Det dumma nätet

Eftersom vi förlorat det gamla forumet och alla länkar där så sätter jag in en ny rubrik och länk till klassikern av David Isenberg i ACM Networker 2.1, February/March 1998, pp. 24-31:

http://isen.com/papers/Dawnstupid.html

och för säkerhets skull en länk till en annan kopia:

http://www.hyperorg.com/misc/stupidnet.html

De som inte var med i det gamla forumet där jag snackade en hel del om just "dumma" nät så kan ju börja med denna klassiker som jag har haft som grundläggande "filosofi" gamka länge nu (min egen kopia är nedladdad den 5 februari 2003).

På grund av det korkade rapportutkastet från Komverkets FTTH-arbetsgrupp måste jag ta upp David Isenbergs "stupid networks" åter.

David har förresten en blogg

http://isen.com/blog/

- Jag tycker däremot att rapporten håller på att måla upp den bild av ett open access-nät jag vill ha. Rapporten utgår ifrån kunden. Att kunden enkelt och fritt skall kunna välja både tjänst och leverantör. Jag tycker det är bra att rapporten sätter användaren i huvudsätet.

- Jag ser ingenstans att rapportförslaget skulle ta ställning till om nätet är intelligent eller dumt. Men det gör skillnad på det man gör via Internet och andra tjänster typ TV som kräver mera kvalitet på överföringen.

- Hoppas ännu att vi får en set-op-box till TV:n som är neutral. Jag är säker på att samma hushåll kommer att samtidigt använda flera olika leverantörer av TV-program. Dumt om man skall köpa/hyra en box av varje..samma sak gäller leverantörer av andra tjänster..så lite olika apparater som möjligt ute hos kunden...helst bara en.

UlfG: Men det gör skillnad på det man gör via Internet och andra tjänster typ TV som kräver mera kvalitet på överföringen.

Men det är ju just det som är skillnaden mellan ett dumt och ett intelligent system.

Fall inte i så-måste-det-vara-gropen. I detta fall: "Måste så vara därför att det behövs kvalitet". Jojo...måste styras... vad är det för snack? Har vi hört sånt förr?

Kravet på ett VLAN per anslutning och att man inte får tillåta trafik mellan olika anslutningar i lokalnätet är nog ganska våldsamma begränsningar.

Det är helt löjligt att binda anslutningen till en MAC-adress för de kan förfalskas hur lätt som helst.

Rekommendationen i 3.3.2 (VLAN) kommer jag att motarbeta intill sista blodsdroppen ! Den är HELT FEL !Likaså rekommendationen i 3.3.8 (MAC) måste bort.

Hela inställningen till att NÄTET skall sköta identifikationen är totalt FEL ! Och det komemr aldrig att fungera heller.

De tänker allihopa telefoni och det är också fel i ett datanät.

All "styrning" skall bort från nätet !

Ungefär allting de rekommenderar förstör det "dumma" nätet. Det kan absolut inte godkännas.

De har helt enkelt dragit Ulf vid näsan. Deras förslag utgår ALLA från operatören !

Hoppas ännu att vi får en set-op-box till TV:n som är neutral.

Vår digibox kan man ta in vilka kanaler som helst. Om man vill kan man t.o.m. byta programvara på den. Det är kundens box när den är betald, dom får göra vad fan dom vill med den.

Vem är det Fredrik som tillverkar hårdvaran till er box?

Nisse: Rekommendationen i 3.3.2

Du hänvisar säkert kommunikationsverkets FTTH grupp. Var får vi tag på dessa rekommendationer?

David S. Isenbergs text är verkligt bra. Och när så mången väsnas ideligen över hur snabb utvecklingen är så kan ju inte låta bli att anmärka att uppsatsen faktiskt är 10 år gammal.

Jo, men principen om det dumma nätet är ny. Tills vidare byggs alla operatörsnät som "intelligenta" nät. De kan inte frigöra sej från telefonfilosofin och därför blir näten svindyra och - ännu värre - inflexibla. De måste bygga om NÄTET för nya tillämpningar. Och det blir dyrt.

Att gå med på deras "rekommendationer" betyder att FÖRSTÖRA nätets flexibilitet och att sätta in onödiga begränsningar - som att hindra kommunikation mellan anslutningarna.

Guje klagade i någon tråd över att han måste gå via Helsingfors för att komma till grannen (eller något liknande). DET ÄR JUST DÄRFÖR ATT DE SATT IN DESSA BEGRÄNSNINGAR !

I vårt dumma nät går all trafik via närmaste växel ! Men om vi följer rekommendationerna så måste vi hindra detta.

Det blir också svårt att ställa upp LOKALA PRODUCENTER för de måste gå via operatörernas noder (i Helsingfors ?) för att komma till grannen ! Detta betyder mycket extern trafik och den betalar vi nog för på sätt eller annat.

Rekommendationerna finns på Komverkets intranät men bara arbetsgruppens medlemmar kommer åt dem. Och det är bara ett UTKAST. Får troligen inte spridas.

Det är två saker som mest ställer till problem i datanät och man kan lösa dem på rätt sätt eller på fel sätt.

1. Identifiering (hur vet tjänsteleverantören vem kunden är)

2. Säkerhet (hur hindra intrång och skurkvara)

Identifieringen försöker operatörerna sköta genom att använda VLAn (Virtual Local Area Network). Om man sätter varje kund i en skild VLAN så borde man veta ganska bra vem kunden är. Men då måste kontakter inom nätverket stängas av så ingen kan komma in via en annans VLAN. Och därför blir det hårda begränsningar i nätet och alla principer om dumt nät bryter man emot.


Sedan finns det möjlighet att identifiera via MC-adress. I princip borde varje apparat i hela världen ha en skild MAC men det har visat sej att så inte är fallet OCH att det är ytterst lätt att själv sätta in vilken MAC som helst. Så det är en dödfödd idé. De försöker kräva att man håller efter MAC-adresserna i nätet men det är krångligt och ger mycket arbete utan att alls garantera nånting.

Ungefär detsamma gäller IP-adresserna. De kan sättas till vad som helst mycket enkelt. Därför är lagarna om fildelning och rätten att skicka räkningar till folk vars IP-adress har använts inget annat än TOTALT RÄTTSHAVERI.

Identifiering måste ske DIREKT mellan tjänsteleverantör och kund. Man kan använda lösenord eller hårdvara (chipkort) eller program som sköter om identifieringen. Det finns många oliak sätt.

Säkerheten är ett jätteområde men i princip kan den skötas via brandmurar UTANFÖR NÄTET. I ett lokalnät där det kopplas upp till Internet OCH i abonnenternas anslutning. Med hjälp av moderna routrar kan man t.o.m. skapa en kodad TUNNEL genom nätet.

I ingen händelse blir det bättre att sätta in en massa begränsningar inne i nätet (även om det ibland kan vara nödvändigt men det skulel här föra för långt).

Så bägge saker måste skötas UTANFÖR NÄTET.

Identifiering måste ske DIREKT mellan tjänsteleverantör och kund. Man kan använda lösenord eller hårdvara (chipkort) eller program som sköter om identifieringen.

Det är därför som jag lagt ner tid på medborgarcertificaten. Jag trodde att det var förträfflig idé just för att sköta om identifieringen. Och det är de också - men bara delvis. Chipkort är en verkligt avancerad lösning för att åstadkomma den säkerhet som du säger att är livsviktig också för det dumma nätet. Men tyvärr är medborgarcertifikaten långt ifrån det som behövs för att vara de chipkort du efterlyser.

Det som staten har beställt av Fujitsu Services Oy fungerar bara i www-centrerade applikationer och jag vill inte starta upp en browser bara för att få en säkrad förbindelse. Så alla dessa 30 miljoner euro räckte inte till för att ge oss programmerare ett lätt användbart gränssnitt för att skapa en säker förbindelse genom att kalla på några enkla C-rutiner. För att nå den funktionalitet vi behöver måste vi göra om en stor del av det arbete som Fujitsu Services Oy redan gjort för www-omgivningen.

Om man vill få reda på sånthär så måste man göra ett omfattande detektivarbete, fråga rätt fråga av rätt person när man råkar sitta bredvid honom på flygplanet -- eller så skall man råka vara tjomis som fd. studiekamrat och medlem på TF. Helst skall man dessutom råka ha en son som planerar liknande, men slutna säkerhetslösningar för banker. Konkurrenterna vet ofta var den ledande produktens svaga punkterna ligger.

Det löjliga med allt detta är inte att man måste ta på sig allt detta besvär och råka ha denna otroliga tur. Det är ju sånt som man upplevt tidigare i arbeten som tangerat den kommersiella sektorn. Det fåniga är faktiskt att denna angelägenhet berör en offentlig inhandlad teknologi där man uppenbarligen gjort alla de grundläggande fel som överhuvudtaget går att göra.

Denna utflykt i ett delvis främmande ämne var närmast avsedd att utgöra ett varnande exempel för det som kan hända om staten också vid uppbyggnad av stomnätet nästlar sig in i underliga affärsbetingade förfaranden utan att förstå affärspartens tillvägagångssätt.

Enklast vore det om man kunde konstatera att det öppna nätet är en gång för alla ingen god affär. Det är en livsviktig infrastruktur som vi behöver. Investeringer betalar sig snabbast om man inte ger affärsmännen överhanden utan blickar på helheten. Det är inte abonnenternas inbetalningar utan tjänsterna som snabbt kommar att balansera upp den dyra investeringen.

Det är dethär scenariot man måste undvika.
http://www.oxid.it/downloads/apr-intro.swf

Gå till sista bilden i serien, den om Campus Network. Se hur man i ett nätverk mellan olika byggnader avlyssnar (sniffar) en annan PC.

Det klassiska exemplet i vårt forum är väl det då jag avlyssnade bankens krypterade trafik. ( http://bredband.selfip.net/forum/filebox/dokument/ nordeacrack.pdf )

Tyvärr hjälper inga brandväggar eller antivirusprogram. Hålen som utnyttjas är standard egenskaper inbyggda i standard protokoll. Den som korrigerar felet ändrar på standarden! Smått pinsamt alltså. Men såhär är det.

Denna Man-In-The-Middle gjort med ARP-poisoning går inte att åtgärda genom att rätta felet.

Man måste hitta på andra intelligenta lösningar - och då är ju nätet inte dumt längre.

Man kan "avlyssna" trafik men med ordentlig kryptering kan man inte dekoda den. Inte utan Pentagons resurser.

Tyvärr så är bankerna ganska långt ifrån ordentlig kryptering.

Senast då jag pratade med banken var budskapet "Vi har nog råd att betala dem som blir bestulna. Sannolikheten att nån blir det är väldigt liten." ( Tage Danielssons sannolikhetslära alltså )

Men pengarna som försvann - i vems fickor ligger de i så fall? Och vad finansieras den vägen?

Säkerheten i nätet ÄR viktig. Så motarbeta du bara VLAN lösningar Nisse. Men kom med alternativa lösningar i stället. Ordentlig kryptering är ett sätt. Har ni det så i ert nät?