Nëse keni një kontrollues, nuk ka problem: si ta mirëmbani me lehtësi rrjetin tuaj pa tel

Në vitin 2019, kompania konsulente Miercom kreu një vlerësim të pavarur teknologjik të kontrollorëve Wi-Fi 6 të serisë Cisco Catalyst 9800. Për këtë studim u montua një stol testimi nga kontrollorët Cisco Wi-Fi 6 dhe pikat e hyrjes dhe zgjidhja teknike ishte vlerësohen në kategoritë e mëposhtme:

• Disponueshmëria;
• sigurisë;
• Automatizimi.

Rezultatet e studimit janë paraqitur më poshtë. Që nga viti 2019, funksionaliteti i kontrollorëve të serisë Cisco Catalyst 9800 është përmirësuar ndjeshëm - këto pika pasqyrohen gjithashtu në këtë artikull.

Ju mund të lexoni për avantazhet e tjera të teknologjisë Wi-Fi 6, shembuj të zbatimit dhe fushat e aplikimit këtu.

Përmbledhje e zgjidhjes

Kontrollues Wi-Fi 6 Seria Cisco Catalyst 9800

Kontrollorët pa tela të Serisë Cisco Catalyst 9800, të bazuara në sistemin operativ IOS-XE (përdoret gjithashtu për çelsat dhe ruterat Cisco), janë të disponueshëm në një sërë opsionesh.

Modeli më i vjetër i kontrolluesit 9800-80 mbështet xhiron e rrjetit pa tel deri në 80 Gbps. Një kontrollues 9800-80 mbështet deri në 6000 pika aksesi dhe deri në 64 klientë me valë.

Modeli i intervalit të mesëm, kontrolluesi 9800-40, mbështet deri në 40 Gbps xhiro, deri në 2000 pika aksesi dhe deri në 32 klientë me valë.

Përveç këtyre modeleve, analiza konkurruese përfshiu edhe kontrolluesin me valë 9800-CL (CL do të thotë Cloud). 9800-CL funksionon në mjedise virtuale në hipervizorët VMWare ESXI dhe KVM, dhe performanca e tij varet nga burimet e dedikuara harduerike për makinën virtuale të kontrolluesit. Në konfigurimin e tij maksimal, kontrolluesi Cisco 9800-CL, si modeli i vjetër 9800-80, mbështet shkallëzueshmërinë deri në 6000 pika aksesi dhe deri në 64 klientë me valë.

Gjatë kryerjes së kërkimit me kontrollorët, u përdorën pikat e hyrjes së serisë Cisco Aironet AP 4800, duke mbështetur funksionimin në frekuencat 2,4 dhe 5 GHz me aftësinë për të kaluar në mënyrë dinamike në modalitetin e dyfishtë 5 GHz.

Stand testimi

Si pjesë e testimit, u montua një stendë nga dy kontrollorë me valë Cisco Catalyst 9800-CL që funksionojnë në një grup dhe pika aksesi të serisë Cisco Aironet AP 4800.

Laptopë nga Dell dhe Apple, si dhe një smartphone Apple iPhone, u përdorën si pajisje klienti.

Testimi i aksesueshmërisë

Disponueshmëria përkufizohet si aftësia e përdoruesve për të hyrë dhe përdorur një sistem ose shërbim. Disponueshmëria e lartë nënkupton akses të vazhdueshëm në një sistem ose shërbim, pavarësisht nga ngjarje të caktuara.

Disponueshmëria e lartë u testua në katër skenarë, tre skenarët e parë ishin ngjarje të parashikueshme ose të planifikuara që mund të ndodhin gjatë ose pas orarit të punës. Skenari i pestë është një dështim klasik, i cili është një ngjarje e paparashikueshme.

Përshkrimi i skenarëve:

• Korrigjimi i gabimit - një mikro-përditësim i sistemit (korrigjim i gabimeve ose patch i sigurisë), i cili ju lejon të rregulloni një gabim ose dobësi të veçantë pa një përditësim të plotë të softuerit të sistemit;
• Përditësimi funksional – shtimi ose zgjerimi i funksionalitetit aktual të sistemit duke instaluar përditësime funksionale;
• Përditësimi i plotë – përditësoni imazhin e softuerit të kontrolluesit;
• Shtimi i një pike aksesi – shtimi i një modeli të ri të pikës së aksesit në një rrjet me valë pa pasur nevojë të rikonfiguroni ose përditësoni softuerin e kontrolluesit me valë;
• Dështim - dështim i kontrolluesit me valë.

Rregullimi i gabimeve dhe dobësive

Shpesh, me shumë zgjidhje konkurruese, rregullimi kërkon një përditësim të plotë të softuerit të sistemit të kontrolluesit me valë, gjë që mund të rezultojë në ndërprerje të paplanifikuara. Në rastin e zgjidhjes Cisco, arnimi kryhet pa ndalur produktin. Arnimet mund të instalohen në cilindo nga komponentët ndërkohë që infrastruktura me valë vazhdon të funksionojë.

Procedura në vetvete është mjaft e thjeshtë. Skedari i patch-it kopjohet në dosjen bootstrap në një nga kontrollorët me valë Cisco dhe më pas operacioni konfirmohet nëpërmjet GUI-së ose linjës së komandës. Përveç kësaj, ju gjithashtu mund të zhbëni dhe hiqni rregullimin përmes GUI ose linjës së komandës, gjithashtu pa ndërprerë funksionimin e sistemit.

Përditësim funksional

Përditësimet funksionale të softuerit aplikohen për të mundësuar funksione të reja. Një nga këto përmirësime është përditësimi i bazës së të dhënave të nënshkrimit të aplikacionit. Kjo paketë u instalua në kontrollorët Cisco si test. Ashtu si me arnimet, përditësimet e veçorive aplikohen, instalohen ose hiqen pa ndërprerje ose ndërprerje të sistemit.

Përditësim i plotë

Për momentin, një përditësim i plotë i imazhit të softuerit të kontrolluesit kryhet në të njëjtën mënyrë si një përditësim funksional, domethënë pa ndërprerje. Megjithatë, kjo veçori disponohet vetëm në një konfigurim grupi kur ka më shumë se një kontrollues. Një përditësim i plotë kryhet në mënyrë sekuenciale: së pari në një kontrollues, pastaj në të dytin.

Shtimi i një modeli të ri të pikës së aksesit

Lidhja e pikave të reja të aksesit, të cilat nuk janë përdorur më parë me imazhin e softuerit të kontrolluesit të përdorur, me një rrjet me valë është një operacion mjaft i zakonshëm, veçanërisht në rrjetet e mëdha (aeroporte, hotele, fabrika). Shumë shpesh në zgjidhjet e konkurrencës, ky operacion kërkon përditësimin e softuerit të sistemit ose rindezjen e kontrolluesve.

Kur lidhni pika të reja aksesi Wi-Fi 6 me një grup kontrolluesish të serisë Cisco Catalyst 9800, nuk vërehen probleme të tilla. Lidhja e pikave të reja me kontrolluesin kryhet pa përditësuar softuerin e kontrolluesit dhe ky proces nuk kërkon rindezje, duke mos ndikuar në asnjë mënyrë në rrjetin pa tel.

Dështimi i kontrollorit

Mjedisi i testimit përdor dy kontrollues Wi-Fi 6 (Active/StandBy) dhe pika e hyrjes ka një lidhje të drejtpërdrejtë me të dy kontrollorët.

Një kontrollues me valë është aktiv, dhe tjetri, përkatësisht, është rezervë. Nëse kontrolluesi aktiv dështon, kontrolluesi rezervë merr kontrollin dhe statusi i tij ndryshon në aktiv. Kjo procedurë ndodh pa ndërprerje për pikën e aksesit dhe Wi-Fi për klientët.

siguri

Ky seksion diskuton aspektet e sigurisë, e cila është një çështje jashtëzakonisht e ngutshme në rrjetet me valë. Siguria e zgjidhjes vlerësohet bazuar në karakteristikat e mëposhtme:

• Njohja e aplikacionit;
• Ndjekja e rrjedhës;
• Analiza e trafikut të koduar;
• Zbulimi dhe parandalimi i ndërhyrjeve;
• Mjetet e vërtetimit;
• Mjetet e mbrojtjes së pajisjes së klientit.

Njohja e aplikacionit

Midis shumëllojshmërisë së produkteve në tregun Wi-Fi të ndërmarrjeve dhe industriale, ka dallime në atë se sa mirë produktet identifikojnë trafikun sipas aplikacionit. Produktet nga prodhues të ndryshëm mund të identifikojnë numër të ndryshëm aplikimesh. Megjithatë, shumë nga aplikacionet që zgjidhjet konkurruese rendisin si të mundshme për identifikim janë, në fakt, faqe interneti dhe jo aplikacione unike.

Ekziston një veçori tjetër interesante e njohjes së aplikacionit: zgjidhjet ndryshojnë shumë në saktësinë e identifikimit.

Duke marrë parasysh të gjitha testet e kryera, mund të themi me përgjegjësi se zgjidhja Wi-Fi-6 e Cisco-s kryen njohjen e aplikacioneve me shumë saktësi: Jabber, Netflix, Dropbox, YouTube dhe aplikacione të tjera të njohura, si dhe shërbimet e internetit, u identifikuan me saktësi. Zgjidhjet Cisco gjithashtu mund të zhyten më thellë në paketat e të dhënave duke përdorur DPI (Deep Packet Inspection).

Ndjekja e rrjedhës së trafikut

Një test tjetër u krye për të parë nëse sistemi mund të gjurmonte dhe raportonte me saktësi rrjedhat e të dhënave (siç janë lëvizjet e mëdha të skedarëve). Për të testuar këtë, një skedar 6,5 megabajt u dërgua në rrjet duke përdorur Protokollin e Transferimit të Skedarit (FTP).

Zgjidhja Cisco ishte plotësisht në gjendje të përmbushte detyrën dhe ishte në gjendje të gjurmonte këtë trafik falë NetFlow dhe aftësive të tij harduerike. Trafiku u zbulua dhe u identifikua menjëherë me sasinë e saktë të të dhënave të transferuara.

Analiza e koduar e trafikut

Trafiku i të dhënave të përdoruesit po kodohet gjithnjë e më shumë. Kjo bëhet për ta mbrojtur atë nga gjurmimi ose përgjimi nga sulmuesit. Por në të njëjtën kohë, hakerët po përdorin gjithnjë e më shumë enkriptimin për të fshehur malware-in e tyre dhe për të kryer operacione të tjera të dyshimta si Man-in-the-Middle (MiTM) ose sulme të regjistrimit të çelësave.

Shumica e bizneseve inspektojnë një pjesë të trafikut të tyre të koduar duke e deshifruar fillimisht duke përdorur mure zjarri ose sisteme të parandalimit të ndërhyrjeve. Por ky proces kërkon shumë kohë dhe nuk përfiton performancën e rrjetit në tërësi. Përveç kësaj, pasi të deshifrohen, këto të dhëna bëhen të pambrojtura ndaj syve kureshtarë.

Kontrollorët Cisco Catalyst 9800 Series zgjidhin me sukses problemin e analizimit të trafikut të koduar me mjete të tjera. Zgjidhja quhet Analiza e Trafikut të Enkriptuar (ETA). ETA është një teknologji që aktualisht nuk ka analoge në zgjidhjet konkurruese dhe e cila zbulon malware në trafikun e koduar pa pasur nevojë për deshifrimin e tij. ETA është një veçori thelbësore e IOS-XE që përfshin Enhanced NetFlow dhe përdor algoritme të avancuara të sjelljes për të identifikuar modelet e trafikut me qëllim të keq që fshihen në trafikun e koduar.

ETA nuk deshifron mesazhet, por mbledh profilet e meta të dhënave të flukseve të trafikut të koduar - madhësia e paketës, intervalet kohore midis paketave dhe shumë më tepër. Meta të dhënat më pas eksportohen në regjistrimet NetFlow v9 në Cisco Stealthwatch.

Funksioni kryesor i Stealthwatch është të monitorojë vazhdimisht trafikun, si dhe të krijojë një bazë të aktivitetit normal të rrjetit. Duke përdorur meta të dhënat e transmetimit të koduar që i dërgohen nga ETA, Stealthwatch zbaton mësimin e makinerive me shumë shtresa për të identifikuar anomalitë e sjelljes së trafikut që mund të tregojnë ngjarje të dyshimta.

Vitin e kaluar, Cisco angazhoi Miercom për të vlerësuar në mënyrë të pavarur zgjidhjen e saj të Cisco Encrypted Traffic Analytics. Gjatë këtij vlerësimi, Miercom dërgoi veçmas kërcënime të njohura dhe të panjohura (viruse, trojanë, ransomware) në trafik të koduar dhe të pakriptuar nëpër rrjete të mëdha ETA dhe jo-ETA për të identifikuar kërcënimet.

Për testim, kodi me qëllim të keq u lëshua në të dy rrjetet. Në të dyja rastet u zbulua gradualisht aktivitet i dyshimtë. Rrjeti ETA fillimisht zbuloi kërcënimet 36% më shpejt se rrjeti jo-ETA. Në të njëjtën kohë, me përparimin e punës, produktiviteti i zbulimit në rrjetin ETA filloi të rritet. Si rezultat, pas disa orësh punë, dy të tretat e kërcënimeve aktive u zbuluan me sukses në rrjetin ETA, që është dy herë më shumë se në rrjetin jo-ETA.

Funksionaliteti ETA është i integruar mirë me Stealthwatch. Kërcënimet renditen sipas ashpërsisë dhe shfaqen me informacion të detajuar, si dhe opsionet e riparimit pasi të konfirmohen. Përfundim – ETA funksionon!

Zbulimi dhe parandalimi i ndërhyrjeve

Cisco tani ka një mjet tjetër efektiv sigurie - Cisco Advanced Wireless Prevention System (aWIPS): një mekanizëm për zbulimin dhe parandalimin e kërcënimeve ndaj rrjeteve pa tel. Zgjidhja aWIPS funksionon në nivelin e kontrollorëve, pikave të aksesit dhe softuerit të menaxhimit të Cisco DNA Center. Zbulimi, sinjalizimi dhe parandalimi i kërcënimit kombinon analizën e trafikut të rrjetit, informacionin e pajisjes së rrjetit dhe topologjisë së rrjetit, teknikat e bazuara në nënshkrime dhe zbulimin e anomalive për të ofruar kërcënime me valë shumë të sakta dhe të parandalueshme.

Duke integruar plotësisht aWIPS në infrastrukturën e rrjetit tuaj, ju mund të monitoroni vazhdimisht trafikun me valë si në rrjetet me tela ashtu edhe në rrjetet me valë dhe ta përdorni atë për të analizuar automatikisht sulmet e mundshme nga burime të shumta për të siguruar zbulimin dhe parandalimin më të plotë të mundshëm.

Autentifikimi do të thotë

Për momentin, përveç mjeteve klasike të vërtetimit, zgjidhjet e serisë Cisco Catalyst 9800 mbështesin WPA3. WPA3 është versioni më i fundit i WPA, i cili është një grup protokollesh dhe teknologjish që ofrojnë vërtetim dhe kriptim për rrjetet Wi-Fi.

WPA3 përdor vërtetimin e njëkohshëm të të barabartëve (SAE) për të ofruar mbrojtjen më të fortë për përdoruesit kundër përpjekjeve për hamendjen e fjalëkalimeve nga palët e treta. Kur një klient lidhet me një pikë aksesi, ai kryen një shkëmbim SAE. Nëse është i suksesshëm, secili prej tyre do të krijojë një çelës të fortë kriptografik nga i cili do të rrjedhë çelësi i sesionit dhe më pas ata do të hyjnë në gjendjen e konfirmimit. Klienti dhe pika e hyrjes mund të vendosin më pas gjendjet e shtrëngimit të duarve sa herë që duhet të gjenerohet një çelës sesioni. Metoda përdor sekretin përpara, në të cilin një sulmues mund të godasë një çelës, por jo të gjithë çelësat e tjerë.

Kjo do të thotë, SAE është projektuar në atë mënyrë që një sulmues që përgjon trafikun ka vetëm një përpjekje për të gjetur fjalëkalimin përpara se të dhënat e përgjuara të bëhen të padobishme. Për të organizuar një rikuperim të gjatë të fjalëkalimit, do t'ju duhet qasje fizike në pikën e hyrjes.

Mbrojtja e pajisjes së klientit

Zgjidhjet me valë të Serisë Cisco Catalyst 9800 aktualisht ofrojnë veçorinë kryesore të mbrojtjes së klientit përmes Cisco Umbrella WLAN, një shërbim sigurie rrjeti i bazuar në renë kompjuterike që funksionon në nivelin DNS me zbulimin automatik të kërcënimeve të njohura dhe atyre në zhvillim.

Cisco Umbrella WLAN u siguron pajisjeve klientëve një lidhje të sigurt me internetin. Kjo arrihet përmes filtrimit të përmbajtjes, domethënë duke bllokuar aksesin në burimet në internet në përputhje me politikën e ndërmarrjes. Kështu, pajisjet e klientit në internet mbrohen nga malware, ransomware dhe phishing. Zbatimi i politikave bazohet në 60 kategori përmbajtjesh të përditësuara vazhdimisht.

automatizim

Rrjetet e sotme wireless janë shumë më fleksibël dhe komplekse, kështu që metodat tradicionale të konfigurimit dhe marrjes së informacionit nga kontrollorët me valë nuk janë të mjaftueshme. Administratorët e rrjetit dhe profesionistët e sigurisë së informacionit kërkojnë mjete për automatizimin dhe analitikën, duke nxitur shitësit me valë të ofrojnë mjete të tilla.

Për të zgjidhur këto probleme, kontrollorët pa tel të serisë Cisco Catalyst 9800, së bashku me API-në tradicionale, ofrojnë mbështetje për protokollin e konfigurimit të rrjetit RESTCONF / NETCONF me gjuhën e modelimit të të dhënave YANG (Edhe një tjetër gjeneratë tjetër).

NETCONF është një protokoll i bazuar në XML që aplikacionet mund ta përdorin për të kërkuar informacione dhe për të ndryshuar konfigurimin e pajisjeve të rrjetit, si p.sh. kontrollorët me valë.

Përveç këtyre metodave, kontrollorët Cisco Catalyst 9800 Series ofrojnë mundësinë për të kapur, marrë dhe analizuar të dhënat e rrjedhës së informacionit duke përdorur protokollet NetFlow dhe sFlow.

Për sigurinë dhe modelimin e trafikut, aftësia për të gjurmuar flukse specifike është një mjet i vlefshëm. Për të zgjidhur këtë problem, u zbatua protokolli sFlow, i cili ju lejon të kapni dy pako nga çdo njëqind. Megjithatë, ndonjëherë kjo mund të mos jetë e mjaftueshme për të analizuar dhe studiuar dhe vlerësuar në mënyrë adekuate rrjedhën. Prandaj, një alternativë është NetFlow, i implementuar nga Cisco, i cili ju lejon të grumbulloni dhe eksportoni 100% të gjitha paketat në një rrjedhë të caktuar për analiza të mëvonshme.

Një veçori tjetër, megjithatë, e disponueshme vetëm në zbatimin e harduerit të kontrollorëve, i cili ju lejon të automatizoni funksionimin e rrjetit pa tel në kontrollorët e serisë Cisco Catalyst 9800, është mbështetja e integruar për gjuhën Python si një shtesë për përdorim. skriptet direkt në vetë kontrolluesin me valë.

Së fundi, Cisco Catalyst 9800 Series Controllers mbështesin protokollin e provuar SNMP versionin 1, 2 dhe 3 për operacionet e monitorimit dhe menaxhimit.

Kështu, për sa i përket automatizimit, zgjidhjet Cisco Catalyst 9800 Series plotësojnë plotësisht kërkesat moderne të biznesit, duke ofruar mjete të reja dhe unike, si dhe mjete të testuara me kohë për operacione të automatizuara dhe analitikë në rrjetet pa tel të çdo madhësie dhe kompleksiteti.

Përfundim

Në zgjidhjet e bazuara në kontrollorët Cisco Catalyst 9800 Series, Cisco demonstroi rezultate të shkëlqyera në kategoritë e disponueshmërisë së lartë, sigurisë dhe automatizimit.

Zgjidhja plotëson plotësisht të gjitha kërkesat e disponueshmërisë së lartë, si p.sh. dështimi nën-sekond gjatë ngjarjeve të paplanifikuara dhe zero joproduktive për ngjarjet e planifikuara.

Kontrollorët Cisco Catalyst 9800 Series ofrojnë siguri gjithëpërfshirëse që ofron inspektim të thellë të paketave për njohjen dhe menaxhimin e aplikacionit, dukshmëri të plotë në rrjedhat e të dhënave dhe identifikimin e kërcënimeve të fshehura në trafikun e koduar, si dhe vërtetim të avancuar dhe mekanizma sigurie për pajisjet e klientit.

Për automatizimin dhe analitikën, Seria Cisco Catalyst 9800 ofron aftësi të fuqishme duke përdorur modele standarde të njohura: YANG, NETCONF, RESTCONF, API-të tradicionale dhe skriptet e integruara Python.

Kështu, Cisco konfirmon edhe një herë statusin e saj si prodhuesi kryesor në botë i zgjidhjeve të rrjeteve, duke ecur në hap me kohën dhe duke marrë parasysh të gjitha sfidat e biznesit modern.

Për më shumë informacion rreth familjes së ndërprerësit Catalyst, vizitoni Online cisco.

Burimi: www.habr.com

Në vitin 2019, kompania konsulente Miercom kreu një vlerësim të pavarur teknologjik të kontrollorëve Wi-Fi 6 të serisë Cisco Catalyst 9800. Për këtë studim u montua një stol testimi nga kontrollorët Cisco Wi-Fi 6 dhe pikat e hyrjes dhe zgjidhja teknike ishte vlerësohen në kategoritë e mëposhtme:

• Disponueshmëria;
• sigurisë;
• Automatizimi.

Rezultatet e studimit janë paraqitur më poshtë. Që nga viti 2019, funksionaliteti i kontrollorëve të serisë Cisco Catalyst 9800 është përmirësuar ndjeshëm - këto pika pasqyrohen gjithashtu në këtë artikull.

Ju mund të lexoni për avantazhet e tjera të teknologjisë Wi-Fi 6, shembuj të zbatimit dhe fushat e aplikimit këtu.

Përmbledhje e zgjidhjes

Kontrollues Wi-Fi 6 Seria Cisco Catalyst 9800

Kontrollorët pa tela të Serisë Cisco Catalyst 9800, të bazuara në sistemin operativ IOS-XE (përdoret gjithashtu për çelsat dhe ruterat Cisco), janë të disponueshëm në një sërë opsionesh.

Modeli më i vjetër i kontrolluesit 9800-80 mbështet xhiron e rrjetit pa tel deri në 80 Gbps. Një kontrollues 9800-80 mbështet deri në 6000 pika aksesi dhe deri në 64 klientë me valë.

Modeli i intervalit të mesëm, kontrolluesi 9800-40, mbështet deri në 40 Gbps xhiro, deri në 2000 pika aksesi dhe deri në 32 klientë me valë.

Përveç këtyre modeleve, analiza konkurruese përfshiu edhe kontrolluesin me valë 9800-CL (CL do të thotë Cloud). 9800-CL funksionon në mjedise virtuale në hipervizorët VMWare ESXI dhe KVM, dhe performanca e tij varet nga burimet e dedikuara harduerike për makinën virtuale të kontrolluesit. Në konfigurimin e tij maksimal, kontrolluesi Cisco 9800-CL, si modeli i vjetër 9800-80, mbështet shkallëzueshmërinë deri në 6000 pika aksesi dhe deri në 64 klientë me valë.

Gjatë kryerjes së kërkimit me kontrollorët, u përdorën pikat e hyrjes së serisë Cisco Aironet AP 4800, duke mbështetur funksionimin në frekuencat 2,4 dhe 5 GHz me aftësinë për të kaluar në mënyrë dinamike në modalitetin e dyfishtë 5 GHz.

Stand testimi

Si pjesë e testimit, u montua një stendë nga dy kontrollorë me valë Cisco Catalyst 9800-CL që funksionojnë në një grup dhe pika aksesi të serisë Cisco Aironet AP 4800.

Laptopë nga Dell dhe Apple, si dhe një smartphone Apple iPhone, u përdorën si pajisje klienti.

Testimi i aksesueshmërisë

Disponueshmëria përkufizohet si aftësia e përdoruesve për të hyrë dhe përdorur një sistem ose shërbim. Disponueshmëria e lartë nënkupton akses të vazhdueshëm në një sistem ose shërbim, pavarësisht nga ngjarje të caktuara.

Disponueshmëria e lartë u testua në katër skenarë, tre skenarët e parë ishin ngjarje të parashikueshme ose të planifikuara që mund të ndodhin gjatë ose pas orarit të punës. Skenari i pestë është një dështim klasik, i cili është një ngjarje e paparashikueshme.

Përshkrimi i skenarëve:

• Korrigjimi i gabimit - një mikro-përditësim i sistemit (korrigjim i gabimeve ose patch i sigurisë), i cili ju lejon të rregulloni një gabim ose dobësi të veçantë pa një përditësim të plotë të softuerit të sistemit;
• Përditësimi funksional – shtimi ose zgjerimi i funksionalitetit aktual të sistemit duke instaluar përditësime funksionale;
• Përditësimi i plotë – përditësoni imazhin e softuerit të kontrolluesit;
• Shtimi i një pike aksesi – shtimi i një modeli të ri të pikës së aksesit në një rrjet me valë pa pasur nevojë të rikonfiguroni ose përditësoni softuerin e kontrolluesit me valë;
• Dështim - dështim i kontrolluesit me valë.

Rregullimi i gabimeve dhe dobësive

Shpesh, me shumë zgjidhje konkurruese, rregullimi kërkon një përditësim të plotë të softuerit të sistemit të kontrolluesit me valë, gjë që mund të rezultojë në ndërprerje të paplanifikuara. Në rastin e zgjidhjes Cisco, arnimi kryhet pa ndalur produktin. Arnimet mund të instalohen në cilindo nga komponentët ndërkohë që infrastruktura me valë vazhdon të funksionojë.

Procedura në vetvete është mjaft e thjeshtë. Skedari i patch-it kopjohet në dosjen bootstrap në një nga kontrollorët me valë Cisco dhe më pas operacioni konfirmohet nëpërmjet GUI-së ose linjës së komandës. Përveç kësaj, ju gjithashtu mund të zhbëni dhe hiqni rregullimin përmes GUI ose linjës së komandës, gjithashtu pa ndërprerë funksionimin e sistemit.

Përditësim funksional

Përditësimet funksionale të softuerit aplikohen për të mundësuar funksione të reja. Një nga këto përmirësime është përditësimi i bazës së të dhënave të nënshkrimit të aplikacionit. Kjo paketë u instalua në kontrollorët Cisco si test. Ashtu si me arnimet, përditësimet e veçorive aplikohen, instalohen ose hiqen pa ndërprerje ose ndërprerje të sistemit.

Përditësim i plotë

Për momentin, një përditësim i plotë i imazhit të softuerit të kontrolluesit kryhet në të njëjtën mënyrë si një përditësim funksional, domethënë pa ndërprerje. Megjithatë, kjo veçori disponohet vetëm në një konfigurim grupi kur ka më shumë se një kontrollues. Një përditësim i plotë kryhet në mënyrë sekuenciale: së pari në një kontrollues, pastaj në të dytin.

Shtimi i një modeli të ri të pikës së aksesit

Lidhja e pikave të reja të aksesit, të cilat nuk janë përdorur më parë me imazhin e softuerit të kontrolluesit të përdorur, me një rrjet me valë është një operacion mjaft i zakonshëm, veçanërisht në rrjetet e mëdha (aeroporte, hotele, fabrika). Shumë shpesh në zgjidhjet e konkurrencës, ky operacion kërkon përditësimin e softuerit të sistemit ose rindezjen e kontrolluesve.

Kur lidhni pika të reja aksesi Wi-Fi 6 me një grup kontrolluesish të serisë Cisco Catalyst 9800, nuk vërehen probleme të tilla. Lidhja e pikave të reja me kontrolluesin kryhet pa përditësuar softuerin e kontrolluesit dhe ky proces nuk kërkon rindezje, duke mos ndikuar në asnjë mënyrë në rrjetin pa tel.

Dështimi i kontrollorit

Mjedisi i testimit përdor dy kontrollues Wi-Fi 6 (Active/StandBy) dhe pika e hyrjes ka një lidhje të drejtpërdrejtë me të dy kontrollorët.

Një kontrollues me valë është aktiv, dhe tjetri, përkatësisht, është rezervë. Nëse kontrolluesi aktiv dështon, kontrolluesi rezervë merr kontrollin dhe statusi i tij ndryshon në aktiv. Kjo procedurë ndodh pa ndërprerje për pikën e aksesit dhe Wi-Fi për klientët.

siguri

Ky seksion diskuton aspektet e sigurisë, e cila është një çështje jashtëzakonisht e ngutshme në rrjetet me valë. Siguria e zgjidhjes vlerësohet bazuar në karakteristikat e mëposhtme:

• Njohja e aplikacionit;
• Ndjekja e rrjedhës;
• Analiza e trafikut të koduar;
• Zbulimi dhe parandalimi i ndërhyrjeve;
• Mjetet e vërtetimit;
• Mjetet e mbrojtjes së pajisjes së klientit.

Njohja e aplikacionit

Midis shumëllojshmërisë së produkteve në tregun Wi-Fi të ndërmarrjeve dhe industriale, ka dallime në atë se sa mirë produktet identifikojnë trafikun sipas aplikacionit. Produktet nga prodhues të ndryshëm mund të identifikojnë numër të ndryshëm aplikimesh. Megjithatë, shumë nga aplikacionet që zgjidhjet konkurruese rendisin si të mundshme për identifikim janë, në fakt, faqe interneti dhe jo aplikacione unike.

Ekziston një veçori tjetër interesante e njohjes së aplikacionit: zgjidhjet ndryshojnë shumë në saktësinë e identifikimit.

Duke marrë parasysh të gjitha testet e kryera, mund të themi me përgjegjësi se zgjidhja Wi-Fi-6 e Cisco-s kryen njohjen e aplikacioneve me shumë saktësi: Jabber, Netflix, Dropbox, YouTube dhe aplikacione të tjera të njohura, si dhe shërbimet e internetit, u identifikuan me saktësi. Zgjidhjet Cisco gjithashtu mund të zhyten më thellë në paketat e të dhënave duke përdorur DPI (Deep Packet Inspection).

Ndjekja e rrjedhës së trafikut

Një test tjetër u krye për të parë nëse sistemi mund të gjurmonte dhe raportonte me saktësi rrjedhat e të dhënave (siç janë lëvizjet e mëdha të skedarëve). Për të testuar këtë, një skedar 6,5 megabajt u dërgua në rrjet duke përdorur Protokollin e Transferimit të Skedarit (FTP).

Zgjidhja Cisco ishte plotësisht në gjendje të përmbushte detyrën dhe ishte në gjendje të gjurmonte këtë trafik falë NetFlow dhe aftësive të tij harduerike. Trafiku u zbulua dhe u identifikua menjëherë me sasinë e saktë të të dhënave të transferuara.

Analiza e koduar e trafikut

Trafiku i të dhënave të përdoruesit po kodohet gjithnjë e më shumë. Kjo bëhet për ta mbrojtur atë nga gjurmimi ose përgjimi nga sulmuesit. Por në të njëjtën kohë, hakerët po përdorin gjithnjë e më shumë enkriptimin për të fshehur malware-in e tyre dhe për të kryer operacione të tjera të dyshimta si Man-in-the-Middle (MiTM) ose sulme të regjistrimit të çelësave.

Shumica e bizneseve inspektojnë një pjesë të trafikut të tyre të koduar duke e deshifruar fillimisht duke përdorur mure zjarri ose sisteme të parandalimit të ndërhyrjeve. Por ky proces kërkon shumë kohë dhe nuk përfiton performancën e rrjetit në tërësi. Përveç kësaj, pasi të deshifrohen, këto të dhëna bëhen të pambrojtura ndaj syve kureshtarë.

Kontrollorët Cisco Catalyst 9800 Series zgjidhin me sukses problemin e analizimit të trafikut të koduar me mjete të tjera. Zgjidhja quhet Analiza e Trafikut të Enkriptuar (ETA). ETA është një teknologji që aktualisht nuk ka analoge në zgjidhjet konkurruese dhe e cila zbulon malware në trafikun e koduar pa pasur nevojë për deshifrimin e tij. ETA është një veçori thelbësore e IOS-XE që përfshin Enhanced NetFlow dhe përdor algoritme të avancuara të sjelljes për të identifikuar modelet e trafikut me qëllim të keq që fshihen në trafikun e koduar.

ETA nuk deshifron mesazhet, por mbledh profilet e meta të dhënave të flukseve të trafikut të koduar - madhësia e paketës, intervalet kohore midis paketave dhe shumë më tepër. Meta të dhënat më pas eksportohen në regjistrimet NetFlow v9 në Cisco Stealthwatch.

Funksioni kryesor i Stealthwatch është të monitorojë vazhdimisht trafikun, si dhe të krijojë një bazë të aktivitetit normal të rrjetit. Duke përdorur meta të dhënat e transmetimit të koduar që i dërgohen nga ETA, Stealthwatch zbaton mësimin e makinerive me shumë shtresa për të identifikuar anomalitë e sjelljes së trafikut që mund të tregojnë ngjarje të dyshimta.

Vitin e kaluar, Cisco angazhoi Miercom për të vlerësuar në mënyrë të pavarur zgjidhjen e saj të Cisco Encrypted Traffic Analytics. Gjatë këtij vlerësimi, Miercom dërgoi veçmas kërcënime të njohura dhe të panjohura (viruse, trojanë, ransomware) në trafik të koduar dhe të pakriptuar nëpër rrjete të mëdha ETA dhe jo-ETA për të identifikuar kërcënimet.

Për testim, kodi me qëllim të keq u lëshua në të dy rrjetet. Në të dyja rastet u zbulua gradualisht aktivitet i dyshimtë. Rrjeti ETA fillimisht zbuloi kërcënimet 36% më shpejt se rrjeti jo-ETA. Në të njëjtën kohë, me përparimin e punës, produktiviteti i zbulimit në rrjetin ETA filloi të rritet. Si rezultat, pas disa orësh punë, dy të tretat e kërcënimeve aktive u zbuluan me sukses në rrjetin ETA, që është dy herë më shumë se në rrjetin jo-ETA.

Funksionaliteti ETA është i integruar mirë me Stealthwatch. Kërcënimet renditen sipas ashpërsisë dhe shfaqen me informacion të detajuar, si dhe opsionet e riparimit pasi të konfirmohen. Përfundim – ETA funksionon!

Zbulimi dhe parandalimi i ndërhyrjeve

Cisco tani ka një mjet tjetër efektiv sigurie - Cisco Advanced Wireless Prevention System (aWIPS): një mekanizëm për zbulimin dhe parandalimin e kërcënimeve ndaj rrjeteve pa tel. Zgjidhja aWIPS funksionon në nivelin e kontrollorëve, pikave të aksesit dhe softuerit të menaxhimit të Cisco DNA Center. Zbulimi, sinjalizimi dhe parandalimi i kërcënimit kombinon analizën e trafikut të rrjetit, informacionin e pajisjes së rrjetit dhe topologjisë së rrjetit, teknikat e bazuara në nënshkrime dhe zbulimin e anomalive për të ofruar kërcënime me valë shumë të sakta dhe të parandalueshme.

Duke integruar plotësisht aWIPS në infrastrukturën e rrjetit tuaj, ju mund të monitoroni vazhdimisht trafikun me valë si në rrjetet me tela ashtu edhe në rrjetet me valë dhe ta përdorni atë për të analizuar automatikisht sulmet e mundshme nga burime të shumta për të siguruar zbulimin dhe parandalimin më të plotë të mundshëm.

Autentifikimi do të thotë

Për momentin, përveç mjeteve klasike të vërtetimit, zgjidhjet e serisë Cisco Catalyst 9800 mbështesin WPA3. WPA3 është versioni më i fundit i WPA, i cili është një grup protokollesh dhe teknologjish që ofrojnë vërtetim dhe kriptim për rrjetet Wi-Fi.

WPA3 përdor vërtetimin e njëkohshëm të të barabartëve (SAE) për të ofruar mbrojtjen më të fortë për përdoruesit kundër përpjekjeve për hamendjen e fjalëkalimeve nga palët e treta. Kur një klient lidhet me një pikë aksesi, ai kryen një shkëmbim SAE. Nëse është i suksesshëm, secili prej tyre do të krijojë një çelës të fortë kriptografik nga i cili do të rrjedhë çelësi i sesionit dhe më pas ata do të hyjnë në gjendjen e konfirmimit. Klienti dhe pika e hyrjes mund të vendosin më pas gjendjet e shtrëngimit të duarve sa herë që duhet të gjenerohet një çelës sesioni. Metoda përdor sekretin përpara, në të cilin një sulmues mund të godasë një çelës, por jo të gjithë çelësat e tjerë.

Kjo do të thotë, SAE është projektuar në atë mënyrë që një sulmues që përgjon trafikun ka vetëm një përpjekje për të gjetur fjalëkalimin përpara se të dhënat e përgjuara të bëhen të padobishme. Për të organizuar një rikuperim të gjatë të fjalëkalimit, do t'ju duhet qasje fizike në pikën e hyrjes.

Mbrojtja e pajisjes së klientit

Zgjidhjet me valë të Serisë Cisco Catalyst 9800 aktualisht ofrojnë veçorinë kryesore të mbrojtjes së klientit përmes Cisco Umbrella WLAN, një shërbim sigurie rrjeti i bazuar në renë kompjuterike që funksionon në nivelin DNS me zbulimin automatik të kërcënimeve të njohura dhe atyre në zhvillim.

Cisco Umbrella WLAN u siguron pajisjeve klientëve një lidhje të sigurt me internetin. Kjo arrihet përmes filtrimit të përmbajtjes, domethënë duke bllokuar aksesin në burimet në internet në përputhje me politikën e ndërmarrjes. Kështu, pajisjet e klientit në internet mbrohen nga malware, ransomware dhe phishing. Zbatimi i politikave bazohet në 60 kategori përmbajtjesh të përditësuara vazhdimisht.

automatizim

Rrjetet e sotme wireless janë shumë më fleksibël dhe komplekse, kështu që metodat tradicionale të konfigurimit dhe marrjes së informacionit nga kontrollorët me valë nuk janë të mjaftueshme. Administratorët e rrjetit dhe profesionistët e sigurisë së informacionit kërkojnë mjete për automatizimin dhe analitikën, duke nxitur shitësit me valë të ofrojnë mjete të tilla.

Për të zgjidhur këto probleme, kontrollorët pa tel të serisë Cisco Catalyst 9800, së bashku me API-në tradicionale, ofrojnë mbështetje për protokollin e konfigurimit të rrjetit RESTCONF / NETCONF me gjuhën e modelimit të të dhënave YANG (Edhe një tjetër gjeneratë tjetër).

NETCONF është një protokoll i bazuar në XML që aplikacionet mund ta përdorin për të kërkuar informacione dhe për të ndryshuar konfigurimin e pajisjeve të rrjetit, si p.sh. kontrollorët me valë.

Përveç këtyre metodave, kontrollorët Cisco Catalyst 9800 Series ofrojnë mundësinë për të kapur, marrë dhe analizuar të dhënat e rrjedhës së informacionit duke përdorur protokollet NetFlow dhe sFlow.

Për sigurinë dhe modelimin e trafikut, aftësia për të gjurmuar flukse specifike është një mjet i vlefshëm. Për të zgjidhur këtë problem, u zbatua protokolli sFlow, i cili ju lejon të kapni dy pako nga çdo njëqind. Megjithatë, ndonjëherë kjo mund të mos jetë e mjaftueshme për të analizuar dhe studiuar dhe vlerësuar në mënyrë adekuate rrjedhën. Prandaj, një alternativë është NetFlow, i implementuar nga Cisco, i cili ju lejon të grumbulloni dhe eksportoni 100% të gjitha paketat në një rrjedhë të caktuar për analiza të mëvonshme.

Një veçori tjetër, megjithatë, e disponueshme vetëm në zbatimin e harduerit të kontrollorëve, i cili ju lejon të automatizoni funksionimin e rrjetit pa tel në kontrollorët e serisë Cisco Catalyst 9800, është mbështetja e integruar për gjuhën Python si një shtesë për përdorim. skriptet direkt në vetë kontrolluesin me valë.

Së fundi, Cisco Catalyst 9800 Series Controllers mbështesin protokollin e provuar SNMP versionin 1, 2 dhe 3 për operacionet e monitorimit dhe menaxhimit.

Kështu, për sa i përket automatizimit, zgjidhjet Cisco Catalyst 9800 Series plotësojnë plotësisht kërkesat moderne të biznesit, duke ofruar mjete të reja dhe unike, si dhe mjete të testuara me kohë për operacione të automatizuara dhe analitikë në rrjetet pa tel të çdo madhësie dhe kompleksiteti.

Përfundim

Në zgjidhjet e bazuara në kontrollorët Cisco Catalyst 9800 Series, Cisco demonstroi rezultate të shkëlqyera në kategoritë e disponueshmërisë së lartë, sigurisë dhe automatizimit.

Zgjidhja plotëson plotësisht të gjitha kërkesat e disponueshmërisë së lartë, si p.sh. dështimi nën-sekond gjatë ngjarjeve të paplanifikuara dhe zero joproduktive për ngjarjet e planifikuara.

Kontrollorët Cisco Catalyst 9800 Series ofrojnë siguri gjithëpërfshirëse që ofron inspektim të thellë të paketave për njohjen dhe menaxhimin e aplikacionit, dukshmëri të plotë në rrjedhat e të dhënave dhe identifikimin e kërcënimeve të fshehura në trafikun e koduar, si dhe vërtetim të avancuar dhe mekanizma sigurie për pajisjet e klientit.

Për automatizimin dhe analitikën, Seria Cisco Catalyst 9800 ofron aftësi të fuqishme duke përdorur modele standarde të njohura: YANG, NETCONF, RESTCONF, API-të tradicionale dhe skriptet e integruara Python.

Kështu, Cisco konfirmon edhe një herë statusin e saj si prodhuesi kryesor në botë i zgjidhjeve të rrjeteve, duke ecur në hap me kohën dhe duke marrë parasysh të gjitha sfidat e biznesit modern.

Për më shumë informacion rreth familjes së ndërprerësit Catalyst, vizitoni Online cisco.

Burimi: www.habr.com