Přesně v den výročí konce druhé světové války došlo i v Internetu k poměrně zajímavé události. Poprvé ukázalo počítadlo konce volných IPv4 adres méně než jeden rok. V době psaní tohoto příspěvku (9. května 2010) ukazovalo přesně na svátek práce roku 2011. Pro úplnost podotýkám, že jde o volné IPv4 bloky nejvýše postaveného registru organizace IANA a po tomto datu budou ještě několik měsíců adresy u regionálních registrů (RIR) a pak i u jednotlivých lokálních registrů (LIR) neboli jednotlivých poskytovatelů Internetu. Jak k tomuto posunu došlo?
8. května 2010 přidělila IANA dva velké bloky 31.0.0.0/8 a 176.0.0.0/8, což je zhruba 34 miliónů IP adres, našemu Evropskému registru adres RIPE NCC. S těmito adresami se tedy v Evropě brzy setkáte. Jistě je možné namítnout, že přesun IP adres mezi IANA a RIRy je trochu virtuální záležitostí a mnohem podstatnější bude, kdy dojdou adresy právě v regionálních registrech, protože až pak nebudou moci alokovat IP čísla pro koncové držitele jejich podřízené LIRy.
Z tohoto pohledu jsou tedy zajímavé jiné události z prvního květnového týdne. Byly přiděleny dva bloky větší než jeden milión IP adres. První z nich je z regionu Asie-Pacific a směřoval ke společnosti CHTD, Chunghwa Telecom Co. na Taiwan. Šlo o mírně přes milión adres (přesně 2^20, 1.160.0.0/12). V této části planety nejsou větší alokace příliš překvapivé. O to zajímavější je úplně největší alokace prvního květnového týdne, při které šlo o cca dva milióny adres (2^21, 197.0.0.0/11). Tento blok byl přidělen Afrinicem společnosti Agence Tunisienne Internet. Vzhledem k tomu, že počet obyvatel Tuniska je zhruba srovnatelný s počtem obyvatel České republiky, jde o poměrně velkou alokaci. V Africe došlo k takto veliké alokaci zatím pouze jednou. V roce 2007 bylo přiděleno také cca dva milióny IP adres (41.0.0.0/11) společnosti Vodafone v Jihoafrické republice. A pro srovnání dle záznamů RIPE NCC došlo k největší alokaci u nás 17. října 2006. Tento den bylo alokováno cca půl miliónů (2^19 = /13) adres společnosti, která se tehdy jmenovala Český Telecom a.s.
Co říct na závěr: IPv4 dochází. Dochází rychle. Připravujte se na IPv6! A třeba vás přesvedčí následujcí agitační video.
Ondřej Filip
První tři dotIDN domény živé
Dnešní den je pro kořenovou zónu velice významný. Nejenom že došlo k dokončení falešného podepisování zóny, ale zároveň byly přidány tři IDN domény nejvyšší úrovně. Shodou okolností jsou všechny tři arabské, jde o Egypt, Saudskou Arábii a Spojené Arabské Emiráty. Zvláštní je, že do zóny zatím nebyla zařazena doména Ruské Federace. Byla totiž původně ve stejné várce jako tyto tři. Každopádně dnešním dnem končí definitivně výlučná vláda latinky v doménovém systému! Nyní už například Egypťan bude moci napsat adresu svých webových stránek bez toho, aby musel přepínat klávesnici na latinku. Zkuste třeba kliknou na následující odkaz – http://وزارة-الأتصالات.مصر/
Ondřej Filip
.jo? .الاردن!
Ačkoliv doménový svět spíše sleduje proces postupného podepisování kořenové zóny, nezastavil se ani tzv. DotIDN Fast Track, nebo-li vznik omezeného počtu nelatinkových národních domén nejvyšší úrovně. Nedávno, byla schválena várka osmi nových domén nejvyšší úrovně a proces postupně pokračuje dál, minulou středu ICANN ohlásil, že další doména má zelenou pro svůj vznik. V pořadí třináctou zemí s národní dotIDN doménou se stává Jordánsko. Tato země zatím používala pro nás hezky znějící latinkovou doménu .jo a brzy začne používat pro nás naopak asi obtížně použitelnou .الاردن. ICANN zároveň oznámil, že celkový počet žádostí je 21, což znamená, že existuje ještě 8 neschválených žádostí, na kterých se pracuje. Tipnete si, které země to jsou?
Druhou zajímavou aktualitou z oblasti dotIDN napsal nedávno Kim Davies z IANA. Představenstvo ICANN je schválilo delegaci prvních čtyř dotIDN domén. To znamená, že IANA brzy přidá domény těchto čtyř zemí (Ruska, Saudské Arábie, Egypta a Spojených Arabských Emirátů) do kořenové zóny a tedy jejich uvedení v život je jen otázka hodin.
Ondřej Filip
Nějak se to zaseklo
Více než před dvěma měsíci jsem psal krátkou glosu o tom, že poměr volných IP adres je už menší než 10 %. Když jsem se dnes podíval na zmiňované počítadlo, byl jsem překvapen. Mezi lidmi, kteří se o ubývání IP čísel zabývají, se už poměrně dlouho traduje takový napůl vtip, že každý rok se dozvíme, že IP čísla dojdou za dva roky. Právě díky dobré práci správců IP čísel při navracení již použitých bloků, díky novým technologiím jako NAT, díky lepším pravidlům na přidělování se skutečně poměrně dlouho dařilo datum konce IPv4 posouvat do budoucnosti. Jenže tyto dva měsíce se datum neposunulo. Pořád je to září 2011 a počitadlo neukazuje 10 % ale 7 %. Pohledem na grafy se mi nezdá, že by alokace zrychlovaly. ISP tedy ještě nepanikaří a nesnaží se „urvat“ co nejvíce IPv4 čísel pro sebe. Ale asi se už nedaří získávat žádné starší bloky. Docela se těším na prezentace o tomto problému na příštím RIPE meetingu, který CZ.NIC hostí v Praze.
Jinými slovy, konec se blíží rychleji, než jsme předpokládali. V situaci, kdy je poměrně málokdo připraven na IPv6 to není příliš dobrá zpráva. Znáte nějaké příklady ISP nebo poskytovatelů služeb, kteří IPv6 podporují? Jste vy sami připraveni na IPv6? Dejte nám vědět k komentářích.
Ondřej Filip
Už jen jeden!
Nedávno jsem referoval, že více než polovina kořenových serverů poskytuje onu pseudopodepsanou zónu. Včera došlo k další významné změně. Už jsou „podepsány“ všechny kořenové servery s výjimkou posledního, označovaného písmenem J. Tento stav bude pro rozhodnutí o skutečném podpisu kořenové zóny klíčovým. Systém DNS je navržen velice robustně a pro jeho správnou funkci stačí dostupnost alespoň jednoho kořenového serveru. Pokud tedy nějaký systém obsahuje špatnou implementaci DNS resolveru, která zahazuje DNSSEC podepsané odpovědi, bude pro tento systém těch 12 podepsaných kořenových serverů jakoby nedostupných. Takže jako jediný dostupný se bude jevit právě server J a takové systémy budou koncentrovat své dotazy právě na něj. Pokud tedy výrazně stoupne zatížení tohoto serveru, dá se předpokládat, že existuje větší množství klientů, které by podpis všech serverů „odstřihl“ od Internetu. Možná proto si správci kořenových serverů na podpis toho posledního třináctého nechávají čas a plánují jej na 5. května. Mají pár dnů na to, zanalyzovat, zda-li se nějaký podobný jev nevyskytuje.
Každopádně vlak jménem DNSSEC@ROOT postupuje dle grafikonu. Další zastávka bude na začátku května.
Ondřej Filip
Už více než polovina kořenových serverů s DNSSEC
Jak už před časem referoval kolega Surý, v současnosti probíhá proces, jehož vyústěním bude plný platný podpis kořenové zóny. Tato událost zastřeší všechny současné aktivity týkající se podepisování domén nejvyšší úrovně a hlavně zjednoduší život správcům rekurzivních DNS serverů; pak už totiž bude stačit pouze sledovat změny klíčů jedné (té nejvyšší) zóny.
Minulý týden ve středu došlo k překonání dalšího virtuálního milníku. K podpisu totiž nedochází naráz, ale jednotlivé kořenové zóny se „podepisují“ neověřitelnými „falešnými“ klíči postupně. A právě 24. března byly tyto klíče publikovány dalšími třemi servery. Celkový počet „podepsaných“ serverů se v tuto chvíli zastavil na čísle sedm, což je už více než 50 % z celkových 13. Další várka zavádění těchto podpisů se očekává 14. dubna, kdy bude podepsáno dalších pět serverů. Poslední server bude přidán 5. května.
Správný a validní podpis by měl začít platit od prvního prázdninového dne – 1. července. Zatím tedy proces běží zcela podle plánu a nemá žádné zpoždění, což je velice dobrá zpráva pro bezpečnost systému DNS.
Ondřej Filip
Další dotIDN domény na světě
Celkem nedávno jsem referoval o schválení čtyř prvních zádostí o nelatinkové domény nejvyšší úrovně. Tím se proces přirozeně nezastavil, zájem projevily i další země. Ve dnech 22. a 23. března ICANN schválil další várku žádosti. Jde o Tunisko, Thajsko, Taiwan, Sri Lanka, Katar, dále stát-nestát Palestina, Hong Kong a Čína. Narozdíl od první a velice bezproblémové skupiny, dvě z těchto žádostí obsahuji určitou zvláštnost. Ta souvisí s tím, že Čína i Taiwan zažádaly vlastně o domény dvě; jednu napsanou v tradičním čínském písmu a druhou ve zjednodušeném. Proto tyto žádosti čeká další kolo schvalování. Tito správci budou muset prokázat, že provoz těchto domén bude synchronizován, že jejich provozem nevzniknou žádné duality a tedy, že nedojde k matení uživatelů. Tento proces ještě není zcela vyjasněn, takže uvidíme, jak to celé nakonec dopadne. Návrh jak v těchto případech postupovat byl zveřejněn zde.
Ondřej Filip
DNS před zhroucením? Ani náhodou!
Výkonný ředitel ICANN Rod Beckstrom prohlásil včera na setkání GAC (poradního výboru vlád při ICANN), že: „Na systém DNS je veden útok a celý systém je nyní křehčí a zranitelnější než kdykoliv předtím a může se kdykoliv doslova zhroutit.“ Pokud by se něco takového stalo, mělo by to samozřejmě obrovské a dalekosáhlé důsledky, protože na fungování Internetu dnes závisí téměř vše. Dle jeho slov dospěl k tomuto tvrzení po konzultaci s více než 20ti řediteli největších doménových registrů a registrátorů, kteří jsou extrémně znepokojeni stejně jako on. Více v plném audio záznamu komentáře.
Zajímavý je už fakt, že co se týká národních domén (tzv. ccTLD), tak někteří ředitelé největších registrů, kteří byli na místě přítomni, o žádných takových konzultacích nevěděli. Tak jako tak prakticky všichni zástupci registrů národních domén toto tvrzení považovali za „nemístné“ a přehnané. Samozřejmě i DNS se stejně jako spousta dalších internetových služeb potýká s bezpečnostními problémy. Nicméně rozhodně žádný z nich neohrožuje funkčnost a stabilitu celého systému. Navíc zrovna v této oblasti internetová komunita pracuje velmi dobře – je si vědoma zásadní důležitosti systému DNS (proto pro něj buduje velmi robustní infrastrukturu), nalezené problémy řeší, vzdělává koncové uživatele atd. K tomuto se samozřejmě snažíme přispět i my (CZ.NIC) například tím, že se podílíme na provozu F a L kořenových serverů v České republice, že jsme jako jedni z prvních zavedli DNSSEC (máme nejvíce zabezpečených domén na světě) nebo že provozujeme bezpečnostní oddělení, které řeší např. zneužívání domén k šíření malware či phishingu.
Osobně si myslím, že představitel tak významné instituce by neměl vydávat takto silná prohlášení bez širší konzultace s institucemi, které se o provoz a stabilitu starají např. správce národních domén, operátory root serverů apod. Ostatně třeba organizace správců národních domén (ccNSO) připravuje vlastní vyjádření k těmto jeho výrokům.
Ondřej Filip
Další evropská doména podepsána… I když?
K podpoře technologie DNSSEC se tentokráte přihlásil registr, který je ve světě národních domén skutečným gigantem. Je to společnost Nominet, správce domény .uk. Tato událost byla poměrně očekávaná, neboť Nominet technologii DNSSEC dlouhodobě podporuje. Poslední ukázkou této podpory byl vývoj software OpenDNSSEC.
Podobně jako u kořenové zóny, i Nominet začal s implementací pozvolna. Minulý týden byla doména podepsána nevalidovatelnými klíči, toto pondělí potom došlo k podpisu už těmi správnými. Nominet totiž celý minulý týden intenzivně testoval, zda-li zvětšení DNS odpovědí kvůli přídavným bezpečnostním informacím nezpůsobí nějaký problém.
Můžeme si tedy vybarvit další bílé místo na mapě? Zatím ne tak docela. Podepsána byla pouze zóna .uk. Ve Spojeném království ale používají strukturovaný model, takže všechny domény koncových uživatelů jsou v poddoménách, tedy hlavně v .co.uk. A právě u poddomén dosud podpis chybí.
Nominet podpis zóny označuje spíše za test a zatím nedoporučuje spustit proti této zóně validaci. Dokonce oznámili, že plánují klíče ještě vyměnit a plný provoz hodlají deklarovat až s podpisem kořenové zóny. Tedy gratuluji k prvnímu rozvážnému kroku a doufám, že více uvidíme v červnu.
Ondřej Filip
Uz méně než 10 %!
Jakkoliv titulek mého příspěvku může spíše evokovat, že budu psát nějaký politický komentář, nebojte se. Celkem nedávno došlo k prolomení další magické hranice ve spotřebě IPv4 adres. V registru organizace IANA je už méně než 10 % volných IPv4 adres z celkového rozsahu, tedy méně než 400 miliónů. Rychlost, jakou volné IPv4 adresy mizí nejlépe ilustruje následující applet.
Byť nevěřím, že IP adresy dojdou v září příštího roku, je evidentní, že staré adresy dochází a kdo se nepřipravuje na IPv6 může být v krátkém čase nepříjemně překvapen. Důvodem, že ubývání IP adres není tak rychlé jak naznačují matematické výpočty, není chyba ve výpočtech, ale částečně úspěšná snaha organizací IANA a regionálních registrů o znovu navracení již dříve alokovaných bloků. Na začátku Internetu se s adresami neuvěřitelně plýtvalo a tak dle IANA databáze má třeba farmaceutická firma Eli Lilly přidělen blok /8, tedy zhruba 17 miliónů adres.
V souvislosti s navracením adres, které původně sloužily k jiným účelům, bych rád uvedl jeden poměrně kuriózní příklad: Vždy, když se nějaký další blok začíná rozdělovat poskytovatelům připojení, probíhá tzv. proces debogonizace. Velmi zjednodušeně jde o to, že se části toho příslušného bloku propagují pomocí protokolu BGP do Internetu a sleduje se, kam propagace projde a kde je tento rozsah filtrován. Zároveň je i možné vysledovat, zda-li na tento rozsah není směrován nějaký provoz, nějaký šum. V rámci tohoto procesu byl propagován i prefix 1.1.1.0/24 a poměrně nepříjemným zjištěním bylo, že „šum“, který na tento rozsah přicházel, okamžitě zahltil jejich 10Mbps port v peeringovém centru AMS-IX. Z analýz toků vyplynulo, že tento šum je zhruba 50Mbps. To bohužel znamená, že tato část rozsahu je pro alokaci nepoužitelná, protože žádný ISP by asi nechtěl, aby do jeho sítě přicházely desítky Mbps zcela neužitečného toku dat.
Je vidět, že IP čísla skutečně dochází, když už je snaha využít i takto speciální bloky. Přesto je služeb dosažitelných po IPv6 jen žalostně málo. Pokud o nějakém dobrém příkladu víte, dejte nám vědět v komentářích.
Ondřej Filip