2019-yilda Miercom konsalting kompaniyasi Cisco Catalyst 6 seriyali Wi-Fi 9800 kontrollerlarini mustaqil texnologik baholashni o‘tkazdi.Ushbu tadqiqot uchun Cisco Wi-Fi 6 kontrollerlari va kirish nuqtalaridan sinov dastgohi yig‘ildi va texnik yechim topildi. quyidagi toifalarda baholanadi:
- Mavjudligi;
- Xavfsizlik;
- Avtomatlashtirish.
Tadqiqot natijalari quyida ko'rsatilgan. 2019 yildan boshlab Cisco Catalyst 9800 seriyali kontrollerlarining funksionalligi sezilarli darajada yaxshilandi - bu fikrlar ushbu maqolada ham aks ettirilgan.
Wi-Fi 6 texnologiyasining boshqa afzalliklari, amalga oshirish misollari va qo'llanish sohalari haqida o'qishingiz mumkin.
Yechimga umumiy nuqtai
Cisco Catalyst 6 seriyali Wi-Fi 9800 kontrollerlari
IOS-XE operatsion tizimiga asoslangan Cisco Catalyst 9800 Series Wireless Controllers (shuningdek, Cisco kalitlari va routerlari uchun ham ishlatiladi) turli xil variantlarda mavjud.
9800-80 kontrollerning eski modeli 80 Gbit / s gacha simsiz tarmoq o'tkazuvchanligini qo'llab-quvvatlaydi. Bitta 9800-80 kontrolleri 6000 tagacha kirish nuqtasini va 64 tagacha simsiz mijozlarni qoʻllab-quvvatlaydi.
O'rta diapazonli model 9800-40 kontroller 40 Gbit / s gacha tezlikni, 2000 tagacha kirish nuqtasini va 32 000 tagacha simsiz mijozlarni qo'llab-quvvatlaydi.
Ushbu modellarga qo'shimcha ravishda, raqobatbardosh tahlil 9800-CL simsiz boshqaruvchisini ham o'z ichiga oladi (CL Cloud degan ma'noni anglatadi). 9800-CL VMWare ESXI va KVM gipervisorlarida virtual muhitda ishlaydi va uning ishlashi nazoratchi virtual mashinasi uchun ajratilgan apparat resurslariga bog'liq. Maksimal konfiguratsiyada Cisco 9800-CL kontrolleri, xuddi eski 9800-80 modeli kabi, 6000 tagacha kirish nuqtasi va 64 000 tagacha simsiz mijozlarni kengaytirish imkoniyatini qo'llab-quvvatlaydi.
Tekshirgichlar bilan tadqiqot o'tkazishda Cisco Aironet AP 4800 seriyali kirish nuqtalari 2,4 va 5 gigagertsli chastotalarda ishlashni qo'llab-quvvatlab, 5 gigagertsli ikkilamchi rejimga dinamik ravishda o'tish qobiliyatiga ega.
Sinov stend
Sinov doirasida klasterda ishlaydigan ikkita Cisco Catalyst 9800-CL simsiz kontrollerlari va Cisco Aironet AP 4800 seriyali kirish nuqtalaridan stend yig'ildi.
Mijoz qurilmalari sifatida Dell va Apple kompaniyasining noutbuklari, shuningdek, Apple iPhone smartfonlari ishlatilgan.
Foydalanish imkoniyati testi
Mavjudlik foydalanuvchilarning tizim yoki xizmatga kirish va undan foydalanish qobiliyati sifatida aniqlanadi. Yuqori mavjudlik muayyan hodisalardan qat'iy nazar tizim yoki xizmatga doimiy kirishni nazarda tutadi.
Yuqori mavjudlik to'rtta stsenariyda sinovdan o'tkazildi, dastlabki uchta stsenariy ish vaqtida yoki undan keyin sodir bo'lishi mumkin bo'lgan prognoz qilinadigan yoki rejalashtirilgan voqealar. Beshinchi stsenariy - klassik muvaffaqiyatsizlik, bu oldindan aytib bo'lmaydigan hodisa.
Stsenariylarning tavsifi:
- Xatolarni tuzatish - tizim dasturiy ta'minotini to'liq yangilamasdan ma'lum bir xato yoki zaiflikni tuzatishga imkon beruvchi tizimning mikro-yangilanishi (xatolarni tuzatish yoki xavfsizlik patchi);
- Funktsional yangilanish - funktsional yangilanishlarni o'rnatish orqali tizimning joriy funksiyalarini qo'shish yoki kengaytirish;
- To'liq yangilash - boshqaruvchining dasturiy tasvirini yangilash;
- Kirish nuqtasini qo'shish - simsiz boshqaruvchi dasturiy ta'minotini qayta sozlash yoki yangilash zaruratisiz simsiz tarmoqqa yangi kirish nuqtasi modelini qo'shish;
- Muvaffaqiyatsizlik - simsiz boshqaruvchining ishlamay qolishi.
Xatolar va zaifliklarni tuzatish
Ko'pincha, ko'plab raqobatbardosh echimlar bilan, yamoq simsiz boshqaruvchi tizimining dasturiy ta'minotini to'liq yangilashni talab qiladi, bu esa rejalashtirilmagan ishlamay qolishga olib kelishi mumkin. Cisco yechimida, yamoqlash mahsulotni to'xtatmasdan amalga oshiriladi. Simsiz infratuzilma ishlashda davom etayotganda, har qanday komponentga yamalar o'rnatilishi mumkin.
Jarayonning o'zi juda oddiy. Yamoq fayli Cisco simsiz kontrollerlaridan biridagi bootstrap papkasiga ko'chiriladi va operatsiya GUI yoki buyruq qatori orqali tasdiqlanadi. Bundan tashqari, siz GUI yoki buyruq qatori orqali, shuningdek, tizim ishini to'xtatmasdan tuzatishni bekor qilishingiz va olib tashlashingiz mumkin.
Funktsional yangilanish
Funktsional dasturiy ta'minot yangilanishlari yangi funktsiyalarni yoqish uchun qo'llaniladi. Ushbu yaxshilanishlardan biri ilova imzosi bazasini yangilashdir. Ushbu paket sinov sifatida Cisco kontrollerlariga o'rnatildi. Yamoqlarda bo'lgani kabi, funksiya yangilanishlari hech qanday uzilishlarsiz yoki tizim uzilishisiz qo'llaniladi, o'rnatiladi yoki o'chiriladi.
To'liq yangilash
Hozirgi vaqtda boshqaruvchi dasturiy ta'minot tasvirini to'liq yangilash funktsional yangilanish bilan bir xil tarzda, ya'ni to'xtab qolmasdan amalga oshiriladi. Biroq, bu xususiyat faqat bir nechta kontroller mavjud bo'lganda klaster konfiguratsiyasida mavjud. To'liq yangilash ketma-ket amalga oshiriladi: birinchi navbatda bitta kontrollerda, keyin ikkinchisida.
Yangi kirish nuqtasi modeli qo'shilmoqda
Ilgari foydalanilgan boshqaruvchi dasturiy tasviri bilan ishlatilmagan yangi kirish nuqtalarini simsiz tarmoqqa ulash, ayniqsa yirik tarmoqlarda (aeroportlar, mehmonxonalar, fabrikalar) juda keng tarqalgan operatsiya hisoblanadi. Ko'pincha raqobatchilarning echimlarida bu operatsiya tizim dasturiy ta'minotini yangilashni yoki kontrollerlarni qayta ishga tushirishni talab qiladi.
Yangi Wi-Fi 6 kirish nuqtalarini Cisco Catalyst 9800 seriyali kontrollerlar klasteriga ulashda bunday muammolar kuzatilmaydi. Yangi nuqtalarni kontrollerga ulash boshqaruvchi dasturini yangilamasdan amalga oshiriladi va bu jarayon qayta ishga tushirishni talab qilmaydi, shuning uchun simsiz tarmoqqa hech qanday ta'sir qilmaydi.
Nazoratchining ishlamay qolishi
Sinov muhiti ikkita Wi-Fi 6 kontrollerlaridan (Active/StandBy) foydalanadi va kirish nuqtasi ikkala kontrollerga to'g'ridan-to'g'ri ulanishga ega.
Bir simsiz boshqaruvchi faol, ikkinchisi esa mos ravishda zaxira. Agar faol boshqaruvchi ishlamay qolsa, zaxira boshqaruvchi o'z zimmasiga oladi va uning holati faolga o'zgaradi. Ushbu protsedura kirish nuqtasi va mijozlar uchun Wi-Fi uchun uzilishlarsiz amalga oshiriladi.
Xavfsizlik
Ushbu bo'limda simsiz tarmoqlarda o'ta dolzarb masala bo'lgan xavfsizlik aspektlari muhokama qilinadi. Yechimning xavfsizligi quyidagi xususiyatlar asosida baholanadi:
- Ilovani tan olish;
- Oqimni kuzatish;
- Shifrlangan trafikni tahlil qilish;
- Intrusionlarni aniqlash va oldini olish;
- Autentifikatsiya vositalari;
- Mijoz qurilmalarini himoya qilish vositalari.
Ilovani tan olish
Korxona va sanoat Wi-Fi bozoridagi mahsulotlarning xilma-xilligi orasida mahsulotlarning qo'llanilishi bo'yicha trafikni qanchalik aniq aniqlashda farqlar mavjud. Turli ishlab chiqaruvchilarning mahsulotlari turli xil ilovalar sonini aniqlashi mumkin. Biroq, identifikatsiya qilish uchun raqobatbardosh echimlar ro'yxatiga kiritilgan ko'plab ilovalar, aslida, noyob ilovalar emas, balki veb-saytlardir.
Ilovani tanib olishning yana bir qiziqarli xususiyati bor: echimlar identifikatsiya aniqligida juda farq qiladi.
O'tkazilgan barcha testlarni hisobga olgan holda, biz mas'uliyat bilan aytishimiz mumkinki, Cisco kompaniyasining Wi-Fi-6 yechimi ilovalarni aniqlashni juda aniq amalga oshiradi: Jabber, Netflix, Dropbox, YouTube va boshqa mashhur ilovalar, shuningdek, veb-xizmatlar aniq aniqlangan. Cisco yechimlari DPI (Deep Packet Inspection) yordamida ma'lumotlar paketlariga chuqurroq kirib borishi mumkin.
Trafik oqimini kuzatish
Tizim ma'lumotlar oqimini (masalan, katta fayllar harakati) aniq kuzatishi va hisobot berishi mumkinligini tekshirish uchun yana bir sinov o'tkazildi. Buni tekshirish uchun File Transfer Protocol (FTP) yordamida tarmoq orqali 6,5 megabaytlik fayl yuborildi.
Cisco yechimi vazifaga to'liq javob berdi va NetFlow va uning apparat imkoniyatlari tufayli ushbu trafikni kuzatishga muvaffaq bo'ldi. Trafik aniqlandi va uzatilgan ma'lumotlarning aniq miqdori bilan darhol aniqlandi.
Shifrlangan trafik tahlili
Foydalanuvchi ma'lumotlari trafigi tobora shifrlanmoqda. Bu tajovuzkorlar tomonidan kuzatilishi yoki to'xtatilishidan himoya qilish uchun amalga oshiriladi. Biroq, shu bilan birga, xakerlar zararli dasturlarini yashirish va Man-in-the-Middle (MiTM) yoki keylogging hujumlari kabi boshqa shubhali operatsiyalarni amalga oshirish uchun shifrlashdan tobora ko'proq foydalanmoqda.
Aksariyat korxonalar shifrlangan trafikning bir qismini birinchi navbatda xavfsizlik devorlari yoki hujumning oldini olish tizimlari yordamida shifrini ochish orqali tekshiradilar. Ammo bu jarayon juda ko'p vaqtni oladi va umuman tarmoqning ishlashiga foyda keltirmaydi. Bundan tashqari, shifrlangandan so'ng, bu ma'lumotlar qiziquvchan ko'zlarga nisbatan zaif bo'ladi.
Cisco Catalyst 9800 Series kontrollerlari shifrlangan trafikni boshqa usullar bilan tahlil qilish muammosini muvaffaqiyatli hal qiladi. Yechim shifrlangan trafik tahlillari (ETA) deb ataladi. ETA – hozirda raqobatbardosh yechimlarda o‘xshashi yo‘q va shifrlangan trafikda zararli dasturlarni shifrini ochishga hojat qoldirmasdan aniqlaydigan texnologiya. ETA IOS-XE ning asosiy xususiyati boʻlib, u Kengaytirilgan NetFlowni oʻz ichiga oladi va shifrlangan trafikda yashiringan zararli trafik naqshlarini aniqlash uchun ilgʻor xatti-harakatlar algoritmlaridan foydalanadi.
ETA xabarlarning shifrini ochmaydi, lekin shifrlangan trafik oqimlarining metadata profillarini to'playdi - paketlar hajmi, paketlar orasidagi vaqt oralig'i va boshqalar. Keyin metadata NetFlow v9 yozuvlarida Cisco Stealthwatch-ga eksport qilinadi.
Stealthwatch-ning asosiy vazifasi - doimiy ravishda trafikni kuzatib borish, shuningdek, oddiy tarmoq faoliyatining asosini yaratish. ETA tomonidan yuborilgan shifrlangan oqim metama'lumotlaridan foydalangan holda, Stealthwatch shubhali hodisalarni ko'rsatishi mumkin bo'lgan xatti-harakatlardagi anomaliyalarni aniqlash uchun ko'p qatlamli mashina o'rganishni qo'llaydi.
O'tgan yili Cisco Miercom kompaniyasini Cisco Encrypted Traffic Analytics yechimini mustaqil baholash uchun jalb qildi. Ushbu baholash davomida Miercom tahdidlarni aniqlash uchun katta ETA va noETA tarmoqlari bo'ylab shifrlangan va shifrlanmagan trafikda ma'lum va noma'lum tahdidlarni (viruslar, troyanlar, ransomware) alohida yubordi.
Sinov uchun ikkala tarmoqda ham zararli kod ishga tushirildi. Ikkala holatda ham shubhali faoliyat asta-sekin aniqlandi. ETA tarmog'i dastlab ETA bo'lmagan tarmoqqa qaraganda 36% tezroq tahdidlarni aniqladi. Shu bilan birga, ish davom etar ekan, ETA tarmog'ida aniqlash samaradorligi oshib bordi. Natijada, bir necha soatlik ishdan so'ng, ETA tarmog'ida faol tahdidlarning uchdan ikki qismi muvaffaqiyatli aniqlandi, bu ETA bo'lmagan tarmoqqa qaraganda ikki barobar ko'pdir.
ETA funksiyasi Stealthwatch bilan yaxshi birlashtirilgan. Tahdidlar jiddiylik darajasiga ko'ra tartiblanadi va batafsil ma'lumot, shuningdek, tasdiqlangandan keyin tuzatish imkoniyatlari bilan ko'rsatiladi. Xulosa - ETA ishlaydi!
Intrusionni aniqlash va oldini olish
Endi Cisco yana bir samarali xavfsizlik vositasiga ega - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): simsiz tarmoqlarga tahdidlarni aniqlash va oldini olish mexanizmi. aWIPS yechimi kontrollerlar, kirish nuqtalari va Cisco DNK Center boshqaruv dasturlari darajasida ishlaydi. Tahdidlarni aniqlash, ogohlantirish va oldini olish tarmoq trafigini tahlil qilish, tarmoq qurilmasi va tarmoq topologiyasi maʼlumotlari, imzoga asoslangan texnikalar va anomaliyalarni aniqlashni yuqori aniqlik va oldini olish mumkin boʻlgan simsiz tahdidlarni birlashtiradi.
aWIPS-ni tarmoq infratuzilmangizga to'liq integratsiyalashgan holda, siz simli va simsiz tarmoqlarda simsiz trafikni doimiy ravishda kuzatib borishingiz va undan imkon qadar keng qamrovli aniqlash va oldini olish uchun bir nechta manbalardan potentsial hujumlarni avtomatik tahlil qilish uchun foydalanishingiz mumkin.
Autentifikatsiya degani
Hozirgi vaqtda klassik autentifikatsiya vositalaridan tashqari, Cisco Catalyst 9800 seriyali yechimlari WPA3 ni qo'llab-quvvatlaydi. WPA3 - bu Wi-Fi tarmoqlari uchun autentifikatsiya va shifrlashni ta'minlovchi protokollar va texnologiyalar to'plami bo'lgan WPA-ning so'nggi versiyasi.
WPA3 foydalanuvchilarga uchinchi shaxslar tomonidan parolni taxmin qilish urinishlaridan eng kuchli himoyani ta'minlash uchun bir vaqtning o'zida tenglik autentifikatsiyasidan (SAE) foydalanadi. Mijoz kirish nuqtasiga ulanganda, u SAE almashinuvini amalga oshiradi. Muvaffaqiyatli bo'lsa, ularning har biri seans kaliti olinadigan kriptografik jihatdan kuchli kalit yaratadi va keyin ular tasdiqlash holatiga kiradi. Mijoz va kirish nuqtasi har safar sessiya kaliti yaratilishi kerak bo'lganda qo'l siqish holatini kiritishi mumkin. Usul oldinga siljish maxfiyligidan foydalanadi, bunda tajovuzkor bitta kalitni buzishi mumkin, ammo boshqa barcha kalitlarni emas.
Ya'ni, SAE shunday yaratilganki, trafikni ushlab turgan tajovuzkor ushlab olingan ma'lumotlar foydasiz bo'lishidan oldin parolni taxmin qilish uchun faqat bir marta urinishi bo'ladi. Uzoq parolni tiklashni tashkil qilish uchun sizga kirish nuqtasiga jismoniy kirish kerak bo'ladi.
Mijoz qurilmasini himoya qilish
Cisco Catalyst 9800 Series simsiz yechimlari hozirda ma'lum va paydo bo'layotgan tahdidlarni avtomatik aniqlash bilan DNS darajasida ishlaydigan bulutga asoslangan tarmoq xavfsizligi xizmati Cisco Umbrella WLAN orqali mijozlarning asosiy himoyasini ta'minlaydi.
Cisco Umbrella WLAN mijoz qurilmalarini Internetga xavfsiz ulanish bilan ta'minlaydi. Bunga kontentni filtrlash, ya'ni korporativ siyosatga muvofiq Internetdagi resurslarga kirishni bloklash orqali erishiladi. Shunday qilib, Internetdagi mijoz qurilmalari zararli dasturlardan, to'lov dasturidan va fishingdan himoyalangan. Siyosat ijrosi 60 ta doimiy yangilanadigan kontent toifalariga asoslangan.
Avtomatlashtirish
Bugungi simsiz tarmoqlar ancha moslashuvchan va murakkab, shuning uchun simsiz boshqaruvchilardan ma'lumotlarni sozlash va olishning an'anaviy usullari etarli emas. Tarmoq ma'murlari va axborot xavfsizligi bo'yicha mutaxassislar avtomatlashtirish va tahlil qilish uchun vositalarni talab qiladi, bu esa simsiz simsiz sotuvchilarni bunday vositalarni taklif qilishga undaydi.
Ushbu muammolarni hal qilish uchun Cisco Catalyst 9800 seriyali simsiz kontrollerlar an'anaviy API bilan birgalikda YANG (Yet Another Next Generation) ma'lumotlar modellashtirish tili bilan RESTCONF / NETCONF tarmoq konfiguratsiya protokolini qo'llab-quvvatlaydi.
NETCONF - bu XML-ga asoslangan protokol bo'lib, undan ilovalar ma'lumotlarni so'rash va simsiz kontrollerlar kabi tarmoq qurilmalari konfiguratsiyasini o'zgartirish uchun foydalanishi mumkin.
Ushbu usullarga qo'shimcha ravishda, Cisco Catalyst 9800 Series Controllers NetFlow va sFlow protokollari yordamida axborot oqimi ma'lumotlarini olish, olish va tahlil qilish imkoniyatini beradi.
Xavfsizlik va trafikni modellashtirish uchun muayyan oqimlarni kuzatish qobiliyati qimmatli vositadir. Ushbu muammoni hal qilish uchun sFlow protokoli amalga oshirildi, bu sizga har yuzta paketdan ikkitasini olish imkonini beradi. Biroq, ba'zida bu oqimni tahlil qilish va etarli darajada o'rganish va baholash uchun etarli bo'lmasligi mumkin. Shu sababli, alternativa Cisco tomonidan amalga oshirilgan NetFlow bo'lib, u keyingi tahlil qilish uchun belgilangan oqimdagi barcha paketlarni 100% yig'ish va eksport qilish imkonini beradi.
Cisco Catalyst 9800 seriyali kontrollerlarida simsiz tarmoqning ishlashini avtomatlashtirishga imkon beruvchi faqat kontrollerlarning apparat ta'minotida mavjud bo'lgan yana bir xususiyat - foydalanish uchun qo'shimcha sifatida Python tilini o'rnatilgan qo'llab-quvvatlash. skriptlarni to'g'ridan-to'g'ri simsiz boshqaruvchining o'zida.
Nihoyat, Cisco Catalyst 9800 Series Controllers monitoring va boshqarish operatsiyalari uchun tasdiqlangan SNMP versiya 1, 2 va 3 protokolini qo'llab-quvvatlaydi.
Shunday qilib, avtomatlashtirish nuqtai nazaridan, Cisco Catalyst 9800 Series yechimlari har qanday hajm va murakkablikdagi simsiz tarmoqlarda avtomatlashtirilgan operatsiyalar va tahlillar uchun yangi va noyob, shuningdek, vaqt sinovidan o‘tgan vositalarni taklif qiluvchi zamonaviy biznes talablariga to‘liq javob beradi.
xulosa
Cisco Catalyst 9800 Series Controllers-ga asoslangan yechimlarda Cisco yuqori mavjudlik, xavfsizlik va avtomatlashtirish toifalarida ajoyib natijalarni namoyish etdi.
Yechim rejalashtirilmagan hodisalar paytida ikkinchi soniyali uzilish va rejalashtirilgan hodisalar uchun nol ishlamay qolish kabi barcha yuqori mavjudlik talablariga to'liq javob beradi.
Cisco Catalyst 9800 Series Controllers ilovani tanib olish va boshqarish uchun paketlarni chuqur tekshirishni, maʼlumotlar oqimining toʻliq koʻrinishini va shifrlangan trafikda yashiringan tahdidlarni aniqlashni, shuningdek, mijoz qurilmalari uchun rivojlangan autentifikatsiya va xavfsizlik mexanizmlarini taʼminlovchi keng qamrovli xavfsizlikni taʼminlaydi.
Avtomatlashtirish va tahlil qilish uchun Cisco Catalyst 9800 Series mashhur standart modellardan foydalangan holda kuchli imkoniyatlarni taklif etadi: YANG, NETCONF, RESTCONF, an'anaviy API va o'rnatilgan Python skriptlari.
Shunday qilib, Cisco zamon bilan hamnafas bo‘lib, zamonaviy biznesning barcha qiyinchiliklarini inobatga olgan holda tarmoq yechimlari bo‘yicha dunyodagi yetakchi ishlab chiqaruvchi maqomini yana bir bor tasdiqlaydi.
Catalyst switch oilasi haqida qo'shimcha ma'lumot olish uchun tashrif buyuring cisco.
Manba: www.habr.com