Je to již poměrně dlouho, co jsem naposledy publikoval příspěvek o ubývání IPv4 adres. Dovolte mi tedy krátce okomentovat, co se za ten více než půlrok přihodilo. Asi hlavní zprávou je, že zpřísněná politka RIPE NCC způsobila, že konec IPv4 adres v Evropě byl přeci jen trochu oddálen. To je z pohledu evropana rozhodně dobře, máme tak přeci jen ještě pár chvil na přípravu. Trochu hůře to asi vidí naši asijští kolegové, kteří se už s nedostatkem adres nějaký ten čas potýkají a byli by jistě rádi, kdyby s nimi ostatní regiony sdílely osud. Aktuálně to vypadá, ze RIPE NCC rozdá poslední adresy v polovině prázdnin. Tedy raději připomínám, že ve skutečnosti má ještě něco v zásobě, tedy přímo celý jeden blok /8. Každý člen bude mít z tohoto bloku možnost alokovat dodatečných 1024 adres (/22). Bude si o ně moct požádat, pokud již bude mít IPv6 adresy a prokáže se potřebu. Každopádně to už mnoho firem nespasí.
Od října loňského roku byla největší alokace ze severoamerického regionu. V únoru dostal T-Mobile USA na dnešní poměry gigantické množství 8388608 adres (/9). Druhá největší alokace byla neméně zajímavá. Nešlo totiž o běžné „poslání“ IP adres LIRu, ale IANA vyčlenila 4194304 adres (/10) pro NAT444. Na pomyslném třetím až čtvrtém místě jsou dvě brazilské alokace velikosti 2097152 (/11).
Největší evropské alokace byly pro dva mobilní operátory, a to pro v poslední době hodně sledovaný francouzský Free a pro německý T-Mobile. Obě měly velikost 1048576 (/12)
Mimochodem i dvě největší české alokace od loňského října byly pro mobilní operátory. Šlo o mobilní divizi Telefoniky CR a T-Mobile CR a bylo to 32768 (/17) respektive 16384 (/18) adres. To naznačuje, že Češi rozhodně v současných IPv4 alokacích prim nehrají.
Každopádně nejvíce adres spotřebovali Evropané a to přibližně 30 miliónů, což bylo zhruba tolik, co zbytek světa dohromady. Druhý byl severoamerický ARIN a zajímavé je, že již z hlediska IPv4 vyčerpaný APNIC rozdal více adres než v tomto ohledu blahobytný Afrinic. Graf ilustrující celou situace je k vidění zde; pozn.: u ARINu došlo k přestrukturování bloku 47/8, který původně patřil zkrachovalému Nortelu Canada. Operace v tomto bloku jsem proto pominul).
Jak je vidět, Evropané pokračují v rychlém alokačním tempu. Pojďme se podívat, co jim RIPE NCC může ještě nabídnout. Pod jeho správu spadají tyto /8 bloky: 2, 5, 25, 31, 37, 46, 51, 62, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93, 94, 95, 109, 176, 178, 185, 193, 194, 195, 212, 213, 217. Téměř všechny uvedené bloky jsou zaplněné z více než 99 %. Jedinou výjimku tvoří bloky 176 (96%), 91 (91%), 5 (23%) a 185 (0%). Drtivá většina nově přidělených adres tedy začíná na 5, občas se podaří nějakou kratší alokaci obsloužit z nějakého jiného bloku. Ze čtvrtiny zaplněný blok 5 je tedy prakticky to poslední, co RIPE NCC zbývá. Blok 185 je již poslední přidělený a začne se využívat až bude vše ostatní alokováno, a to za již zmíněných speciálních pravidel. Teď již, myslím, i největší pesimista musí uznat, že situace je vážná a je potřeba něco dělat.
Doufejme, že situaci pomůže svétové spuštění IPv6 plánované na dnešní den, které se uskuteční i u nás v České republice.
Ondřej Filip
Bariéra pro nového operátora
Pokud se alespoň trochu zajímáte o telekomunikace či ekonomiku, rozhodně vás nemohla minout zpráva o tom, že se v České republice chystá velká aukce volných kmitočtů. Organizátor aukce, Český telekomunikační úřad se nechal slyšet, že očekává, vstup nového operátora na český trh. Velká část komentářů se věnuje tomu, zda-li jsou nastavené podmínky skutečně motivující pro nového hráče a jaké obtíže bude muset případný nový operátor překonávat. Dovolte mi, abych i já přidal jeden aspekt, který zatím alespoň dle mého názoru nikde nebyl diskutován.
Předběžné harmonogramy aukce naznačují, že proces skončí nejdříve na přelomu tohoto roku. Od tohoto okamžiku se případný vítěz pustí do budování nové infrastruktury. A také to bude již několik měsíců poté, co v Evropě dojdou IPv4 adresy. Pokud tedy půjde o nového hráče, který se pokusí dobýt nějaký zajímavý tržní podíl stávající mobilní trojce, dá se předpokládat, že jednou z hlavních služeb bude rychlé připojení na Internet, koneckonců aktuální dokumenty k aukci pokrytí vysokorychlostním Internetem přímo vyžadují. Bude tedy lákat především technicky zdatné uživatele, pro které je stálé internetové připojení jejich chytrého telefonu nutností.
Pro sta tisíce takovýchto uživatelů, ale bude muset nový operátor sehnat IPv4 adresy. Trochu se obávám, že v této době by pouze s IPv6 ještě nevystačil. Ale kde je v roce 2013 vzít, když evropský registr RIPE NCC už bude přidělovat maximálně 1024 adres na operátora, což by nestačilo ani pro Carrier Grade NAT. Samozřejmě můžete namítnout, že zcela jistě nepůjde o úplně novou společnost, která doposud o telekomunikacích ani neslyšela. Takže se dá předpokládat, že již nějaké IP adresy dostala, ale i tak si neumím představit, že by registr RIPE NCC přidělil v posledních pár letech komukoliv větší rozsah IP adres aniž by věděl, že je dotyčný skutečně nespotřebuje v aktuálních projektech.
Jinými slovy nový operátor rozhodně nebude mít na růžích ustláno. Krom problémů s dražením kmitočtů, budování infrastruktury a sháněním nových klientů bude muset i řešit, kde vzít IPv4 adresy. Patrně bude muset provést nákup od někoho, kdo je ještě má. A kolik stojí jedna IPv4 adresa nám nedávno naznačila společnost Microsoft, která kupovala IPv4 adresy po 11 USD. Pokud by se protokol IPv6 rozvíjel rychleji, podobné problémy by nový operátor nemusel řešit. S trochou nadsázky se tak dá říct, že podpora nového protokolu IPv6 je vlastně podporou kompetitivnějšího telekomunikačního trhu.
Pokud vás tyto a související otázky zajímají, dovolte, aby vás pozval na konference IPv6 Day, kterou pořádáme 6.6. v Praze v Národní technické knihovně. Registrace je sice již uzavřena, ale nezoufejte, konference bude on-line vysílána po Internetu na http://www.nic.cz/ipv6day/, takže o možnost sledovat zajímavé přednášky a diskuse nepřijdete.
Ondřej Filip
Přes 170 DNS serverů v České republice bylo zneužito při DDOS útoku
Minulý týden přijal náš tým CSIRT.CZ zprávu od Lotyšského týmu CERT.LV o masivním DDOS útoku na cíl v jejich zemi.
Při tomto útoku bylo využito již delší dobu známého útoku DNS Amplification attack. Při tomto útoku posílá útočník DNS dotazy se zdrojovou IP adresou nastavenou na adresu oběti útoku. Záměrně se přitom ptá na informace, které způsobí, že odpověď serveru DNS bude mnohonásobně větší, než původní dotaz. Tyto informace však nebudou posílány na adresu útočníka, ale na IP adresu oběti, která si o ně ve skutečnosti vůbec nežádala. Takto může útočník s relativně pomalým připojením zahltit internetové připojení i daleko rychleji připojené oběti. Tento útok umožňují špatně nakonfigurované rekurzivní DNS servery, které jsou nakonfigurovány jako otevřené. To znamená, že takovýto DNS server poskytuje služby nejen uživatelům ve své síti, ale v podstatě celému světu.
Schéma útoku DNS Amplification attack, zdroj: Lupa.cz.
Zajímavé je, že se na tomto útoku podílelo i více jak 170 DNS serverů z České republiky, a to i přes to, že CZ.NIC již dříve vydal varování před tímto způsobem konfigurace DNS serverů. My jsme samozřejmě informace poskytnuté Lotyšským týmem zpracovali a předali je dál jednotlivým správcům nevhodně nakonfigurovaných DNS, kteří, jak doufáme, již touto dobou dělají příslušná protiopatření. Obáváme se však, že se může jednat jen o špičku ledovce a takto špatně nakonfigurovaných DNS serverů může být v naší zemi daleko více. Z tohoto důvodu plánujeme provést analýzu současného stavu, abychom měli jasnější představu o rozměrech tohoto rizika.
Pavel Bašta
AKTUÁLNÍ UPOZORNĚNÍ – problémy s Datovými schránkami a Datovka
Dnes dopoledne jsme obdrželi několik dotazů uživatelů Datovky na chybové hlášení „Nebylo možné stáhnout informaci o účtu – musí být specifikován typ nebo identifikátor schránky“. Bohužel se nejedná o chybu na straně našeho programu, ale o potvrzenou chybu zavedenou dnes do systému datových schránek.
Na nápravě chyby se podle provozovatele systému ISDS právě pracuje a měla by být odstraněna během několika hodin.
Bedřich Košata
Změny v Pravidlech registrace přinášejí i možnost skrýt další údaje
Dokument s názvem Pravidla registrace čítá celých devět stránek hustého textu, a tak si dovolím ve stručnosti představit novinky, které k 1. červnu vstupují v platnost.
Jednou z drobných změn je úprava přílohy č. 1, podle které může nově být v kontaktu poštovní adresa označena jako neveřejný údaj bez ohledu na to, jakou daný subjekt zastává v centrálním registru pozici (držitel, administrativní kontakt, technický kontakt atp.). Adresa tedy nebude zobrazována ve veřejné části vyhledávání v databázi whois. Jediným údajem, který v centrálním registru nadále zůstane vždy viditelný, je jméno a příjmení. CZ.NIC touto změnou vychází vstříc zákonným požadavkům na ochranu osobních údajů.
Zákon na ochranu osobních údajů se však týká pouze fyzických osob – údaje o právnických osobách lze nalézt v řadě veřejně dostupných registrů. Také v případě centrálního registru budou možností skrýt poštovní adresu disponovat pouze fyzické osoby. Aby nedocházelo k nežádoucímu „zosobňování“ právnických osob účelovým označováním za fyzické osoby, vyplňováním názvu a obchodních firem do položky jméno a příjmení nebo vynecháním některých údajů, bude moci údaje skrýt pouze subjekt, který prošel tzv. validací – jednoduchým a bezplatným ověřením údajů prostřednictvím služby mojeID. U takto ověřených subjektů bude CZ.NIC bezpečně vědět, že kontakt patří fyzické osobě, která bude mít možnost skrýt svou poštovní adresu a navíc získá možnost využívat výhod validovaného kontaktu služby mojeID na řadě serverů, kam se lze s využitím mojeID přihlásit.
K ochraně osobních údajů zbývá dodat, že ačkoliv subjekt díky validaci službou mojeID získá větší míru kontroly nad tím, komu a v jakém rozsahu své údaje sděluje, CZ.NIC je může v souladu se zákonem na základě požadavku předat orgánům činným v trestném řízení. O kontaktní údaje může požádat i veřejnost, ovšem pouze pokud řádně vyplní zvláštní žádost, ve které doloží účel, kvůli kterému o informace žádá. Pro každý kontakt bude nutné podat samostatnou žádost, a to výhradně písemně s ověřeným podpisem žadatele. Tento relativně složitý administrativní postup má zabránit zneužívání tohoto institutu. CZ.NIC si rovněž vyhrazuje právo poskytnutí údajů odmítnout, pokud dojde k závěru, že požadavek je neoprávněný a žadatel pro svou žádost neprokázal legitimní důvod.
Další změna ve správě údajů v registru se týká zahraničních držitelů. Od června budou subjekty, jejichž bydliště, sídlo či kontaktní adresa se nacházejí mimo území EU/EHP, povinny na výzvu sdružení CZ.NIC nebo příslušného státního orgánu (soudu, správního orgánu, ale také rozhodce či rozhodčího soudu) poskytnout doručovací adresu na území EU/EHP nebo označit svého zástupce s doručovací adresou na tomto území. Problémy s doručováním do exotických lokalit jsou dlouhodobou záležitostí a přispívají ke značnému ztížení možnosti domáhat se svých práv u soudu. Pro větší účinnost komunikace a usnadnění doručování písemností na poštovní adresu uvedenou v registru byla zrovnoprávněna komunikace prostřednictvím elektronické pošty, tedy na e-mail uvedený v registru. Výzva ke sdělení bude odeslána elektronicky a pokud CZ.NIC neobdrží požadované informace ve lhůtě 15 dnů od jejího odeslání, bude mít právo danou doménu zrušit. Je důležité dodat, že tento postup bude uplatněn zejména v případě, kdy se CZ.NIC buď dozví důvěryhodné informace o nesprávnosti údajů v registrům nebo bude o sdělení údajů požádán příslušným orgánem.
Zuzana Průchová Durajová