[FI] Tietoliikennealan katsaus 2021-02

Operaattorit ja 5G

Telia teki diilin Nokian kanssa 5G-verkosta ja se näkyy ja kuuluu mainoksissa, joissa puffataan ainoata “kotimaista ja turvallista” verkkoa. Toimitusjohtaja varoittaa riskeistä ja lupaa ainoana operaattorina suomalaisille “suomalaisen 5G-verkon“. Telialla on ollut kova vuosi ja se on nyt asettanut uudet tavoitteet kestävälle pohjalle. Tarkoitus on keksiä uudelleen verkottunut elämäntyyli, säästää kustannuksissa ja hyödyntää infraa. Tämähän on jo tuttua tekstiä kaikilta operaattoreilta. Jotain konkreettistakin: Telia julkaisi globaalin IoT-palvelun ja ilmoitti sulkevansa 3G-verkon 2023 loppuun mennessä. Näissä verkon sulkemisissa on monesti lipsuttu tai ehkä tavoite on asetettu liian kunnianhimoiseksi. Esim. Verizon lykkäsi alun perin 2019 vuodelle ilmoitettua 3G:n sulkemista 2023 loppuun.

Ruotsissa tuli viime vuoden huhtikuussa voimaan operaattoreiden “NAT-sääntö”, jossa natin takana olevat käyttäjät pitää tunnistaa muustakin kuin IP-osoitteesta. Telia ei ole vuodessa onnistunut toteuttamaan tiedon keräystä ja sitä uhkaa nyt 10M kruunun sakko.

5G:n yksityisverkoista yrityksille on riittänyt puhetta. Kotimaassa Telia, Digita ja Nokia aloittavat yhteistyön, ja Nokia ja Elisa yhdistävät voimansa ja promotakseen privaattiverkkoja yrityksille. DNA:lla yksityisverkko on tulevaisuuden voittava ratkaisu. Myös Nokian Lundmark uskoo, että yritysverkot ohittavat julkisen 5G:n seuraavan kymmenen vuoden aikana ja Ericssonin Ekholm sanoo yrityssovellusten luovan eriten arvoa 5G:ssä. Tarjoapuoli näkee nyt vahvan momentumin, mutta Omdian tutkimuksen mukaan isot yritykset eivät ole kiinnostuneita operaattoreiden tyrkytyksestä. Päinvastoin pienet ja keskisuuret yritykset olisivat innostuneempia, mutta operaattorit eivät halua heitä asiakkaikseen.

5G:n bisnesmalli huokuukin tällä hetkellä enemmän symboliikkaa kuin kestävällä pohjalla olevaa liiketoimintaa. Käytettävät taajuudet seuraavat fysiikan lakeja ja taajuuksilla on hintansa huutokaupan lisäksi myös laitemäärissä ja -paikoissa. Tilanne pahenee kun mennään mm-aaltoihin ja 5G New Radio -standardiin erittäin korkeilla taajuuksilla. Mm-aallot ovat hyvin tehottomia ja ne ovat alttiita sään häiriöille, joten teho pitää suunnata erittäin tarkkaan kohti päätelaitetta. Sovelluksia on laidasta laitaan ja tarpeet ovat hyvin erilaisia. Voikin olla, että eri radiotekniikat ja taajuudet eriytyvät eri sovellusten käyttöön. Joka tapauksessa 5G yleistyy kun käyttö siirtyy pikkuhiljaa uuteen verkkoon ja uudet sovellukset ja käyttökohteet löytävät paikkansa. Siinä vaan menee aikaa.

6G:n kehitystä aloitellaan yrityksissä. Yksi mullistava uudistus saattaa olla datan siirrossa, jossa ei enää ole järkeä siirtää kasvavaa datamassaa edes takaisin ja kasvattaa jatkuvasti tiedonsiirron nopeutta. Jatkossa saatetaan siirtää vain datan malli ja muutokset, ja raaka data pysyy laitteessa. Samalla ratkaistaan yksityisyys- ja tietoturvaongelmia. Silicon Valleyn Pied Piper oli edellä aikaansa.

5G-broadcasting on saanut ETSI:n standardin. Sen avulla 5G-verkossa voitaisiin lähettää broadcast-jakeluna lineaarista TV- ja radio-ohjelmaa. Ominaisuus oli tuotavissa jo 4G-verkkoon eMBMS:llä. Yhdistyvässä jakelutiessä IP:n päällä mobiiliverkossa on hyötyä, koska erillisen antenni-tv-lähetysverkon ylläpito on kallista. Suomessa Yle on lobbannut kaukonäköisesti mobiiliverkon jakelua viimeiset 10 vuotta säästääksen päällekkäisissä jakelukuluissa.

Virve 2.0 on edennyt niin, että bitti kulkee Elisan radioverkon ja Ericssonin coren välillä. Siirtyminen uuteen verkkoon olisi mahdollista suunnitellusti 2023-2025. Tässä pieni katsaus viranomaisverkon historiaan. Ruotsissa ollaan hieman jäljessä, mutta samoissa aikeissa suunnittelemassa heidän Rakel-verkon uudistamista. Erona Suomeen on, että viranomaiskäyttöön tulisi omat taajuudet ja oma organisaatio. Teknisesti Ruotsissa on paljon kunnianhimoisemmat suunnitelmat esim. varavoiman riittävyydessä 7 päiväksi, Suomen nykyisen kolmen tunnin sijaan.

Briteissä verkkoja yritetään turvata ystävällisillä kehotuksilla olla tuhoamatta laitekaappeja.

IoT-verkoissa Lorawanin kilpailija ranskalainen Sigfox on liittoutunut Googlen kanssa tarjotakseen 0G-verkon palveluita tehokkaammin. 2010 perustettu Sigfox on ollut myllerryksessä kun tavoitellut miljardi kytkettyä laitetta ei olekaan toteutunut, vaan verkkoon on saatu vain 17 miljoonaa laitetta. Yleisestikään IoT ei ole toteutunut odotetusti. Sigfox seuraa operaattorien parantumisohjelmaa: itsensä keksiminen uudelleen, infran myyminen ja kustannussäästöt ovat tulossa. Odotukset asetetaan realistisiksi ja paremmin jalostettuja palveluista pyritään tarjoamaan Googlen kanssa.

Pilvi

Hyvä yleiskuva AWS-tietoliikenteestä, parhaat käytännöt ja optimointivinkit. Mitä näitä nyt onkaan: Region, Availability Zone, vPC, shared VPC, Direct Connect, Private Link, Transit GW, VPN, SD-WAN, Gateway Load Balancer, Firewall, Private Virtual Interface, Placement Groups, Flow Logs, Cloudfront… Tiesitkö, että esim. reitityksessä on kovia rajoja, joita ei voi ylittää. Yllättävää miten pieniä ne ovat joissakin tapauksissa. Jatka menoa ja älä lopeta uusien palveluiden julkaisemista AWS!

Muita yleisesityksiä ja vertailua julkisten pilvien tietoliikenteestä Ivan Pepelnjakilta: AWS Networking 101, Azure Networking 101, Availability Zones and Regions in AWS, Azure and GCP, Virtual Networks and Subnets in AWS, Azure, and GCP.

AWS Direct Connectia saa nyt 100Gbps-nopeudella 14 kohteessa ympäri maailman, lähinnä Aasiassa ja USA:ssa. Saatavuus perustunee kysyntään. Pelkän yksityisportin tuntihinta on 22,50$, mikä tekee 16200$ kuukaudessa. Aika mehevä hinta jos porttihintaa vertaa esim. yhdysliikennepisteisiin. Ficixin 100G-portti maksaa mitättömät 445€/kk eli saman kuin 10G. Tukholman Nednodin kautta saa yhteydet kaikkiin julkisiin pilviin ja siellä 100G-portti maksaa 3360€/kk, 400G-portti 7500€/kk. 100G IP-transit voisi maksaa alle 10000€/kk. Mutta turha näitä on spekuloida, se joka tarvitsee, maksaa kiltisti tai neuvottelee paremman hinnan.

Julkista pilveä on pidetty malliesimerkkinä reititetystä IP-ympäristöstä, johon siltauksella ei ole asiaa. Nyt kuitenkin Oracle vesittää periaatteet ja tuo L2-tuen OCI-pilveen. Ominaisuus lienee räätälöity Vmware-ympäristöön. Onko tässä kyse asiakkaiden haalimisesta sisään mahdollisimman helpoin keinoin, ettei pilvisiirtymässä tarvitsisi muuttaa mitään olemassa olevaa? Aika huono idea pidemmän päälle.

Mysocket.io on ilmainen avoimen koodin pilvipalvelu, jolla voi julkaista omat sisäverkon palvelut internettiin. Palvelu sisältää hienoja ominaisuuksia kuten anycast-verkko, kuormanjako ja zero trust-mallinen identiteettiin perustuva pääsy.

Kyberturvallisuus

Solarwinds-tapauksen osapuolia on kuultu USA:n senaatissa. Toisten syyttely on ollut tapa hoitaa asiaa. Solarwinds kertoi, että harjoittelija oli laittanut heikon salasanan Github-repoon. Microsoft sanoi, että tähän murtautumiseen tarvittiin vähintään 1000 taitavaa insinööriä ja vika ei ollut Microsoftin ohjelmissa vaan asiakkaan puolella. Crowdstrike syytti Microsoftia sen monimutkaisesta ja antiikkisesta arkkitehtuurista. Myös AWS yritettiin vetää juttuun mukaan, koska sen pyörittämiä palvelimia käytettiin hyökkäyksessä. AWS kieltäytyi osallistumasta.

Tapaus rönsyilee villisti ja kaikki mahdolliset asiat voidaan yhdistää siihen. Solarwindsin ohjelmista on edelleen löydetty uusia vakavia haavoittuvuuksia, venäläisten lisäksi myös kiinalaiset olisivat vakoilleet USA:n palkkatoimistoa, hakkerit olisivat olleet kiinnostuneita luokittelemattomasta tiedosta O365-ympäristössä ja 30% kohteena olevista yksityisyrityksistä ei olisi edes käyttänyt Solarwindsiä, vaan niihin olisi käytetty muita keinoja. Microsoft kertoi, että siltä on varastattu Azuren, Intunen ja Exchangen lähdekoodia. Extrahop väläytti miten sen EDR-tuote havaitsi epäilyttävän toiminnan kasvun, vaikka hakkerit loivat omia palomuurisääntöjä ja liikkuivat sivuttaissuunnassa yrittäen peittää jälkensä.

Ranskalaisen IT-valvontatuotteen Centreonin väitetään joutuneen pitkäkestoisen venäläishyökkäyksen kohteeksi ohjelmasta löytyneen takaportin kautta. Kohteena ovat olleet ranskalaiset yritykset ja muitakin isoja firmoja. Centreon on korostanut, että tämä ei ole hyökkäys toimitusketjuun, se on kohdistunut vain ohjelman jo vanhentuneeseen open source -versioon ja kaupalliset asiakkaat eivät ole vaarantuneet.

RIPE NCC Access SSO-palvelu joutui brute-force -iskun kohteeksi. Palveluun tuli katkoa, mutta käyttäjätietoa ei vaarantunut. Käyttäjiä pyydetään ottamaan käyttöön kaksivaiheinen tunnistautuminen. Käytännön koe julkisesta palvelimesta, jossa oli salasanallinen SSH-kirjautuminen, osoitti, että murtautujalta meni noin neljä tuntia helpon tunnuksen ja salasanan murtamiseen. Siksi on tärkeää, että julkisen verkon palvelimiin kirjaudutaan vain SSH-avaimilla tai pääsy rajataan omiin IP-osoitteisiin. Root login pitäisi poistaa päältä aina ja käyttää sudoa suoritusoikeuksien kohottamiseksi.

Haavoittuvuuksia on löytynyt Fortinetin Fortiweb-sovelluspalomuurista versioista 6.2 ja 6.3. Sonicwallin verkkolaisiin hyökätään aktiivisesti käyttäen uutta nollpäivähaavoittuvuutta.  Microsoftin TCP/IP-toteutuksessa oli kaksi kriittistä komentojen suoritus -haavoittuvuutta. Python-versioissa  3.x-3.9.1 tyypillinen puskuriylivuotohaavoittuvuus ei ollut niin kriittinen, mutta päivitykset suositellaan versioihin 3.8.8 tai 3.9.2.

Cisco ACI Multi-site Orchestratorissa on ja NX-OS:ssä on löydetty haavoittuvuudet, jossa hyökkääjä voi ohittaa autentikoinnin. JavaScriptissa havaittiin NAT slipstream -haavoittuvuus, jossa natin takana olevalle koneelle avautuukin ulkopuolelta mikä tahansa TCP/UDP-portti. Plex Media Serveriä käytetään DDoS-hyökkäyksiin. Vahvistuskerroin sen SSDP-palvelulla on 5. Uusi Linux-haittaohjelma varastaa SSH-tunnuksia troijalaisen OpenSSH-ohjelman avulla. Se on keskittynyt superkoneisiin ja akateemisen maailman palvelimiin.

Floridan vesilaitoishakkerointi säikäytti koko maailman. Teamviewerillä sisään tullut hyökkääjä sääti veden lipeätasoa, mutta vesilaitoksen operaattorit huomasivat toimet näytöltä ja puuttuivat asiaan. Tunkeutuja käytti luultavasti hyväksi heikkoa salasanaa ja vanhentuneita koneita. Tässä nähtiin miten ihmisen nopea havainnointi ja vaste pelastivat ongelmilta. Automaattinen vaste olisi reagoinut vieläkin nopeammin ja varmemmin. Tosin voi myös kysyä miksi yleensäkään lisäaineiden tasoa voi säätää yli sallitun rajan. Teamviewer on yksi pahimmista riskeistä ja sen ei pitäisi kuulua tuotantolaitoisten työkaluvalikoimaan. Etähallinnan alku ulottuu jo muinaisiin mainframe-koneisin, mutta lähti leviämään työpöydän etähallinnasta 1980-luvun puolivälissä DOS-pohjaisella Carbon Copy -ohjelmalla.

IBM haluaa tukea oppilaitoksia kyberturvallisuuden kehittämisessä. Kouluissa ongelmana on pitkä kesäloma, jolloin koneet ovat kiinni ja päivityksiä ei tehdä. Syksyllä kun kausi käynnistyy, valtava määrä päivittämättömiä koneita ilmestyy verkkoon ja sovellusten käyttö alkaa täysillä. Malli, jossa koneet pitää päivittää sisäverkossa, on vanhentunut ja riskialtis.

IoT-laitteiden monimuotoisuus, pitkä elinikä ja määrä on tehnyt niistä verkkoon kytkettyä jätettä, josta kukaan ei huolehdi. Jos laitteet kerran toimivat, miksi kukaan jaksaisi päivittää ja ylläpitää kaikkia niitä, jos nyt uusia päivityksiä edes julkaistaisiin? Jos emme osaa huolehtia pienemmästä tietokoneverkosta, miten voisimme hallita kokonaista digitaalista infrastruktuuria laitteista sovelluksiin. USA:n kongressi yrittää luoda edes minimivaatimukset myynnin jälkeiselle tuelle, jolla pakotettaisiin valmistajat ottamaan enemmän vastuuta pelkän laitteiden ulostyöntämisen sijaan.

NCSC:llä on painavaa asiaa haittaohjelman uhriksi joutumisesta. Kiristyshaittaohjelma on näkyvä oire vakavammasta tunkeutumisesta yrityksen sisälle. Siksi oireiden hoito eri riitä, vaan syy pitää löytää ja korjata. Esimerkki kertoo yrityksestä, joka maksoi miljoonien kiristyslunnaat, mutta ei tehnyt muuta. Yritys sai datansa takaisin, kunnes parin viikon päästä ilmaantuikin uusi kiristyshaittaohjelma. Yritykselle ei jäänyt muuta mahdollisuutta kuin maksaa lunnaat uudestaan.

Yritysten kyberturvallisuuden tasoa on tutkittu ja havaittu, että todellisuus pinnan alla on aika karu. Ne jotka sanovat turvallisuuden olevan tärkeää, yleensä toimivat paremmin myös käytännössä. Isot yritykset suoriutuvat paremmin, vaikka niissäkin on perusasioissa puutteita. Kyberturvallisuusbudjetit ovat todella vaikeita perustella, koska niillä ei ole suoraa takaisinmaksua. Lisäksi kovat tulostavoitteet ja turhautuminen saattavat kasvattaa riskikäyttäytymistä. Yrityksillä on tapana ulkoistaa riskiä kolmansille osapuolille ja keskittyä itse tärkeämpiin asioihin. Kybervakuutus voi tuntua hyvältä vaihtoehdolta, mutta se ei yleensä kata myynnin ja maineen menetystä tai heikon kohdan korjauskuluja.

Kyberturvallisuuskeskus on julkaissut yhteistyössä yritysten kanssa skenaarioita kyberharjoituksiin.

Tuotteet

Perinteinen WAF eli sovelluspalomuuri ei kerta kaikkiaan pysy mukana sovellusten muutosvauhdissa pilvinatiivissa maailmassa. Sen ylläpito luo valtavan määrän työtä, jossa koneoppiminenkaan ei auta. Siksi WAF on käytännössä vain perustasolla käytössä, jolloin se ei juurikaan suojaa. Checkpoint  ja Paloalto siirtyvät pilvinatiiviin sovellussuojaukseen uusilla tuotteillaan. Paloalton Prisma Cloud väittää sisältävänsä alan parhaat WAF-ominaisuudet. Se perustuu erilaisiin pilvinatiiveihin funktioihin, joilla taklataan pilvipalveluiden dynaamisuus. Lisäksi WAF:iin on integroitu muita toimintoja kuten. IAM ja DLP, joten palvelu lähestyy ehkä enemmän zero trust -mallia. Tai oliko sitten WAF ensimmäinen askel zero trust -mallia kohti.

Mitä sitten oikeastaan on zero trust? Kyse on vähimmän oikeuden periaatteesta, identiteetistä ja segmentoinnista. NSA julkaisi lyhyen ytimekkään dokumentin asiasta.

Arista siirtyi aiemman Awake-yritysoston myötä vahvasti mukaan tietoturvapuolelle ja tarjoaa nyt myös zero trust -mallia. Aristan mallissa toiminnot ovat ryhmäkohtainen segmentointi, tilanneäly, näkyvyys verkkoon ja tekoälyavusteinen havainnointi ja vaste. Toiminnot keskittyvät verkkoinfraan ja sen orkestrointiin.

Cisco laajensi AppDynamicsin toimintoja haavoittuvuuksienhallintaan. Secure Application -toiminto yhdistää sovellusvalvonnan ja tietoturvanäkymän yhteen työkaluun.

Juniper yhdistää operaattoripuolen WAN-hallintatuotteitaan Paragon Automation -sateenvarjon alle. Se jatkaa sekavaa nimeämistä ja tuotepositiointia, joka on ollut vallalla Contrail-tuotteissa. Paragon sisältää vanhat Northstarin ja Contrail Healthbotin jälleen kerran uudelleennimettyinä, sekä uudet Netroundsiin perustuvan valvontaosuuten ja Anuta ATOM -konfiguraatiohallinnan. Tarkoitus on hyvä eli parantaa operaattorien yleensä niin surkeaa asiakaskokemusta.

Yrityspuolella Mist on parasta mitä alalla on tapahtunut pitkään aikaan. Juniperilla on nyt selkeä strategia ja hyvä alusta, jonka päälle rakentaa. Ja vauhtia on pidetty tuotteiden integroimisessa. 128 Technologyn yritysostosta on puolisen vuotta ja kaupan vahvistamisesta vasta kaksi kuukautta, ja teknologiaa on jo integroitu Mistin hallinta- ja tekoälyalustaan. 128T on SD-WAN:n uusin malli, jossa sovellusliikennettä reititetään istuntojen mukaan ilman perinteisiä IPSec-tunneleita. Tämä on iso askel kohti todellista sovellusreititystä ja verkkoa palveluna -mallia.

Ja SD-WAN:sta ja SASE:Sta onkin riittänyt taas tarinaa. Nykyisen kaltainen SD-WAN on luultavasti vain välivaihe kohti kokonaisvaltaista SASE:n pilvimallia. SD-WAN tuotiin markkinoille korvaamaan MPLS-yhteyksiä, mutta nykypäivänä se tekee paljon muuta yhdistettynä SASE:en. Erään tutkimuksen mukaan monella yrityksellä on SASE:n elementtejä käytössä, mutta kattava SASE-arkkitehtuuri on vain reilulla 10%:lla, mikä ei juurikaan yllätä. Pisimmällä ovat huoltovarmuusalat ja perässä seuraavat laki-, finanssi- ja terveydenhuoltoalat. IT-osastot vetävät käyttöönottoa selvästi enemmän kuin tietoturvaosasto. Hypestä huolimatta zero trust ja reunan sisällön suodatus ovat vähiten käytettyjä ominaisuuksia. Pilven käyttöaste tuntuu rajoittavan käyttöönottovauhtia.

Toimiston reunalla fyysiset laitteet säilyvät toistaiseksi, mutta pelkkä softa saa yhä enemmän sijaa ratkaisuissa. Cato on yksi softalla reitittäjistä ja tehnyt hurjan nousun yksisarvisarviseksi. Tietoturvaominaisuudet alkavat nousta verkkoa tärkeämmäksi SD-WAN/SASE-ratkaisuissa. Kentälle tulee aivan uusia toimijoita ja esim. pilvifirmat ottavat jalansijaa. Tutkimuksen mukaan perinteiset valmistajat Zscaler, HPE, Cisco, Fortinet, ja Versa ovat kuitenkin kärjessä. Fortinet luottaa yli kaiken omaan rautaansa, vaikka tuokin SASE-pilvipalvelut valikoimaansa. Mutta sillä taktiikalla Fortinet jää pitkällä tähtäimellä rautansa kanssa oman pienenevän genrensä vangiksi.

SD-WAN/SASE:n käyttökohteet laajentuvat IoT-maailmaan ja tuotantoon. SD-WAN -palveluna kelpaisi käyttäjille jos vaan palveluntarjoajat ottaisivat roolia. MEF3.0 standardi on määrittänyt SD-WAN -overlay-palvelun helpottamaan palveluiden rakentamista ja yhteenliittämistä. Sertifioituneita palveluntarjoajiakin löytyy, mm. Telia.

Paloalto ostaa Bridgecrewn ja siirtää sovelluskehityksessä tietoturvaa vasemmalle. Bridgecrewn tuote leivotaan Prisma Cloudin mukaan tuomaan turvallisuus osaksi sovellusten kehitystä ja koko sovellusten elinkaarta. Paloalto matkaa kohti pilvinatiivia maailmaa suunnannäyttäjänä kuten F5.

Pilvikäyttö muuttaa palomuurilisensointia tilausmalliseksi. Käyttäjä voi käyttää muureja vapaammin ja maksaa vain käytöstä. Osa tästä hyötyy, toiset maksavat enemmän kuin ennen. Käytön arviointi on vaikeaa, tai ainakin yhtä ennakoitua tai ennakoimatonta kuin pilvipalveluissa yleensäkin.

Yritykset

Meillä Traficomin sulautuminen yhdeksi organisaatioksi aiheuttaa kitkaa ja jopa pelkoa työntekijöissä, kun sinne siirtynyt Viestintävirasta koetaan jyrääväksi. Pääjohtaja Karlamaa saa kovaa arvostelua tempoilevasta ja autoritäärisestä johtamisesta sekä laiminlyönneistä.

Ciscon tulos pysyi vakaana ja ylitti odotukset. Tietoturva ja palvelut vetivät tulosta ylös. Vertailun vuoksi Ciscon myynti ja tulos olivat suunnilleen samat kuin AWS:n. Ciscon tulos on ollut pitkällä aikavälillä uskomattoman tasainen kaikista puheista ja pienistä notkahduksista huolimatta. Cisco osallistuu laajemminkin yhteiskunnan kehitykseen ja Japanissa yhteistyötä tehdään hallituksen kanssa maan digitalisoimiseksi.

Huaweillakin on mennyt kivasti ongelmista huolimatta. Laajakaistatuotteiden tuotoissa sillä on ollut 40% markkinaosuus ja Huawei näkyy vahvana muissakin tuoteryhmissä, kuten siirtolaitteissa ja konesalissa. KPN esim. on mennyt vastavirtaan ja valinnut Huawein Ericssonin sijaan. DT on ottanut Huawein pilvikumppanikseen laitteiden osalta ja pitänyt operoinnin omissa käsissään. Huawei itse on laajentanut ennestään kattavaa portfoliota sähköautoihin.

Aristalla oli vaikea vuosi pilvijättien kanssa, mutta nyt tulos oli hyvä. Arista jatkaa tuoterepertuaarin laajentamista ja hallinnan yhdistämistä, ja uskoo tuttuun konesali-reititys-campus -kolmioon. Vertailun vuoksi Aristan markkina-arvo on suunnilleen sama kuin Ubiquitin. Paloalton tuloksesta vastasi Prisma Access SASE-tuote, jota päivitettiin uusilla ominaisuuksilla. Extreme panostaa pilvipalveluihinsa unohtamatta rautaa, ja haluaa laajentaa myös 5G-maailmaan. Extreme toteuttaa MLB:n 16 stadionin wifin.

Mielenkiintoinen yksityiskohta USA:sta on Bank Of America, joka on tehtaillut ennätykselliset 722 patenttihakemusta viime vuonna. Yksi painopistealueista oli verkonhallinta ja liikenteen analysointi.

Kotimaassa TEM:n elinkeinopoliittinen tilannekuva kertoo, että digitalisaatio ja ilmastonmuutos ovat tärkeimmät yhteiskuntaan ja talouteen vaikuttavat tekijät 2020-luvulla. Suomessa on teknistä osaamista, mutta ICT-pääoman hyödyntäminen liiketoiminnassa laahaa perässä. Erityisesti Suomessa työn tuottavuuden kasvu on hidastunut ja ICT-pääoman vaikutuksen hiipumisella on siihen suuri merkitys.

Talvimyrskyn vaikutukset Texasissa näkyivät lähinnä sähkönjakelu ja laajakaistayhteyksien alueellisina katkoina ja kohdistuivat enemmän ihmisiin kuin tekniikkaan. Dallas on tärkeä hubi USA:n eteläosissa ja myös Pohjois- ja Etelä-Amerikan välillä. Alueen isoilla konesalitoimijoilla Digital Realtyllä 15 konesalia ja Equinixilla 9 konesalia olivat kaikki toiminnassa varavoimalla ilman katkoja. Sen sijaan tehtaita jouduttiin sulkemaan ja puolijohdevalmistajat Samsung, NXP ja Infineon laittoivat tuotantolinjat kiinni, mikä vaikeutti entisestään puolijohdepulaa.

Operointi

Ilmainen NSX Network Automation for Dummies -kirja on ladattavissa Vmwarelta.

Nokia on julkaissut DelOps-aloitteen, joka ei tarkoita kaiken poistamista, vaan toimitusta (Delivery and Operations) kuten CI/CD. Tavoitteena on uudistaa ja mullistaa 5G-coren ohjelmistojakelu ja toimintojen hallinta ketteräksi.

Merakin pilvihallinnan konfigurointiin on rakennettu CLI-työkalu. Se sisältää yli 400 komentoa ja helpin, joilla voi käyttää pilvihallintaa API-rajapinnan kautta omalta koneelta CLI-komennoilla. Meraki liittyy näin koodattavien pilvipalveluiden joukkoon.

Pari samanlaista tarinaa hankalista levyongelmista kuvaavat miten työlästä on löytää taustalla ollut ihan oikea fyysisen tason verkko-ongelma. Ongelmanselvityksessä auttaisivat kunnolliset valvontatyökalut, joilla päästään riittävän syvälle yksittäisiin ongelmiin kiinni.

SD-WAN:n käyttöä on tutkittu ja siinä esille on noussut käyttäjien tarve parempiin valvontatyökaluihin. Vaikka alustoissa itsessään on sisäänrakennettuna valvontaominaisuuksia, ne eivät tunnu olevan riittäviä. Käyttäjistä iso osa sanoo tarvitsevansa ulkopuolista lisävalvontaa SD-WAN-ympäristöön. Erityisesti tekniset asiantuntijat kaipaavat parempaa näkyvyyttä ongelmien selvittämiseksi. Ongelmien esittäminen taululla ei riitä, vaan niiden syyt pitäisi myös löytää ja pystyä korjaamaan. Juuri ongelmien ratkaisemiseen tarvitaan ulkopuolisia työkaluja. Työtä vaikeuttaa vielä se, että monet SD-WAN -laitteet eivät tue standardeja valvontarajapintoja.

Prometheus ja Grafana alkavat olla vakiotyökalut valvonnassa, mutta verkonvalvonnassa ne eivät aina ole optimaalisia. Grafanaan on saatavissa Draw.io Flowchart -plugin, jolla voi visualisoita telemetriatiedon lähes reaaliaikaisesti. Rich Tracroute on yksinkertainen traceroute-tiedon rikastus- ja jakopalvelu, jolla saa hieman lisätietoa pelkkien IP-osoitteiden päälle.

Python täytti 30 vuotta ja avoimessa lähdekoodissa hajaudutaan jälleen. Ansible on saanut päätökseen uudelleenjärjestelynsä uuden Community-paketin 3.0-version myötä. Ansible on pilkottu kahteen osaan: Core ja Galaxy Collections muodostavat ydintoiminnot ja Community Package sisältää kaikki modulit ja pluginit. Versionumerointi ei olekaan enää yhdenmukainen, vaan Community collections lähti omalle radalle ja Core-osuus jäi omaan 2.10-versioon. Sekavuutta lisäävät nimenvaihdokset ja versioriippuvuudet. Näitä voi yrittää tulkita Q&A-sivulta tai blogista. Community Collectionista on roadmapilla versio 4.0 jo tämän vuoden toukokuulle.

Network to Code -yritys aiheutti hämminkiä forkkaamalla Netboxin omaksi Nautobot-tuotteekseen, jonka se yllättäen esitteli NFD24-esityksessään. Nautobot on täysin avoin ja ilmainen automaatioalusta, mutta NTC tarjoaa siihen kaupallisen tuen. Syitä tälle valinnalle esitellään blogissa. Netboxin ja NTC:n tiet erosivat, käyttäjät ovat ihmeissään ja taustalla haisee henkilöiden ja intressien välirikko.

Tapahtumia ja tekniikkaa

Viime vuonna ensimmäisinä isoina tapahtumina Koronan takia peruttu massiivinen Mobile World Congress aiotaan järjestää tänä vuonna kesäkuussa Barcelonassa. Paikkoja ja aikoja on vaihdettu päittäin Barcelonan ja Shanghain välillä ja messut pidettiinkin jo Shanghaissa helmikuussa. Järjestäjien usko on Barcelonan tapahtumaan kova, vaikka kitkerää kritiikkiä sataa päälle. Messuvieraita olisi arviolta alle puolet normaalista eli n. 50000. Järjestäjät vaativat osallistujilta negatiivisen testituloksen ennakkoon ja lupaavat kosketuksetonta messuympäristöä. Saa nähdä toteutuuko tapahtuma ja kuinka moni sinne sitten oikeasti osallistuu.

Cisco Live pidetään virtuaalisena maaliskuun lopussa. All-access -passi maksaa 349$ ja ilmaisella Explorer-passilla jää vaille teknisiä Breakout-sessioita ja muita oheisetuja.

NFD24:ssä esiteltiin taas kuuminta verkkotekniikkaa. Mukana olivat Juniper, Anuta, Network to Code, Drivenets, Itential, Forward Networks, EfficientIP ja NetBeez. Esitykset löytyvät NFD-sivulta tai Youtubesta.

FOSDEM-konferenssin agendalla on avoimen koodin -softaan liittyen verkkojuttujakin SDN- ja verkonvalvonta-linjoilla. Linux on verkoissakin tärkeässä roolissa ja on aika valaisevaa miten paljon Linuxilla ja x86-raudalla pystyykään tekemään ja millä tehoilla. Vai miten on esim. 28 Mpps muutamalla corella, mikä tekee noin 14-300Gbps liikennettä, ja kyky ajaa yhtä elefantti-flowta IPSecillä 40Gbps?

NANOG81 tarjoaa taas alan kovimpia esityksiä.  Keynotena historiakatsaus reitittimien kehitykseen miten verkkokortista kehityttiin väylään ja kytkimiin. Nykyinen Clos-mallin spine-leaf -fabric on ollut käytössä 50-luvulta lähtien puhelinkeskuksissa, mutta nyttemmin myös yksittäisten verkkolaitteiden sisällä. Laitteista fabric on vain pullahtanut ulos ja hajautunut ei laitteiden väliseksi kokonaisuudeksi. Spine-leaf –fabricit leviävät nyt myös operaattorien runkoverkkoihin. Geoff Huston kertaa konferenssin antia ja antaa oman lisämausteensa esityksiin.

Russ White esittää filosofiseen tapaansa miten tietoturvaa voisi rakentaa järjestelmien sisään. Tavallisesti monimutkaisuutta yritetään hallita ja vähentää modularisoinnilla. Modulaarisuudessa on myös se hyvä puoli, että siinä on rajapintoja, joihin asettaa luontevasti kontrolli- ja tarkastelupisteitä. Toisaalta uusien rajapintojen luominen lisää hyökkäyspinta-alaa ja vähentää optimointia. Monimutkaisuus ja optimoitavuus säilyy melko vakiona ja valinnat ovat tasapainoilua paikallisen tai hajautetun mallin välillä, kuten tuttu sanonta kuuluu: jos et ole vielä löytänyt ompromisseja, et ole etsinyt tarpeeksi.

Verkon automaatiossa yksi totuuden lähde on tärkeä komponentti. Datan keräämiseen, käsittelyyn ja varmistamiseen menee paljon aikaa ja vaivaa, ja pahimmillaan samaa operaatiota toistetaan joka muutoksen yhteydessä. Itse konfiguraation asentaminen on nopea ja suoraviivainen toimenpide, joten automaatiossa pitäisi keskittyä enemmän työnkulun tarkasteluun ja hiomiseen. Samaa turhautumista purkaa David Gee omassa esityksessään.

nPrint on standardoitu pakettitason analyysityökalu, joka muuntaa pakettidatan koneluettavaan muotoon. Se on hyvä työkalu koneoppimiseen ja muuhunkin koneelliseen liikennedatan käsittelyyn.

UKNOF46- videot on julkaistu. Kiehtovan monipolvinen tarina Cloudflarelta, kertoo miten väärin dokumentoidut ip-osoitteet aihettavat operatiivisia ongelmia verkoissa. Cloudflaren DNS-palvelin 1.1.1.1 on varmasti yksi eniten väärää liikennettä saavista palveluista, koska sen julkista osoitetta on konffattu ties minne labroihin ja testeihin. Tässä tapauksessa jonkun tuntemattoman tahon ERSPAN-liikenne reitittyi DNS-palveluun, jossa ihmeteltiin miksi GRE-tunnelin liikenne aiheuttaa CRC-erroreita Ciscon Nexus-kytkimessä, mutta ei Juniperin QFX:ssä. Paljastui, että Nexus tarkastelee paketteja GRE-tunnelin sisällä ja huomaa virheet. Varsinainen ongelma oli kuitenkin Ciscon Nexus 5k -dokumentaatiossa, jossa ERSPAN-esimerkkikonfiguraatiossa tunnelin kohdeosoitteeksi on laitettu 1.1.1.1. Voitte kuvitella kuinka moni maailmassa on kopioinut sen omaan ERSPAN-sessioonsa! Tästä johtopäätöksenä meille kaikille: dokumentaatioon (ja miksei muuhunkin yksityiskäyttöön) on osoitettu omat julkiset IP-osoitealueensa, jotka eivät reitity. RFC3849 IPv6 Address Prefix Reserved for Documentation (2001:DB8::/32) ja RFC5737 IPv4 Address Blocks Reserved for Documentation (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24). Käyttäkää näitä.

Reitityksessä hyperskaalaajilla alkaa tulla skaalauksen rajat vastaan nykyisellä tekniikalla. IP-fabricin protokollista on kiistelty ennenkin ja BGP on ollut käytännössä standardi, koska kaikkihan sitä käyttävät kaikkeen, niin miksen minäkin. Mutta BGP ei ole helpoin protokolla. IGP:llä on omat vahvuutensa, kuten supernopea konvergenssi ja yksinkertainen konfiguraatio. Toisaalta taas LSA-tiedon levitys on ongelma isommissa verkoissa. BGP:llä puolestaan on etuna liikenteenohjauskyky, mutta isoissa verkoissa privaatti-AS-numerot loppuvat kesken ja konfigurointi on työlästä. Nyt uusi IP-fabricin protokolla on RIFT, joka pyrkii yhdistämään IGP:n ja BGP:n hyödyt yhteen. Lisäksi protokollaan on tuotu muita ominaisuuksia, joilla verkko muodostaa automaattisemmin itsensä. Sisäänrakennettuna on mm. ZTP ja BFD. Juniperin Day One book valottaa RIFT:iä tarkasti.

Optiikassa 400G:n käyttöönotto etenee ja 800G:tä hahmotellaan. Standardointi on hajonnut käsiin kun IEEE:n rinnalle on tullut 2017 alkaen useita MSA-ryhmittymiä, jotka luovat omaa standardiaan. Valmistajat ovat levittäytyneet eri leireihin, jotka ajavat asioita eri lähtökohdista ja tavoitteista. MSA-standardoinneista on poikinut melko eksoottisia väliinputoajatoteutuksia kuten 6 km:n 400G ja 400G-bidi. Joka tapauksessa 100G-aallonpituus on eniten käytetty perusta tulevaisuuden standardeissa, joten sen uskoisi elävän pisimmälle. Optiikkaspagetti, modulaatiot ja nimeäminen eivät jatkossa ainakaan helpota, joten tarvitaan tällaisia selitekarttoja.

Arista on testannut omalla reitittimellään eri valmistajien 400G-ZR-optiikkaa ja yhteensopivuutta Microsoftin 120 km pitkän Open Line -järjestelmän yli. Testin tulos oli positiivinen: lämmönhallinta, suorituskyky ja yhteensopivuus oli erinomaista. Testin tuloksena on, että QSFP-DD on valmis konesalien DCI-ratkaisuihin ja metroon. Toisessa testissä Windstream ajoi oikeassa verkossa 400G-ZR-optiikalla 1027 km matkan. Koherenttioptiikan tuoman tilansäästön lisäksi tehonkulutus on 10 kertaa pienempi. Käyttöönotot alkavat Windstreamilla, jolla tekniikka sopii suoraan 80% linkeistä.

Kun porttinopeudet kasvavat, eri nopeuksisten porttien yhdisteleminen tulee hankalaksi samassa kytkimessä. Itselle uutena tuttavuutena tuli vastaan QSA eli QSFP-SFP-adapteri. Olen kuvitellut, että 100G/40G-portit pitäisi kanavoida ja kytkeä breakout-kaapelilla alempiin nopeuksiin, mutta QSA:lla voikin tehdä yksi-yhteen 100G-portista 10/25G-portin ja käyttää normaalia kuitu- tai DAC-kytkentää. QSA on siis fyysinen adapteri isommasta QSFP-plugarista pienempään SFP:hen. Se kytkee vain yhden neljästä 100G:n kanavasta läpi SFP:lle. Kytkimen konfiguraatiossa pitää säätää portin nopeus vastaamaan hitaampaa nopeutta. Itsellä ei ole näistä kokemusta ja en tiedä tuleeko adapterin käytöstä jotain muita ongelmia eteen.

Lyhyen matkan kytkennöissä, esim. palvelinten ja kytkimien välillä, DAC tai AOC voi säästää rahaa, vaivaa ja tehonkulutusta. Yhden laitteen SFP-pää on yleensä n. 2-3 kertaa kalliimpi kuin DAC tai AOC. DAC/AOC:n kanssa ei myöskään tarvitse pähkäillä liitin- ja kaapelityyppien kanssa, eikä putsailla kuituja. Koko kaapeli liittimineen on tehdasvalmisteinen, mikä lisää sen luotettavuutta. Tosin olen nähnyt myös sellaisia kiinalaisia rimpula-DAC:ja, joita ei voinut paljon vetää tai väännellä, kun jo liittimet lähtivät irti. Ja onhan osa laitteista hyvin nirsoja “väärän” valmistajan moduleille. DAC:n sähkönkulutus on kuitenkin lähellä nollaa ja AOC:n aktiivinen optiikkapiiri tiputtaa tehonkulutusta selvästi verrattuna SFP:hen. Tutkimukset osoittavat, että yksi watti palvelintasolla merkitsee 2,5 wattia konesalin laajuudella. Isossa mitassa sillä voi jo olla merkitystä.

Tiedonsiirrossa kvanttisalauksella valmistaudutaan 10 vuoden päähän kun nykyiset salausmenetelmät eivät riitä. Adva ja Colt ovat testanneet optisessa siirrossa QKD-tekniikkaa (Quantum Key Distibution), jolla saadaan tehtyä vahva L1-tason salaus 100Gbps-nopeudella. QKD on osa kvantti-internetiä ja -siirtoa, jossa data koodataan bittien sijasta kvantteihin ja salausavaimet lähetetään datan mukana. QKD:n avulla on helpompi havaita salakuuntelua. ETSI esittelee erilaisia käyttökohteita QKD:lle ja sitä voidaan käyttää myös L2-L4:lla PPP:n, MACsecin, IPSecin ja TLS:n avainten hallintaan.

Jos olet ihmetellyt miten SD-WAN -laitteisto toimii, tässä kuvaus miten sellainen rakennetaan itse avoimen lähdekoodin -tuotteilla.

Kauppapolitiikka

Puolijohdepula vaivaa maailmaa ja siinä on puhuttu enimmäkseen kuluttajaelektroniikan ja autoalan vastakkainasettelusta. Piirien valmistus on melkein täysin ulkoistettu ja pahasti keskittynyt Samsungille ja TSMC:lle. Isoimmat ostajat, kuten Foxcon ja Apple, pärjäävät hyvin, mutta verkkolaitteissa määrät eivät ole kovin isoja, joten pulaa komponenteista on odotettavissa. Tarkempaa tietoa verkkolaitteiden osalta on vaikea löytää tai saada. Laitevalmistajat ovat aloittaneet asiakkaiden varoittelun ja toimitusajat näyttävät uhkaavasti pidentyvän ennen näkemättömiksi. Puolijohdepulan odotetaan kestävän pitkään ja helpottavan kenties joskus ensi vuoden puolella.

Lahjonta on yleistä Kiinassa ja Venäjällä, mutta myös Lähi-idässä ja muualla Aasiassa. Cisco tutkii “itsensä rikastamista“, jossa kiinalaiset työntekijät olisivat suorittaneet maksuja valtionyhtiöiden työntekijöille. Ericsson on kunnostaunut lahjonnassa monesti ja myös Juniperin tiedetään voidelleen virkailijoita Kiinassa.

Internet

Uusi Telegeographyn internet-kartta on julkaistu. Maailman kapasiteetti, hinnat, tärkeimmät metropolit, yhdysliikennepisteet ja pilvet esitettynä yhdellä lakanalla.

BGP-optimointilaitteet alkavat olla pahamaineisia, koska niillä on helppo ampua itseä jalkaan. Jälleen yksi Noction-tuotteen käyttäjä, hostaaja Psychz Networks Kaliforniasta, onnistui tekemään konfiguraatiovirheen, joka johti lähes 200000 reitin väärään mainostukseen. Onneksi vastaanottajana oli vain route collector, joten vaikutus jäi olemattomaksi. Muuten aihetta olisi ollut laajaan ongelmaan.

Googlen uusin, 14. merikaapeli Dunant Ranskan ja USA:n välillä on valmistunut. Se käyttää uutta space-division-multiplexing (SDM) -tekniikaa, jolla saadaan ennätyksellinen 250Tbps-kapasiteetti irti kuidusta.

Google on saanut ehkä “maailman tärkeimmän” prefixin 8.8.8.0/24 RPKI-allekirjoitettua ja sen oikea alkuperä voidaan nyt vahvistaa reitityksessä. Melkein koko Googlen AS15169 on nyt mukana RPKI:ssä. RPKI-ROA -sertifikaatit pitää muistaa uusia, etteivät ne pääse vanhenemaan. Onko tässä tulossa uusi ongelma, että reitit vanhenevat ja aiheuttavat erilaisia kummallisia ongelmia internet-palveluissa?

Quad9 eli voittoa tavoittelematon DNS-palvelu 9.9.9.9 muuttaa Californiasta Sveitsiin, jotta voi taata hallinnollisen taustan GDPR-tasoisille yksityisyyslupauksilleen koko maailmassa. DNS-palveluilla on erilaisia tietoturvatasoja, joilla saa tehtyä kevyen SASE-mallisen tietoturvan ihan ilmaiseksi. Quad9 blokkaa oletuksena haittaohjelmia, Cloudflaren 1.1.1.1 for Families voi estää haittaohjelmien lisäksi myös aikuissisältöä ja OpenDNS tarjoaa enemmän säädettävän suodatustason, mutta vaatii kirjautumisen ja portaalin käytön. Googlen DNS ei tee suodatusta kuin poikkeustapauksissa.

Venäjä on valmis irtautumaan internetistä tarvittaessa, kertoi Medvedev. Laki- ja teknologiamielessä valmius on, mutta mitään syytä tehdä niin ei ole kuin ääritilantessa. Venäjällä on valmius myös irtautua kansainvälisestä SWIFT-maksuliikenteestä.

Metsäpalot aiheuttavat vakavia ongelmia tietoliikenneyhteyksille. Australiassa yhden kaupungin runkolinkki tuhoutui palossa ja sen korjaaminen kesti yli vuoden. Kova laajakaistan käyttö on saanut amerikkalaisen Mediacomin puuttumaan kiinteän verkon datansiirtomääriin, koska liika uploadaus aiheuttaa verkossa ongelmia.

Satelliitti-internet

Starlink näyttää etenevän tasaisesti kohti satelliittilaajakaistan voittoa. Sillä on USA:ssa jo 10000 käyttäjää ja beta-testaus on menossa laajasti. Ennakkotilaukset on avattu laajemmin, laitepaketti näyttää särmikkäältä ja asennuskin on kuulemma helppoa. Nopeudet ja viiveet ovat kelpo tasolla, mutta säännöllisiä katkoja vielä esiintyy ja hinta on aika kova. Yleinen hyväksyntä on kuitenkin saatu, tämä on parempi kuin ei mitään. Ranskassa tosin maa-asemien rakentaminen on kohdannut vastustusta.

Satelliittiteknologiassa Starlink on joutunut karsimaan toteutusta suunnitellusta. Satelliittien väliset ISL-laserlinkit on jätetty toistaiseksi pois, mutta ne ovat tulossa kunhan luvat saadaan. Toistaiseksi Starlink on lähettänyt avaruuteen yli 1000 satelliittia, mutta halu on jopa 30000 satelliittiin. Lisäksi muilla toimijoilla on omia suunnitelmia, mikä herättää huolta avaruuden täyttymisestä. Satelliitteja on niin paljon, että ne vaikeuttavat avaruuden tutkimusta. Starlink on ollut yhteistyökykyinen ja yrittänyt ratkoa ongelmia esim. tekemällä mustia satelliitteja, jotka heijastavat vähemmän valoa. Noin 1/40 satelliitista hajoaa, mikä on sellaisenaan vähän, mutta isossa määrässä aiheuttaa ongelmia. Avaruusromun määrä ja riskit törmäyksille alkavat kasvaa.

Tutkijat ovat keksineet, että Starlinkin satelliitteja voisi käyttää GPS:n rinnalla edullisena ja luotettavana paikannusmenetelmänä ja aikalähteenä. Starlink on paikannuksessa jopa 10 kertaa tarkempi ja huomattavasti varmempi kuin GPS, koska LEO-satelliittien signaalit ovat jopa 1000 kertaa voimakkaampia kuin GPS:n.

Rajeev Suri on siirtynyt satelliittiyhtiö Inmarsatin toimitusjohtajaksi. Inmarsat tarjoaa perinteisiä satelliittitaajuuksia ja rakentaa DT:n kanssa Euroopan ilmailuverkkoa. Lynk ja Mobilespace kilpailevat omalla tavallaan mobiiliverkon taajuuksia käyttävillä satelliiteilla. Puhelimet ja muut mobiililaitteet voisivat suoraan jutella satelliittien kanssa. 

Historia

Tiesitkö, että hakukoneesta paremmin tunnettu Altavista valmisti myös palomuureja, reitittimiä, verkkokortteja ja sähköpostipalvelimia? Vuoden 1997 testissä Altavistan palomuuri loisti helpolla hallinnalla ja Digital Tech Journal samalta vuodelta kuvailee tuotteita tarkemmin. Itse muistan katselleeni vieressä kun kollegat asensivat Checkpointin Firewall-1:stä palvelimelle jossain vuoden 2000 tienoilla. Se ei ollut helppoa.

1978 videoitu nostalginen esitys, jossa Bob Metcalfe esittelee Ethernetin.

Kuukauden sinnikkäin

AT&T:n asiakkaana vuodesta 1960 ollut 90-vuotias herra nousi barrikadeille ja esitti tyytymättömyytensä yhtiön DSL-yhteyden hitaudesta julkaisemalla Wall Street Journalissa avoimen kirjeen AT&T:n toimitusjohtajalle. Ilmoitus maksoi hänelle 10000 dollaria ja siinä hän purki tuohtumustaan yhtiön kykyyn tarjota parempiai yhteyksiä.

Networking Industry Update 2021-01

Outages

The year started with problems. Slack suffered a four-hour downtime when people returned to work from Christmas break. Even local Finnish newspaper reported downtime for 10 million users and 750,000 companies, reflecting the importance of the service to business operations.

The media joked that Slack had forgotten to put the cloud auto-scaling back on after reducing capacity for the Christmas break. That was a partial truth. Slack did not publish a public post-mortem yet, but the problem was reported to be the slowness on AWS’s Transit Gateway scaling. The service did not keep pace with the growth in demand and the network problem began to accumulate in the servers and the monitoring and provisioning system. The problem was solved by fixing the provisioning system. Slack’s own explanation was published later.

In this case, it was once again seen how network problems have a wide-ranging impact on different systems and parts of the environment. When control and management are lost, it is not known what the situation is and the problem is difficult to correct. In the case of Slack, demand could have been anticipated earlier and the service scaled more evenly. The application’s logic led to a DDoS attack when users bombarded servers with connection requests. Of course, the problems are fixed and this can never happen again. The problem is that Slack and the other companies are not prepared for the worst. What feels like impossible or incredible progress can happen during cascading failures. So don’t underestimate the impossible possibilities and prepare for the worst-case scenario for real.

Cyber ​​security

In the case of Solarwinds, the laundry will continue. In addition to security companies Malwarebytes, Microsoft, FireEye, CrowdStrike, a DNS-based list of Phase 2 attacks on 23 corporate domains was released. Only a few companies have been of interest.

The stolen data was allegedly on sale on the solarleaks page for a total price of $ 1M. The price of individual company data ranged from $ 50,000 to $ 600,000. The prices were considered so amusing that buyers could hardly be found and the whole data leak was considered a bit questionable. It was more about misleading and creating chaos, which has been seen from Russian actors.

Solarwinds has long been known to have shortcomings and bad practices that contributed to the attack. And Solarwinds is not alone with that. In general, private investors behind companies, such as Orlando Bravo, make millions by exploiting companies. Investors are researching all possible savings targets and ripping them out of the “unnecessary” ones. The financier peels off the cream, and the risks and survival are left to the companies. It is no wonder that there are shortcomings in product quality and company practices.

From the case, we can learn that the advanced attack comes indirectly and through many phases. Third parties and partners are often involved in the chain. Therefore, internal resources must be protected also. Workflows and practices need to be reviewed and controls improved. The application development build process is a critical production system and should be treated that way. The process must always produce the same verified results. The transition of the industry from black box software to more transparent and secure code needs to be strengthened. Almost all software contains open source code, but the problem is that most contain outdated code. The most dangerous code is flooded in with the modified library. Users should be able to ask software bill of materials that lists the components and versions used.

Vulnerabilities have again been found in Zyxel and Sonicwall firewalls, Cisco SD-WANUbiquiti cloud service, Linux DNS forward client and sudo. Backdoor vulnerabilities are still emerging. If products are backdoor ported and security is compromised, the vulnerabilities never end.

Windows RDP is used for DDoS attacks. There are over 33,000 public RDP servers in the world to take advantage of. The gain factor of the RDP is 86, which settles at the top end of the efficiency, although not close to the Memcached factor.

In the fight against cyber criminals, Europol and a consortium of different countries have taken over Emotet, the world’s largest and most dangerous botnet. Hopefully this will decrease crime or at least makes it harder for criminals. But probably just for a short time.

In health care, threats are being fought with great stakes. There is some sort of ethic among the attackers that human lives are not threatened, even if there are easy ways to do so. The motivator is still money and the threats are more related to information leaks and blackmailing. The other story may be a time of crisis or if a state actor decides to do harm. In any case, there is a real risk of cyber disruption. In the future, attacks will also target medical research and healthcare partners. As a result, the effects can be unpredictable and widespread.

Palo Alto strikes healthcare IoT protection with its own product. The problems with security products in healthcare are similar to those in OT environments for industrial automation: network availability and continuous operation must be ensured and interruptions are not allowed. Therefore, bringing active security into the hospital environment is difficult. Also resourcing of IT staff and equipment is often weaker in the healthcare sector than in other industries.

Internet

BGP routing on the Internet regularly leaks. On January 6, 2021, nearly 9,000 routes leaked from Hong Kong through the British operator. This time, the disruption had little effect on traffic as only 1/3 of the operators accepted the false advertising. Only 1% of the wrong routes reached global routing. I don’t know if route RPKI validation played a part in that. In any case, RPKI has gained visibility recently with the deployment of major ISPs. RPKI ensures the correct origin of the routes and can partly prevent false advertisements and hijackings. Of course, there are many other practices involved in the functionality and security of Internet routing, and RPKI alone will not save in every case.

About 30% of the prefixes are RPKI-signed. Europe and the Middle East are clearly leading the deployment, and Asia is following suit. Cloud services have also brought their cards into the pile. AWS, as the world’s largest owner of IP addresses, adopted RPKI. The magnitude is indicated by the fact that AWS has about 100 million IPv4 addresses. According to statistics, the market price of a single address could be $ 25, so the value of IPv4 addresses would be a staggering $ 2.5 billion. Half of the addresses are in use and you can find the list here.

In Internet routing, the number of BGP updates is growing steadily. The exact cause is not known, but it is probably related to network fragmentation and traffic diversion. Routers have to handle a lot of routing changes, which requires more performance from them. The Internet is starting to become more unstable all the time as routing changes are constantly happening.

There are many problems with routing optimization. A special false advertisement containing 16 AS-PATH prepend spread because it was more specific (/24) than the original route (/23). The long AS path didn’t make route less preferable. Instead, it just looked crazy, whatever might the purpose have been.

The BGP protocol has grown for many different use cases, but it still doesn’t satisfy agile operators. The initiative now is to make BGP a fully extensible and programmable protocol xBGP, so that users can develop the features they need, regardless of slow standardization. The plugin model would open a closed protocol for additional plugins.

NaaS

SASE is much on display and there seems to be a demand. The idea makes sense, cost and ease are SASE’s selling points. But in terms of implementation, the issue is much more complicated. SASE’s idea is that business traffic would focus mainly on cloud and SaaS services, making it sensible to provide security services over the Internet. However, the operations of the companies are quite a lot of the hybrid model, where some of the operations run on their own premises and local security is needed there. Transporting traffic back and forth between the cloud and your own premises is not optimal or even possible. Also, apps haven’t suddenly turned completely cloud-native, even if they run in the cloud. And the situation is not going to change any time soon.

SASE is not a substitute for all security and one manufacturer cannot provide everything for a wide range of business needs, even if a SASE supplier wants to lock the customer into its own ecosystem. Products are new and may be unfinished. SD-WAN is still one part of the solution and many manufacturers have joined forces with different SD-WAN manufacturers. SD-WAN is also available either on devices or from the cloud. Looking to the future, the situation seems unsustainable. More and more security and content players are building their own global service network. This will sooner or later lead to mergers and acquisitions.

For SD-WAN, there is also an open source option for the DIY builders with FlexiWAN SD-WAN and pfSense firewall software. The solution, which is mainly intended for MSP use by operators and integrators, is now packaged in a virtualized CPE kit.

The Packet Fabric Cloud Router connects multi-clouds and data centers. The product is part of a set of multi-cloud solutions that attempt to manage a complex distributed environment. Other manufacturers include e.g. Alkira, Aviatrix, Arrcus, Drivenets, Pureport, Volta Networks.

F5 acquires Volterra, which specializes in distributed cloud and Edge-as-a-Service platform, which competes with, for example, CDNs for secure application distribution. Volterra is backed by the developers of Contrail. F5 has long since moved from traditional iron load balancing to cloud application development. Edge is not built on hardware, but on software.

Edge is a place no one knows. It is where the operator and the cloud are, but the concrete is very unclear. Forrester predicts a turning point for Edge this year. The edge would suddenly appear and begin to gnaw at the edge of the cloud. In fact, the edge is a cloud that is but scattered close to the user. Growth is slow so far and no rapid change is in sight.

In the Telco cloud, Israeli Drive Nets has risen to be a hot manufacturer and unicorn status with a billion valuation. The company makes cloud-based software for network routing and switching. The customers are 36 large operators and content providers, the largest being AT&T. Again, the new challenger attacks traditional hardware manufacturers and vows to cloud-based software and virtualization. Maybe there’s still a little way to go, but the interest is high and Network-as-a-Service (NaaS) is the direction of the future. SD-WAN and SASE will be the same trend.

The use of open source in the operator network is increasing. The BNG software used for customer termination is now available as open source. DT has implemented OpenBNG software.

5G

In the operator field, public clouds are chasing telcos to gain a foothold in the 5G RAN. Telcos have handed over their own cloud structure and are looking for a solution from a public cloud. But even the three cloud giants do not have a decentralized, real-time, and consistent platform suitable for operator use that would meet tough capacity, latency, and availability requirementsNokia signed a partnership agreement with Google to develop a cloud-based 5G network.

Open RAN technology is gaining support as operators are now looking for a replacement for Huawei, which is banned in many places, both in terms of technology and cost. The Open RAN is now also pursuing a political agenda against Huawei, but Nokia and Ericsson are also on the line. In Australia, Huawei has already looked to the future and is now investing in 6G.

In 5G, new use cases are waiting for the time being and sales are mainly more data for subscribers. There are high expectations for new business applications, although companies are lazy to innovateChina has introduced an industrial program to connect industry to 5G. It is already partly ready, although there is not much information about the experiences. It is good for companies to think about what is the reality, for example, in terms of terminal and connection costs, business models, network coverage and reliability. At the same time, tens of millions of pounds are being spent in the UK to promote 5G technology to the public.

European countries are lagging in the security practices that the EU has adopted for 5G networks. The pace of implementation of the toolkit is very different. 2/3 of the countries have identified high-risk actors, but only 1/3 have done something about it, even though ready-made instructions have been offered. The British NCSC also publishes network security guidelines for telcos. The most important issue is the supply chain. In this context, it is generally good to identify supply chain risks: dependencies, product security, and access control to systems and data.

At the same time as Google and Facebook are abandoning their own broadband projects, the EU is painting its own satellite broadband plans to provide decent connections to sparsely populated areas. The problem with these projects has been that the “next billion” users from developing countries, or tens of millions users from rural Europe, are paying far too much. The old truth in everything is that the last 10-20% is so expensive and laborious to achieve that it is not worth pursuing.

In IoT networks, LoRaWAN develops and makes roaming possible between 27 countries around the world.

Operation

Cisco unveiled its new design box, the microswitch. It has evoked mixed feelings but the cute outlook clearly appeals. The idea is to bring the fiber to your desk or near equipment and connect this 4-port switch to the end of the fiber. The switch does have nice features, e.g. full intent-based Networking DNA Center nation, POE +, USB-C power supply. I can’t escape the idea that a nice product has now been invented to spread millions of units around campuses and thereby promote the use of the DNA Center and SDA. There are certainly a lot of real use cases as well.

Where did intent-based networking go? The hype went and the thing became mundane. IBN has become part of management systems. The abstraction of network components, the definition of relationships, the collection of telemetry data are prerequisites for the operation of a self-directed network. IBN has become a major visibility tool that is really in demand in complex networks.

Today’s networks still have an insane amount of useless design and configuration that has its roots in adjusting network properties and protocols. The future may look different. Traditional building blocks and functions can change completely. Why, in general, would we want to adjust and control everything manually when we are obviously no longer able to do so? For example, network monitoring and automation is often insanely cumbersome coding and constant updating and tuning. Procedures need to change. In this sense, NaaS is the future. On the other hand, the responsibility also lies with the manufacturers, as not all uses and objects are the same, no matter how desired. Manufacturers must allow a certain amount of customizability to meet the user’s needs. However, the user must also make an attitude change and trust a certain number of functions to be handled automatically by the system. Let’s take advantage of automation and move on to the next level because that’s where we are needed.

Trade policy

Cisco’s purchase of Acacia, which had been protracted for almost a couple of years, took an exciting turn when the Chinese government had not approved the deal for fear of the future of Acacia’s large Chinese customers. Legal challenges were swayed, the deal was canceled, the price was raised and the agreement was made a week later. Cisco paid 4.5 billion instead of the original 2.6 billion and the Chinese were happy. Coherent optics is very important to Cisco. It gets Cisco into the operator game from which it has been losing. Before the approval of the transaction, Telia Carrier had time to announce that it would introduce Cisco-Acacia 400G pluggables in routers and run the DWDM line through the open Open Line System.

The idea is to transfer the DWDM transmitter directly to the SFP module of the router and drive the wavelength through an open multivendor mux to the fiber. The biggest benefits of the solution are flexibility and cost and energy savings. In routers, Telia has moved away from the vendor proprietary chips to Broadcom’s DNX chipset, which already produces 70% of capacity. Traditional Cisco and Juniper routers with their own chips have quickly fallen into the minority.

Co-packaged optics and photonics are also hot topics among circuit manufacturers. Power consumption and heat production are the biggest problems in increasing capacity today. Therefore, the technique is tried to be squeezed as close together as possible. This, on the other hand, means that the flexibility of the interchangeable optics is lost. Cisco teamed up directly with Inphi and Broadcom unveiled its own solution.

The Acacia case shows how uncertain you can be with technology choices, partners, and the supply chain. Trade policy affects the operations of many manufacturers and operators and should be recognized and taken into account in the planning of operations and in making choices and purchases. According to the interviews, 83% of companies said they were now more aware of supply chain risks and thought of ways to manage them. Better information and transparency throughout the chain would improve operational performance and reduce business risk. This would require digitalization and collaboration with manufacturers, wholesalers and retailers.

China’s influence is also reflected in the operations of Ericsson and Nokia. China is the fastest growing market and the ban on Huawei in Sweden raised a fuss as Ericsson feared repercussions on its sales in China. CEO Ekholm said Sweden is a bad country for them and put strong pressure to cancel the Huawei ban. Discrimination against Huawei can very likely lead to discrimination against Western countries in China and even the division of industry and standards.

It happened before. The story of Cisco’s Linksys purchase in the early 2000s tells how the Linksys router had an open source Linux operating system, the source code of which, however, was not released under the license. Cisco and Linksys did not know about this and apparently Linux had put into the device through the subcontractor chain of circuit maker Broadcom and the information didn’t reach Linksys and Cisco. The issue then came public and Cisco took care of the license issue. Linux survived and became a favorite tool for hackers and the WRT54G router gained a reputation for the legend.

Open source

Elastic perceived the Elastisearch service provided by AWS as an exploitation of the free license for its own software and decided to change the license terms for its software. The intention was clearly to penalize AWS, which was considered not sufficiently contributed back to the development. AWS then decided to branch out from Elastisearch into its own project, which it will maintain and develop itself. At Elastic, the thing went personal and it did a disservice to the community by shutting down its open source project to some degree. AWS took advantage of its size and exploited the free code for its own commercial purposes, perhaps beyond the bounds of good taste. Both parties argue that the changes will not cause many inconveniences to users, but this is not the optimal solution for users of the service either.

Redhat’s CentOS was dug up and RHEL was handed out for free to less than 16 server environments, which can be considered as almost a joke. CentOS is the third most popular distribution on the Internet, covering 17% of servers. That’s ten times what RHEL does. Redhat explained the end of CentOS support by allocating resources to other projects. Another problem was the invisibility of CentOS users. The intention was not to transfer customers to a paid service, but that is exactly what happened. CentOS Stream is no longer the stable reliable version that CentOS was.

There has been movement elsewhere as well. Grafana Cloud announced a free plan and Gitlab removed the starter plan, raising the price fivefold. There is a risk in these if you commit to a certain platform and start building production on it. At least it’s good to be prepared that the price and features can suddenly change. Nokia’s Jonne Soininen gave a good introduction to the use of open source on networking.

The popular Netbox IPAM and DCIM program was backed by corporate support when developer Jeremy Stretch began offering commercial support and development for his program.

Companies

The departure of Vmware CEO Pat Gelsinger for Intel has attracted a lot of attention. Gelsinger is known as one of the best leaders as both a technological visionary and an operational performer. In 8 years, he had time to modify the company considerably, triple the result, make 30 acquisitions and take the company to the network, cloud, security, 5G and containers. Among Gelsinger, several executives have left Vmware. Besides, there has long been a join-or-split tug of war between Vmware and Dell. Now it remains to be seen in which direction the company will proceed. The new leader is left with a pile of miscellaneous technology that should be combined into a useful entity somehow. One man can have a surprisingly big impact on the future of a company and its products.

Epic Failure

Extreme missed Flash’s death date on January 12, 2021, and its network management product WiNG Manager ceased operations in the browser. As a solution, Extreme suggested moving the computer clock backward. Of course, traditional CLI worked as expected.

[FI] Tietoliikennealan katsaus 2021-01

Ongelmat

Vuosi alkoi ongelmilla. Slack kärsi neljän tunnin palvelukatkosta kun ihmiset palasivat joululomalta töihin. Jopa HS:n paperilehdessä uutisoitiin 10 miljoonan käyttäjän ja 750000 yrityksen käyttämän palvelun katkosta, mikä kuvastaa palvelun merkitystä yritysten toiminnalle.

Mediassa vitsailtiin, että Slack oli unohtanut laittaa pilvialustan autoskaalauksen takaisin päälle vähennettyään kapasiteettia joulutauolle. Tässä olikin osatotuus. Slack ei ollut julkaissut ongelmasta julkista post-mortemia, mutta tietojen mukaan ongelma oli AWS:n Transit Gatewayn skaalauksen hitaudessa. Palvelu ei pysynyt kysynnän kasvun tahdissa ja verkko-ongelma alkoi kumuloitua palvelimiin ja valvonta- ja provisiointijärjestelmään. Ongelma ratkesi korjaamalla provisiointijärjestelmää. Slackin oma selitys julkaistiin myöhemmin.

Tässä tapauksessa nähtiin jälleen kerran miten verkko-ongelmat vaikuttavat laaja-alaisesti eri järjestelmiin ja ympäristön osiin. Kun valvonta ja hallinta menetetään, ei tiedetä mikä on tilanne ja ongelmaa on vaikea korjata. Slackin tapauksessa kysyntää olisi voinut ennakoida aiemmin ja skaalata palvelua tasaisemmin. Sovelluksen toimintalogiikka johti DDoS-hyökkäykseen kun käyttäjät pommittivat palvelimia yhteyspyynnöillä. Ongelmat tietenkin korjataan ja tämä ei voi toistua enää ikinä. Ongelma on se, että Slack ja tai muutkaan toimivat eivät osaa varautua pahimpaan. Mikä tuntuu mahdottomalta tai uskomattomalta kehityskululta, tapahtuu kuin tapahtuukin joskus ongelmien yhteydessä. Älä siis aliarvioi mahdottomiakaan mahdollisuuksia ja varaudu oikeasti pahimpaan.

Kyberturvallisuus

Solarwinds-tapaukseen jälkipyykki jatkuu. Tietoturvayritysten Malwarebytes, Microsoft, FireEye ja CrowdStrike lisäksi julkaistiin DNS-tietoihin perustuva lista kakkosvaiheeseen edenneistä hyökkäyksistä 23 yrityksen domainiin. Vain harva on joutunut toisen vaiheen kiinnostuksen kohteeksi.

Varastetut tiedot väitettiin olleen myynnissä solarleaks-sivulla miljoonan dollarin yhteishintaan. Yksittäisten yritysten tietojen hinta vaihteli 50000-600000 dollarin välillä. Hintojan pidettiin niin huvittavina, että ostajia tuskin löytyy ja koko tietojen julkistamisoperaatio kyseenalaistettiin. Enemmän kyse oli harhaanjohtamisesta ja kaaoksen luomisesta, jota venäläisiltä toimijoilta on nähty.

Solarwindsin toiminnassa on jo pidempään tiedetty olevan puutteita ja huonoja käytäntöjä, jotka edesauttoivat hyökkäystä. Eikä Solarwinds ole yksin asian kanssa. Yleisesti yritysten taustalla toimivat rahoittajat, kuten Orlando Bravo, tekevät miljoonia hyväksikäyttämällä yrityksiä. Rahoittajat tutkivat kaikki mahdolliset säästökohteet ja niistävät niistä “turhat” pois. Rahoittaja kuorii kermat päältä, ja riskit ja selviäminen jäävät yritysten harteille. Ei ole ihme, että tuotteiden laadussa ja yrityksen käytännöissä on puutteita.

Tapauksesta voimme oppia, että edistynyt hyökkäys tulee epäsuorasti ja monen mutkan kautta. Kolmannet osapuolet ja kumppanit ovat usein mukana ketjussa. Siksi sisäisiä resursseja pitää suojata siinä missä julkisessa rajapinnassa oleviakin. Työnkulku ja käytännöt on syytä tarkistaa ja valvontaa parantaa. Sovelluskehityksen build-prosessi on kriittinen tuotantojärjestelmä ja sitä pitää kohdella niin. Prosessin pitää tuottaa aina sama varmistettu lopputulos. Alan siirtymistä mustan laatikon softista avoimempaan ja varmistetumpaan koodiin on syytä vahvistaa. Lähes kaikki ohjelmistot sisältävät avointa lähdekoodia, mutta ongelma on se, että suurin osa sisältää vanhentunutta tai hylättyä koodia. Vaarallisin koodi ujutettaan sisään muokatun kirjaston mukana. Käyttäjien pitäisi osata kysellä enemmän ohjelmistojen kittilistaa, jossa on lueteltu käytetyt komponentit ja versiot.

Haavoittuvuuksia on jälleen löydetty  Zyxel– ja Sonicwall-palomuureista, Cisco SD-WAN:sta, Ubiquiti-pilvipalvelusta, Linuxin DNS-forward-clientistä ja sudo-ohjelmasta. Takaporttihaavoittuvuuksia tulee edelleen ilmi. Jos tuottteisiin tehdään takaportteja ja tietoturvaa heikennetään, haavoittuvuusongelmat eivät lopu koskaan.

Windowsin RDP-palvelua käytetään DDoS-hyökkäyksiin. Maailmasta löytyy yli 33000 julkista RDP-palvelinta hyödynnettäväksi. RDP:n vahvistuskerroin on 86, joka asettuu tehokkuuden yläpäähän, vaikka ei olekaan lähellä Memcachedin kertoimia.

Taistelussa verkon pahoja vastaan, Europol ja eri maiden yhteenliittymä on saanut haltuunsa maailman suurimman ja vaarallisimman bottiverkon Emotetin. Toivottavasti tämä näkyy rikollisuuden vähenemisenä, tai ainakin vaikeutumisena. Voi olla, että ilo jää kuitenkin hetkelliseksi.

Terveydenhuollossa taistellaan isoin panoksin uhkia vastaan. Hyökkääjien keskuudessa vallinnee jonkinlainen etiikka, ettei ihmishenkiä uhata, vaikka siihen voisi olla helpot keinot. Motivaattorina on edelleen raha ja uhkat liittyvät enemmän tietovuotoihin ja kiristykseen. Toista voi olla kriisiaikana, tai jos valtiollinen toimija päättää tehdä vahinkoa. Joka tapauksessa todellinen riski kyberhäiriöille on olemassa. Hyökkäykset kohdistuvat jatkossa enemmän myös lääketieteen tutkimukseen ja terveydenhuollon kumppaneihin. Sitä kautta vaikutukset voivat olla ennalta-arvaamattomat ja laajalle levinneet.

JYVSECTEC on julkaissut Kyberhäiriöiden hallinta -käsikirjan terveydenhuollon toimijoille. Siitä löytyy hyviä käytännön kokemuksia ja vinkkejä toimintaan, myös muille toimialoille. Palo Alto iskee terveydenhuollon IoT-suojaukseen omalla tuotteellaan. Tietoturvatuotteiden ongelmat terveydenhuollossa ovat samanlaiset kuin teollisuusautomaation OT-ympäristöissä: ympäristön jatkuva toiminta pitää varmistaa ja katkoja ei sallita. Siksi aktiivisen tietoturvan tuominen sisään sairaalaympäristöön on hankalaa. Lisäksi resursointi IT-henkilöstössä ja -välineissä on terveydenhoitoalalla monesti heikompaa kuin muilla toimialoilla.

Huoltovarmuuskeskus aloittaa Digitaalinen turvallisuus 2030 -ohjelman, jossa se rahoittaa yhteiskunnan digitaalista turvallisuutta parantavia hankkeita n. 130M eurolla. Ohjelmasta voi poikia hyviä parannuksia, jos se saadaan vietyä järkevästi läpi yritysten kanssa. Toivoisin ohjelmaan läpinäkyvyyttä ja mahdollisimman paljon julkista tietoa projekteista ja kehitetyistä asioista.

Internet

Internetin BGP-reitityksessä tapahtuu säännöllisesti vuotoja. 6.1.2021 vuoti lähes 9000 reittiä Hongkongista brittioperaattorin läpi. Tällä kertaa häiriö ei vaikuttanut juurikaan liikenteeseen, koska vain 1/3 operaattoreista hyväksyi väärän mainostuksen. Vain 1% vääristä reiteistä ylsi maailmanlaajuiseen reititykseen asti. En tiedä oliko reittien RPKI-validoinnilla asiassa osaa. Joka tapauksessa RPKI on saanut näkyvyyttä viime aikoina kun isot operaattorit ovat ottaneet sitä käyttöön. RPKI varmistaa reititin oikean alkuperän ja sillä voidaan osin estää vääriä mainostuksia ja verkkojen kaappauksia. Internet-reitityksen toimivuuteen ja turvallisuuteen toki liittyy paljon muitakin käytäntöjä, ja ei RPKI yksinään pelasta tilannetta.

RPKI-allekirjoitettuja verkkoja on n. 30%. Eurooppa ja Lähi-Itä johtavat selvästi käyttöönottoa ja Aasia seuraa perässä. Myös pilvipalvelut ovat tuoneet kortensa kekoon. AWS maailman suurimpana IP-osoitteiden omistajana otti RPKI:n käyttöön. Suuruudesta kertoo, että AWS:llä on n. 100 miljoonaa IPv4-osoitetta. Tilastojen mukaan yhden osoitteen markkinahinta voisi olla 25$, joten IPv4-osoitteiden arvo olisi huikeat 2,5 miljardia dollaria. Puolet osoitteista on käytössä ja listan niistä löydät täältä.

Internet-reitityksessä BGP-päivitysten määrä kasvaa tasaisesti. Syytä ei tarkalleen tiedetä, mutta luultavasti se liittyy verkkojen pirstaloitumiseen ja liikenteen ohjailuun. Reitittimet joutuvat käsittelemään paljon reititysmuutoksia, mikä vaatii niiltä enemmän suorituskykyä. Internet on koko ajan epävakaampi jatkuvien reititysmuutoksien takia.

Reitityksen optimoinnista on moni ongelma saanut alkunsa. Erikoinen 16 AS-PATH prependiä sisältänyt väärä mainostus levisi eteenpäin, koska väärä mainostus oli tarkempi (/24) kuin alkuperäinen (/23). Pitkä AS-polku ei vaikuttanut asiaan, näytti vain hullulta. Mikä lie ollut sen tarkoitus.

BGP-protokollana on kasvanut kuin pullataikina moneen eri käyttöön, mutta se ei silti tyydytä ketteriä toimijoita. Nyt aloitteena on tehdä BGP:stä täysin laajennettava ja ohjelmoitava protokolla xBGP niin, että siihen voisi itse kehittää haluamiansa ominaisuuksia riippumatta hitaasta standardoinnista. Plugin-malli avaisi suljettua prokollaa omille liitännäisille.

NaaS

SASE on paljon esillä ja kysyntää tuntuu olevan. Ajatuksena se tuntuu järkevältä, kustannus ja helppous ovat SASE:n myyntivaltteja. Mutta toteutuksen kannalta asia on paljon monimutkaisempi. SASE:n ajatus on, että yritysten liikenne suuntautuisi pääasiassa pilveen ja SaaS-palveluihin, jolloin tietoturvapalveluiden tarjoaminen internetistä olisi järkevää. Kuitenkin yritysten toiminta on varsin paljon hybridimallista, jolloin osa toiminnoista on omissa tiloissa ja siellä tarvitaan paikallista tietoturvaa. Liikenteen kuljetus edestakaisin pilven ja omien tilojen välillä ei ole optimaalista tai mahdollista esim. käytettävyyden kannalta. Myöskään sovellukset eivät ole yhtäkkiä muuttuneet  täysin pilvinatiiveiksi, vaikka niitä pilvessä ajettaisiinkin. Eikä tilanne ole muuttumassa lähiaikoina.

SASE ei korvaa kaikkea tietoturvaa ja yksi valmistaja ei voi tarjota kaikkea yritysten monenlaisiin tarpeisiin, vaikka SASE-toimittaja haluaisikin lukita asiakkaan omaan ekosysteemiinsä. Tuotteet ovat uusia ja saattavat olla keskeneräisiä. SD-WAN on edelleen yksi osa ratkaisua ja monet valmistajat ovatkin liittyneet kimppaan eri SD-WAN -valmistajien kanssa. SD-WAN:iakin saa joko laitteina tai pilvipalveluna. Tulevaisuuden kannalta tilanne näyttää kestämättömältä. Yhä useampi tietoturva- ja sisältötoimija rakentaa omaa maailmanlaajuista palveluverkkoaan. Tämä johtanee ennemmin tai myöhemmin yhdistymisiin.

SD-WAN:lle on olemassa myös avoimen lähdekoodin vaihtoehto tee-se-itse-rakentelijalle FlexiWAN SD-WAN- ja pfSense-palomuuriohjelmistoilla. Lähinnä operaattoreiden ja integraattoreiden MSP-käyttöön ajateltu ratkaisu on nyt paketoitu virtualisoiduksi CPE-ratkaisuksi.

Packet Fabric Cloud Router yhdistää monipilvet ja konesalit. Tuote liittyy monipilviratkaisujen joukkoon, jossa yritetään hallinnoita monimutkaista hajautettua ympäristöä ja yhteyksiä. Muita valmistajia ovat mm. Alkira, Aviatrix, Arrcus, Drivenets, Pureport ja Volta Networks.

F5 ostaa Volterran, joka on erikoistunut hajautettuun pilveen ja Edge-as-a-Service -alustaan, joka kilpailee esim. CDN:ien kanssa turvallisesta sovellusjakelusta. Volterran taustalla ovat Contrailin kehittäjät. F5 on jo aikoja sitten siirtynyt perinteisestä rautakuormanjaosta pilven sovelluskehitykseen. Edgeä ei rakenneta laitteilla, vaan softalla.

Edge on paikka, jota kukaan ei tunne. Se on siellä missä operaattori ja pilvi on, mutta konkretia on hyvin epäselvää. Forrester ennustaa edgelle käännekohtaa tälle vuodelle. Ennusteen mukaan edgestä tulisi yhtäkkiä markkinavoima, joka alkaisi nakertaa pilven reunaa. Tosiasiassa edge on pilvi, joka on vaan hajautunut lähelle käyttäjää. Kasvu on toistaiseksi hidasta ja nopeaa muutosta ei ole näkösällä.

Telco-pilvessä israelilainen Drive Nets on noussut kuumaksi valmistajaksi ja yksisarvisstatukseen miljardin arvostuksellaan. Yritys tekee pilvinatiivia ohjelmistoa verkon reititykseen ja kytkentään. Asiakkaina on 36 isoa operaattoria ja sisällöntuottajaa, suurimpana AT&T. Tässäkin tapauksessa uusi haastaja hyökkää perinteisiä laitevalmistajia vastaan ja vannoo pilvinatiiviin softaan ja virtualisointiin. Ehkä sinne on vielä vähän matkaa, mutta kiinnostus on suurta ja Network-as-a-Service  (NaaS) on tulevaisuuden suunta. Samaa asiaa ajavat SD-WAN ja SASE.

Operaattoriverkossa avoimen lähdekoodin käyttö kasvaa. Asiakasterminointiin käytettävä BNG-ohjelmisto on nyt saatavilla avoimena lähdekoodina. DT on ottanut OpenBNG-ohjelmiston käyttöön.

5G

Operaattorikentässä julkiset pilvet kaveeraavat telcojen kanssa saadakseen jalansijaa 5G RAN:ssa. Telcot ovat luovuttaneet oman pilvirakentelunsa ja etsivät ratkaisua julkisesta pilvestä. Mutta edes kolmella pilvijätillä ei ole olemassa operaattorikäyttöön soveltuvaa hajautettua, reaaliaikaista ja yhdenmukaista alustaa, joka vastaisi koviin kapasiteetti-, viive- ja käytettävyysvaatimuksiin. Nokia teki yhteistyösopimuksen Googlen kanssa pilvinatiivin 5G-verkon kehittämisestä.

Avoin Open RAN -teknologia saa kannatusta, koska operaattorit etsivät nyt monin paikoin kielletylle Huaweille korvaajaa sekä teknologia- että kustannusmielessä. Open RAN ajaakin nyt myös poliittista agendaa Huaweita vastaan, mutta myös Nokia ja Ericsson ovat tulilinjalla. Australiassa Huawei onkin jo ottanut katseen tulevaisuuteen ja panostaa nyt 6G:hen.

5G:ssä uudet käyttökohteet odottavat toistaiseksi ja myynti on lähinnä kuluttajaliittymien dataa. Yritysten käyttökohteisiin kohdistuu kovia odotuksia, tosin yritykset ovat laiskoja innovoimaan. Kiinassa on otettu käyttöön teollisuusohjelma, jossa teollisuus kytketään 5G:hen. Osin jo valmista onkin, tosin kokemuksista ei ole paljon tietoa. Yritysten onkin hyvä miettiä mikä on todellisuus esim. terminaali- ja liittymäkustannusten, liiketoimintamallien ja verkon peiton ja luotettavuuden suhteen. Samaan aikaan Briteissä käytetään kymmeniä miljoonia puntia 5G-teknologian mainostamiseen kansalaisille.

Euroopan maat laahaavat jäljessä turvallisuuskäytännöissä, joita EU on antanut 5G-verkkoihin. Työkalupakin käyttöönoton tahti on hyvin erilaista. 2/3 maista on tunnistanut korkean riskin toimijoita, mutta vasta 1/3 on tehnyt asialle jotain, vaikka siihen on tarjottu valmiita ohjeita. Brittien NCSC on julkaisuut operaattoreille verkkojen turvallisuusohjeet. Tärkeimmäksi asiaksi nousee toimitusketju. Siihen liittyen on yleisestikin hyvä tunnistaa toimitusketjun riskit: riippuvuudet, tuoteturvallisuus ja pääsynhallinta järjestelmiin ja dataan.

Samaan aikaan kun Google ja Facebook lopettavat omat laajakaistahankkeensa, EU maalailee omaa satelliittilaajakaistahankettaan, jolla saataisiin haja-asutusalueille kunnon yhteydet. Ongelmana näissä hankkeissa on ollut, että se “seuraava miljardi” käyttäjää kehittyvistä maista, tai kymmenet miljoonat käyttäjät Euroopan maaseudulta, maksaa aivan liikaa. Vanha totuus kaikessa on, että viimeinen 10-20% on niin kallis ja vaivalloinen saavuttaa, ettei sitä yleensä kannata tavoitella.

IoT-verkoissa LoRaWAN kehittyy ja aloittaa verkkojen välisen liikennöinnin. Roaming on mahdollista 27 maan välillä ympäri maailman.

Operointi

Cisco julkisti uuden design-purkkinsa eli mikrokytkimen. Se on herättänyt vaihtelevia tuntoja ja söpö ulkomuoto vetoaa selvästi. Ajatus on tuoda kuitu työpöydälle tai lähelle laitteita ja kytkeä tämä 4-porttinen kytkin kuidun päähän. Kytkimessä on kyllä kivat ominaisuudet, mm. täysi intent-based networking DNA Centerin kansa, POE+ ja USB-C -virransyöttö. En voi välttyä ajatukselta, että nyt on keksitty kiva tuote, jota kylvää miljoonittain ympäri kampuksia ja sitä kautta edistää DNA Centerin ja SDA:n käyttöä. Oikeita käyttökohteita varmasti on myös paljon.

Mihin katosi intent-based networking? Hype meni ja asia arkipäiväistyi. IBN on tullut osaksi hallintajärjestelmiä. Verkon osasten abstraktointi, suhteiden määrittely ja telemetriatiedon keräys on edellytys itseohjautuvan verkon toiminnalle. IBN:stä on tullut merkittävä näkyvyystyökalu, jolle on oikeasti kysyntää monimutkaisissa verkoissa.

Nykypäivän verkoissa on edelleen älyttömän paljon turhaa suunnittelua ja konfigurointia, joka juontaa juurensa verkon ominaisuuksien ja prokollien säätämisestä kohdalleen tapauskohtaisesti. Tulevaisuus voi näyttää erilaiselta. Perinteiset rakennuspalikat ja toiminnot voivat muuttua täysin. Miksi yleensäkään haluaisimme säätää ja kontrolloida kaikkea manuaalisesti kun emme siihen selvästikään enää pysty? Esim. verkon valvonta ja automatisointi on monesti mielettömän raskasta koodausta ja jatkuvaa päivittämistä. Toimintatapojen täytyy muuttua. Tässä mielessä NaaS on tulevaisuus. Toisaalta vastuu on myös valmistajille, koska kaikki käyttötavat ja kohteet eivät ole samanlaisia, vaikka kuinka haluttaisiin. Valmistajien on annettava mahdollisuus tiettyyn määrään muokattavuutta, jotta tuote täyttää käyttäjän tarpeen. Käyttäjän on kuitenkin myös tehtävä asennemuutos ja luotettava tietty määrä toimintoja järjestelmän automaattisesti hoidettavaksi. Otetaan hyöty automatisoinnista ja siirrytään seuraavalle tasolle, koska siellä meitä tarvitaan.

Kauppapolitiikka

Jo kohta parin vuoden mittaiseksi pitkittynyt Ciscon Acacia-ostos sai jännän käänteen kun Kiinan hallitus ei ollut hyväksynyt kauppaa peläten Acacian isojen kiinalaisten asiakkaiden tulevaisuuden puolesta. Oikeushaasteita väläyteltiin, kauppaa peruttiin, hintaan nostettiin ja viikon päästä sovittiin. Cisco maksoi alkuperäisen 2,6 miljardin sijasta 4,5 miljardia ja kiinalaiset olivat tyytyväisiä. Koherenttioptiikka on Ciscolle erittäin tärkeä asia. Sille se pääsee mukaan operaattoripeliin, josta se on ollut tippumassa pois. Ennen kaupan hyväksyntää Telia Carrier ehti uutisoida ottavansa Cisco-Acacian 400G-plugarit käyttöön reitittimissä ja ajavansa DWDM-linjan avoimen Open Line System -järjestelmän läpi.

Ideana on siirtää DWDM:n lähetysyksikkö eli transponderi suoraan reitittimen SFP-moduliin ja ajaa aallonpituus avoimen monivalmistaja-muxin läpi kuituun. Ratkaisun suurimmat hyödyt ovat joustavuus ja kustannus- ja energiansäästö. Reitittimissä Telia on siirtynyt valmistajien omista piireistä Broadcomin DNX-piirisarjan laitteisiin, jotka tuottavat jo 70% kapasiteetista. Perinteiset Ciscon ja Juniperin omilla siruilla varustetut reitittimet ovat jääneet nopeasti vähemmistöön.

Myös yhteispakatut optiikat ja fotoniikka ovat kuumia aiheita piirivalmistajien kesken. Cisco lyöttäytyi Inphin kanssa yhteiskehitykseen ja Broadcom julkisti oman ratkaisunsa. Tehonkulutus ja lämmöntuotto ovat suurimmat ongelmat nykypäivän kapasiteetin kasvatuksessa. Siksi tekniikkaa yritetään puristaa mahdollisimman lähelle toisiaan. Tämä toisaalta tarkoittaa sitä, että menetetään vaihdettavan optiikan joustavuus.

Acacia-kauppa näyttää miten epävarmaa teknologiavalintojen, kumppanien ja toimitusketjun kanssa voi olla. Kauppapolitiikka vaikuttaa monen valmistajan ja toimijan toimintaan, ja se on syytä tiedostaa ja huomioida toiminnan suunnittelussa ja valintoja ja hankintoja tehdessä. Koronavuoden haastattelujen mukaan 83% yrityksistä sanoi olevansa tietoisempia toimitusketjun riskeistä ja ajatelleensa keinoja sen hallitsemiseksi. Parempi tieto ja läpinäkyvyys koko ketjun osalta parantaisi toimintakykyä ja pienentäisi liiketoimintariskiä. Tässä tarvittaisiin digtalisaatiota ja yhteistyötä valmistajien, tukkurien ja jälleenmyyjien kanssa.

Kiinan vaikutus näkyy myös Ericssonin ja Nokian toiminnassa. Kiina on nopeimmin kasvava markkina-alue ja Huawein kieltäminen Ruotsissa nostatti metelin Ericssonin pelätessä vastavaikutuksia Kiinan myyntiinsä. Toimitusjohtaja Ekholm kertoi, että Ruotsi on huono kotimaa Ericssonille ja painosti vahvasti kumoamaan Huawei-kiellon. Huawein syrjiminen voi hyvin todennäköisesti johtaa länsimaiden syrjimiseen Kiinassa ja jopa alan ja standardien jakautumiseen.

Sattui sitä ennekin. Tarina Ciscon Linksys-ostoksesta 2000-luvun alussa kertoo miten Linksys-reitittimessä oli avoimen lähdekoodin Linux-käyttöjärjestelmä, jonka lähdekoodia ei kuitenkaan ollut julkaistu lisenssin mukaisesti. Cisco ja Linksys eivät tästä tienneet, ilmeisesti Linux oli uinut laitteeseen piirivalmistaja Broadcomin alihankintaketjun kautta ja tieto ei ollut kiirinyt eteenpäin. Asia tuli julki ja Cisco hoiti lisenssiasian kuntoon. Linux jäi ja siitä tuli hakkerien lempityökalu ja WRT54G-reititin sai legendan maineen.

Avoin lähdekoodi

Elastic koki AWS:n tarjoaman Elastisearch-palvelun oman ohjelmistonsa lisenssin riistona ja päätti muuttaa yllättäen lisenssiehtoja. Tarkoituksena oli selvästi näpäyttää AWS:ää, joka ei kuulemma osallistunut open source -henkiseen kehitykseen riittävästi. AWS päätti sitten haaroittaa Elastisearchista oman projektinsa, jota se itse ylläpitää ja kehittää. Elasticilla asia meni henkilökohtaiseksi ja se teki karhunpalveluksen yhteisölle sulkemalla avoimen koodinsa jossain määrin. AWS hyödynsi kokoaan ja hyväksikäytti ilmaista koodia omiin kaupallisiin tarkoituksiinsa ehkä hyvän maun rajan yli. Kumpikin osapuoli väittää, ettei muutoksista koidu suurempaa haittaa käyttäjille, mutta eihän tämä ratkaisukaan käyttäjiä palvele.

Redhatin CentOS kuopattiin ja kädenojennuksena saatiin RHEL ilmaiseksi alle 16 palvelimen ympäristöihin, jota nyt voi kutsua melkein vitsiksi. CentOS on kolmanneksi suosituin jakelu internetissä kattaen 17% palvelimista. Se on kymmenkertainen määrä mikä RHEL:llä. Redhat selitti CentOS:n tuen lopettamista resurssien kohdistamisella toisiin projekteihin. Ongelma oli myös CentOS:n käyttäjien näkymättömyys. Tarkoituksena ei ollut siirtää asiakkaita maksullisen palvelun piiriin, mutta näinhän siinä käytännössä kävi. CentOS Stream ei ole enää se vakaa luotettava versio, joka CentOS oli.

Liikehdintää on ollut myös muualla. Grafana Cloud julkisti jatkuvasti ilmaisen tason ja Gitlab poisti aloitustason nostaen palvelun hinnan viisinkertaiseksi. Riskinsä on näissäkin jos sitoutuu tiettyyn alustaan ja alkaa rakentaa tuotantoa sen päälle. Ainakin on hyvä varautua, että hinta ja ominaisuudet voivat yhtäkkiä muuttua. Nokian Jonne Soininen antoi hyvän johdannon avoimen lähdekoodin käyttöön verkkopuolella.

Suosittu Netbox IPAM- ja DCIM-ohjelma sai taakseen yrityksen tuen kun kehittäjä Jeremy Stretch alkoi tarjota kaupallista tukea ja kehitystä ohjelmalleen.

Yritykset

Vmwaren toimistusjohtajan Pat Gelsingerin lähtö Intelille on herättänyt paljon huomiota. Gelsinger on tunnettu yhtenä parhaimmista johtajista, sekä teknologisena visionäärinä että operatiivisena suorittajana. 8 vuoden aikana hän ehti muokata yritystä melkoisesti, kolminkertaistaa tuloksen, tehdä 30 yritysostoa ja viedä yrityksen verkkopuolelle, pilveen, tietoturvaan, 5G:hen ja kontteihin. Gelsingerin ohella Vmwarelta on lähtenyt useita johtajia. Lisäksi Vmwaren ja Dellin välillä on jatkunut pitkään yhdisty-vai-eroa -köydenveto. Nyt jää nähtäväksi mihin suuntaan yritys jatkaa. Uudelle johtajalle jää aika kasa sekalaista teknologiaa, jota pitäisi yhdistää jotenkin hyödylliseksi kokonaisuudeksi. Yhdellä miehellä voi olla yllätävän iso merkitys yrityksen ja tuotteiden tulevaisuudelle.

Equinix ilmoitti investoivansa Suomen konesaliensa laajennukseen 32M euroa. Lisäkapasitettia on tulossa 800 räkkiä HE5 Viikinmäkeen ja HE7 Sinimäentielle.

ETLA on julkaissut tutkimuksen mihin Nokialta irtisanotut ja lähteneet työllistyivät. Tutkimus ei tarjoa kovin suuria yllätyksiä. Parhaiten työllistyivät korkeakoulutetut ja ylemmät toimihenkilöt. Ei ole yllätys, että Nokian töitä vastaavia erikoisosaamista vaativia paikkoja ei enää Suomesta löytynyt paljonkaan, ja ihmiset työllistyivät enemmän palvelualoille. Tämä kuvastaa laajemminkin yhteiskunnan rakennemuutosta, jossa valmistava teollisuus vähenee ja palvelualat kasvavat.

Kuukauden moka

Extreme missasi Flashin kuolemanpäivän 12.1.2021 ja sen verkonhallintatuote WiNG Manager lopetti toimintansa selaimessa. Ratkaisuna Extreme ehdotti tietokoneen kellon siirtämistä taaksepäin. Toki vanhan kunnon CLI:n kautta hallinta toimi kuten ennenkin.