrjuje svoj status vodilnega svetovnega proizvajalca omrežnih rešitev, ki gre v korak s časom in upošteva vse izzive sodobnega poslovanja.

Za več informacij o družini stikal Catalyst obiščite Online Cisco.

Vir: www.habr.com