Internetin rakenteet sodassa - aseena ja uhrina samanaikaisesti Jorma Mellin PJ, FICI ry 1
FICI? Suomen IP-yhdysliikennepiste Perustettu 1993, rekisteröity 2001 (Euroopan #1) 27 jäsentä (lokakuu 2008) Liikennelukuja ~ 21 Gbps kiivaimmillaan päivässä ~ 3,7 miljoonaa IP-pakettia joka sekuntti sähköpostiksi muutettuna noin 925 000 postia/s Kolme yhdysliikennepistettä: Otaniemi, Pasila ja Oulu Gigabit-Ethernet -tekniikkaa Juurinimipalvelimet: i-root, k-root ja j-root 2
Historia 1993: perustava sopimus Telecom Finland, Helsingin puhelinyhdistys, Eunet 10Mbps Ethernet kytkin, FICI1, Otaniemi Suomen maajuuren ylläpito (cctld.fi) 1996: päivitys 155-ATM kytkimeen (FICI-1) 1997:.fi rekisteröintien siirto Viestintävirastolle 1999: toinen yhdysliikennepiste (FICI-2, Pasila) Liittymänopeudet 155-ATM ja 622-ATM 2001: yhdistys perustettu ja rekisteröity, 11 allekirjoittajaa 2002: FICI1 päivitys gigabit-ethernet -tekniikkaan 2003: FICI2 päivitys gigabit-ethernet -tekniikkaan 2003: Internetin juuripalvelin Otaniemeen (i.root-servers) 2004: Internetin juuripalvelin Pasilaan (k.root-servers) 2004: FICI liittyy Euro-I yhdistykseen, ensimmäiset 10GE portit käyttöön 2005: FICI1 päivitetään 10GE kytkimeksi 2006: FICI2 päivitetään 10GE kytkimeksi 2008: kolmas yhdysliikennepiste (FICI-3, Oulu) 2008: Internetin juurinimipalvelin Ouluun (j.root-servers.net) 3
IP yhdysliikenteen kasvu Members Capacity (Mbps) 30 18000 25 16000 14000 20 12000 15 10000 8000 10 6000 5 4000 2000 0 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 0 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 Euro-I jäsenten liikenne (Gbps) heinäkuusta 2002 4
FICI ry jäsenet 5
IP-yhdysliikenteen uhat Erittäin suuret uhat Palvelunestohyökkäykset (kytkimet ja muu tekninen kalusto) Hallintayhteyden, -laitteiden tai tunnuksien joutuminen ulkopuolisten käsiin Tulipalo, tulva, räjähdys tms. IPE DB reittiobjektit Suuret uhat Laitteistovauriot Laitetilaturvallisuus ja niissä työskentelevä henkilökunta IP henkilöstö ja avainhenkilöturvallisuus Epäsopiva liikenne (spanning tree, CDP yms) Osoitteiden kaappaus (virhekonfigurointi tms) Yleisesti käytössä olevissa ohjelmissa virheitä Asiakkaiden laitteiden kautta suoritettava etäkäyttömahdollisuus Normaalit ja pienehköt uhat Etäkäyttömahdollisuudet varsinkin Internetin yli Väärän informaation syöttö listoille (väärennetty lähettäjä) Virtuaaliyhteyksien kaappaukset (epäkurantin reititystiedon syöttö) 6
Internet näyttäisi olevan rikki... 18.10.2008 analysointi globaalista Internet reititystaulusta: BGP routing table entries examined: 271514 Prefixes after maximum aggregation: 130898 Deaggregation factor: 2.07 Unique aggregates announced to Internet: 131783 Total ASes present in the Internet outing Table: 29518 Prefixes per ASN: 9.20 Origin-only ASes present in the Internet outing Table: 25695 Origin ASes announcing only one prefix: 12506 Transit ASes present in the Internet outing Table: 3823 Transit-only ASes present in the Internet outing Table: 81 Average AS path length visible in the Internet outing Table: 3.6 Max AS path length visible: 104 Max AS path prepend of ASN (43413) 100 Prefixes from unregistered ASNs in the outing Table: 562 Unregistered ASNs in the outing Table: 201 Number of 32-bit ASNs allocated by the Is: 61 Prefixes from 32-bit ASNs in the outing Table: 9 Special use prefixes present in the outing Table: 0 Prefixes being announced from unallocated address space: 752 Number of addresses announced to Internet: 1923950912 7
Miksi Internet toimii vioista huolimatta? 8 HAJAUTETTU JÄJESTELMÄ
Internetin toiminnan merkittävimmät uhat Suomessa Nettisota Alueellista tai maakohtaista yleistä tietoverkkoa vastaan tehty militaristinen palvelunestohyökkäys tai maan kaappaus Pitäisikö suomen kansainvälisesti liittoutua seurauksien lieventämiseksi? Onko itämeren kaasuputki turvallisuusuhka vai ei, tietoverkoissa? Liikenteen räjähdysmäinen kasvu nopeassa ajassa Televisio tyyppisen liikenteen suosio, liipaisin tosin puuttuu vielä Vastaa vaikutukseltaan palvelunestohökkäystä jota ei juurikaan voida estää Ammattiosaamisen hapertuminen Osaajapula ja tekniikan huima kehitys Teleyrityksien houkuttelevuus työpaikkoina? Sosialisointi Yliregulointi esim. kansallisen kilpailukyvyn edistämisen johdannaisena Aliregulointi joka johtaa luottamuspulaan 9
Internet aseena ja uhrina Internet on rakenteeltaan erinomaisesti skaalautuva, itsestään toipuva ja vikaantuneenakin käyttökelpoinen Internetin keskeisiä toimintoja ja rakenteita vastaan voidaan hyökätä hajautus lieventää tai estää toiminnan halvautumista Hyökkäys voi olla myös tahaton tai vahinko, tai jopa epätoivottu seuraus Internetin alasajoon ei ole valmistauduttu (Suomessa ainakaan) Kaikki varautuminen tähtää verkon toiminnan varmistamiseen Internetin käyttö aseena on todellisuutta uhrit toistaiseksi laskettu vain mainekärsimyksinä Koska on todellisten uhrien aika, ihmisten ja omaisuusarvojen? 10
Kiitos mielenkiinnosta! Jorma Mellin jome@ficix.fi www.ficix.fi 11