[FI] Tietoliikennealan katsaus 2021-05

Ongelmat

Quad9-nimipalvelua vastaan tehtiin palvelunestohyökkäys, joka häiritsi palvelua 3.5.2021 noin 90 minuutin ajan. Volumetrisessä hyökkäyksessä käytettiin ilmeisesti LDAP-protokollan heijastusvahvistusta. Hyökkäys ei päässyt palvelimille asti, mutta aiheutti verkossa tukoksia.

Salesforce kärsi maailmanlaajuisesta palvelukatkosta 11.-12.5.2021. Vika johtui DNS-muutoksesta, jonka asiantuntija oli ajanut voimaan kerralla globaalisti. Normaali toimintatapa olisi ollut vaiheittainen muutos, mutta jostain syystä tämä henkilö ajoi muutokset hätämuutoksena kaikkialle samaan aikaan. Asiantuntija oli ollut töissä talossa jo monta vuotta ja ajettu skriptikin oli vuosia vanha. Tuskaa lisäsi, että palvelinhallinnassa paljastui riippuvuus DNS-palvelinten toimintaan ja DNS-vian vuoksi menetettiin palvelimien normaali hallinta. Palvelun nettitiedotus status-sivulla ei myöskään toiminut, vaan yritys joutui käyttämään dokumentaatiosivujaan, mikä herätti huvitusta. Sana ongelmista kiiri somen kautta asiakkaille. Johto heitti tämän epäonnisen asiantuntijan susille ja syytti avoimesti yhtä miestä. Tästä nousikin somessa vastareaktioita. Virheitä sattuu ja tarkoitus on oppia virheestä, tehdä korjauksia ja parantaa suoritusta. #hugops

Operaattorit

Julkisen pilven ympärillä kuhisee jatkuvasti. AWS on toistaiseksi pioneeri ja valtias, joka on mukana melkein kaikissa toteutuksissa laajan palveluvalikoimansa ja vahvan telco-yhteisön ansiosta. Muut julkiset pilvet ovat kuitenkin mukana monessa ja ovatkin palkanneet johtajia telco-puolelle. Dish valitsi Oraclen pilven network slicingin ja siihen liittyvien control plane -toimintojen toteutuksiin. Vodafone kehittää Googlen kanssa datanmurskausalustaa ja Telefonica rakentaa edge-palveluita Microsoftin kanssa. Pilvien erot tulevat näkymään siinä miten ne hallitsevat pilvinatiivit verkkotoiminnot. Googlella ja Microsoftilla on omat vahvuutensa ja niiden oletetaan haastavan AWS:n tosissaan.

5G:n taustalla pitää tapahtua massiivinen rakennusurakka, jossa päivitetään radioverkko, siirtoverkko ja mobiilicore. Japanissa Rakuten on hukassa suunnitelmiensa kanssa ja todelliset tarvittavat tukiasemamäärät ja rakennuskustannukset ovat yllättäneet. Koko verkon koosta kertoo se, että Japanissa Softbankilla on 4G-verkossa 230000 tukiasemaa, pienessä Etelä-Koreassa on yhteensä 870000 4G-tukiasemaa ja 166000 5G-tukiasemaa. Kiinassa arvioidaan tämän vuoden loppuun mennessä rakennetun 1,3 miljoonaan 5G-tukiasemaa, jolla se yltää vain keskinkertaiseen kattavuuteen.

Tiheän rakentamisen hankaluutta yrittää ratkaista Piilaakson startup Airwave, joka lupaa hoitaa tukiasemapaikat valmiiksi käyttöä varten. Airwave yrittää olla saittien Airbnb, joka etsii ja valmistelee mahdolliset asennuspaikat hankkimalla luvat ja tekemällä sopimukset. Sen jälkeen se laittaa muut rakentamaan saitin valmiiksi ja tulouttaa saittipaikasta vuokraa muutaman satasen kuussa sen omistajalle. Toiminta on pitkälti samaa kuin perinteisessä masto- ja saittibisneksessä. Nyt vaan siirrytään yhä suurempiin määriin ja erikoisempiin kohteisiin.

5G-yksityisverkkojen arvo on niin kuuma, että myös suuret komponenttivalmistajat haluavat päästä osingoille ja alkavat valmistaa omia verkkolaitteita. Foxconn ja Siemens ovat aikeissa valmistaa omia 5G-tuotteitaan. Toistaiseksi taajuusluvat ovat operaattorien hallussa, mutta kun taajuudet vapautuvat tai tulevat kaikkien saataville, 5G-verkon tarjoajien kirjo voikin olla erilainen.

Vanhoilla mobiiliverkoilla on pitkä häntä. Kohta 20 vuotta käytössä olleita 3G-verkkoja aletaan sulkea ja verkoista paljastuu historiallisia jäänteitä. USA:ssa 3G-verkkoa käyttävät 6 miljoonaa hälytyslaitetta uhkaavat pudota verkosta ja ovat aiheuttaneet porun. Laitteiden vaihto on tietysti kova homma, mutta ehkä nykyaikana olisi luontevaa antaa laitteille elinkaaripäivitys 10-15 vuoden jälkeen, eikä olettaa, että verkkotekniikka pysyy ikuisesti samana. Toisaalta mobiiliverkot voisivat olla taaksepäin yhteensopivia jollain tasolle asti niin, että vanhatkin laitteet toimisivat. Taajuuksista on pulaa ja niitä tarvitaan uusiin käyttötarkoituksiin. T-Mobile ja Dish jatkavat mediasotaa ja kiistelyä montako asiakasta siellä CDMA-verkossa olikaan, 900000 vai 4 miljoonaa.

AT&T päättää seikkailunsa mediamaailmassa ulkoistaessaan Warnermedian omaksi yhtiöksi Discoveryn kanssa. AT&T osti TimeWarnerin viisi vuotta sitten 85 miljardilla ja sai siitä nyt alle puolet takaisin. 43 miljardin tuotolla se saa buustin 5G- ja laajakaistarakentamiseen. Aiemmin Verizon ilmoitti myyvänsä Verizon Media -yksikkönsä. Takana on aika, jolloin puhuttiin triple/quad playsta ja kuluttajien houkuttelemisesta mediasisältöjen avulla. Bisneksen teko sisällöillä olikin vaikeampaa kuin kuviteltiin. Suomessa vielä yritetään, vaikka muutoksia on jo näkyvissä. DNA tajusi luopua maksu-TV:stä hyvissä ajoin, mutta miten käy Elisa viihde -Viaplayn ja Telia-Bonnierin ja Liigan?

Operaattorit eivät tunnu oppivan, vaan toistavat samoja virheitä uudelleen ja uudelleen. Taustalla näkyy kateus OTT-palveluita ja internet-yhtiöitä kohtaan. Suuruudenhulluja laajentumisia ja maailmanseikkailuja on nähty, vaikka verkko on tässä ajassa muodostunut kriittiseksi asiaksi omassa yhteiskunnassa ja päivittäisessä elämässä. Mitä jos hassatut rahat olisi laitettu suoraan verkon kehitykseen? Mutta jostainhan se myynnin kasvu on haettava. Telenor vetäytyy Myanmarista vaikeiden olosuhteiden vuoksi. Vallankaappaus oli liikaa ja 8 vuoden yritys päättyy 780 miljoonan omaisuuden alaskirjaukseen.

Access-tekniikat kehittyvät ja mediahuomion kerää 5G, joka ei ole ihan vielä täällä. Mutta myös DSL-tekniikassa tapahtuu kehitystä. DNA kuitenkin ilmoitti lopettavansa “160-vuotiaan lennätinverkon” eli kupariverkon käytön 2025 mennessä. Tarjolle tulee tietenkin mobiilia tai kuitua. Nokia ja Proximus ovat demonneet symmetristä 25G-kuituverkkoa Belgian Antwerpenissä. Tosin sillä käyttökohteet ovat enemmän yrityspuolella ja 5G-backhaulissa kuin kotilaajakaistassa.

Pilvi

Operaattorien sisältöbisnes on kuihtumassa, mutta Amazon lisää höyryä ja ostaa MGM:n kovalla hinnalla. Amazonilla on jo ennestään sisältöä Amazon Studiosin, Prime Videon, Audiblen ja Twitchin kautta. Oston tarkoitus ei ole täysin selvillä: ostiko Amazon MGM:n arvokkaan katalogin vai aikooko se investoida ja kehittää studion toimintaa? Luultavasti molempia. Ehkä näemme vihdoin James Bondin sarjana. Amazon sanoo, että yritysten on tunnistettava milloin niiden liiketoimintamallit eivät enää toimi. Suuruuden ekonomia jyllää kun sisältöjen hinta on koko ajan noussut. Amazon on myös rakentanut mainonta- tai markkinointiliiketoimintaa, jonka nyt arvellaan hätyyttelevän AWS:n tuottoja.

Verkon osalta ilouutisia tuo se, että AWS:n datansiirtolaskutus on poistettu VPC:eiden välillä saman Availability Zonen sisällä. Erikoisempi esimerkki pilven käytöstä on verkkopalveluiden rakentaminen AWS:n Lambda-funktioiden avulla. Paloalto on julkaissut perusteellisen toteutusoppaan palomuurin käytöstä julkisessa pilvessä. Se toimii hyvänä yleisohjeena kaikille palomuureille ja pilville.

Google on avasi Haminan konesalinsa laajennusosan tuotantoon ja on toiminut Suomessa nyt 10 vuotta. Paikallisen haastattelun mukaan brittiläiset ja irlantilaiset työntekijät ovat tuoneet mukavaa lisäväriä Haminan paikalliseen pubikulttuuriin laajentamalla olutvalikoimia.

Liberty Global ja Digital Colony yhdistävät voimansa kehitysyhtiöön, jonka tarkoitus on tuottaa Eurooppaan 100 uutta edge-konesalia. Edgen pieniviiveisten sovellusten kehittämisessä on omat periaatteensa. Mielenkiintoisia periaatteita ovat mm. offline-sovellukset, paikallisuus ensin, verkon valinnaisuus ja rajaus. Globaali verkko ja verkon pieni viive eivät siis välttämättä ole vaatimuksia sovelluksen kannalta. Edgessä tärkeämpää on operointimallit, jotka ovat vielä hyvin epäselviä. Tässä onkin suuri kaupallinen potentiaali.

Pilvin tietoliikenne on oma juttunsa. Verkko-ominaisuuksien taso vaihtelee ja ulkopuolisten virtuaalituotteiden vaihtelevat ominaisuudet, yhteensopivuus, lisensointi ja kustannukset vaikuttavat ratkaisuihin. Alaa ovat hallinneet muut kuin verkkoasiantuntijat. Nyt pilviverkkoarkkitehdin rooli on noussut keskusteluun. Tarvitaanko sellaista ja mikä sen rooli nyt sitten olisi? Omasta mielestäni pilvessä on kyse sovelluksista ja niille tuotettavista yhteyksistä. Verkkoa tehdään pilvialustan palveluiden varaan ja niistä riippuen. Perinteinen verkkomaailma ja protokollat ovat jääneet pois, vaikka perusperiaatteet ovat toki taustalla. Kun pilven ominaisuudet kasvavat, myös verkkopuoli kypsyy ja monipuolistuu. Pilvialusta tarjoaa underlayn ja käyttäjä itse rakentaa sovellusten ja oman tarpeen mukaisen overlayn. Kyllä tähän joku verkkoasiaa ymmärtävä suunnittelija tarvitaan niin kuin kaikkeen infran ja palveluiden rakentamiseen. Muistutuksena vaan kaikkien hienouksien keskellä, että mitä monimutkaisempaa ympäristöä rakentaa, sitä hankalampi sen kanssa on elää. Luulenpa, että pilven kanssa toistetaan samat virheet, jotka on tehty aiemmin fyysisen verkon kanssa.

Gartner varoittaakin miksaamasta julkisia pilviä. Monipilvellä on vähän annettavaa jos aletaan poimia parhaita paloja eri alustoilta. Samaa voisi sanoa monivalmistajaverkosta. Valmistajien ja erilaisten laitteiden sekoittaminen tuottaa yleensä enemmän harmia kuin hyötyä. Jokaisella erilaisella raudalla, softalla ja ominaisuudella on hintansa. Joten oma neuvoni on keskittää mahdollisimman paljon samanlaisiin laitteisiin, vaikka maksaisi vähän enemmän ja tulisi turhaa kapasiteettia. Hinta on pieni verrattuna siihen mitä kuluu operatiivisiin askereisiin erilaisten ympäristöjen kanssa tusatessa.

SD-WAN/SASE-kentällä middle mile mania jatkuu. Fortinet, Paloalto, Versa ja Vmware liittyvät Googlen Network Connectivity Centeriin ja Megaport rakentaa oman edgensä Fortinetin SD-WAN:lla. Mihin SD-WAN ja SASE ovat menossa? Kun väki palaa toimistolle, SD-WAN:lle on taas käyttöä. SASE voi toimia agenttina päätelaitteessa, mutta on paljon agentittomia laitteita, jotka on helpointa tunneloida SD-WAN:n yli pilveen. SASE ja sen connectorit kuitenkin syövät pikkuhiljaa SD-WAN:n roolia. Monipilvi alkaa yhdistyä SASE:n kanssa, mutta siinä onkin SASE:n heikko kohta, joka kaipaa kehitystä. Tähän ovat iskeneet mm. Aviatrix, Alkira ja Prosimo. Myös datan ja sovelluksen käsittelyssä, suojaamisessa, reitittämisessä, pääsynhallinnassa, jne. on kehitettävää. Valmistajien välillä on eroja. Gartnerin suositus on valita valmistaja, joka antaa mahdollisuuden valita sopivan tavan ja paikan tarkistuksille, reititykselle ja lokitukselle.

Masergyn tutkimuksen mukaan viiden vuoden päästä SD-WAN:ia käyttää 92% yrityksistä. Suurin osa yrityksistä käyttää oman ympäristön ja julkisen pilven yhdistävää hybridimallia, mutta privaattiyhteys, esim. MPLS, on yhä vallitseva käytäntö paremman suorituskyvyn ja turvallisuuden takia. Suurin osa käyttää palveluntarjoajaa ja vain 23% rakentaa SD-WAN:n itse. Tärkeimmät syyt SD-WAN:lle ovat tehokkuus, ketteryys ja alhaisempi hinta. Tärkeimmät valintakriteerit ratkaisulle ovat turvallisuus ja luotettavuus.

Kyberturvallisuus

USA:n itärannikon polttoainejakeluverkon sulkeminen lunnasohjelman takia oli varotoimi. Tiettävästi isku kohdistui IT-järjestelmään, kenties tuotannon ohjausjärjestelmään. Darkside ryhmä itsekin myönsi, että heidän tehtävänsä on tehdä rahaa, ei aiheuttaa harmia yhteiskunnalle. 5 miljoonan lunnasrahat heille maksettiin, kun hyökkäyksen laajuudesta ei ollut varmuutta ja palvelu haluttiin saada palautettua nopeasti. Palautuminen tapahtuikin alle viikossa.

Samanlainen kohtalo kävi Irlannin terveydenhuoltojärjestelmälle. Koko järjestelmä piti varmuuden vuoksi ajaa alas, vaikka hyökkäys kohdistui dataan, ei operatiivisiin hoitojärjestelmiin. Raja näissä on häilyvä kun IT on olennainen osa kaikkea toimintaa. Hyökkääjien toimintaa, mielenmaisemaa ja liiketoimintaa valottaa rikollisryhmään soluttautunut toimittaja. Uhrit ovat valikoituneet tarkkaan ja valmistelut on tehty hyvin. Hyökkäys tapahtuu yleensä perjantai-iltana tai viikonloppuna kun henkilökunta on pois töistä.

Norjalainen Volue on toiminut esimerkillisen avoimesti kyberiskun hoitamisessa, kun usein niin moni yritys sulkeutuu ja jättää asian hoitamatta. Volue on jakanut hyökkäystietoa ja tehnyt yhteistyötä paikallisen CERT:n ja poliisin kanssa. Se on tiedottanut yksityiskohtaisesti tilanteesta päivittäin ja antanut johtajien yhteystiedot lisäkyselyjä varten. Avoimuus suojelee yritystä, työntekijöitä ja asiakkaita, ja luo uskoa yrityksen toimintaan.

Valtori on vahvistanut, että Pulse Securen haavoittuvuutta ei käytetty hyväksi tai sen todennäköisyys on pieni. Alkuun ohjelmistovirheestä johtuneet väärät hälytykset aiheuttivat huolen mahdollisesta hyväksikäytöstä.

Ensi kertaa historiassa pilven tietoturvaloukkausten määrä ylitti omissa tiloissa tapahtuvien määrän. Tänä vuonna 73% kyberiskuista tapahtuu ulkoisiin pilviresursseihin. Määrä on pompannut vuodessa huimasti ylöspäin. Mikään ei kuitenkaan osoita, että oma ympäristö olisi turvallisempi.

Suurimmat ongelmat pilven osalta ovat varastetut tunnukset, virhekonfiguraatiot ja tiedon kalastelu. Omissa ympäristöissä taas selkeästi suurin ja kasvava ongelma ovat lunnashaittaohjelmat. Kaikkiaan 61% ongelmista koski tunnuksia ja vain 3% johtui haavoittuvuuksista. Surullista, mutta totta: 20% internet-rajapinnan haavoittuvuuksista oli yli kymmenen vuotta vanhoja. Samaa tarinaa kertoo myös tuore avoimen koodin riskianalyysiraportti: 91% analysoiduista koodeista sisälsi avoimen koodin riippuvuuksia, joita ei ollut päivitetty kahteen vuoteen. 85% riippuvuuksista oli yli neljä vuotta vanhoja.

Wifi-standardista on löytynyt fragmentointihaavoittuvuus, joka vaikuttaa kaikkiin wifi-laitteisiin. Suunnitteluvirhe on ollut standardissa vuodesta 1997 ja sitä on onneksi vaikea hyväksikäyttää. Valmistajat ovat valmistelleet päivityksiä 9 kuukauden ajan yhdessä Wifi Alliancen ja ICASI:n kanssa. Nyt ne on julkaistu. ICASI:n sivulle on koottu lyhyt yhteenveto.

Nimipalvelimen Tsuname-haavoittuvuutta voidaan käyttää DDoS-hyökkäykseen toista nimipalvelinta vastaan. Vmware pyytää päivittämään kaikkia Vcenter-asennuksia koskevan vakavan haavoittuvuuden heti. Myös väliaikainen korjauskeino löytyy.

Cisco-kytkinkin voi joutua kaapatuksi, kuten kävi Init7:n verkossa. Kytkimen konfiguraatio oli korvattu propagandatekstillä hyväksikäyttäen Smart Install -ominaisuutta. Cisco Anyconnectin vanha haavoittuvuus ja SD-WAN vManagen ja Hyperflexin kriittiset haavoittuvuudet on nyt korjattu. Näitä ei ole Ciscon mukaan tiettävästi käytetty hyväksi.

Mikropalveluiden aikakaudella konttien tietoturvallisuus nousee usein esille. Kubernetes-klusterin hyökkäykseen voidaan käyttää perinteisiä menetelmiä: DNS spoofingia, overlay-verkkoja tai BGP-prosessia. API on verkon tulevaisuus ja HTTP on uusi TCP. Verkon tehtävänä on yhdistää ja erottaa eli suojata mikropalveluita. Tähän tarvitaan näkyvyyttä, jota tarjoaa keskeinen komponentti service mesh, kuten vaikka Istio tai Envoy, johon perustuu myös Vmwaren Tanzu. Service mesh on kuin palomuuri, kuormanjakaja ja sovellusvalvontatyökalu. GRPC-protokolla on kuitenkin kehittynyt niin, että se ei enää tarvitse erillistä service meshiä kylkeensä, vaan voi suoraan hoitaa kuormanjakoa ja palveluiden löytämistä. Palvelut voidaan gRPC:llä laajentaa suoraan hallintakerrokselle ilman proxyä.

Puolustusvoimat on julkaissut ensimmäisen raportin sotilastiedustelusta ja sen sisältö on yleiskuva toiminnasta, kuten saattoi odottaa. Raportin mukaan ulkomaiset toimivat ovat olleet aktiivisia Suomessa. HS uutisoi osaajapulasta, jota ei raportissa mainita. Samassa yhteydessä mainitaan seurannan tekniset vaikeudet dynaamisesti reitittyvässä verkossa. NSA on vakoillut eurooppalaisia poliitikkoja Tanskan tiedustelupalvelun avustamana operaatio Dunhammerissa vuosina 2012-2014. Tanskalaisia kaapeleita on kuunneltu ja sieltä on kerätty johtajien puheluita ja viestejä. Myös ruotsalaista ja tanskalaista puolustusteollisuutta on vakoiltu. Suomalaisten yritysten vakoilu on todellista, selviää Kauppakamarin selvityksestä.

Suomi on laatinut oman “Huawei-raaminsa” eli Traficomin määräyksen viestintäverkon kriittisistä osista. Määräys listaa viestintäverkon tärkeäksi määritellyt komponentit.

Tekniikka

Teknologian standardointi on joskus ymmärretty väärin. IETF ei ole poliisi tai regulaattori, joka valvoo tai tekee standardeja. Sillä ei ole mielipidettä tai tavoitetta teknisten asioiden suhteen. IETF on vapaaehtoisten työryhmä, joka tavoittelee yhteisymmärrystä asioista ja dokumentoi ne. Draftin voi kirjoittaa kuka tahansa ja mistä hyvänsä, kuten Googlen Warren Kumarin esimerkki näyttää. Jos draft on päätynyt RFC:ksi, se on jo hyvä yhteinen näkemys jatkokeskustelulle. Jos asiassa päästään vielä eteenpäin, RFC etenee BCP-tasolle (Best Common Practice) tai jopa standardiksi (STD) asti. Näiden eritasoisten dokumenttien noudattamista ei kuitenkaan kukaan varsinaisesti valvo, vaan yhteisö katsoo toimijoiden perään kollektiivisesti.

Kuuden vuoden jälkeen QUIC on saavuttanut RFC-statuksen numerolla 9000. Määritys on niin kattava, että se on jaettu neljään eri RFC:hen 8999-9002. QUIC ei sisällä HTTP/3:sta, jonka speksi tulee ulos myöhemmin.

EVPN, tuo paljon puhuttu standardoitu protokolla, ei ole standardista huolimatta täysin yhteensopiva eri valmistajien kesken. Protokollassa on paljon nyansseja, erilaisia toteutustapoja ja kehitysvaiheita, joten valmistajien kesken on jopa yllättävää, että jotain saadaan toimimaan. EANTC on tehnyt kattavaa testausta jo useamman vuoden ajan eri valmistajien laitteiden kesken. Pääpaino on operaattorimaailmassa ja siellä monivalmistajaratkaisuilla onkin paikkansa rajatuissa käyttötapauksissa. Yrityspuolella monivalmistaja-EVPN-VXLAN:lla ei ole sijaa, jos ei sitten halua tehdä elämästään vaikeaa ja harrastaa asiaa perusteellisesti. Ehkä jonain päivänä kehitys on siinä pisteessä, että valmistajat ovat oikeasti yhteensopivia. EVPN-VXLAN on myös Cisco ACI:n taustalla hieman omanlaisena toteutuksena. Kolmiosainen (1, 2, 3) vertailu kartoittaa ACI:n etuja muiden valmistajien EVPN-ratkaisuihin nähden tekniikasta operointiin ja kustannuksista laajennettavuuteen.

Telia Carrierin uudesta runkoarkkitehtuurista on julkaistu perusteellisempi juttu. Se perustuu siis Cisco 8000-sarjan reitittimiin, joiden sisällä on Broadcom Jericho2-piiri, ja Acacian 400G-koherenttioptiikkaan, jolla saadaan optinen kerros selkiytettyä. Verkosta on tehty yksinkertainen ja kustannustehokas. Colt tekee samaa modernisointia samanlaisella kokoonpanolla.

Arista tuo hankkimansa Metamakon avustuksella jälleen pienen viiveen kytkennän uudelle tasolle. Kymmenen vuotta sitten päästiin 500 ns tasolle ja se on nyt valtavirtaa. Uusi 7130-kytkin tekee L1-kytkentää, joten sähköisellä tasolla päästään 5 ns viiveeseen. Tällä menetelmällä paketeille ei vain pysty kytkimessä tekemään mitään. L2-kytkentä tapahtuu alle 100 ns viivellä. ASIC:n sijaan kytkentä tehdään FPGA:lla ja käyttäjä voi SwitchApp-sovelluksen avulla valita sopivat ominaisuudet käyttöön muutamasta eri profiilista. Pakettien aikaleimaus on huipputarkkaa 400 pikosekunnin tasolla.

Täytyy vaan ihmetellä Aristan paneutumista HFT-markkinaan, joka ei nyt kuitenkaan niin valtavan suuri ole. Myyttien murtaminen jatkuu. Tarvitaanko cut-through -kytkentää enää mihinkään? Ero store-and-forward -kytkentään oli joskus olemassa, mutta käytännössä nykypäivänä cut-through:lla ei ole juuri merkitystä. Varsinkin kun sille on monta rajoittavaa tekijää, jotka varmasti ovat lähes joka verkossa. Cut-through:ta ei voi tehdä kun nopeus muuttuu tai portissa tehdään puskurointia. Tämä tarkoittaa siis, että cut-through ei toimi jos kytkimessä on linjakortteja tai useampi ASIC. Lisäksi access-portin ja uplinkin välillä on aika varmasti aina nopeusero. Jäljelle jää siis vain paikallinen portista-porttiin kytkentä sopivalla raudalla jossakin niche-käyttökohteessa. Joka tapauksessa suurin osa sovelluksista ei näe eroa mikrosekuntien välillä.

Kun liikenne purskahtelee, tarvitaanko kytkimessä puskureita? No eipä juuri. Ulospäin suuntautuva liikenne on ongelma vain jos useasta portista tulee purskeista liikennettä samaan uplinkiin tai päinvastoin uplinkistä palvelinporttiin. Puskuroinnin ja viiveen sijaan on luultavasti parempi tiputtaa liikennettä hallitusti ja antaa modernin TCP-pinon hoitaa ongelma. Verkkopalveluiden virtualisoinnin (NFV) on myös esitetty vaativan puskurointia, mutta perusteet ovat yhtä heppoiset kuin muutenkin konesaliverkossa. Oikea paikka tehdä puskurointia on WAN-reunan reititin.

On hyvä muistaa, että sovellukset käyttävät IP-paketteja, isompia tai pienempiä, enemmän tai vähemmän ja erilaisilla sisällöillä. Ääni tai videokuva, ohjaussignaali tai valvontatieto on paketteja muiden joukossa, jotka kytkin tai reititin hoitaa eteenpäin samalla tavalla. Eiköhän ole aika julistaa myös sovellusten erityisvaatimukset kuolleiksi. Tavallinen ja keskinkertainenkin verkkoinfra hoitaa asiansa ihan hyvin ilman ihmeempää virittelyä jos muuten topologia ja toiminnot ovat kohdallaan ja sovelluspino toimii järkevästi.

Kytkimissä käytetään nopeaa CAM-muistia (Content-Addressable Memory) tallentamaan hakutaulukoita. CAM käyttää dataa hakuun toisin kuin RAM. Haku on myös rinnakkainen ja se voidaan tehdä sykleissä. TCAM (Ternary CAM) on yleisesti verkkolaitteissa käytetty muistityyppi, jossa on nollan ja ykkösen lisäksi kolmas “älä välitä”-tila. Siksi se sopii hyvin pakettien luokitteluun kun osa tiedoista voidaan maskata any-biteiksi. TCAM on yleensä melko pienikokoinen muisti, joten sen täyttymisestä vähänkään laajemmassa käytössä on syytä olla huolissaan. Muistia allokoidaan käytetyn datan mukaan. Verkkolaitteissa on yleensä erilaisia profiileja, joilla resursseja, esim. taulujen kokoja, yritetään säätää sopiviksi eri käyttötarkoituksiin.

18 vuotta sitten Alcatel osti Timetran ja toi L2VPN:t vahvasti osaksi MPLS:ää. Operaattorit innostuivat Alcatelin laitteista ja SAM-palveluprovisiointityökalusta. MPLS-hype vaihtui realismiksi. Timetran Timos-käyttöjärjestelmä vaihtoi nimeä myöhemmin SROS:ksi. 2015 Nokia osti Alcatelin. Viime vuonna Nokialta tuli uusi käyttöjärjestelmä SR Linux, joka seurasi Junos Evolvedia, jossa FreeBSD vaihtui Linuxiin 2018. Lähes kaikki verkkokäyttöjärjestelmät ovat olleet alun perin Linux-pohjaisia tai viimeistään nyt siirtyneet Linuxiin, joka on neutraali, avoin ja laajennettava alusta. Monesta käyttöjärjestelmästä on myös saatavissa konttiversio, mutta yllättävä kyllä Cumuluksesta ei. Mutta kyllä se sinne Dockeriin kuitenkin meni.

Wifissä monet toimijat ovat siirtyneet pilvihallittavaan ympäristöön ja sen myötä tukiasemista on tullut itsenäisiä toimijoita ilman kontrolleria. Kontrollerin etu on ollut liikenteen tunnelointi keskuspaikkaan ja toimintojen keskitys yhteen paikkaan. Kontrollerin mitoituksesta ja hajautuksesta on tullut ongelma. Voiko tunnelointia ja itsenäisiä tukiasemia yhdistää? Se vähän riippuu. Monella valmistajalla tuntuu olevan myös gateway-toiminto, jolla LAN:n tukiasemaliikenne saadaan kerätty ja välitettyä keskitettyyn paikkaan.

Telecom Infra Project (TIP) on julkaissut avoimen Openwifi-aloitteen, jolla pyritään tuomaan avoimia vaihtoehtoja wifin rakentamiseen erilaisista palasista. Openwifiin sisältyy raudan ja softan lisäksi erilaisia ominaisuuksia kuten meshing, RRM, Passpoint ja Openroaming. Yhteisössä on yli 100 yritystä laidasta laitaan. Whitebox-valmistaja Edgecorella on oma wifi-tuotelinjansa ja se osallistuu myös Openwifiin. Aruba ehti tuoda ensimmäisenä markkinoille Wifi6E-tukiaseman. Käyttökohteina mainitaan tiheät peitot kuten lentoasemat, stadionit, sairaalat ja luentosalit. Aruban strategiassa tukiasema on olennainen datankeräyselementti, joka syöttää tietoa käyttäjistä ja laitteista edge-alustalle.

AT&T on testannut Openroamingia Austinin urbaaniympäristössä. Tarkoituksena on näyttää, että wifi saadaan roamaamaan koko kaupungin alueella automaattisesti ja turvallisesti. Openroaming on lähtöisin Ciscolta, josta se siirtyi viime vuonna Wireless Broadband Alliancelle (WBA). Passpoint on Wifi Alliancen vetämä enemmän paikalliseen roamingiin keskittyvä teknologia. Openroaming on suurimmaksi osaksi rakennettu Passpointin päälle ja sen tarkoitus on tarjota laajempaa liikkuvuutta.

IoT-maailman nykyiset yhteystavat ovat saamassa haastajan Wirepassista, joka on Tampereen Yliopiston spinoff. Wirepassin tarkoituksena on tuoda markkinoille ensi vuoden aikana uusi kommunikointiprotokolla, jolla IoT-laitteet voivat kommunikoida hajautetusti keskenään ilman tukiasemia. Wirepass Private 5G käyttää vapaata 1,9 GHz-taajuutta ja tuttuja mobiilitekniikoita sovitettuna DECT-2020 -standardiin. Näin saadaan Zigbeetä suurempi 3 Mbps -nopeus, varmempi toiminta ja itsenäinen verkko ilman operaattoria.

20 vuotta olemassa ollut Zigbee Alliance nimenä häviää ja se brändää toimintansa uuden Connectivity Standards Alliancen (CSA) alle. Toiminta laajenee, mutta Zigbee pysyy tärkeänä kantavana voimana. Project CHIP (Connected Home over IP) on nyt Matter, joka pyrkii standardoimaan älykodin IoT-laitteiden kommunikoinnin. Amazon käynnistää kesäkuussa Sidewalk-verkkonsa, joka muodostuu kaikkien sen Echo-, Ring- ja Tile-laitteiden välille Bluetoothilla ja 900 MHz:n taajuudella. Sidewalk on vaihtoehtoinen mesh-verkko jos wifiä ei ole tarjolla. Ominaisuus on päällä automaattisesti, mutta sen voi myös kytkeä pois.

EU:n Galileo-satelliittinavigointijärjestelmään on tehty päivitys, joka tarjoaa nyt senttimetriluokan paikannuksen.

Operointi

Mielenkiintoinen psykologinen tutkimustulos kertoo, että paineen alla ihminen ajattelee liian vaikeasti. Ajatusten rönsyily on luontaista ja ratkaisemme ongelmia ennemmin lisäämällä kuin poistamalla jotain, vaikka yksinkertainen ratkaisu ongelmaan on usein paras. Kuormittavassa tilanteessa ihminen päätyy helposti helppoihin ja nopeisiin ajattelumalleihin, ja ei osaa ensimmäiseksi ajatella karsimista vaihtoehtona.

Go-kieli kasvattaa suosiotaan yleisesti ja myös verkon ohjelmoitavuudessa Pythonin rinnalla. Go on oikea ohjelmointikieli, jolla tehdään ohjelmia. Pythonia käytetään datan käsittelyyn. Verkon automaatiossa aletaan nähdä, että pelkkä konfiguraation automatisoiminen ei ehkä ollutkaan ainoa asia ratkaistavaksi. Konfiguraation luomisessa menee rutkasti aikaa ja vaivaa tietojen keräämiseen ja varmistamiseen. Muutos on monivaiheinen työnkulku ja testausta tarvitaan sen eri vaiheissa. Parhaimmillaan automaatio voi olla suljetun luupin työnkulku, jolle on määritetty tavoitetila. Verkkoa testataaan jatkuvasti ja huomatut puutteet ja viat korjataan nopeasti automaattisesti. Automaatioon ja testaukseen ei välttämättä sovi yksi ja sama työkalu, vaan eri toimintoihin joudutaan käyttämään eri ohjelmia.

Automaatiovaikeuksia taklataan erilaisilla työkaluilla. Jerikan yhdistää tietolähteen, Jinja2-tempatet, Gitlabin ja Ansiblen. Merlin kokoaa verkon tilatiedon CLI:n tai API:n kautta. Pandas on tunnettu Pythonin datankäsittelykrijasto, mutta verkkoihmistenkin kannattaisi huomioida se mm. Excel-datan, aikasarjojen ja Batfishin takia. Muistutuksena yhteenveto Python-työkaluista verkkokäyttöön. Automaation oppimiseen apua tarjoaa Packet Coders.

Ansiblesta on julkaista versio 4.0.0.0. Täytyy sanoa, että Ansible ei ole sieltä selkeimmästä päästä. Moni asia herättää kysymyksiä: rakenne, versiointi, riippuvuudet, yhteensopivuus, hajanainen dokumentaatio, käyttötarkoitus, jne. Uuden version 4.0.0 release notes löytyy Githubista. Ansible yrittää myös ratkaista työnkulun ongelmaa ja verkon tilatiedon synkronointia kokoelmien ja resurssimodulien avulla.

Verkon valvonnassa pitäisi myös päästä enemmän liiketoimintatasolle ja tuottaa jalostuneempaa tietoa verkosta ja liikenteestä. Kustannustieto voi olla yksi ylemmän tason parametri, jota seurata. Liikennettä voi olla tarpeen optimoida jos siirretyt tavut maksavat. Tiedon kaivamiseen tarvitaankin jo vähän parempia välineitä ja eri lähteiden yhdistelyä. Flow-tieto on yksi monipuolinen lähde liikenteen seurantaan. Linuxin switchdevilläkin voi generoida sflowta yhdenmukaisesti kaikista alustoista. Mellanoxin Spectrum-piireillä varustetuista kytkimistä voi myös kerätä tietoa pakettien tippumisesta ja niiden syistä What Just Happened (WJH) -ominaisuuden avulla. Tiedon kun heittää aikasarjaan ja visualisointiin, niin saa hyvää lähes reaaliaikaista tietoa pakettien käytöksestä. Jos sattuu käyttämään Cumulus Linuxia, voi valvontaan käyttää NetQ:ta, joka on muutenkin näppärä työkalu Cumulus-verkon hallintaan ja valvontaan.

Kaupallisella puolella Juniperin monivalmistajakonesalihallintatuote Apstra päivittyi 4.0-versioon. Contrail on heitetty pois ja Apstraa tarjotaan nyt oletuksena konesalifabricin hallintaan. Uusina ominaisuuksina on NSX-T 3.0 -integraatio, Sonic-tuki ja yhteysmallit liitettäville laitteille. Ennestään Apstra tukee Juniperia, Ciscoa, Aristaa ja Cumulusta. Apstraa voi kokeilla ilmaiseksi kirjautumalla Juniper vlabsiin.

Euroopassa vähemmälle huomiolle on jäänyt NIS-direktiivi, joka on ollut voimassa muutaman vuoden. Sen tarkoituksena on ollut GDPR:n tapaan reguloida tärkeitä IT-palveluita ja palveluntarjoajia, mutta käytäntö on ollut lässähtänyt sekavien käytäntöjen ja tulkintojen vuoksi. Nyt NIS2 yrittää korjata tilanteen tarkentamalla keitä direktiivi koskee. Listalla on mm. IXP:t, CDN:t, konesalit ja nimipalvelut. Tarkoitus on hyvä eli saada jotain rotia huonossa jamassa oleviin toimijoihin ja palveluihin. Tämä tarkoittaa myös lisääntyvää byrokratiaa ja sakon uhkaa jos asiat eivät mene hyvin.

Jos DNS-data kiinnostaa, tässä on lueteltu palveluita, jonne on kerätty avointa zone-dataa. Disney Streamingin Hulu kertoo miten iso nimipalveluinfra ja -palvelu rakennetaan. Facebook puolestaan esitelmöi miten heillä ajetaan BGP:tä konesalissa. Facebook on myös automatioinut peerauksen käyttämällä PeeringDB:tä tunnistautumiseen ja pyynnön validointiin.

Microsoft on avannut dataa konesalikytkimiensä vioista. Verkko tuntuu olevan luotettava, mutta laitteissa on valmistajakohtaisia eroja niin, että toinen merkki on kaksi kertaa vikaherkempi kuin toinen. Microsoft ei kerro mitä laitteita se käyttää, mutta tietojen mukaan ainakin Aristan ja Mellanoxin kytkimiä. Arista varmaankin suoriutuu ihan hyvin, koska Microsoft on niin iso asiakas Aristalle. Mutta itse häiriöitä oli kolmen kuukauden jakson aikana 180000 kytkimessä 4681. Käytettävyys oli kaikkiaan 98%, mutta omalla Sonic-käyttöjärjestelmällä käytettävyys nousi 99%:iin. Katkot olivat lyhyitä alle kuusi minuuttia tai sitten laite kuoli kokonaan ja täytyi vaihtaa. 32% oli laitevikoja, 27% sähkökatkoja ja 17% softabugeja.

Yritykset ja tuotteet

Ohjeita IT-alalla selviämiseen antaa Greg Ferro kirjassaan Enterprise IT Career Handbook. Siitä saa hyvän kuvan miten ala muuttuu ja miten luovia mukana menestyksekkäästi. Myös pehmeä puoli on nykypäivänä erittäin tärkeä osa osaamista ja pärjäämistä. Tekniikan osaamisella pääsee sisään, mutta pehmeillä taidoilla pitkälle. IT-alan haastatteluja itsekin aika monta läpikäyneenä voi sanoa, että haastattelujen tasoero on järkyttävän suuri. Usein yritys yrittää antaa ruusuisen kuvan omasta toiminnastaan. Joissakin isoissakin yrityksissä en ole saanut kysymyksien jälkeenkään selvää kuvaa mitä siellä oikein tehdään ja miten. Rekrytoijilla ja haastattelijoilla olisi tosi paljon parannettavaa. Teknisten detaljien ja kikkakysymysten sijaan voisi kysellä avoimia kysymyksiä ja keskustella vuorovaikutteisesti. Ja ihan ensimmäiseksi pitäisi saada työnkuva selväksi, että hakija tietää mihin edes on hakemassa.

Digitalisaatio on saanut jonkinlaisen buustin pandemia-aikana. Sofigaten tutkimuksen mukaan kuitenkin digitalisaatio on enemmän strategiatason höpinää kuin tekoja. Yritykset myöntävät, että niiltä puuttuu selkeä suunta viedä asiaa eteenpäin. Pääsyynä huonoon suoriutumiseen ovat osaamisen ja resurssien puute sekä muutosvastarinta. Etätöissä Suomi kyllä loistaa ja pääsee EU:n ykköseksi 25% etätyöosuudellaan.

Yrityksistä on vuosien mittaan valunut pois osaaminen yritysten oman toiminnan seurauksena. Harvassa paikassa on enää hyvää osaamista ja innovointia kun kaikki on ulkoistettua ja ostopalvelua. Osaajat on ajettu ulos ja yrityksen rooliksi jää ostaminen, markkinointi, taloudenhoito, sopimushallinta ja prosessinpyöritys. Hienoa, eikö? Pohjois-Amerikassa on kyselty kuka hävitti paikallisen telecom-valmistuksen. Lucent ja Nortel ajettiin eurooppalaisten ja kiinalaisten syliin ja Amerikka jäi muiden varaan.

Israelin tietoturvasektori sentään kukoistaa ja menestykselle ei näy loppua. Viime vuonna 31% maailman kyberinvestoinneista meni Israeliin. Aktiivisia kyberturvayhtiöitä on 443 ja 25% niistä on ostettu tai sulautettu viimeisen kuuden vuoden aikana. Pelkästään tämän vuoden maaliskuun aikana kymmenen Israelista lähtöisin olevaan yritystä oli noussut yli miljardin arvoisiksi yksisarviseksi.

Cisco on tehnyt urakalla yritysostoja. Sedona hankittiin vahvistamaan reititetyn optisen verkon hallintaa ja Kenna Security haavoittuvuushallintaa. Socio Labs täydentää Webexiä online-alustoissa. Cisco on puhunut julkisuudessa aikeistaan tuoda tiettyjen tuotteiden valmistuksen hinnankorotukset asiakashintoihin. Myös Aristalla on ennennäkemättömän vaikeaa tuotteiden valmistuksen kanssa. Paloalto sen sijaan porskuttaa softan avulla. Jo 40% palomuurimyynnistä on softaa ja osuuden oletetaan kasvavan tasaisesti, vaikka rautalaitteet ovatkin edelleen merkittävä tulonlähde.

Juniper on hypännyt mukaan SASE-peliin omalla tavallaan. Security Director Cloud on hallintaportaali sekä verkko- että tietoturvapalveluihin, jotka liikkuvat hitaasti kohti täydellistä SASE-maailmaa. Palvelut voivat olla omassa verkossa, pilvessä tai jossain välillä. Siirtyminen on hidasta ja Juniper uskoo, että oman verkon palvelut ja rauta pysyvät mukana vielä pitkään. Tätä siirtymisajan monipalveluympäristön operointihaastetta ratkotaan keskitetyllä hallintatyökalulla.

Extreme julkaisi Copilot -AIOps-tuotteen, jonka tarkoituksena on helpottaa verkon valvontaa ja viankorjausta. CloudIQ-hallinnan kyljessä Copilot tuottaa normaalikuvaa verkon toiminnasta ja sen jälkeen se osaa poimia poikkeamat ja tehdä niistä päätelmiä. Tuttua huttua esim. Aruba Centralista ja Mistin Marvikselta. Lisäksi Extreme julkaisi Packet Broker -kytkimen 9920, joka on rakennettu P4-ohjelmoitavan Tofino2-piirin päälle. Kytkimellä voidaan monitoroida ja käsitellä verkkoliikennettä tehokkaasti. Extreme puhuu kovasti haluavansa päästä mukaan 5G-ympäristöihin. Saa nähdä onnistuuko se.

Internet

Internet-kartta 2021 kuvaa suurimmat internet-palvelut vanhan ajan kartalle ryhmitellen ne maiksi ja maanosiksi. Merikaapelikartasta on julkaistu uusi päivitys, jossa kaikki maailman 464 kaapelia ja paljon statistiikkaa ja infoa merikaapelien ympäriltä.

Ipv4-osoitteiden markkinahinta on noussut reippaasti viime vuoden aikana ja saavuttanut uuden huipun 36 dollaria osoitteelta.

Qrator Labs on julkaissut tilastoja 2021 Q1:n DDoS-hyökkäsyksistä ja BGP-häiriöistä. Huomiota herättää “häiriö-AS:ien” suuri määrä: noin 100000 rekisteröidystä AS-numerosta melkein 2% vuotaa kuukausittain vääriä reittejä ja lähes 10% osallistuu BGP-kaappauksiin. Häiriöt ovat yleensä pieniä ja paikallisia, isoja tapahtumia on vain muutamia kuukaudessa. Internet-reitityksen häiriöt ja turvattomuus heijastuvat myös palveluihin ja käyttäjiin, mikä jää usein vähemmälle huomiolle käytettävyyden taakse. Reitityshyökkäyksillä voi paljastaa esim. anomyymin käyttäjän tai salatun liikenteen. Internet-palveluiden ja reitityksen pitäisikin paremmin kohdata ja toimia ristiin, eikä yrittää toimia itsenäisinä kerroksina.

RPKI:lle on siis tarvetta. USA:n suurin kaapeliyhtiö Comcast on liittynyt mukaan reittien validointiin. Työtä on tehty pitkäjänteisesti vuodesta 2014 lähtien. BGP-valheet on minulle uusi käsite. Internetissä AS-polun pitäisi kertoa pakettien reitin, mutta datapolku ei aina täsmääkään AS-polkuun. AS voi tahallisesti muokata AS-polkua, houkutella liikennettä itseensä ja välittää sen jälkeen liikenteen eri tavalla eteenpäin, tai liikenne voi tahattomasti ohjautua väärästä paikasta ulos.

Laajakaistayhteyksien taistossa BT:n Openreach on pannut tuulemaan Britannian kuituasennuksissa ja homma etenee odotettua nopeammin ja alemmilla kustannuksilla. Tavoitetta on nostettu 25 miljoonaan kotiin vuoteen 2026 mennessä. Euroopassa kuidun käyttö on hyvin vaihtelevaa maittain. Islanti, Espanja Ruotsi ovat kärjessä ja Suomikin on ihan kohtuullisesti keskikahinoissa.

Satelliittikilpa herättää hieman ihmetystä. Kilpailijoita riittää länsimaista ja Kiinasta, ja usko on kova kuitenkin niin rajallisessa markkinassa ja teknisesti vaativassa ja kalliissa toteutuksessa. Starlinkistäkin on saatu negatiivisempia arvioita. Satelliittiyhteydellä on omat rajoitteensa, katkoja esiintyy ja reaaliaikainteraktiiviset sovellukset eivät toimi. Antenni vaatii näköyhteyden satelliittiin ja avaruudessa alkaa olla ahdasta ja vaarallista. Satelliittiyhteys on eriarvoinen, koska se rajoittaa tiettyjen sovellusten käyttöä. Verkkoneutraliteettikeskustelu käytiin vuosia sitten mobiiliverkkojen yhteydessä. Silloin syy oli hallinnollinen. Nyt tekniset ominaisuudet nousevat esille ja eriarvoistavat maantieteellisesti alueita. Tietysti satelliiti on parempi kuin ei mitään.

Loppupeleissä selvisi myös miksi amerikkalainen ei käytä internettiä. Syy ei ole yhteyden saatavuus, hinta, päätelaite tai tietoturvauhat. Yksinkertaisesti internetin käyttö ei vain kiinnosta.

Tapahtumat

RIPE82 tarjoaa paljon esityksiä internet-maailmasta. NFD25 esitteli Nokian, Aruban, Juniperin, Vmwaren, Intelin, Ipinfusionin, Pathsolutionsin ja Arrcusin tuotteita. OARCH35 puhui DNS-asiaa, josta Geoff Huston kirjoitteli yhteenvedon ja lausui oman arvionsa.

RSA Conferencen tärkeimmät uutiset on koonnut SDxCentral:

SecurID-tokenien hakkeroinnista on kulunut 10 vuotta ja vaitiolosopimus on umpeutunut. Nyt osalliset kertovat mitä 2011 tapahtui. Mielenkiintoista ei ole niinkään hakkeroinnin tekninen toteutus, vaan se miten asia hoidettiin ja miten se vaikutti ihmisiin. Isoja asioita käytiin läpi: salailun ja avoimuuden kädenvääntö, vainoharhaisuus ja luottamuksen menetys, tietoturva-alan viattomuuden loppu ja nykyisen toimintakentän muotoutuminen.

Kuukauden metsästysretki

Atlantin ylittävän Amitié-merikaapelin pää oli talvella jätetty merenpohjaan tulevaa asennusta varten. Nyt kaapelin pää Ranskan rannikolla onkin kadonnut oletetusta sijainnista. Sukeltajat on lähetetty paikalle etsimään kaapelin päätä

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: