Є контролер – немає проблем: як легко підтримувати роботу бездротової мережі

У 2019 році консалтингова компанія Miercom провела незалежну технологічну оцінку Wi-Fi 6 контролерів Cisco Catalyst серії 9800. Для цього дослідження було зібрано тестовий стенд з контролерів та точок доступу Wi-Fi 6 від Cisco, і було проведено оцінку технічного рішення в наступних категоріях:

• Доступність;
• Безпека;
• Автоматизація.

Результати дослідження наведено нижче. З 2019 року функціонал контролерів Cisco Catalyst серії 9800 було суттєво покращено – ці моменти також знайшли відображення у цій статті.

Про інші переваги технології Wi-Fi 6, приклади впровадження та сфери застосування можна почитати тут.

Огляд рішення

Wi-Fi 6 контролери Cisco Catalyst серії 9800

Серія бездротових контролерів Cisco Catalyst серії 9800 на базі операційної системи IOS-XE (яка також використовується для комутаторів та маршрутизаторів Cisco) пропонується у різних варіантах.

Старша модель контролера 9800-80 підтримує пропускну спроможність бездротової мережі до 80 Гбіт/с. Один контролер 9800-80 підтримує до 6000 точок доступу та до 64 000 бездротових клієнтів.

Модель середнього рівня – контролер 9800-40 – підтримує пропускну здатність до 40 Гбіт/с, до 2000 точок доступу та до 32 000 бездротових клієнтів.

На додаток до цих моделей до конкурентного аналізу також увійшов бездротовий контролер 9800-CL (CL означає Cloud). Модель 9800-CL працює у віртуальних середовищах на гіпервізорах VMWare ESXI та KVM, а його характеристики залежать від виділених ресурсів обладнання для віртуальної машини контролера. У максимальній конфігурації контролер Cisco 9800-CL, як і старша модель 9800-80, підтримує масштабованість до 6000 точок доступу і до 64 000 бездротових клієнтів.

Під час проведення дослідження з контролерами використовувалися точки доступу Cisco Aironet AP серії 4800, що підтримують роботу на частотах 2,4 та 5 ГГц з можливістю динамічного перемикання режиму dual 5-GHz.

Тестовий стенд

В рамках тестування було зібрано стенд із двох бездротових контролерів Cisco Catalyst 9800-CL, що працюють у кластері, та точок доступу Cisco Aironet AP серії 4800.

Як клієнтські пристрої використовувалися ноутбуки компаній Dell і Apple, а також смартфон Apple iPhone.

тестування доступності

Доступність визначається як здатність користувачів отримувати доступ до системи або послуги та використовувати їх. Висока доступність передбачає безперервний доступ до системи або послуги, що не залежить від тих чи інших подій.

Висока доступність була протестована у чотирьох сценаріях, перші три сценарії – це передбачувані чи заплановані події, які можуть проводитись у робочий чи неробочий час. П'ятий сценарій – це класичний збій, який є непередбачуваною подією.

Опис сценаріїв:

• Виправлення помилок – мікрооновлення системи (bugfix або security patch), яке дозволяє виправити ту чи іншу помилку або вразливість без повного оновлення системного ПЗ;
• Функціональне оновлення – додавання чи розширення поточного функціоналу системи шляхом встановлення функціональних оновлень;
• Повне оновлення – оновлення образу ПЗ контролера;
• Додавання точки доступу – додати нову модель точки доступу до бездротової мережі без необхідності переналаштування або оновлення програмного забезпечення бездротового контролера;
• Збій - відмова бездротового контролера.

Виправлення помилок та вразливостей

Найчастіше в багатьох конкурентних рішеннях встановлення виправлень потребує повного оновлення програмного забезпечення системи бездротового контролера, що може призвести до незапланованих простоїв. У разі рішення від Cisco установка виправлень виконується без зупинки продуктива. Виправлення можуть бути встановлені на будь-який з компонентів, а бездротова інфраструктура продовжує працювати.

Сама собою процедура досить проста. Файл виправлення копіюється у папку початкового завантаження на одному з бездротових контролерів Cisco, а потім через графічний інтерфейс або командний рядок виконується підтвердження операції. Крім того, через графічний інтерфейс або командний рядок можна скасувати і видалити виправлення, теж без переривання роботи системи.

Функціональне оновлення

Функціональні оновлення програмного забезпечення використовуються для активації нових функцій. Одним із таких удосконалень є оновлення бази даних сигнатур додатків. Цей пакет був встановлений у контролерах Cisco як тест. Так само, як і у разі виправлення, оновлення функцій застосовується, встановлюється або видаляється без простою або переривання роботи системи.

повне оновлення

На даний момент повне оновлення образу ПЗ контролера виконується так само, як і функціональне, тобто без простоїв. Однак ця можливість доступна тільки в кластерній конфігурації, коли контролери більше одного. Повне оновлення виконується послідовно: спочатку одному контролері, потім другому.

Додавання нової моделі точки доступу

Підключення нових точок доступу, які раніше не експлуатувалися з використовуваним чином ПЗ контролера, до бездротової мережі є частою операцією, особливо у великих мережах (аеропорти, готелі, виробництва). Досить часто у рішеннях конкурентів ця операція вимагає оновлення системного або перезавантаження контролерів.

Під час підключення нових точок доступу Wi-Fi 6 до кластера контролерів Cisco Catalyst серії 9800 подібних проблем немає. Підключення нових точок до контролера проводиться без оновлень контролера, і цей процес не вимагає перезавантаження, таким чином ніяк не впливаючи на бездротову мережу.

Відказ контролера

У тестовому середовищі використовуються два контролери (Active/StandBy) Wi-Fi 6 і точка доступу має пряме підключення до обох контролерів.

Один бездротовий контролер є активним, а інший відповідно резервним. При збої активного контролера управління приймає він резервний контролер, та її статус змінюється на активний. Ця процедура відбувається без переривання для точки доступу та Wi-Fi для клієнтів.

Безпека

У цьому розділі розглядаються аспекти забезпечення безпеки, яка в бездротових мережах є надзвичайно актуальним завданням. Безпека рішення оцінюється за такими характеристиками:

• Розпізнавання додатків;
• Відстеження потоку трафіку (Flow tracking);
• Аналіз зашифрованого трафіку;
• Виявлення та запобігання вторгненням;
• Засоби автентифікації;
• Засоби захисту клієнтських пристроїв

Розпізнавання додатків

Серед різноманітних продуктів на ринку корпоративного та промислового Wi-Fi існують відмінності в тому, наскільки добре продукти ідентифікують трафік за програмами. Продукти різних виробників можуть ідентифікувати різну кількість програм. При цьому багато додатків, які вказані у конкурентних рішень як можливі для ідентифікації, по суті є веб-сайтами, а не унікальними додатками.

Є ще одна цікава особливість розпізнавання додатків: рішення дуже різняться за точністю ідентифікації.

Зважаючи на всі проведені тести, можна відповідально заявити, що Wi-Fi-6 рішення Cisco розпізнавання програм виконує дуже точно: були точно визначені Jabber, Netflix, Dropbox, YouTube та інші популярні програми, а також веб-сервіси. Також рішення Cisco можуть глибше поринути у пакети даних за допомогою DPI (Deep Packet Inspection).

Відстеження потоків трафіку

Було проведено ще один тест, щоб з'ясувати, чи може система точно відстежувати та повідомляти про потоки даних (наприклад, про переміщення великих файлів). Щоб перевірити це, по мережі було надіслано файл розміром 6,5 мегабайт за протоколом передачі файлів (FTP).

Рішення Cisco повністю впоралося із завданням та змогло відстежити цей трафік завдяки NetFlow та своїм апаратним можливостям. Трафік було виявлено та ідентифіковано негайно з точним обсягом переданих даних.

Аналіз зашифрованого трафіку

Трафік даних користувача все частіше шифрується. Це робиться для того, щоб захистити його від відстеження чи перехоплення зловмисниками. Але разом з цим хакери все частіше використовують шифрування, щоб приховати свою шкідливу програму та проводити інші сумнівні операції, такі як Man-in-the-Middle (MiTM) або, наприклад, атаки з використанням кейлогінгу.

Більшість підприємств перевіряють частину зашифрованого трафіку, спочатку розшифровуючи його за допомогою міжмережевих екранів або систем запобігання вторгненням. Але цей процес займає багато часу і не на користь продуктивності мережі в цілому. Крім того, після розшифровки ці дані стають вразливими до цікавих очей.

Контролери Cisco Catalyst серії 9800 успішно вирішують завдання аналізу зашифрованого трафіку іншими засобами. Рішення має назву Encrypted Traffic Analytics (ETA). ETA – це технологія, аналогів якої у конкурентних рішень на даний момент немає і яка виявляє шкідливе програмне забезпечення у зашифрованому трафіку без необхідності його дешифрування. ETA - це базова функція IOS-XE, яка включає Enhanced NetFlow і використовує розширені поведінкові алгоритми для виявлення шкідливих моделей трафіку, що ховаються в зашифрованому трафіку.

ETA не дешифрує повідомлення, а збирає профілі метаданих зашифрованих потоків трафіку – розмір пакетів, часові проміжки між пакетами та багато іншого. Потім метадані експортуються в записах NetFlow v9 до Cisco Stealthwatch.

Ключовою функцією Stealthwatch є постійний моніторинг трафіку та створення базових показників штатної мережевої активності. За допомогою метаданих зашифрованого потоку, надісланих йому ETA, Stealthwatch застосовує багаторівневе машинне навчання для виявлення поведінкових аномалій трафіку, які можуть вказувати на підозрілі події.

Минулого року компанія Cisco залучила Miercom для незалежної оцінки рішення Cisco Encrypted Traffic Analytics. Під час цієї оцінки Miercom окремо відправляв відомі та невідомі погрози (віруси, трояни, програми-вимагачі) у зашифрованому та незашифрованому трафіку через великі ETA та не-ETA мережі, щоб визначити погрози.

Для тестування було запущено шкідливий код в обох мережах. В обох випадках підозріла активність поступово виявлялася. У ETA-сети на початковому етапі загрози виявлялися на 36% швидше, ніж у не-ETA мережі. При цьому під час роботи продуктивність виявлення в ETA-мережі стала збільшуватися. У результаті після кількох годин роботи в ETA-мережі було успішно виявлено дві третини активних загроз, що вдвічі більше за аналогічний показник у не-ETA-мережі.

Функціонал ETA добре інтегрований зі Stealthwatch. Загрози ранжуються за ступенем серйозності, відображаються з докладною інформацією, а також з варіантами дій щодо виправлення після підтвердження. Висновок – ETA працює!

Виявлення та запобігання вторгненням

Зараз у Cisco є ще один ефективний інструмент для забезпечення безпеки - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): механізм виявлення та запобігання загрозам бездротових мереж. Рішення aWIPS працює на рівні контролерів, точок доступу та програмного забезпечення управління Cisco DNA Center. Процес виявлення, оповіщення та запобігання загроз поєднує в собі аналіз мережного трафіку, інформацію про мережеві пристрої та мережеву топологію, методи на основі сигнатур та виявлення аномалій, що в результаті забезпечує високу точність та запобігання загроз бездротовій мережі.

Повна інтеграція aWIPS в мережеву інфраструктуру дозволяє безперервно відстежувати бездротовий трафік як у провідних, так і бездротових мережах і використовувати його для автоматичного аналізу потенційних атак з багатьох джерел, щоб максимально комплексно визначати і запобігати можливим атакам.

Засоби автентифікації

На даний момент, крім класичних засобів аутентифікації в рішеннях Cisco Catalyst серії 9800, доступна підтримка WPA3. WPA3 — це остання версія WPA, що є набором протоколів і технологій, що забезпечують автентифікацію та шифрування для мереж Wi-Fi.

WPA3 використовує метод одночасної аутентифікації рівноправних елементів (SAE) для забезпечення найбільш надійного захисту користувачів від спроб підбору пароля третіми особами. Коли клієнт підключається до точки доступу, він здійснює обмін SAE. У разі успіху кожен з них створить криптографічно надійний ключ, з якого буде отримано ключ сеансу, а далі переходять у стан підтвердження. Після цього клієнт і точка доступу можуть переходити до стану підтвердження кожного разу, коли потрібно згенерувати ключ сеансу. Метод використовує пряму секретність, за якої зловмисник може зламати один ключ, але не всі інші ключі.

Тобто SAE побудований таким чином, що зловмисник, який перехоплює трафік, має лише одну спробу вгадати пароль, перш ніж перехоплені дані стануть марними. Для організації тривалого підбору пароля знадобиться фізичний доступ до точки доступу.

Засоби захисту клієнтських пристроїв

Основним засобом захисту клієнтів у бездротових рішеннях Cisco Catalyst серії 9800 в даний час є Cisco Umbrella WLAN – хмарна служба мережевої безпеки, що працює на рівні DNS з автоматичним виявленням як відомих, так і нових загроз.

Cisco Umbrella WLAN забезпечує захищене підключення до Інтернету клієнтським пристроям. Це досягається за допомогою фільтрації контенту, тобто за допомогою блокування доступу до ресурсів у мережі Інтернет відповідно до політики підприємства. Таким чином, виконується захист клієнтських пристроїв в інтернеті від шкідливого програмного забезпечення, програм-вимагачів, фішингу. Застосування політик засноване на 60 безперервно оновлюваних категоріях контенту.

Автоматизація

Сучасні бездротові мережі набагато гнучкіші і складніші, тому традиційних способів налаштування та отримання інформації з бездротових контролерів недостатньо. Мережним адміністраторам та спеціалістам з інформаційної безпеки потрібні інструменти для автоматизації та аналітики, що спонукає виробників рішень для бездротових мереж пропонувати такі інструменти.

Для вирішення цих завдань у бездротових контролерах Cisco Catalyst серії 9800 поряд з традиційним API передбачено підтримку протоколу конфігурації мережі RESTCONF / NETCONF з мовою моделювання даних YANG (Yet Another Next Generation).

NETCONF — це протокол на основі XML, який програми можуть використовувати для запиту інформації та зміни конфігурації мережних пристроїв, таких як бездротові контролери.

На додаток до цих методів у контролерах Cisco Catalyst серії 9800 реалізовано можливість отримання, вибірки та аналізу даних про потік інформації за допомогою протоколу NetFlow та sFlow.

Для забезпечення безпеки та моделювання трафіку можливість відстежувати конкретні потоки є цінним інструментом. Для вирішення цього завдання було реалізовано протокол sFlow, який дозволяє захоплювати два пакети з кожних ста. Однак іноді цього може бути недостатньо для аналізу та адекватного вивчення та оцінки потоку. Тому альтернативою є NetFlow, реалізований компанією Cisco, який дозволяє на 100% збирати та експортувати всі пакети у вказаному потоці для подальшого аналізу.

Ще однією функцією, щоправда, доступною тільки в апаратній реалізації контролерів, яка дозволяє автоматизувати роботу бездротової мережі в контролерах Cisco Catalyst серії 9800, є вбудована підтримка мови Python як надбудова для використання скриптів прямо на бездротовому контролері.

І, нарешті, для операцій моніторингу та керування в контролерах Cisco Catalyst серії 9800 підтримується перевірений часом протокол SNMP версій 1, 2 та 3.

Таким чином, у ключі автоматизації рішення Cisco Catalyst серії 9800 повністю відповідають сучасним вимогам бізнесу, пропонуючи як нові та унікальні, так і перевірені часом інструменти для автоматизованого виконання операцій та аналітики у бездротових мережах будь-якого розміру та складності.

Висновок

У рішеннях на базі контролерів Cisco Catalyst серії 9800 компанія Cisco продемонструвала чудові результати у категоріях: висока доступність, безпека та автоматизація.

Рішення повністю задовольняє всі вимоги високої доступності, такі як аварійне перемикання менш ніж за секунду під час незапланованих подій та нульовий час простою для запланованих подій.

У контролерах Cisco Catalyst серії 9800 реалізовано комплексний захист, що забезпечує глибоку перевірку пакетів для розпізнавання програм та управління ними, повну прозорість потоків даних та ідентифікацію загроз, прихованих у зашифрованому трафіку, а також застосовуються передові механізми автентифікації та захисту клієнтських пристроїв.

Для автоматизації операцій та аналітики рішення Cisco Catalyst серії 9800 мають широкі можливості, використовуючи популярні стандартні моделі: YANG, NETCONF, RESTCONF, традиційні API-інтерфейси та вбудовані скрипти Python.

Таким чином, компанія Cisco в черговий раз підтверджує свій статус провідного світового виробника мережевих рішень, що йде в ногу з часом і враховує всі виклики сучасного бізнесу.

Детальніше ознайомитися з інформацією про сімейство комутаторів Catalyst можна на сайті cisco.

Джерело: habr.com

У 2019 році консалтингова компанія Miercom провела незалежну технологічну оцінку Wi-Fi 6 контролерів Cisco Catalyst серії 9800. Для цього дослідження було зібрано тестовий стенд з контролерів та точок доступу Wi-Fi 6 від Cisco, і було проведено оцінку технічного рішення в наступних категоріях:

• Доступність;
• Безпека;
• Автоматизація.

Результати дослідження наведено нижче. З 2019 року функціонал контролерів Cisco Catalyst серії 9800 було суттєво покращено – ці моменти також знайшли відображення у цій статті.

Про інші переваги технології Wi-Fi 6, приклади впровадження та сфери застосування можна почитати тут.

Огляд рішення

Wi-Fi 6 контролери Cisco Catalyst серії 9800

Серія бездротових контролерів Cisco Catalyst серії 9800 на базі операційної системи IOS-XE (яка також використовується для комутаторів та маршрутизаторів Cisco) пропонується у різних варіантах.

Старша модель контролера 9800-80 підтримує пропускну спроможність бездротової мережі до 80 Гбіт/с. Один контролер 9800-80 підтримує до 6000 точок доступу та до 64 000 бездротових клієнтів.

Модель середнього рівня – контролер 9800-40 – підтримує пропускну здатність до 40 Гбіт/с, до 2000 точок доступу та до 32 000 бездротових клієнтів.

На додаток до цих моделей до конкурентного аналізу також увійшов бездротовий контролер 9800-CL (CL означає Cloud). Модель 9800-CL працює у віртуальних середовищах на гіпервізорах VMWare ESXI та KVM, а його характеристики залежать від виділених ресурсів обладнання для віртуальної машини контролера. У максимальній конфігурації контролер Cisco 9800-CL, як і старша модель 9800-80, підтримує масштабованість до 6000 точок доступу і до 64 000 бездротових клієнтів.

Під час проведення дослідження з контролерами використовувалися точки доступу Cisco Aironet AP серії 4800, що підтримують роботу на частотах 2,4 та 5 ГГц з можливістю динамічного перемикання режиму dual 5-GHz.

Тестовий стенд

В рамках тестування було зібрано стенд із двох бездротових контролерів Cisco Catalyst 9800-CL, що працюють у кластері, та точок доступу Cisco Aironet AP серії 4800.

Як клієнтські пристрої використовувалися ноутбуки компаній Dell і Apple, а також смартфон Apple iPhone.

тестування доступності

Доступність визначається як здатність користувачів отримувати доступ до системи або послуги та використовувати їх. Висока доступність передбачає безперервний доступ до системи або послуги, що не залежить від тих чи інших подій.

Висока доступність була протестована у чотирьох сценаріях, перші три сценарії – це передбачувані чи заплановані події, які можуть проводитись у робочий чи неробочий час. П'ятий сценарій – це класичний збій, який є непередбачуваною подією.

Опис сценаріїв:

• Виправлення помилок – мікрооновлення системи (bugfix або security patch), яке дозволяє виправити ту чи іншу помилку або вразливість без повного оновлення системного ПЗ;
• Функціональне оновлення – додавання чи розширення поточного функціоналу системи шляхом встановлення функціональних оновлень;
• Повне оновлення – оновлення образу ПЗ контролера;
• Додавання точки доступу – додати нову модель точки доступу до бездротової мережі без необхідності переналаштування або оновлення програмного забезпечення бездротового контролера;
• Збій - відмова бездротового контролера.

Виправлення помилок та вразливостей

Найчастіше в багатьох конкурентних рішеннях встановлення виправлень потребує повного оновлення програмного забезпечення системи бездротового контролера, що може призвести до незапланованих простоїв. У разі рішення від Cisco установка виправлень виконується без зупинки продуктива. Виправлення можуть бути встановлені на будь-який з компонентів, а бездротова інфраструктура продовжує працювати.

Сама собою процедура досить проста. Файл виправлення копіюється у папку початкового завантаження на одному з бездротових контролерів Cisco, а потім через графічний інтерфейс або командний рядок виконується підтвердження операції. Крім того, через графічний інтерфейс або командний рядок можна скасувати і видалити виправлення, теж без переривання роботи системи.

Функціональне оновлення

Функціональні оновлення програмного забезпечення використовуються для активації нових функцій. Одним із таких удосконалень є оновлення бази даних сигнатур додатків. Цей пакет був встановлений у контролерах Cisco як тест. Так само, як і у разі виправлення, оновлення функцій застосовується, встановлюється або видаляється без простою або переривання роботи системи.

повне оновлення

На даний момент повне оновлення образу ПЗ контролера виконується так само, як і функціональне, тобто без простоїв. Однак ця можливість доступна тільки в кластерній конфігурації, коли контролери більше одного. Повне оновлення виконується послідовно: спочатку одному контролері, потім другому.

Додавання нової моделі точки доступу

Підключення нових точок доступу, які раніше не експлуатувалися з використовуваним чином ПЗ контролера, до бездротової мережі є частою операцією, особливо у великих мережах (аеропорти, готелі, виробництва). Досить часто у рішеннях конкурентів ця операція вимагає оновлення системного або перезавантаження контролерів.

Під час підключення нових точок доступу Wi-Fi 6 до кластера контролерів Cisco Catalyst серії 9800 подібних проблем немає. Підключення нових точок до контролера проводиться без оновлень контролера, і цей процес не вимагає перезавантаження, таким чином ніяк не впливаючи на бездротову мережу.

Відказ контролера

У тестовому середовищі використовуються два контролери (Active/StandBy) Wi-Fi 6 і точка доступу має пряме підключення до обох контролерів.

Один бездротовий контролер є активним, а інший відповідно резервним. При збої активного контролера управління приймає він резервний контролер, та її статус змінюється на активний. Ця процедура відбувається без переривання для точки доступу та Wi-Fi для клієнтів.

Безпека

У цьому розділі розглядаються аспекти забезпечення безпеки, яка в бездротових мережах є надзвичайно актуальним завданням. Безпека рішення оцінюється за такими характеристиками:

• Розпізнавання додатків;
• Відстеження потоку трафіку (Flow tracking);
• Аналіз зашифрованого трафіку;
• Виявлення та запобігання вторгненням;
• Засоби автентифікації;
• Засоби захисту клієнтських пристроїв

Розпізнавання додатків

Серед різноманітних продуктів на ринку корпоративного та промислового Wi-Fi існують відмінності в тому, наскільки добре продукти ідентифікують трафік за програмами. Продукти різних виробників можуть ідентифікувати різну кількість програм. При цьому багато додатків, які вказані у конкурентних рішень як можливі для ідентифікації, по суті є веб-сайтами, а не унікальними додатками.

Є ще одна цікава особливість розпізнавання додатків: рішення дуже різняться за точністю ідентифікації.

Зважаючи на всі проведені тести, можна відповідально заявити, що Wi-Fi-6 рішення Cisco розпізнавання програм виконує дуже точно: були точно визначені Jabber, Netflix, Dropbox, YouTube та інші популярні програми, а також веб-сервіси. Також рішення Cisco можуть глибше поринути у пакети даних за допомогою DPI (Deep Packet Inspection).

Відстеження потоків трафіку

Було проведено ще один тест, щоб з'ясувати, чи може система точно відстежувати та повідомляти про потоки даних (наприклад, про переміщення великих файлів). Щоб перевірити це, по мережі було надіслано файл розміром 6,5 мегабайт за протоколом передачі файлів (FTP).

Рішення Cisco повністю впоралося із завданням та змогло відстежити цей трафік завдяки NetFlow та своїм апаратним можливостям. Трафік було виявлено та ідентифіковано негайно з точним обсягом переданих даних.

Аналіз зашифрованого трафіку

Трафік даних користувача все частіше шифрується. Це робиться для того, щоб захистити його від відстеження чи перехоплення зловмисниками. Але разом з цим хакери все частіше використовують шифрування, щоб приховати свою шкідливу програму та проводити інші сумнівні операції, такі як Man-in-the-Middle (MiTM) або, наприклад, атаки з використанням кейлогінгу.

Більшість підприємств перевіряють частину зашифрованого трафіку, спочатку розшифровуючи його за допомогою міжмережевих екранів або систем запобігання вторгненням. Але цей процес займає багато часу і не на користь продуктивності мережі в цілому. Крім того, після розшифровки ці дані стають вразливими до цікавих очей.

Контролери Cisco Catalyst серії 9800 успішно вирішують завдання аналізу зашифрованого трафіку іншими засобами. Рішення має назву Encrypted Traffic Analytics (ETA). ETA – це технологія, аналогів якої у конкурентних рішень на даний момент немає і яка виявляє шкідливе програмне забезпечення у зашифрованому трафіку без необхідності його дешифрування. ETA - це базова функція IOS-XE, яка включає Enhanced NetFlow і використовує розширені поведінкові алгоритми для виявлення шкідливих моделей трафіку, що ховаються в зашифрованому трафіку.

ETA не дешифрує повідомлення, а збирає профілі метаданих зашифрованих потоків трафіку – розмір пакетів, часові проміжки між пакетами та багато іншого. Потім метадані експортуються в записах NetFlow v9 до Cisco Stealthwatch.

Ключовою функцією Stealthwatch є постійний моніторинг трафіку та створення базових показників штатної мережевої активності. За допомогою метаданих зашифрованого потоку, надісланих йому ETA, Stealthwatch застосовує багаторівневе машинне навчання для виявлення поведінкових аномалій трафіку, які можуть вказувати на підозрілі події.

Минулого року компанія Cisco залучила Miercom для незалежної оцінки рішення Cisco Encrypted Traffic Analytics. Під час цієї оцінки Miercom окремо відправляв відомі та невідомі погрози (віруси, трояни, програми-вимагачі) у зашифрованому та незашифрованому трафіку через великі ETA та не-ETA мережі, щоб визначити погрози.

Для тестування було запущено шкідливий код в обох мережах. В обох випадках підозріла активність поступово виявлялася. У ETA-сети на початковому етапі загрози виявлялися на 36% швидше, ніж у не-ETA мережі. При цьому під час роботи продуктивність виявлення в ETA-мережі стала збільшуватися. У результаті після кількох годин роботи в ETA-мережі було успішно виявлено дві третини активних загроз, що вдвічі більше за аналогічний показник у не-ETA-мережі.

Функціонал ETA добре інтегрований зі Stealthwatch. Загрози ранжуються за ступенем серйозності, відображаються з докладною інформацією, а також з варіантами дій щодо виправлення після підтвердження. Висновок – ETA працює!

Виявлення та запобігання вторгненням

Зараз у Cisco є ще один ефективний інструмент для забезпечення безпеки - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): механізм виявлення та запобігання загрозам бездротових мереж. Рішення aWIPS працює на рівні контролерів, точок доступу та програмного забезпечення управління Cisco DNA Center. Процес виявлення, оповіщення та запобігання загроз поєднує в собі аналіз мережного трафіку, інформацію про мережеві пристрої та мережеву топологію, методи на основі сигнатур та виявлення аномалій, що в результаті забезпечує високу точність та запобігання загроз бездротовій мережі.

Повна інтеграція aWIPS в мережеву інфраструктуру дозволяє безперервно відстежувати бездротовий трафік як у провідних, так і бездротових мережах і використовувати його для автоматичного аналізу потенційних атак з багатьох джерел, щоб максимально комплексно визначати і запобігати можливим атакам.

Засоби автентифікації

На даний момент, крім класичних засобів аутентифікації в рішеннях Cisco Catalyst серії 9800, доступна підтримка WPA3. WPA3 — це остання версія WPA, що є набором протоколів і технологій, що забезпечують автентифікацію та шифрування для мереж Wi-Fi.

WPA3 використовує метод одночасної аутентифікації рівноправних елементів (SAE) для забезпечення найбільш надійного захисту користувачів від спроб підбору пароля третіми особами. Коли клієнт підключається до точки доступу, він здійснює обмін SAE. У разі успіху кожен з них створить криптографічно надійний ключ, з якого буде отримано ключ сеансу, а далі переходять у стан підтвердження. Після цього клієнт і точка доступу можуть переходити до стану підтвердження кожного разу, коли потрібно згенерувати ключ сеансу. Метод використовує пряму секретність, за якої зловмисник може зламати один ключ, але не всі інші ключі.

Тобто SAE побудований таким чином, що зловмисник, який перехоплює трафік, має лише одну спробу вгадати пароль, перш ніж перехоплені дані стануть марними. Для організації тривалого підбору пароля знадобиться фізичний доступ до точки доступу.

Засоби захисту клієнтських пристроїв

Основним засобом захисту клієнтів у бездротових рішеннях Cisco Catalyst серії 9800 в даний час є Cisco Umbrella WLAN – хмарна служба мережевої безпеки, що працює на рівні DNS з автоматичним виявленням як відомих, так і нових загроз.

Cisco Umbrella WLAN забезпечує захищене підключення до Інтернету клієнтським пристроям. Це досягається за допомогою фільтрації контенту, тобто за допомогою блокування доступу до ресурсів у мережі Інтернет відповідно до політики підприємства. Таким чином, виконується захист клієнтських пристроїв в інтернеті від шкідливого програмного забезпечення, програм-вимагачів, фішингу. Застосування політик засноване на 60 безперервно оновлюваних категоріях контенту.

Автоматизація

Сучасні бездротові мережі набагато гнучкіші і складніші, тому традиційних способів налаштування та отримання інформації з бездротових контролерів недостатньо. Мережним адміністраторам та спеціалістам з інформаційної безпеки потрібні інструменти для автоматизації та аналітики, що спонукає виробників рішень для бездротових мереж пропонувати такі інструменти.

Для вирішення цих завдань у бездротових контролерах Cisco Catalyst серії 9800 поряд з традиційним API передбачено підтримку протоколу конфігурації мережі RESTCONF / NETCONF з мовою моделювання даних YANG (Yet Another Next Generation).

NETCONF — це протокол на основі XML, який програми можуть використовувати для запиту інформації та зміни конфігурації мережних пристроїв, таких як бездротові контролери.

На додаток до цих методів у контролерах Cisco Catalyst серії 9800 реалізовано можливість отримання, вибірки та аналізу даних про потік інформації за допомогою протоколу NetFlow та sFlow.

Для забезпечення безпеки та моделювання трафіку можливість відстежувати конкретні потоки є цінним інструментом. Для вирішення цього завдання було реалізовано протокол sFlow, який дозволяє захоплювати два пакети з кожних ста. Однак іноді цього може бути недостатньо для аналізу та адекватного вивчення та оцінки потоку. Тому альтернативою є NetFlow, реалізований компанією Cisco, який дозволяє на 100% збирати та експортувати всі пакети у вказаному потоці для подальшого аналізу.

Ще однією функцією, щоправда, доступною тільки в апаратній реалізації контролерів, яка дозволяє автоматизувати роботу бездротової мережі в контролерах Cisco Catalyst серії 9800, є вбудована підтримка мови Python як надбудова для використання скриптів прямо на бездротовому контролері.

І, нарешті, для операцій моніторингу та керування в контролерах Cisco Catalyst серії 9800 підтримується перевірений часом протокол SNMP версій 1, 2 та 3.

Таким чином, у ключі автоматизації рішення Cisco Catalyst серії 9800 повністю відповідають сучасним вимогам бізнесу, пропонуючи як нові та унікальні, так і перевірені часом інструменти для автоматизованого виконання операцій та аналітики у бездротових мережах будь-якого розміру та складності.

Висновок

У рішеннях на базі контролерів Cisco Catalyst серії 9800 компанія Cisco продемонструвала чудові результати у категоріях: висока доступність, безпека та автоматизація.

Рішення повністю задовольняє всі вимоги високої доступності, такі як аварійне перемикання менш ніж за секунду під час незапланованих подій та нульовий час простою для запланованих подій.

У контролерах Cisco Catalyst серії 9800 реалізовано комплексний захист, що забезпечує глибоку перевірку пакетів для розпізнавання програм та управління ними, повну прозорість потоків даних та ідентифікацію загроз, прихованих у зашифрованому трафіку, а також застосовуються передові механізми автентифікації та захисту клієнтських пристроїв.

Для автоматизації операцій та аналітики рішення Cisco Catalyst серії 9800 мають широкі можливості, використовуючи популярні стандартні моделі: YANG, NETCONF, RESTCONF, традиційні API-інтерфейси та вбудовані скрипти Python.

Таким чином, компанія Cisco в черговий раз підтверджує свій статус провідного світового виробника мережевих рішень, що йде в ногу з часом і враховує всі виклики сучасного бізнесу.

Детальніше ознайомитися з інформацією про сімейство комутаторів Catalyst можна на сайті cisco.

Джерело: habr.com