IPv4 dochází i v Latinské Americe, IPv6 roste

V pondělí proběhla v latinskoamerickém regionu další obří alokace IPv4 adres. Brazilská společnosti Tim Celular S.A. dostala více než 1 milión adres a LACNIC se tak stal třetím registrem, který má méně než jeden blok /8 neboli méně než 16 miliónů adres. Znalci poměrů vědí, že toto znamenalo v Asii-Pacifiku i Evropě spuštění speciálního módu alokace, při které se přestaly adresy přiřazovat podle potřeby, ale každý člen příslušného registru měl nárok pouze na jeden blok adres velikosti /22 (1024). Jinými slovy bylo ohlášeno, že IPv4 adresy byly vyčerpány. Tato situace ale zatím v Latinské Americe nenastává. Vzhledem k tomu, že region je z pohledu alokací přeci jenom o poznání menší, byla zde zvolena jiná hranice. LACNIC začne odmítat velké alokace až při prolomení hranice /9 neboli mírně nad 8 miliónů volných adres. Nicméně IPv4 alokace v Latinské Americe nabraly neuvěřitelné tempo, takže se obávám, že i tato hranice bude prolomena velmi brzy.

Celý článek

Pomůže usnesení vlády k většímu rozšíření IPv6 a DNSSEC?

Na konci loňského roku přijala vláda Usnesení č. 982, které zavádí povinnost zabezpečení domén držených státní správou prostřednictvím technologie DNSSEC. Usnesení vlády se zaměřuje rovněž na podporu IPv6, kdy ve srovnání s usnesením z roku 2009 rozšiřuje okruh subjektů, které musí u svých elektronických služeb podporovat IPv6. Ve svém dnešním příspěvku bych se rád na nové usnesení vlády podíval trošku podrobněji a zároveň přidal pár statistických dat jako příspěvek do diskuze na téma, zda má cenu mít usnesení vlády, které nemá žádné sankce a zda takovýto dokument není jen „prázdným plácnutím do vody“.

IPv6: současný stav

Povinnost podporovat na svých serverech IPv6 byla vládou schválena již v červnu 2009 s tím, že jednotlivé orgány státní správy (tj. ministerstva a další centrální úřady jako např. Český statistický úřad či Energetický regulační úřad) měly za povinnost do 31. prosince 2010 zabezpečit přístup ke svým stránkám jak prostřednictvím protokolu IPv4, tak protokolu IPv6. Stejná povinnost pak byla doporučena pro kraje včetně hl. města Prahy.

Pokud se podíváme na aktuální výsledky podpory IPv6 u jednotlivých orgánů veřejné správy (viz graf), zjistíme, že podpora nové verze internetového protokolu je u státní správy mnohem vyšší, než ve zbytku domény .cz, přičemž vidíme znatelný rozdíl mezi státní správou, která je přímo dotčena usnesením vlády č. 727 z roku 2009, a samosprávou. U měst a obcí pak stojí za povšimnutí téměř čtyřnásobný růst podpory IPv6 na straně webových serverů, který je částečně způsoben rovněž zahrnutím podpory této technologie jako jednoho z kritérií soutěže Zlatý erb, kterou jsme se rozhodli jako technologický partner podpořit rovněž v letošním roce.

Graf_IPv6

IPv6: co přináší nové usnesení vlády

V rámci nového usnesení vlády přijatého na sklonku loňského roku považuji osobně za nejdůležitější nový bod 1. d), tj. „zahrnout požadavek na podporu IPv6 do všech relevantních výběrových řízení, a to jak na dodávky služeb, tak zboží (hardware), i jako nedílnou součást požadavků na všechny nově podpořené projekty a jejich součásti financované ze strukturálních fondů v tomto i nadcházejícím finančním období. Oproti původnímu usnesení vlády se povinnost podpory IPv6 rozšiřuje rovněž o příjemce prostředků ze strukturálních fondů. Zde je nutné si uvědomit, že v rámci tzv. publicity patří webové prezentace mezi nejoblíbenější nástroje, přičemž často se nejedná o samostatný web, ale jen o začlenění jedné (či několika málo stránek) do stávajícího firemního webu. V této souvislosti stojí za připomenutí, že z TOP100 firem podporuje na webových serverech IPv6 pouze 5 % největších podniků.

V případě zájmu se mocným nástrojem na prosazení IPv6 může pak stát požadavek jejího povinného zahrnutí do všech relevantních výběrových řízení. Je ale nutné si uvědomit, že pod pojmem „relevantní výběrová řízení“ se již nemusí skrývat jen tendery související se zajištěním webové prezentace, ale rovněž s nákupem datových služeb (včetně mobilních), což podporuje rovněž Český telekomunikační úřad, který 20. prosince 2013 zveřejnil Obecná pravidla řízení datového provozu. Podle těchto pravidel se pak službou přístupu k síti internet rozumí:

veřejně dostupná služba elektronických komunikací, která umožňuje využívání obsahu, aplikací a služeb sítě internet, a tím propojení prakticky všech koncových bodů připojených k síti internet (a to protokolem IPv4 a IPv6), bez ohledu na použitou technologii sítě.

Zde bude zajímavé sledovat, zde se povinnost zajištění konektivity jak přes IPv4 či IPv6 nestane další součástí boje v rámci elektronické aukce komunikační infrastruktury veřejné správy, tzv. KIVS.

DNSSEC

Pokud se podíváme na aktuální statistiky, zjistíme, že průměr počtu zabezpečených domén .cz dosahuje 37,1%, zatímco u státní správy se to o 10 procentních bodů méně – konkrétně jen čtyři ministerstva ze čtrnácti a tři ze třinácti ústředních orgánů státní správy.

Situace je tak zde zcela opačná, než u IPv6 a z tohoto pohledu je usnesení vlády vítaným nástrojem, který – dle zkušeností s IPv6 – sice zřejmě nikdy nezaručí 100% přijetí této technologie, ale může výrazně urychlit její zavedení. V rámci podpory rozšíření obou technologií se pak Akademie CZ.NIC rozhodla všem účastníkům z veřejné správy nabídnout speciální akci: dva kurzy (IPv6 a DNSSEC) za cenu jednoho.

Hřejivé na srdci je pak i to, že u DNSSEC se Česká republika stala první zemí min. v Evropě, která nařídila veřejné správě zabezpečení svých domén, což byl možná i jeden z důvodů, proč nedávné Usnesení vlády označil renomovaný publicista Jiří Peterka jako jednu z 10 nejvýznamnějších událostí českého eGovernmentu za rok 2013.

Jiří Průša

Nejvýznamnější firmy IPv6 přehlížejí!

O tom, že Česká republika patří při zavádění IPv6 minimálně mezi evropské lídry, jsme psali již několikrát; aktuální statistiky vytvářené na základě 500 nejnavštěvovanějších stránek poskytuje např. IPv6 Observatory.

V rámci evropského projektu GEN6 pak CZ.NIC monitoruje připravenost veřejné správy na IPv6. Zde dosavadní výsledky opět potvrzují vedoucí postavení České republiky. Na žádost Ministerstva průmyslu a obchodu jsme nyní náš průzkum rozšířili o analýzu TOP100 firem (dle obratu). Výsledky „tahounů“ českého hospodářství celkem překvapivě ukázaly, že IPv6 nepatří ve velkých firmách mezi favority a na svých webových serverech ji podporuje jen 5 společností ze 100. Jak ukazuje následující tabulka, o poznání lepší není situace ani u jmenných a poštovních serverů.

Webové servery DNS servery E-mailové servery
Veřejná správa 28,4 % 50,4 % 10,4 %
TOP100 firem 5,0 % 44,0 % 5,0 %
Průměr za doménu .cz 19,2 % 54,7 % 16,2 %

Výše uvedené srovnání ukazuje, že při zavádění IPv6 jsou nejvýznamnější firmy jak pod celostátním průměrem, tak daleko za veřejnou správou. Zklamáním je, že IPv6 příliš nepodporují na svých stránkách ani technologické firmy jako T-Mobile, Vodafone či Česká pošta, která se snaží působit jako státní integrátor v oblasti IT. Jedinou společností z TOP100, která podporuje IPv6 jak na svých webových, tak jmenných a poštovních serverech je pak trochu překvapivě Sokolovská uhelná.

Jiří Průša

Laboratoře CZ.NIC odhalily závažnou zranitelnost linuxového jádra

V rámci vývoje a testování softwaru pro nový router CZ.NICu Turris jsme objevili nebezpečnou chybu v linuxovém jádře, která umožňuje vzdáleně způsobit kernel panic; pád jádra lze vyvolat posláním vhodně zformátovaných IPv6 fragmentů. Podle našeho názoru má chyba potenciál na DoS útoky.

Ve skutečnosti se jedná o dvě chyby v různých částech Linuxového jádra, které mohou nastat při zpracování IPv6 datagramu s nekorektně vyplněným fragmentation headerem. První chyba je známá od května 2011 pod označením CVE-2011-1927 a byla opravena ve verzi 2.6.38.9 linuxového jádra. Nyní došlo k pravděpodobné regresi této chyby v aktuálních jádrech počínaje verzí 3.11 a v mailinglistu vývojářů síťových driverů a TCP/IP stacku už je k dispozici patch, který tuto chybu opravuje. Oprava bude pravděpodobně začleněna do nejbližší budoucí udržovací verze jádra.

Druhá chyba, která dosud nebyla známá, se netýká samotného sestavování fragmentů k předání vyšší vrstvě síťového modelu, ale týká se Netfilteru – Linuxového firewallu, který sestavuje IP packety (IPv4 i IPv6) jen virtuálně, aby o nich mohl rozhodnout podle pravidel v INPUT resp. FORWARD chainech v tabulce filter. Problém, na který jsme v Laboratořích CZ.NIC narazili je, že překrývající se fragmenty můžou vyvolat kernel panic za podmínky, že dochází k pokusu o virtuální sestavení datagramu a to pravděpodobně z velmi podobných důvodů, jako v případě první chyby.

Chybu jsme reportovali v mailinglistu a spolupracujeme na vytvoření patche s vývojáři Linuxového TCP/IP stacku a Netfilteru.

Tomáš Hlaváček

Za rok přibylo v ČR více než 100 tisíc uživatelů IPv6

V nedávném příspěvku na téma DNSSEC jsem se odkazoval na prezentaci Geoffa Hustona na RIPE 67. Dovolím si tento úspěšný koncept využít ještě jednou a krátce okomentovat jeho další prezentaci, tentokrát o IPv6. Geoff se pokusil ověřit závěr Google, že podíl IPv6 se za poslední rok zdvojnásobil. Ačkoliv se v absolutních číslech liší, což je poněkud paradoxní, protože opět využívá reklamní síť právě od Googlu, v hrubých rysech se jeho závěry shodují. Dle jeho měření stoupl podíl IPv6 z 0,45 % na 1,29 %, což je již výrazný nárůst.

Poměrně překvapivé je, že hlavním motorem tohoto růstu je Evropa a to konkrétně Evropa severní a Evropa východní (do které jsme řazeni i my). Osobně bych spíše očekával, že nejvyšší nárůst bude v regionu Asie-Pacifik, protože ten byl nedostatkem IPv4 adres zasažen jako první. Leč neděje se tak.

Podle metodiky Geoffa přibylo v České republice za rok více než 100 tisíc uživatelů IPv6, což je vzhledem k naší velikosti poměrně slušné číslo. Celosvětově jsme v penetraci IPv6 na desátém místě a podle všeho se o to nejvíce zasloužili tito tři poskytovatelé Internetu: CESNET, který zvýšil podíl IPv6 uživatelů z 20 % na 27 %, Telefónica CR (0 % -> 3 %) a Internethome (0 % -> 2 %). Veliká gratulace a doufejme, že obdobná statistika příští rok dopadne ještě lépe.

Ondřej Filip

Nový Katalog routerů podruhé

Od spuštění nové verze Katalogu routerů uběhl měsíc. Nezaháleli jsme a pilně jsme pracovali na vylepšeních, na která nás upozornili především uživatelé. Zde je několik nových informací k tomu, co nyní najdete na www.katalogrouteru.cz.

Kromě několika kosmetických úprav a doplnění funkcionalit, jako je filtrování a řazení položek ve výpisech, je hlavní změnou doplnění testů a to o měření spotřeby. Laboratoř jsme vybavili zařízením na zjištění těchto parametrů, takže teď budou moci zájemci najít tyto údaje u všech nově testovaných zařízení.

Počet modelů v databázi roste. Slíbili jsme, že testování bude probíhat průběžně a zatím se nám to daří plnit – aktuálně je tedy možné zjistit výsledky už více než 30 routerů; další budou přibývat. A na závěr jedna informace pro ty z vás, kteří jste volali po testování Mikrotiků. Už jsou v plánu :).

Martin Sojka

Distribuovaná kybernetická bezpečnost

Na konferenci IT 13 jsme mimo jiné představili nový projekt zaměřený na vývoj bezpečného domácího routeru. Ten je součástí většího projektu zaměřeného na zlepšení bezpečnosti v českém síťovém prostředí a to pomocí aktivního monitoringu a analýzy síťového provozu. Zmíněný domácí router bude v rámci tohoto projektu plnit roli síťové sondy a zároveň aktivního prvku v ochraně koncových uživatelů.

V tomto krátkém článku si představíme především hlavní důvody vzniku tohoto projektu a jeho cíle.

Motivace

Každý, kdo provozuje nějaký veřejně dostupný server a podívá se občas do jeho logů, ví, že internet není klidné a bezpečné místo. I bez jakéhokoli zásahu uživatele se s počítačem připojeným k internetu neustále pokouší spojit různé cizí stroje a to málo kdy s dobrými úmysly (vizte např. výsledky z našeho honeypotu).

Vzhledem k tomu, že většina domácích sítí je připojená k síti svého poskytovatele přes jeden přístupový bod, kterým je domácí router, a často používá NAT, který schovává celou domácí síť za jedinou IP adresu, vedou první útoky v podstatě vždy právě na domácí router. Ten je tedy ideálním místem jak pro detekci pokusů o neoprávněný přístup do sítě, tak pro aktivní ochranu před nimi. Pokud by si navíc routery byly schopny mezi sebou informace o detekovaných útocích vyměňovat, mohlo by to vést ke zvýšení účinnosti ochrany jednotlivých strojů a zároveň detekci velkých útočníků.

Protože se v našem sdružení dlouhodobě věnujeme problematice internetové bezpečnosti, rozhodli jsme se vytvořit systém, který by s pomocí sítě domácích routerů dokázal monitorovat podezřelý síťový provoz a reagovat na zjištěné bezpečnostní hrozby úpravou pravidel pro přístup do sítě. Takto získané výsledky by pak byly k dispozici i pro ochranu dalších uživatelů Internetu.

Distribuovaný adaptivní firewall

Systém, který jsem nastínil v minulém odstavci, interně nazýváme „distribuovaný adaptivní firewall“ a je v této chvíli ve fázi aktivního vývoje. Součástí systému je klientská část, která po aktivaci na domácím routeru monitoruje nevyžádané pokusy o přístup do sítě zastavené firewallem a také provádí analýzu protékajících dat. V těch se pokouší odhalit anomálie, které by mohly být příznakem úspěšného útoku nebo již existující nákazy. Výsledky obou zmíněných částí klientského systému jsou nahrávány na druhou část systému, kterou je centrální server, kde jsou data dále zpracovávána a porovnávána s výsledky z ostatních sond.

Pokud je systémem některá část provozu vyhodnocena jako anomální a odborná obsluha systému vyhodnotí danou anomálii jako potenciální útok, připraví pro ni nové pravidlo pro firewall. To je potom formou aktualizace nahráno zpět na všechna zařízení zapojená do sběru dat.

Pro případy, kdy je třeba o dané anomálii získat doplňující informace, je součástí systému také nástroj na spouštění specializovaných „mikrosond“, které je možné formou modulů nahrávat na sledovaná zařízení. Ty pak umožní zaměřit analýzu na konkrétní typ provozu a získat detailnější data o daném jevu.

Výsledkem výše popsaných opatření je systém, v rámci kterého budou moci uživatelé chránit své sítě i sítě ostatních účastníků před vnějšími útoky a který se bude postupně „učit“ reagovat na nové hrozby. Navíc bude možné takto získaná data použít i pro ochranu další uživatelů Internetu, kteří nejsou do projektu přímo zapojeni, a také pro další analýzy získaných informací.

Závěr

V tomto článku jsme si představili nový projekt sdružení CZ.NIC zaměřený na distribuovanou kybernetickou bezpečnost. V blízké budoucnosti si v samostatném příspěvku ukážeme hlavního aktéra tohoto projektu, kterým je otevřený domácí router vyvíjený pod interním označením „CZ.NIC router“.

Bedřich Košata

Nová podoba Katalogu routerů

Loni spuštěný projekt Katalog routerů, mapující podporu IPv6 u aktuálně prodávaných routerů, se letos dočkal aktualizace. Kromě nové várky testovaných modelů nastaly změny i v samotném pojetí stránek – rozhodli jsme se zaměřit na běžnějšího uživatele a koncipovat stránky tak, aby dokázaly posloužit jako rádce pro nákup domácího zařízení. Tedy strohé přehledy parametrů doplňují slovní hodnotící komentáře a modely jsou ohodnoceny informativním skóre, které umožňuje řazení modelů podle pořadí do kategorií Výhodná koupě, Špičkové routery a IPv6 za dobrou cenu.

V naší laboratoři máme k testování připraveno téměř 30 modelů, od miniaturních zařízení s jedním ethernetovým portem až po luxusní routery s integrovaným pevným diskem. Testováním zatím prošla jen část z nich, další recenze budou publikovány průběžně, jak se je podaří dokončit. Oproti předchozímu kolu testujeme veškerá zařízení s ethernetovým WAN portem, takže už není nutná deklarovaná podpora IPv6. Zůstává zaměření na domácí routery, neboť tam vidíme největší potenciál v zavádění IPv6.

Katalog_routeru

Novinkou v metodice testování jsou testy rychlostí routingu jak pro IPv4, tak i IPv6, rychlost downloadu a uploadu pomocí FTP, sdílení ve Windows (samba) a případně stahování z webového rozhraní.

Na rozdíl od dosavadní praxe hromadného testování velkého množství zařízení budou nové modely do Katalogu přibývat postupně, tak jak je budou distributoři uvádět na náš trh.

Jako marketingovou podporu projektu se chystáme nabídnout distributorům možnost opatřovat zařízení, která projdou testováním a splní uspokojivě daná kritéria, speciální pečetí.

Martin Sojka

Náš IPv6 den se blíží, tentokrát i s netradiční nabídkou

Zítra je 6. 6.! Přesně před rokem jsme v tento den pořádali konferenci ke Světovému dni IPv6 (IPv6 Day), od něhož řada renomovaných společností začala trvale využívat IPv6. Cílem akce bylo upozornit na blížící se konec protokolu IPv4, připomenout si důležitost přechodu na IPv6 a ukázat, jak jsme na tom v České republice s jeho zaváděním . Záznamy jednotlivých vystoupení včetně zajímavé panelové diskuse, v níž se představili zástupci firem Telefónica, T-Mobile nebo UPC najdete na stránkách naší konference. Tolik historie. Pojďme do současnosti.

Letos IPv6 den na mezinárodní úrovni nebude. Není asi také třeba, vždyť ti, kteří za touto zajímavou a účinnou akcí stáli, mají prakticky splněno. My jsme ale co se osvěty v oblasti IPv6 týká vytrvalí, což snad potvrdila i nedávná konferenci Internet a Technologie (13), kde téma přechodu a zhodnocení stavu (po roce) bylo opět jedno z hlavních témat. Na zítřek tedy něco k IPv6 chystáme, to hlavní si necháme až na 6. 6. Dnes prozradíme jen něco na úvod.

Součástí vzdělávacího centra Akademie CZ.NIC je také kurz o IPv6, který patří k jednomu z nejnavštěvovanějších. Proto jsme na zítřek, kdy se mimochodem jeden jeho běh koná, připravili speciální akci. Kdo se v průběhu čtvrtka (6. 6.) zaregistruje na libovolný kurz z nabídky Akademie CZ.NIC, dostane při příchodu populární a jedinečnou knihu IPv6 od „IPv6 guru“ Pavla Satrapy zdarma a navíc s autorovým podpisem.

Pavel_Satrapa_IPv6

Co tomu říkáte? Přihlásit samozřejmě můžete nejen sebe, ale i některého z kolegů, přátel, známých, rodinných příslušníků :). Děkujeme za váš zájem o toto téma. Budeme se mu věnovat i nadále a nejdříve už zítra – 6. 6.

Igor Kytka