Praktický konec IPv4 adres v Asii!

Včera klesly zásoby volných IPv4 adres v regionu Asie-Pacific pod jeden blok /8. Velikost takového bloku je 2563, což je přibližně 16,8 miliónu adres. Díky této události se aktivuje článek 9.10 alokačních pravidel APNIC. Tento článek říká, že od této chvíle je možné žádat pouze o alokace minimální velikosti, což je v současné době /22 nebo-li 1024 adres, a zároveň, že každý člen může žádat z tohoto bloku pouze jednou.

Toto opatření bude mít celkem dramatický dopad. Jen pro ilustraci, v letošním březnu bylo provedeno 268 alokací a pouze 31 z nich mělo onu minimální velikost 1024. Průměrná velikost alokace byla 153 tisíc adres! Jinými slovy: dosavadní alokační pravidla přestala platit, APNIC začal odmítat legitimní žádosti o alokace, adresy prakticky došly.

Dalším zajímavým aspektem je, že těchto malých alokací lze provést až 16384 (2563/1024). To je ale násobně více, než je v současnosti členů APNICu, což znamená, že pro nové menší projekty naopak adresy budou ještě poměrně dlouho.

Zároveň to tak trochu naznačuje cenu IPv4 adres. Pro získání 1024 adres musíte nejprve založit společnost. Poté zažádat o členství v APNIC, což stojí jednorázově 4175 AUD, a pak platit ročně 3068 AUD. Pokud tedy odhlédnu od nákladů na založení společnosti, nákladů na vyplnění žádosti a podobně, první rok dáte za každou IP adresu minimálně 7AUD (dnešní kurz 1 AUD = 17,661 Kč), a to jste pořád omezeni velikostí bloku. V tomto ohledu je nedávný avizovaný nákup adres Microsoftem poměrně logickým krokem.

Asie je tak prvním regionem, který se začíná prakticky potýkat s nedostatkem IP adres. Protože i když počítadlo spotřeby bude ukazovat, že v daném regionu ještě nějaké adresy zbývají, prakticky už není možné nastartovat projekty, které by vyžadovaly více adres. Bude nesmírně zajímavé sledovat, jak se tamní lidé s touto situací vypořádají, především proto, že nás Evropany čeká stejný osud ke konci tohoto roku. Politika RIPE se chová k poslednímu bloku téměř identicky, jen s tím malým rozdílem, že žadatel již musí vlastnit IPv6.

Ondřej Filip

BIND 10 – agilně vyvíjený modulární nameserver

V týdnu od 21. března se v Akademii CZ.NIC uskutečnil BIND 10 Developer Meeting a já, spolu s mými kolegy z Laboratoří, jsem měl možnost podívat se, jak se vyvíjí nová verze téhle nejpoužívanější implementace DNS.

BIND 10 navenek přináší úplně nový design a množství funkcí, samotná koncepce vývoje však také doznala změn. Jak to vyjádřil programový manažer BIND 10 Shane Kerr, BIND 9 vznikal stylem „top-down“ a jeho vývoj byl více řízen někde „shora“. U nové verze se vývojáři snaží více o styl „bottom-up“ a méně o centralizované řízení. Projevem toho prvního je, že se jeho tým snaží o silnou modulárnost nového BINDu, kdy jednotlivé moduly (v praxi reprezentované samostatně běžícími procesy) jsou do velké míry nezávislé. Projevem toho druhého je zase určitá rovnost mezi všemi členy týmu (Shana nevyjímaje). Ta může být na jedné straně přínosná; každý má možnost „dostat se ke slovu“ a pokusit se prosadit svůj nápad či přístup. Na straně druhé to může vést k nekonečným diskusím, ve kterých trochu chybí nějaká autorita, která by ve věci „vynesla soud“ či aspoň nasměrovala diskusi produktivnějším směrem.

Vedení vývojářského týmu je v případě BIND 10 nepochybně náročné. Tvoří ho totiž patnáct lidí z celého světa – USA, Číny, Japonska, Velké Británie, Nizozemska i od nás z Čech. Tito lidé se osobně scházejí čtyřikrát do roka, aby tváří v tvář prodiskutovali jak plán dalšího vývoje, tak některé implementační detaily.


Část vývojářského týmu BIND 10 na setkání v Praze. Druhý zleva stojí Shane Kerr, třetí je Michal Vaner z Laboratoří CZ.NIC.

Byl jsem celkem překvapen jejich disciplínou a pracovním nasazením, když během těch pěti dnů, které tady strávili, věnovali práci devět nebo i více hodin denně. Na druhou stranu, jak už to tak bývá, když několik lidí s různých koutů světa a s různými názory a přístupy o něčem diskutuje, občas se nechá unést k již zmíněným dlouhým a ne zcela produktivním výměnám názorů.

Pravděpodobně největší výzvou je rozdělování a plánování úkolů a koordinace týmu; osobních setkání je málo a většina práce se tak musí plánovat do detailů a dopředu a to na období několika týdnů nebo i měsíců. Tým BIND 10 zvolil pro práci agilní metodu Scrum upravenou pro využití v mezinárodním týmu, který se nemůže setkávat každý den, což ostatně Scrum vyžaduje. Základem jsou za prvé face-to-face meetingy jako ten, kterého jsme se zúčastnili, a za druhé konferenční hovory probíhající téměř každý den. Podle Shanových slov zaberou minimálně 15 procent času celého týmu, pro vývoj jsou ale velice přínosné. Metodu Scrum využívá vývojářský tým teprve od minulého roku a její zavedení je prý skutečně znát.

Dalším výrazným prvkem provázejícím vývoj BIND 10 je testování. Tady musím mezinárodní tým vývojářů pochválit, protože testování věnuje skutečně mnoho času a prostředků. Skutečně bylo vidět, že „test-driven development“ není jen prázdná fráze. Až doposud se věnovali hlavně unit-testům, ale v plánu mají také testování na vyšší úrovni, která by měla ověřovat, jak se bude celý systém chovat v různých situacích. Cílem je zvýšit spolehlivost a důvěru uživatelů v tento systém; k tomuto cíli se podle mě vydali tou správnou cestou. Doufejme, že to dotáhnou do konce a BIND bude mít šanci zbavit se své nepříliš lichotivé přezdívky – Buggy Internet Name Daemon.

Sledovat práci vývojářů BIND 10, poznat lidi, kteří za ním stojí, a vidět, jak vzniká nová verze nejpoužívanějšího DNS softwaru bylo nevšední zkušeností. I když u nás v Laboratořích zatím žádný mezinárodní projekt nevedeme, v mnohém se jistě můžeme z jejich práce poučit či inspirovat.

Ľuboš Slovák

DNSSEC v poslední nezabezpečené poddoméně .ARPA

Před necelým rokem na konferenci RIPE 60 v Praze prezentoval Dave Knight z ICANN časový plán pro zabezpečení všech poddomén v doméně ARPA. Doména nejvyšší úrovně ARPA (Address and Routing Parameter Area) slouží k uchovávání informací pro fungování infrastruktury internetu. Nejznámější poddomény jsou IN-ADDR.ARPA, IP6.ARPA (pro mapování internetových adres na doménová jména – reverzní DNS) a E164.ARPA (pro technologii ENUM). Seznam všech poddomén v ARPA, spolu s odkazem na dokumenty ospravedlňující jejich existenci je k dispozici na stránkách organizace IANA.

K zabezpečení většiny poddomén došlo podle zmíněného harmonogramu již na podzim minulého roku. Nejdéle vzdorovala asi nejpoužívanější doména IN-ADDR.ARPA, pravděpodobně také proto, že na přelomu roku došlo k převodu správy této domény z amerického regionálního registru ARIN přímo na centrální organizaci ICANN. Tento převod byl dokončen letos v únoru a posledním krokem bylo publikování DS záznamů IN-ADDR.ARPA v nadřazené doméně ARPA, které proběhlo v polovině března. Dokončení tohoto procesu spolu s již komentovaným zavedením DNSSEC v doméně .com jsou jistě největší události na poli DNSSEC za poslední měsíc a jen ukazují vzrůstající zájem o tuto technologii i v okolním světě.

Jaromír Talíř

Máte iPhone a chcete .cz doménu?

Minulý týden na mne ze seznamu aplikací pro iPhone na iTunes Store „vykoukla“ novinka od Active24. Je zdarma, jmenuje se Active24 a slouží k registraci domén. To jsem si samozřejmě nemohl nechat ujít – ne, že bych dopodrobna sledoval všechny možnosti registrací domén našich registrátorů, takže možná něco podobného již existuje, ale na aplikaci, která mi umožní zaregistrovat doménu .cz přes mobilní telefon jsem zatím nenarazil.

Takže staženo a pojďme se na to podívat. Začátek výborný – předdefinována koncovka .cz, ověření existence, přehledný ceník. Objednáno, doména v košíku. Aplikace mi umožní vytvořit si nového uživatele nebo se jednoduše přihlásit pod tím, kterého už mám (pokud ho mám) vytvořeného, objednávka pak pokračuje klasickou cestou. Odeslání mailu s výzvou k platbě, atd. Za to atd. už jsem se nepustil (doménu jsem nezaplatil) takže úplně netuším, jak si systém Active24 poradí například s tím, že jeho aplikace nekontroluje, zda jsem vyplnil ID držitele. Předpokládám ale, že v takovém případě za držitele prohlásí prostě toho, kdo doménu objednal a pokud nemá přiřazený handle, tak mu ho vytvoří. Mě osobně se to úplně nelíbí (mohlo mě to na nevyplněné ID aspoň upozornit) ale pro jiné uživatele je to možná plusem – nikdo je neotravuje zbytečnostmi, které za ně může udělat někdo jiný ;-). Co mi přece jen vadilo trochu víc je další objednávka – pokud se totiž pustím do objednávání další domény po odeslání té předchozí, aplikace mi nabízí okna ve stavu, ve kterém jsem je opustil – nemohu tedy v sekci „Hledat“ rovnou zadat další doménu, ale musím se přes tlačítko zpět dostat k výběru, podobně je tomu i v ostatních sekcích. Tady by měli vývojáři A24 ještě přiložit ruku k dílu.

Celkově ale – alespoň pro mne – příjemná záležitost, kterou bych celkem v klidu v „nouzových situacích“ použil. Vždyť kdo z nás ještě neměl alespoň jednou, někdy třeba v sobotu večer v restauraci s přáteli pocit, že si nutně musí zaregistrovat tu báječnou doménu, která ho právě napadla :-D. Kdybych měl hodnotit obligátními hvězdičkami, jak je u těchto aplikací zvykem, řekl bych – až půjde přihlásit se přes mojeID a vychytáte pár drobností, ode mne
za 5* :-).

Martin Peterka

Přečetli jsme za vás – nález ÚS ve věci tzv. data retention

Minulý týden vydal ÚS nález ve věci uchovávání provozních a lokalizačních údajů (tzv. data retention). Pokusím se pro vás pětadvacet stránek textu shrnout: ÚS nálezem ruší ustanovení § 97 odst. 3 a 4 zákona č. 127/2005 Sb., o elektronických komunikacích a vyhlášku č. 485/2005 Sb., o rozsahu uchovávaných údajů, formě a způsobu jejich předávání.

A argumentace je moc hezká a v podstatě reflektuje výtky, které na napadenou úpravu směřovaly od počátku: úprava byla přijata v souvislosti s bojem vůči nejzávažnější kriminalitě, ale zákon umožňoval uchovávání a poskytování bez rozlišení závažnosti trestného činu, který je vyšetřován. Jako v mnoha případech, i tady šli národní legislativci nad rámec požadavků Evropské unie (poznámka autorky: což však není specifikum pouze ČR – stejný argument se objevil i v Německu), protože právě Směrnice 2006/24/ES výslovně uvádí, že uchovávané údaje mají být dostupné pro účely vyšetřování, odhalování a stíhání závažných (poznámka autorky: podle českého trestního zákoníku se trestné činy dělí na přečiny a zločiny, rozhodující je míra zavinění – úmysl nebo nedbalost, a horní hranice trestu odnětí svobody; zvlášť závažné trestné činy jsou trestné činy spáchané úmyslně, s horní hranicí trestu odnětí svobody nejméně 10 let) trestných činů. Tuzemská úprava žádný takový limit neobsahovala, navíc ani nestanovila podmínky uchovávání údajů, jejich použití, záruky proti zneužití a případné sankce. Pro oprávněné orgány, které ostatně nebyly úpravou ani vymezeny, tedy bylo vyžádání provozních a lokalizačních údajů velmi pohodlné usnadnění práce. A protože obecně je státní správa spíše pohodlná instituce, pro kterou je snadnější přinutit jiného k aktivitě než jí vyvinout samostatně, mohlo se vesele předávat i v jednoduchých případech, kde by např. neměl šanci projít odposlech.

Napadená právní úprava tedy umožňovala masivní zásah do základních práv a svobod jednotlivců, aniž by byla určitá a jasná a byl jasně a přesně vymezen její účel. Údaje byly shromažďovány plošně a preventivně, bez předchozího podezření. Navzdory tomu, že uchováván není obsah zpráv, přesto, jak uvádí ÚS, bylo možné v kombinaci údajů o uživatelích, datech, místech a formách telekomunikačních spojení, jsou-li sledovány v delším časovém úseku, sestavit detailní informace o společenské nebo politické příslušnosti, osobních zálibách, sklonech, slabostech jednotlivých osob a s vysokou mírou pravděpodobnosti předvídat její aktivity v budoucnosti. Stát se tak stával pověstným „Velkým bratrem“, který je všudypřítomný, a, jak uvedl německý soud, ústavní práva na soukromí, právo svobodné volby a svobodu projevu přestávají prakticky existovat.

Kromě rozhodnutí, že úprava není v souladu s ústavněprávními limity, protože porušuje požadavky plynoucí z principu právního požadavku a koliduje s požadavky na omezení práva na soukromí, ÚS vyjádřil pochybnost nad samotnou nezbytností a přiměřeností plošného a preventivního uchovávání provozních a lokalizačních údajů. Na statistikách objasněnosti kriminality se totiž přijetí napadené právní úpravy nijak pozitivně neprojevilo.

V souvislosti s výše uvedeným ÚS rovněž doporučil úpravu příslušných ustanovení trestního řádu a neodpustil si rýpnutí do navrhovatele (poznámka autorky: poslanci PSP ČR, zastoupení Markem Bendou (ODS)), který má v současnosti v PS většinu a mohl zákon změnit standardní cestou. Na rozdíl od německého Spolkového ústavního soudu však nepřikázal všechna uchovávaná data bezodkladně smazat. Operátoři zatím zůstávají zdrženliví, ostatně nález ještě nebyl vyhlášen ve Sbírce zákonů, tudíž dosud není vykonatelný, nicméně i bez výslovného rozhodnutí by pak měli dosud shromážděné údaje smazat a orgány, které si údaje vyžádaly v rámci své činnosti, je již nepoužít.

Zuzana Durajová

Poslední alokační dostihy

Když jsem ve svém příspěvku o lednových alokacích ohlašoval rekord v éře po zavedení CIDR, nečekal jsem, že budu tak rychle ohlašovat rekord nový. Březnové alokace nejenom že předehnaly ty lednové, ale se spotřebou cca 48 miliónů se stal březen rekordním měsícem všech dob! Je zjevné, že hráči především na asijském trhu se snaží „urvat“ na poslední chvíli, co se dá. Závratnou rychlost alokací poslední doby nejlépe ilustruje následující graf.

Měsíční rychlosti IPv4 alokací

A dá se předpokládat, že podobný rekord už překonán nebude, Ptáte se proč? Důvod je poměrně jednoduchý: z těch 48 miliónů totiž připadlo neuvěřitelných 41 miliónů na region Asie-Pacific. A registru pro tento region – APNIC – už zbývá na duben pouze cca 32 miliónů adres. Jinými slovy, pokud se nějak nezblázní ostatní regiony, tento rekord už není jak překonat. Druhým neblahým důsledkem je i to, že v regionu Asie-Pacific dojdou tento měsíc zcela IPv4 adresy. Známé počítadlo ukazuje dnes na 20. duben.

Pro dokreslení situace mi dovolte jeden obligátní graf. Pořadí zemí vede již tradičně Čína se spotřebou téměř 22 miliónů, to mimochodem dříve bývala silnější spotřeba za celý svět. Druhé je Japonsko s 5,2 milióny a třetí příčku obsadila Indie s 3,7 miliony.

Breznove alokace dle jednotlivych zemi

Naopak v IPv6 alokacích došlo k mírnému zpomalení. Bylo alokováno 242 prefixů, což je o hodně méně než v únoru, ale i tak jde o slušné tempo i s ohledem na to, že IPv6 prefix by měl běžnému poskytovateli vystačit na vždy.

V tomto měsíci tedy dojde k události, které se každý poskytovatel obává. První regionální Internetový registr začne odmítat žádosti o IPv4 z důvodu nedostatku adres. Tím se Internet dostane do další fáze; bude zajímavé sledovat, jak ji zvládne.

Ondřej Filip

.com podepsána DNSSEC!

V poslední době se s oznámeními o zavedení DNSSEC do domén nejvyšší úrovně doslova roztrhl pytel. Proto jsme o většině z nich informovali především na našem Twitteru. Tentokrát bych rád zmínil jednu přímo zde na našem blogu. Včera byla totiž podepsána nejpopulárnější doména nejvyšší úrovně na světě, tedy doména .com. Její správce, společnost VeriSign, eviduje více než 90 milionů domén s touto koncovkou.

Při této příležitost si nemohu odpustit zmínku o tom, jak jsme na tom s DNSSECem my. Krátká rekapitulace: DNSSEC jsme do domény .CZ zavedli na podzim roku 2008. Byli jsme teprve pátou země na světě, která tuto technologii začala pro svou ochranu využívat. K dnešnímu dni je v našem registru 119 773 podepsaných domén, což nás stále staví na první místo před všechny ostatní doménové registry. Je to samozřejmě především zásluhou našich registrátorů, kteří DNSSEC aktivně nabízejí, někteří z nich jako automatickou součást registrace domény. Dnešní novinkou na naší straně je rozšíření našich doménových statistik o počty podepsaných domén u jednotlivých registrátorů.

Podpis domény .com je rozhodně velkou událostí. A už teď zde mohu oznámit, že nás v blízké době čeká zavedení DNSSECu do další velké domény nejvyšší úrovně. Smím sice více než jen naznačovat, nechci vás ale ochudit o to překvapení.

Ondřej Filip