V šestce jsme dobří, buďte také!

O tom, že v zavádění IPv6 patří Česká republika mezi světové lídry, jsme již na tomto blogu (či jinde) několikrát psali. Dnes bychom se rádi pochlubili jednou novinkou, ze které můžete mít prospěch i vy. V druhé polovině června získal náš kolega Petr Černohouz akreditaci IPv6 Forum Certified Trainer (Gold) a kurz, který v rámci naší akademie vede, pak certifikaci IPv6 Forum Certified Course (rovněž v nejvyšší úrovni Gold).

Tak teď už jen Afrika

Dnešním dnem se i region Latinské Ameriky připojí ke trojici Regionálních internetových registrů (RIR), které deklarovaly fázi vyčerpání IPv4 adres. Jen pro připomenutí, silné regiony Asie-Pacifik, Evropa a Severní Amerika, vyhlásily tento stav ve chvíli, kdy jejich zásoba adres poklesla pod /8, tedy 16 miliónů adres. Latinská Amerika si stanovila tuto hranici na /9, tedy polovinu tohoto množství. I kvůli tomu má tento tento slabší region nejméně adres ze všech. Opět platí, že téměř každý region přistoupil k tomuto stavu různě. LACNIC bude přidělovat i větší porce dat, pouze zpřísní kontrolu nad jednotlivými žádostmi, takže lze očekávat i mírné zpomalení čerpání. K další změně v alokační politice dojde v případě, až zůstane pouze /10, tedy polovina současného množství. Pak již bude možné provádět pouze alokace velikosti /24 až /22, tedy obdobně jako u nás v Evropě. A poslední rezerva /11 zůstane vyhrazena pouze novým členům.

Severní Amerika na suchu!

Zhruba před pěti týdny jsem referoval o tom, že zásoba IPv4 adres v regionu Latinské Ameriky klesla pod jeden blok /8, tedy cca 16 miliónů adres. Tento krok ještě neznamenal zavedení speciálního režimu alokací, protože kolegové z Latinské Ameriky usoudili, že jako alokačně pomalejší region si tuto hranici stanoví níže, konkrétně na /9 neboli cca 8 miliónů adres. Toto lze očekávat v několika nejbližších týdnech. Včera byla dosažena kritická meta v regionu Severní Ameriky. ARIN ohlásil, že už má méně než /8 a také spustil speciální režim alokací.

Dlužno podotknout, že oba americké regiony zvolily pro tuto fázi odlišnou filosofii než my Evropané či kolegové z Asie-Pacifiku. V Americe se v této fázi přidělují dál poměrně velké kusy adresního prostoru, akorát se zpřísnily podmínky pro přidělování a každou vetší alokaci musí schválit více lidí než tomu bylo dříve. To fakticky znamená, že v těchto regionech může dojít k úplnému vyčerpání adresního prostoru, čemuž evropská a asijská pravidla v podstatě zabraňují.

IPv4 dochází i v Latinské Americe, IPv6 roste

V pondělí proběhla v latinskoamerickém regionu další obří alokace IPv4 adres. Brazilská společnosti Tim Celular S.A. dostala více než 1 milión adres a LACNIC se tak stal třetím registrem, který má méně než jeden blok /8 neboli méně než 16 miliónů adres. Znalci poměrů vědí, že toto znamenalo v Asii-Pacifiku i Evropě spuštění speciálního módu alokace, při které se přestaly adresy přiřazovat podle potřeby, ale každý člen příslušného registru měl nárok pouze na jeden blok adres velikosti /22 (1024). Jinými slovy bylo ohlášeno, že IPv4 adresy byly vyčerpány. Tato situace ale zatím v Latinské Americe nenastává. Vzhledem k tomu, že region je z pohledu alokací přeci jenom o poznání menší, byla zde zvolena jiná hranice. LACNIC začne odmítat velké alokace až při prolomení hranice /9 neboli mírně nad 8 miliónů volných adres. Nicméně IPv4 alokace v Latinské Americe nabraly neuvěřitelné tempo, takže se obávám, že i tato hranice bude prolomena velmi brzy.

Pomůže usnesení vlády k většímu rozšíření IPv6 a DNSSEC?

Na konci loňského roku přijala vláda Usnesení č. 982, které zavádí povinnost zabezpečení domén držených státní správou prostřednictvím technologie DNSSEC. Usnesení vlády se zaměřuje rovněž na podporu IPv6, kdy ve srovnání s usnesením z roku 2009 rozšiřuje okruh subjektů, které musí u svých elektronických služeb podporovat IPv6. Ve svém dnešním příspěvku bych se rád na nové usnesení vlády podíval trošku podrobněji a zároveň přidal pár statistických dat jako příspěvek do diskuze na téma, zda má cenu mít usnesení vlády, které nemá žádné sankce a zda takovýto dokument není jen „prázdným plácnutím do vody“.

IPv6: současný stav

Povinnost podporovat na svých serverech IPv6 byla vládou schválena již v červnu 2009 s tím, že jednotlivé orgány státní správy (tj. ministerstva a další centrální úřady jako např. Český statistický úřad či Energetický regulační úřad) měly za povinnost do 31. prosince 2010 zabezpečit přístup ke svým stránkám jak prostřednictvím protokolu IPv4, tak protokolu IPv6. Stejná povinnost pak byla doporučena pro kraje včetně hl. města Prahy.

Pokud se podíváme na aktuální výsledky podpory IPv6 u jednotlivých orgánů veřejné správy (viz graf), zjistíme, že podpora nové verze internetového protokolu je u státní správy mnohem vyšší, než ve zbytku domény .cz, přičemž vidíme znatelný rozdíl mezi státní správou, která je přímo dotčena usnesením vlády č. 727 z roku 2009, a samosprávou. U měst a obcí pak stojí za povšimnutí téměř čtyřnásobný růst podpory IPv6 na straně webových serverů, který je částečně způsoben rovněž zahrnutím podpory této technologie jako jednoho z kritérií soutěže Zlatý erb, kterou jsme se rozhodli jako technologický partner podpořit rovněž v letošním roce.

Graf_IPv6

IPv6: co přináší nové usnesení vlády

V rámci nového usnesení vlády přijatého na sklonku loňského roku považuji osobně za nejdůležitější nový bod 1. d), tj. „zahrnout požadavek na podporu IPv6 do všech relevantních výběrových řízení, a to jak na dodávky služeb, tak zboží (hardware), i jako nedílnou součást požadavků na všechny nově podpořené projekty a jejich součásti financované ze strukturálních fondů v tomto i nadcházejícím finančním období. Oproti původnímu usnesení vlády se povinnost podpory IPv6 rozšiřuje rovněž o příjemce prostředků ze strukturálních fondů. Zde je nutné si uvědomit, že v rámci tzv. publicity patří webové prezentace mezi nejoblíbenější nástroje, přičemž často se nejedná o samostatný web, ale jen o začlenění jedné (či několika málo stránek) do stávajícího firemního webu. V této souvislosti stojí za připomenutí, že z TOP100 firem podporuje na webových serverech IPv6 pouze 5 % největších podniků.

V případě zájmu se mocným nástrojem na prosazení IPv6 může pak stát požadavek jejího povinného zahrnutí do všech relevantních výběrových řízení. Je ale nutné si uvědomit, že pod pojmem „relevantní výběrová řízení“ se již nemusí skrývat jen tendery související se zajištěním webové prezentace, ale rovněž s nákupem datových služeb (včetně mobilních), což podporuje rovněž Český telekomunikační úřad, který 20. prosince 2013 zveřejnil Obecná pravidla řízení datového provozu. Podle těchto pravidel se pak službou přístupu k síti internet rozumí:

veřejně dostupná služba elektronických komunikací, která umožňuje využívání obsahu, aplikací a služeb sítě internet, a tím propojení prakticky všech koncových bodů připojených k síti internet (a to protokolem IPv4 a IPv6), bez ohledu na použitou technologii sítě.

Zde bude zajímavé sledovat, zde se povinnost zajištění konektivity jak přes IPv4 či IPv6 nestane další součástí boje v rámci elektronické aukce komunikační infrastruktury veřejné správy, tzv. KIVS.

DNSSEC

Pokud se podíváme na aktuální statistiky, zjistíme, že průměr počtu zabezpečených domén .cz dosahuje 37,1%, zatímco u státní správy se to o 10 procentních bodů méně – konkrétně jen čtyři ministerstva ze čtrnácti a tři ze třinácti ústředních orgánů státní správy.

Situace je tak zde zcela opačná, než u IPv6 a z tohoto pohledu je usnesení vlády vítaným nástrojem, který – dle zkušeností s IPv6 – sice zřejmě nikdy nezaručí 100% přijetí této technologie, ale může výrazně urychlit její zavedení. V rámci podpory rozšíření obou technologií se pak Akademie CZ.NIC rozhodla všem účastníkům z veřejné správy nabídnout speciální akci: dva kurzy (IPv6 a DNSSEC) za cenu jednoho.

Hřejivé na srdci je pak i to, že u DNSSEC se Česká republika stala první zemí min. v Evropě, která nařídila veřejné správě zabezpečení svých domén, což byl možná i jeden z důvodů, proč nedávné Usnesení vlády označil renomovaný publicista Jiří Peterka jako jednu z 10 nejvýznamnějších událostí českého eGovernmentu za rok 2013.

Jiří Průša

Nejvýznamnější firmy IPv6 přehlížejí!

O tom, že Česká republika patří při zavádění IPv6 minimálně mezi evropské lídry, jsme psali již několikrát; aktuální statistiky vytvářené na základě 500 nejnavštěvovanějších stránek poskytuje např. IPv6 Observatory.

V rámci evropského projektu GEN6 pak CZ.NIC monitoruje připravenost veřejné správy na IPv6. Zde dosavadní výsledky opět potvrzují vedoucí postavení České republiky. Na žádost Ministerstva průmyslu a obchodu jsme nyní náš průzkum rozšířili o analýzu TOP100 firem (dle obratu). Výsledky „tahounů“ českého hospodářství celkem překvapivě ukázaly, že IPv6 nepatří ve velkých firmách mezi favority a na svých webových serverech ji podporuje jen 5 společností ze 100. Jak ukazuje následující tabulka, o poznání lepší není situace ani u jmenných a poštovních serverů.

Webové servery DNS servery E-mailové servery
Veřejná správa 28,4 % 50,4 % 10,4 %
TOP100 firem 5,0 % 44,0 % 5,0 %
Průměr za doménu .cz 19,2 % 54,7 % 16,2 %

Výše uvedené srovnání ukazuje, že při zavádění IPv6 jsou nejvýznamnější firmy jak pod celostátním průměrem, tak daleko za veřejnou správou. Zklamáním je, že IPv6 příliš nepodporují na svých stránkách ani technologické firmy jako T-Mobile, Vodafone či Česká pošta, která se snaží působit jako státní integrátor v oblasti IT. Jedinou společností z TOP100, která podporuje IPv6 jak na svých webových, tak jmenných a poštovních serverech je pak trochu překvapivě Sokolovská uhelná.

Jiří Průša

Laboratoře CZ.NIC odhalily závažnou zranitelnost linuxového jádra

V rámci vývoje a testování softwaru pro nový router CZ.NICu Turris jsme objevili nebezpečnou chybu v linuxovém jádře, která umožňuje vzdáleně způsobit kernel panic; pád jádra lze vyvolat posláním vhodně zformátovaných IPv6 fragmentů. Podle našeho názoru má chyba potenciál na DoS útoky.

Ve skutečnosti se jedná o dvě chyby v různých částech Linuxového jádra, které mohou nastat při zpracování IPv6 datagramu s nekorektně vyplněným fragmentation headerem. První chyba je známá od května 2011 pod označením CVE-2011-1927 a byla opravena ve verzi 2.6.38.9 linuxového jádra. Nyní došlo k pravděpodobné regresi této chyby v aktuálních jádrech počínaje verzí 3.11 a v mailinglistu vývojářů síťových driverů a TCP/IP stacku už je k dispozici patch, který tuto chybu opravuje. Oprava bude pravděpodobně začleněna do nejbližší budoucí udržovací verze jádra.

Druhá chyba, která dosud nebyla známá, se netýká samotného sestavování fragmentů k předání vyšší vrstvě síťového modelu, ale týká se Netfilteru – Linuxového firewallu, který sestavuje IP packety (IPv4 i IPv6) jen virtuálně, aby o nich mohl rozhodnout podle pravidel v INPUT resp. FORWARD chainech v tabulce filter. Problém, na který jsme v Laboratořích CZ.NIC narazili je, že překrývající se fragmenty můžou vyvolat kernel panic za podmínky, že dochází k pokusu o virtuální sestavení datagramu a to pravděpodobně z velmi podobných důvodů, jako v případě první chyby.

Chybu jsme reportovali v mailinglistu a spolupracujeme na vytvoření patche s vývojáři Linuxového TCP/IP stacku a Netfilteru.

Tomáš Hlaváček

Za rok přibylo v ČR více než 100 tisíc uživatelů IPv6

V nedávném příspěvku na téma DNSSEC jsem se odkazoval na prezentaci Geoffa Hustona na RIPE 67. Dovolím si tento úspěšný koncept využít ještě jednou a krátce okomentovat jeho další prezentaci, tentokrát o IPv6. Geoff se pokusil ověřit závěr Google, že podíl IPv6 se za poslední rok zdvojnásobil. Ačkoliv se v absolutních číslech liší, což je poněkud paradoxní, protože opět využívá reklamní síť právě od Googlu, v hrubých rysech se jeho závěry shodují. Dle jeho měření stoupl podíl IPv6 z 0,45 % na 1,29 %, což je již výrazný nárůst.

Poměrně překvapivé je, že hlavním motorem tohoto růstu je Evropa a to konkrétně Evropa severní a Evropa východní (do které jsme řazeni i my). Osobně bych spíše očekával, že nejvyšší nárůst bude v regionu Asie-Pacifik, protože ten byl nedostatkem IPv4 adres zasažen jako první. Leč neděje se tak.

Podle metodiky Geoffa přibylo v České republice za rok více než 100 tisíc uživatelů IPv6, což je vzhledem k naší velikosti poměrně slušné číslo. Celosvětově jsme v penetraci IPv6 na desátém místě a podle všeho se o to nejvíce zasloužili tito tři poskytovatelé Internetu: CESNET, který zvýšil podíl IPv6 uživatelů z 20 % na 27 %, Telefónica CR (0 % -> 3 %) a Internethome (0 % -> 2 %). Veliká gratulace a doufejme, že obdobná statistika příští rok dopadne ještě lépe.

Ondřej Filip

Nový Katalog routerů podruhé

Od spuštění nové verze Katalogu routerů uběhl měsíc. Nezaháleli jsme a pilně jsme pracovali na vylepšeních, na která nás upozornili především uživatelé. Zde je několik nových informací k tomu, co nyní najdete na www.katalogrouteru.cz.

Kromě několika kosmetických úprav a doplnění funkcionalit, jako je filtrování a řazení položek ve výpisech, je hlavní změnou doplnění testů a to o měření spotřeby. Laboratoř jsme vybavili zařízením na zjištění těchto parametrů, takže teď budou moci zájemci najít tyto údaje u všech nově testovaných zařízení.

Počet modelů v databázi roste. Slíbili jsme, že testování bude probíhat průběžně a zatím se nám to daří plnit – aktuálně je tedy možné zjistit výsledky už více než 30 routerů; další budou přibývat. A na závěr jedna informace pro ty z vás, kteří jste volali po testování Mikrotiků. Už jsou v plánu :).

Martin Sojka