Cisco объявила о выпуске новой серии коммутаторов под общим названием Catalyst 1000. Новинки относятся к категории так называемых «концевых» коммутаторов, к которым подключаются непосредственно устройства пользователей. Для этого используются порты 1GbE, а для подключения к сети более высокого уровня ‒ порты SFP/SFP+.

В новой серии представлены модели с 8, 16, 24 и 48 портами 1GbE. Управление в них осуществляется с помощью веб-интерфейса, но поддерживается и традиционный режим командной строки IOS CLI, который более привычен сетевым администраторам, работающим с аппаратурой Cisco. Кроме того, в версии smart-manged возможен доступ к настройкам коммутатора даже с помощью Bluetooth.

Коммутаторы Catalyst 1000 способны работать при более высокой температуре (50 градусов против 45 у Catalyst 2960-L), а максимальная мощность PoE повышена до 740 Ватт. Все модели имеют грозозащиту и защиту от всплесков напряжения в сети. В некоторых вариантах предусмотрена полностью бесшумная работа, система охлаждения у таких версий пассивная. В старших моделях может быть 4 порта SFP+ 10GbE, младшие обходятся двумя или четырьмя портами SFP 1GbE.

Легенды о «закладках» и бэкдорах в компьютерном аппаратном обеспечении ходят давно. Далеко не все из них имеют под собой хоть какие-то основания, хотя в ряде случаев различные механизмы удалённого управления и имеют уязвимости, которые вполне может использовать опытный злоумышленник.

В 2018 году прогремел скандал, когда Bloomberg заявила, что на платах Supermicro может быть крошечный чип, не предусмотренный спецификациями. Эта «модификация» якобы затронула около 30 компаний. Впрочем, все «пострадавшие» хором заявляли, что никаких лишних чипов в их оборудовании нет, а Supermicro даже провела независимое исследование. Правительство США, тем не менее, считает, что подобные атаки могут быть делом рук китайских военных.

Компания Sepio Systems, чьей специализацией является безопасность аппаратных решений, ранее уже подтвердила, что подобные аппаратные закладки возможны, и специалисты компании встречаются с ними не в первый раз. В частности, описывается случай с сервером той же Supermicro, у которого вредоносный чип был внедрён в дорожки, ведущие к порту Ethernet. Обнаружить его активность удалось по нетипичному сетевому трафику, но до конца разобраться в том, какие данные передаёт или обрабатывает устройство, специалистам не удалось.

Аппаратные закладки: миф или реальность?

Так сколько же стоит подобная аппаратная модификация и может ли она быть проведена не спецслужбами и прочими организациями с практически неограниченными ресурсами? Энтузиасты тщательно проверили все возможные способы и доказали, что такая операция возможна. Исследователь Монта Элкинс (Monta Elkins) обещал предоставить подробное описание данного типа атаки на конференции CS3sthlm, которая пройдет с 21 по 24 октября в Стокгольме.

Элкинс утверждает, что ничего сверхсложного в ней нет и каких-то особых навыков не требуется — любой достаточно мотивированный злоумышленник, будь то шпион, хакер или представитель криминальных кругов, легко может снабдить нужный ему сервер или сетевое устройство соответствующей модификацией. Опытному хакеру, который дружит не только с ПО, но и с паяльником, такая операция обойдётся всего в $200, включая затраты на оборудование.

Digispark Attiny 85: донор чипов-закладок. Верхняя микросхема ‒ контроллер

При этом $150 будет стоить фен для пайки, ещё $40 уйдёт на микроскоп, а сами чипы, используемые для взлома, могут стоить всего $2 за штуку. Автору будущего доклада удалось модифицировать брандмауэр Cisco таким образом, что, по его мнению, взлом не заметят большинство системных администраторов.

В качестве чипа Элкинс выбрал 8-бит микроконтроллер Atmel ATtiny85 с платы Digispark Arduino. Эта микросхема не так мала, как «рисовое зёрнышко» из статьи Bloomberg, но её размеры в корпусе SOIC-8 составляют всего 4 × 5 мм. При этом контроллер, работающий на частоте 16,5 МГц, представляет собой довольно мощное устройство. 

Исследователь выбрал место на системной плате Cisco ASA 5505, не требующее дополнительных проводов и установил туда данный чип, предварительно снабдив его соответствующей прошивкой. Элкинс утверждает, что такая модификация возможна и для других устройств Cisco. Компания в свою очередь заявила: «Если будет обнаружена новая информация, о которой должны знать наши клиенты, мы сообщим её по обычным каналам связи».

Взломанная системная плата Cisco ASA 5505. «Лишний» чип в левом нижнем углу

Как видно на снимке, сходу обнаружить лишнюю микросхему не так-то просто, хотя в примере использовалась достаточно небольшая и не слишком сложная системная плата. Если произвести пайку аккуратно, то чип создаёт впечатление установленного на заводе и совершенно не привлекает внимания. Элкинс утверждает, что возможна куда более скрытная установка, а также использование более мелких микросхем. ATtiny85 он выбрал просто из-за легкости программирования.

Контроллер припаян к выводам последовательного порта. После включения устройства чип  дожидается загрузки ОС брандмауэра, а затем имитирует действия человека. Он инициирует процедуру восстановления пароля, после чего создаёт новую учётную запись администратора и, таким образом, получает доступ ко всем настройкам устройства.  Дальнейшее зависит от намерений взломщика: возможно получение полного удалённого доступа к системе, отключение всех настроек безопасности, доступ к сетевым логам и прочим данным.

TinyFPGA AX2: стоимость $19, габариты ПЛИС Lattice  XO2-1200 — 2,5 × 2,5 миллиметра

Другой исследователь, Траммел Хадсон (Trammell Hudson), также подтвердил возможность аппаратного взлома. Он воспроизвёл ситуацию с платой Supermicro и подключился к контроллеру BMC, отвечающему, в числе прочего, и за удалённый доступ к системе. В качестве «зловреда» Хадсон выбрал крошечную ПЛИС площадью всего 2,5 мм², заменив ей один из резисторов на системной плате. Вероятнее всего, он использовал микросхему Lattice XO2-1200.

Таким образом, на сегодняшний день возможность аппаратного взлома различной IT-техники полностью доказана и подтверждена. Самое опасное в такой возможности то, что воспользоваться ей может практически любой достаточно опытный энтузиаст, даже не располагающий серьёзными денежными средствами. В ближайшие годы компаниям, отвечающим за кибербезопасность, предстоит очень много работы. Даже обычным опытным пользователям можно рекомендовать тщательный осмотр своих устройств на предмет наличия «лишних» чипов.

При упоминании 5G все обычно сразу вспоминают про фантастические скорости передачи данных. Чуть реже — про низкие задержки. Ещё реже о том, что 5G — это не только про скорость и задержки, но и про увеличение плотности покрытия и Интернет вещей. И уж совсем не вспоминают про то, что за всем этим стоит не только новая радиочасть, но и глобальная трансформация всей инфраструктуры передачи, хранения и обработки данных.

Внедрение 5G даст новые возможности пользователям, бизнесу и обществу в целом. Однако не стоит забывать, что небрежный подход к развёртыванию сетей пятого поколения может принести множество проблем, которые лучше решать на этапе проектирования и построения, а не пост-фактум.

Одна из таких сложностей — безопасность, ведь с лавинообразным ростом передаваемых данных, который прогнозируется в сетях 5G, существенно увеличится и площадь для потенциальных кибератак, а следовательно, и их опасность В рамках конференции GSMA Mobile 360 Eurasia были представлены доклады на эту и другие темы, связанные с будущим 5G.

Итак, если говорить о безопасности данных, для 5G будет характерна резко возросшая площадь поверхности атаки. На одном конце цепочки подключений нас ждут миллиарды устройств Интернета вещей, которые в силу малой мощности вряд ли будут способны реализовывать дополнительные механизмы защиты, которые имеются у тех же смартфонов. На другом — облачные дата-центры, где множество физических машин делят между собой провайдеры услуг.

Но и между этими точками тоже всё меняется. Сети становятся все сложнее, и в мире 5G их станет просто невозможно конфигурировать вручную. Именно этот тренд на автоматизацию делает как никогда актуальными программно-определяемыеми сети (SDN) и сети, работающие на основе намерений (IBN). В сетях 5G часть мощностей облака выносится поближе к клиентам и превращается в пограничные (edge) узлы обработки данных, а базовые станции перестают быть единоличной собственностью операторов. Вся инфраструктура становится общей, распределённой и динамически переконфигурируемой. Проще говоря, удобной для использования, но сложной в управлении.

Комплексная инфраструктура требует и комплексного подхода к её защите. По мнению Ericsson, есть две стороны, которые должны участвовать в этом процессе: производитель телеком-оборудования и провайдер услуг. Для последнего основой создания защищённой системы должен быть набор доверенного оборудования и ПО для него, а для первых — общие безопасные стандарты, что особенно важно в условиях использования аппаратных решений многих производителей.

Собственно говоря, от мультивендорных решений сейчас никуда уже не деться. Евросоюз даже настоятельно рекомендует строить 5G-сети так, чтобы не быть полностью зависимым от одного поставщика, потому что в случае велик риск атаки, косвенно намекая на Huawei, но прямо не называя эту компанию. С другой стороны, в реальности зачастую всё равно радиочасть, опорная и транзитные сети могут и не принадлежать одной компании, и бысть построены на оборудовании разных вендоров. Впрочем, хайп вокруг китайской компании, во всяком случае, изрядно повлиял на её ассоциацию с 5G вообще, что не слишком радует других производителей.

В России, например, Tele2 вне БС практически полностью обслуживается оборудованием Cisco. Билайн, равно как и МТС, также использует его. В частности, пилотная зона на ВДНХ, организованная МТС для демонстрации одного из возможных сценариев использования будущих сетей — умных светофоров — для радиочасти использовала продукцию Huawei. Однако пакетное ядро, что не менее важно для быстрого 5G-подключения, сделано Cisco.

В целом, как было отмечено в рамках мероприятия, Cisco предлагает наиболее полный спектр решений для 5G — в той части, которая не касается радио. В частности, речь о построении сетей между базовой станцией и приложениями интернет. К ним относятся решения для построения сетей 5G X-Haul, транспортных и магистральных сетей с поддержкой сетевого слайсинга на основе технологии Segment Routing.

Было отмечено также облачное решение Cisco Ultra Packet Core для пакетного ядра 5G, которое поддерживает подавляющее большинство сетевых функций в соответствии с архитектурой 3GPP. Также немало говорилось о решениях Cisco, обеспечивающих сквозную безопасность 5G, что особенно важно в приложениях массированного интернета вещей, а также о решениях для построения облачных инфраструктур.

Следующий уровень — создание продуктов с необходимыми функциями безопасности на базе тех самых общих стандартов и, что не менее важно, их корректное внедрение в инфраструктуру. Последний пункт, вообще говоря, подразумевает не только и не столько обучение сотрудников корректной настройке оборудования, но и контроль над их работой в целом. В докладе Ernst & Young, сделанным в рамках той же сессии (да, она вышла довольно странной), говорилось, что, в частности, более половины утечек персональных данных происходит по вине сотрудников организаций, откуда эти данные и утекли.

Наконец, финальным, верхним слоем в обоих стеках является доверие к бизнесу в целом в случае провайдера услуг и менеджмент безопасности в случае поставщика оборудования. И вот до такого уровня безопасности ещё далеко. Сейчас всё ещё используются «статические» политики, то есть прописываемые вручную человеком. Следующий уровень — динамические применение политик безопасности и мониторинг — всё ещё не везде внедрён.

Когнитивные системы, то есть такие, которые будут автоматически выявлять угрозы с помощью машинного обучения и ИИ. А итогом должно стать появление полностью автоматизированной, интеллектуальной системы, которая сама в режиме реального времени не только выявляла бы бреши, но и закрывала их. Причём в масштабе всей страны или даже в рамках группы стран.

Пока до этого далеко. Тем не менее, компании активно движутся в этом направлении. Та же Cisco в рамках сессии сделала особый упор на то, что в портфолио компании уже есть масса продуктов, которые позволяют обеспечить комплексную защиту сетей 5G. В основном это стартапы и компании со стажем, купленные в течение нескольких последних лет, решения которых плавно интегрируются одно в другое: шлюзы безопасности и фильтрации, системы анализа трафика, защита от DDoS, системы сегментирования и изоляции, управление политиками безопасности и вполне традиционные средства борьба со зловредами.

Тем же самым занимаются и другие компании. Вопрос лишь в том, будут ли они готовы прозрачно интегрировать свои решения с другими вендорами и появится ли в ближайшем будущем единый стандарт безопасности для 5G.

Компания Pensando Systems, основанная бывшими руководителями Cisco, на сегодня мало кому известна. Однако, как оказалось, теперь у них есть сетевой драйвер в основной ветке ядра Linux 5.4. Он называется IONIC и предназначен для неких адаптеров Ethernet.

Технические аспекты на данный момент не уточняются.

pixabay.com

Также неясно, чем он отличается от существующих, какие имеет преимущества и недостатки. Этого нельзя прочитать и на сайте pensando.io, поскольку на данный момент он не запущен, хотя адрес уже фигурирует в корпоративных документах и используется для e-mail. Даже логотипа компании пока нет, хотя заявка на торговую марку давно одобрена. 

Сообщается лишь о том, что его добавил Шеннон Нельсон (Shannon Nelson), который много лет участвует в разработке Linux. Сначала он проработал почти три десятилетия в Intel, затем присоединился к Oracle в качестве инженера по ядру системы. А с прошлого года он упоминается как разработчик сетевых драйверов Linux в Pensando. 

Столь звёздный состав стартапа лишь интригует. Любопытно, что в прошлом году компания массово нанимала разработчиков, причём подавляющее большинство позиций касалось программирования, а вовсе не работы над ASIC и другим железом. А в заявке на регистрацию торговой марки в качестве области деятельности перечислены довольно общие термины: интегральные схемы; ПО для сети, безопасности, балансировки, телеметрии, аналитики и хранилищ в компьютерных сетях.   

Cisco предприняла ещё одну попытку приобрести крупную IT-компанию непосредственно перед её выходом на биржу. На этот раз у американского производителя сетевого оборудования ниего не получилось.

Как сообщает агентство Bloomberg со ссылкой на людей, знакомых с ситуацией, Cisco вела переговоры с разработчиком инструментов для контроля работы облачных приложений DataDog.

Однако стартап отказался от предложения и предпочёл совершить IPO, поскольку уверен, что, будучи публичной компанией, он может стоить больше, чем предлагала Cisco при обсуждении сделки.

По словам собеседников издания, Cisco готова была заплатить «существенно больше» $7 млрд — показателя рыночной капитализации, на который рассчитывает DataDog после выхода на биржу.

Переговоры о продаже прекращены, и DataDog намерена начать торги своими акциями в четверг, 19 сентября. Для IPO компания выбрала площадку Nasdaq и тикер DDOG. DataDog собирается провести IPO по цене $27 на акцию (изначально речь шла о диапазоне $19–22) и привлечь $648 млн.

У Cisco однажды получилось купить компанию за несколько дней до её листинга. Это произошло в 2017 году, когда было объявлено о приобретении разработчика корпоративного софта AppDynamics за $3,7 млрд.

Предельная волоконно-оптическая скорость передачи данных на одной длине волны сделает ощутимый скачок в этом месяце. Компания Acacia Communications, принадлежащая теперь Cisco, заявила, что покажет решение, способное передавать данные со скоростью 1,2 терабита в секунду.

Демонстрация состоится во время Европейской конференции по оптической связи (ECOC) 22–26 сентября в Дублине. Стоит сказать, что лишь в марте этого года впервые была достигнута скорость в 800 Гбит/с на одной длине волны во время конференции OFC в Сан-Диего, США.

Взрывной рост облачных сервисов и, соответственно, объёмов трафика между центрами обработки данных (ЦОД) поставил перед операторами сетей насущную задачу масштабного расширения пропускной способности: и для передачи информации внутри ЦОД, и для отправки данных по подводным кабелям протяжённостью свыше 10 тысяч километров.

Долгое время ЦОД использовали 100-Гбит оптоволоконные соединения. Сейчас операторы начали переводить трафик в нагруженных ЦОД на 400-гигабитные каналы. Одновременно операторы стремятся к увеличению пропускной способности трансокеанских подводных кабелей, последний из которых — Pacific Light Cable — способен передавать данные на суммарной скорости до 144 Тбит/с между Гонконгом и Лос-Анджелесом.

Важнейшими элементами этих систем передачи информации выступают модули, которые преобразовывают цифровые сигналы между электронной и оптической формами. Они требуют как фотонных схем преобразования, так и мощных процессоров цифровой обработки сигналов (DSP), которые точно фильтруют шумы, накапливаемые при высокоскоростной передаче.

В 2017 году Acacia представила свой 1,2-Tбит чип Pico DSP. Он был интегрирован в модуль, который занимался обработкой пары сигналов по 600 Гбит/с, передаваемых на двух отдельных длинах волн. Новый модуль Acacia AC1200-SC2 объединяет тот же чип DSP со встроенными фотонными схемами, чтобы генерировать сигнал 1200 Гбит/с для передачи уже по одному каналу.

По словам вице-президента Acacia по маркетингу Тома Уильямса (Tom Williams), модуль может работать на высоких скоростях при сравнительно коротких дистанциях, но способен передавать данные на сниженной скорости при больших расстояниях. Такие модули способны обрабатывать три канала 400 GbE из ЦОД, используя мощную, но чувствительную к шумам схему модуляции 64QAM.

Для передачи на большие расстояния модуль может переключиться на более надёжные схемы модуляции. Например, 16QAM может передавать два сигнала 400 GbE, а наиболее надёжная схема DPSK (Differential Phase Shift Key) способна транслировать один сигнал 400 GbE на 10 тысяч километров. Модуль также можно использовать для устаревших стандартов, которые всё ещё широко используются (50, 75 или 100 ГГц).

Господин Уильямс также отметил, что ключом к дальнейшим усовершенствованиям является использование кремниевой фотоники. Её преимущество — в интеграции кремния с оптическими материалами для объединения оптических и электронных функций. Это область, которая относительно недавно стала достаточно развитой для широкого применения.

Признала это и IEEE, которая объявила, что ежегодная премия в области фотоники будет вручена Крису Доерру (Chris Doerr), вице-президенту Acacia по развитию.

Аналитики полагают, что распространение сетей 800 и 1200 Гбит/с существенно понизит стоимость передачи данных по оптоволокну, а  операторы смогут впервые передавать 400-гигабитные сигналы по длинным и сверхдлинным маршрутам.

Производитель сетевого оборудования Cisco намерен отказываться от собственных дата-центров, где размещает свою IT-инфраструктуру, в пользу облачных сервисов. Тем самым американская корпорация проявляет свою заботу об экологии.

В разговоре с The Wall Street Journal IT-директор Cisco Жаклин Гишелаар (Jacqueline Guichelaar) сообщила, что технологические компании, такие как Cisco, должны всегда думать об оптимизации энергопотребления.

Гишелаар, заняв свою должность в феврале 2019 года, сделала заботу об экологии одной из приоритетных задач для Cisco. По её словам, в ближайшие пять лет компания сократит на 30 % количество своих ЦОДов и увеличит объём хранения данных в публичных облачных сервисах, вроде Amazon Web Services и Microsoft Azure. Компания уже пользуется такими решениями, но не уточняет, какими именно. Сейчас Cisco располагает 22 дата-центрами, находящимися в разных уголках планеты.

Проблему негативного влияния центров обработки данных на экологию поднимают давно. В Институте инженеров по электротехнике и радиоэлектронике (Institute of Electrical and Electronics Engineers, IEEE) подсчитали, что одному ЦОДу нужно столько энергии, сколько хватит 25 тыс. семей. А в Huawei прогнозируют, что к 2030 году на Интернет будет приходиться до 15 % потребляемого электричества в мире.

Производитель сетевого оборудования Cisco опубликовал отчетность за четвёртый квартал и весь 2019 финансовый год, закрытый 27 июля. Хотя продажи растут, проблемы у компании есть, и одна из них связана с китайским рынком.

В отчётном квартале продажи Cisco достигли $13,43 млрд, что на 4,5 % больше относительно аналогичного периода прошлого года. Чистая прибыль снизилась на 42 % — до $2,21 млрд. Доходы компании превысили ожидания Уолл-стрит.

За весь 2019 финансовый год Cisco заработала $51,9 млрд выручки, что на 7 % превосходит показатель годичной давности. Чистая прибыль подскочила со $110 млн до $11,62 млрд. Столь сильный скачок произошёл потому, что в прошлом году компания списала $10,4 млрд в связи с налоговой реформой в США.

После публикации финансового отчёта генеральный директор Cisco Чак Роббинс (Chuck Robbins) заявил, что китайские государственные компании отказываются покупать оборудование Cisco и предпочитают продукцию местных производителей. При этом неизвестно, как долго это будет длиться, отметил он.

По словам финансового директора Cisco Келли Крамер (Kelly Kramer), выручка компании в Китае в годовом исчислении сократилась на 25 %. Однако на китайский рынок приходится менее 3 % оборота Cisco.

«Хотя это небольшая часть нашего бизнеса, когда она падает, это создаёт проблемы. Мы наблюдали сильные результаты в других сферах бизнеса. Но в июле мы почувствовали небольшое изменение общей макроэкономической ситуации по сравнению с тем, что мы переживали в предыдущие месяцы», — заявил Роббинс.

Если раньше вы могли покупать и продавать бывшее в употреблении оборудование без особых проблем, новая интеллектуальная система лицензирования, внедрённая в большинство продуктов Cisco, делает это занятие крайне затруднительным.

Система Cisco Smart Licensing была введена ещё в 2014 году, но лишь в октябре прошлого года стала обязательной к использованию с выходом ОС IOS XE 16.9 для серий коммутаторов Cisco Catalyst 3650, 3850 и 9000.

Хотя Cisco утверждает, что Smart Licensing сделает процесс управления лицензиями на оборудование более простым и гибким, ресурс iFixit отмечает, что она также значительно ограничивает возможности владельца оборудования. 

До ввода Smart Licensing вы покупали аппаратное обеспечение вместе с лицензией на использование программного обеспечения и могли продать это оборудование вместе с ней. Сторонние компании могли бы помочь вам в обслуживании, даже если официальная поддержка продукта завершена в связи с окончанием его жизненного цикла.

Лицензирование Smart Licensing работает иначе. Компании могут в этом случае приобрести пул лицензий, которые распределяются между установленными устройствами. О работе устройств регулярно извещается Cisco, и если это не происходит, то через год после последнего сеанса связи устройство вернётся в ознакомительный (evaluation) режим.

Как утверждают критики этой модели лицензирования, Smart Licensing ограничивает возможности компаний по использованию аппаратного обеспечения, которое, как они думали, принадлежит им. Поскольку эти устройства теперь привязаны к учётной записи первоначального покупателя, нельзя просто так купить подержанный коммутатор и использовать его как обычно. 

Вместо этого вам придётся повторно приобрести и сертифицировать лицензию в Cisco, что может свести на нет всю экономию, полученную благодаря покупке подержанного оборудования.

Кстати, это может повлечь за собой юридические проблемы для Cisco, поскольку суды, как правило, выносят решения против компаний, которые запрещают продавать устройства после их приобретения. Тем не менее, как отметил один из пользователей в комментариях к публикации, Cisco предлагает компромиссное решение в виде промежуточного локального сервера лицензий.

Производитель сетевого оборудования Cisco согласился выплатить в пользу американского правительства штраф за продажу программного обеспечения с уязвимостями, о которых было известно компании.

В ноябре 2008 года сотрудник датской компании NetDesign (партнёр Cisco) Джеймс Гленн (James Glenn) предупредил компанию о недостатках в программе Cisco Video Surveillance Manager (VSM), предназначенной для камер видеонаблюдения. По словам Гленна, уязвимости в ПО позволяли злоумышленникам без особого труда проникать в компьютерные системы, в которых функционируют камеры с VSM, а затем получать полный контроль над сетью. Среди заказчиков VSM были гражданские и военные ведомства США. 

Вместо латания дыр в ПО Cisco, как утверждает Гленн, предпочла надавить на NetDesign, в результате чего он был уволен. Компания не устраняла уязвимость до 2012 года, а до 2015-го она не выпускала рекомендации для клиентов, которые пользовались устаревшими уязвимыми версиями ПО. 


В итоге суд западного округа Нью-Йорка постановил, что Cisco нарушила Закон о ложных притязаниях (False Claims Act), поскольку игнорировала предупреждения истца и продолжала заявлять о соответствии камер видеонаблюдения требованиям информационной безопасности.

Cisco согласилась урегулировать иск, заплатив $8,6 млн, в том числе $1,6 млн Джеймсу Гленну и его адвокатам. Остальную сумму получили госучреждения США, которые пользовались Cisco Video Surveillance Manager.