Blíží se spuštění našeho dalšího osvětového projektu, který volně navazuje na úspěšnou kampaň věnovanou pouze doménám – „Dobrá doména“. Aktuální projekt je tu s námi prakticky od začátku tohoto roku a musím přiznat, že mu po celou tu dobu věnujeme velkou pozornost a péči. Seznámit se s ním budete moci poprvé již za 14 dní, ale pro ty, které jsme už stihli těmito pár řádky navnadit, přinášíme již nyní několik málo indícií.

V pondělí 1. října bude na nejmenovaném televizním kanálu, ihned po hlavní zpravodajské relaci, odvysílán první díl našeho nového, nijak krátkého osvětového seriálu. Připravili jsme ho společně s tvůrci pořadů o vodě nebo památkách UNESCO. Další podrobnosti si zatím necháme pro sebe s tím, že první říjnové pondělí vyložíme karty na stůl a projekt představíme v celé jeho kráse. Doufáme, že se už těšíte. My hrozně :)!

Tomasz Hatlapa

Novou zkratkou, kterou bylo často slyšet v kuloárech vancouverského meetingu IETF, je IRS. Cílem této iniciativy je, jak už název napovídá, standardizované rozhraní pro přístup do „střev“ IP směrovačů. Toto rozhraní má zprostředkovat externím softwarovým aplikacím poměrně detailní náhled do stavu směrovacího subsystému, ale také umožnit přímé zásahy do směrování a modifikace směrovacích tabulek (RIB) a dalších datových struktur, například LFIB (pro MPLS) a multicast RIB.

Více informací o IRS lze prozatím získat ze dvou Internet draftů:

• draft-atlas-its-problem-statement-00 identifikuje obecné problémy, které má IRS v budoucnu řešit, a též zdůvodňuje, proč jsou stávající řešení nedostatečná;
• draft-ward-irs-framework-00 obsahuje rámcový popis architektury IRS a jeho funkcí.

Oba dokumenty lze těžko obvinit z přílišné skromnosti, pokud jde o šíři očekávaných aplikací. Autoři předpokládají nasazení IRS jak pro monitoring a diagnostiku směrování, tak i pro implementaci nejrůznějších administrativních politik v oblastech jako QoS, bezpečnost, diferencované nakládání se zákazníky apod., prostě všude tam, kde standardní konfigurace a směrovací protokoly (údajně) nestačí.

Prezentace IRS při jednání pracovní skupiny Routing Area vyvolala velmi bohatou diskusi. Reakce byly většinou pozitivní a podpůrné, kritické komentáře upozorňovaly hlavně na nebezpečí přílišné šíře záběru – jak se pěkně anglicky říká: „boiling the ocean“.

IRS se má od existujících metod interakce se směrovacím systémem (CLI, SNMP, IPFIX, NETCONF) lišit možností rychlého přístupu k detailním informacím o stavu systému a možností operativních softwarově řízených zásahů. První z uvedených dokumentů však při analýze vhodnosti protokolu NETCONF coby mechanismu pro realizaci IRS vycházel v řadě ohledů ze zastaralých anebo přímo nesprávných informací – NETCONF byl pak na jejich základě zavržen. Tyto nedostatky byly v diskusi také zmíněny a aktivisté IRS přislíbili, že se k výchozí analýze ještě vrátí a použití NETCONFu a jeho datových modelů znovu zváží.

Moje osobní dojmy jsou zatím smíšené. Samotná idea IRS jako mechanismu pro přístup ke směrovacím datům je v pořádku, trochu mne ale dráždí jeho avizované použití. Vychází totiž z předpokladu, že směrování v Internetu lze optimalizovat aktivním řízením routerů z nějakého „inteligentního“ centra. Dosavadní zkušenosti mne přesvědčují, že se v takových případech výkon sítě často spíše zhorší.

Otázky IRS jsou intenzivně diskutovány v konferenci  irs-discuss. Pokud půjde vše podle předpokladů, bude se na příštím meetingu IETF 85 v Atlantě konat zasedání typu BoF (Birds of a Feather) a z něj by následně mohla vzejít nová pracovní skupina IRS při IETF.

Ladislav Lhotka

Můj druhý postřeh z meetingu IETF 84 se také týká protokolů a nástrojů pro síťový management. Zatímco minulý příspěvek byl věnován konfiguračním datům, dnes bych se rád zmínil o jedné diskusi týkající se stavových dat, která jsou pro efektivní správu síťových zařízení také velmi důležitá. Čím se liší od těch konfiguračních? Rozdíl můžeme ukázat na jednoduchém příkladu IP adresy. Ta může být pro dané rozhraní buď statická, a pak je zapsána někde v konfiguračních datech, anebo se získává pomocí DHCP a její aktuální hodnotu může správce zjistit ze stavových dat. Za stavová data se obvykle považují i různé statistické čítače, kupříkladu počty bajtů přijatých a odeslaných přes dané rozhraní.

Pro práci s oběma typy dat jsou k dispozici dva konkurenční protokoly: SNMP a jeho mladší bratranec NETCONF. Pokud jde o konfigurační data, hovoří vše celkem jasně pro NETCONF, SNMP se v této oblasti neosvědčil a dnes se prakticky nepoužívá. U stavových dat je ale situace do velké míry opačná a SNMP tu zatím jednoznačně vládne. Síťovým operátorům už se ovšem dosti zajídá spravovat sítě pomocí dvou různých protokolů – a začínají se hlasitě ozývat.

Diskuse na toto téma propukla na IETF 84 poněkud nečekaně během jednání pracovní skupiny OPSAWG, když byl na programu Internet draft draft-schoenw-opsawg-vm-mib-01, který definuje část databáze SNMP MIB se stavovými daty pro virtuální počítače s hypervizorem. Rozbuškou však nebyl tento celkem nevinný dokument, ale osoba přednášejícího: byl jím Jürgen Schönwälder, který je jednou z vůdčích figur stojících za návrhem protokolu NETCONF. Dotaz z pléna zněl zhruba takto: „Jestli to s NETCONFem myslíte vážně, proč nás pořád zásobujete novými daty pro SNMP a neimplementujete raději stejná data v NETCONFu?“ Většina diskutujících se pak skutečně přiklonila k názoru, že by bylo velmi prospěšné toto schizma postupně odstranit a mít všechna stavová data k dispozici prostřednictvím NETCONFu.

To se snadno řekne, ale hůře udělá. Převod všech definic objektů z databáze MIB (zapsaných v jazyku SMIv2) na datový model pro NETCONF (v jazyku YANG) je sice možný, vzhledem k vysokému počtu MIB objektů je to ale práce pro vraha, a tak se do ní nikomu nechce. Druhou alternativou, která se již také testovala, je proto automatický převod. Pro tento účel dokonce existuje specifikace v RFC 6643, jehož autorem je shodou okolností rovněž Jürgen Schönwälder.

Jenže, jak víme i z jiných případů, výsledky strojového překladu nebývají zrovna ideální. V daném případě se naráží jednak na některé nekompatibility mezi jazyky SMIv2 a YANG (příkladem je rozdílný způsob indexace objektů v databázi), ale také na problém převodu důležitých informací zapsaných v MIB modulech volným textem – doplňujících popisů a implementačních instrukcí.

Momentálně tedy převládá názor, že automatický převod lze použít ad hoc v případě akutní potřeby přístupu k MIB datům pomocí protokolu NETCONF. Z dlouhodobého hlediska bude ale asi nezbytné podstoupit martyrium spojené s ruční konverzí. Vypadá to tedy, že internetová komunita má v této oblasti o práci postaráno na řadu příštích let.

Ladislav Lhotka

Už tuto sobotu začnou v pražském hotelu Hilton první setkání v rámci 44. mítinku organizace ICANN. Již o den dříve ale oznámí předseda představenstva Steve Crocker společně s provozním ředitelem Akramem Atallahem, kdo bude novým výkonným ředitelem celosvětového správce sítě Internet. Současnému výkonnému řediteli Rodu Beckstromovi totiž končí jeho funkční období a rozhodl se už dále ve svém působení v rámci ICANNu nepokračovat. Pražské setkání pro něj tedy bude posledním v jeho současné roli. U příležitosti představení nového výkonného ředitele chystá ICANN v Praze tiskovou konferenci, na níž zve jak zástupce českých médií, tak další členy české internetové komunity. Toto setkání začíná v hotelu Hilton ve čtyři hodiny odpoledne našeho času. Pro zahraniční novináře, ale i pro všechny ostatní, kteří se nemohou zúčastnit a chtěli by znát jméno nové hlavní tváře ICANNu mezi prvními bude připraven online přenos.

Vilém Sládek

Jak jsme již informovali v této novince, v pátek 1.června se v sídle sdružení CZ.NIC uskutečnilo setkání v jehož rámci došlo k předání zkušenosti s provozováním národního CSIRT týmu zástupcům týmu CERT-RO (ten je stejně jako my akreditován u úřadu Trusted Introducer). Organizátorem akce byla Evropská agentura pro síťovou a informační bezpečnost (ENISA), jejímž primárním cílem je dosažení vysokého stupně informační a síťové bezpečnosti mezi členskými státy EU.

Na začátku setkání zazněly informace o historii budování CSIRT.CZ a jeho cestě do pozice Národního CSIRT České republiky, o organizační struktuře týmu, ale také sdružení CZ.NIC samotného, o práci Laboratoří CZ.NIC, které se ve svých projektech bezpečností také intenzivně zabývají, Akademii CZ.NIC a jejích vzdělávacích projektech atd. Kolegové z CERT-RO také ocenili informace o pracovní skupině CSIRT.CZ,  jejímiž členy jsou zástupci významných provozovatelů sítí, poskytovatelů obsahu, rizikových služeb, bezpečnostních složek České republiky, Českého telekomunikačního úřadu, sdružení CZ.NIC i NIX.CZ a akademického sektoru. Tato pracovní skupina umožňuje setkávání bezpečnostních expertů z uvedených organizací a také vzájemné předávání informací a zkušeností souvisejících s počítačovou bezpečností.

Během setkání jsme zástupce týmu CERT-RO informovali také o nástrojích, které používáme při řešení incidentů, ať už ticketovacího systému OTRS, různých linuxových utilit, rozšíření pro Firefox, či různých nástrojů dostupných on-line. Nejvíce však členy národního CSIRT týmu Rumunska zaujala aplikace, kterou vyvinuly naše laboratoře  a jako open source nabídli k používání i dalším registrům. Je to aplikace MDM, o níž jsme již psali zde  a jejíž nasazení pomohlo také k lepšímu postavení České republiky v různých statistikách phishingových stránek.

Kolegy z CERT-RO také zaujala prezentace životního cyklu incidentu od jeho vzniku až po jeho vyřešení. Během této přednášky jsme poreferovali o některých zajímavých, či zásadních incidentech, které jsme za poslední rok řešili. Hojně diskutovanou se stala také otázka proaktivního přístupu a úzké spolupráce na úrovni národních CSIRT týmů.

Setkání se zúčastnil také zástupce týmu CESNET-CERTS, který provozuje sdružení CESNET pro dohled nad sítí národního výzkumu a vzdělávání. Oba české bezpečnostní týmy spojuje dlouhodobá a velice úzká spolupráce na poli internetové bezpečnosti v této zemi. Zástupce CESNET-CERTS na tomto setkání prezentoval systém pro efektivní sdílení informací o bezpečnostních událostech. Jeho nasazení je ve spolupráci s CSIRT.CZ plánováno i na národní úrovni.

Dlužno říci, že i náš tým získal zajímavé nové informace. V Rumunsku je existence Národního týmu  zakotvena v zákoně a na jeho provozu se podílejí například i kmenoví zaměstnanci bezpečnostních sil. Rumunský národní CERT tým se také momentálně ve spolupráci s vládním sektorem pokouší o spuštění vlastního rozsáhlého IDS systému. Také je zajímavé, že registr rumunské národní domény .RO nezobrazuje a ani nepředává žádné údaje o držitelích domén, pokud jsou tito fyzickými osobami. Z pohledu práce CSIRT týmů je toto jasná nevýhoda při řešení incidentů. A zajímavost na závěr – pokud by někdo z vás toužil pracovat v Národním CSIRT týmu Rumunska, pak vězte, že minimálním požadavkem pro práci v tomto týmu je úspěšné složení certifikace Certified Ethical Hacker (CEH).

Pavel Bašta

Pokud se alespoň trochu zajímáte o telekomunikace či ekonomiku, rozhodně vás nemohla minout zpráva o tom, že se v České republice chystá velká aukce volných kmitočtů. Organizátor aukce, Český telekomunikační úřad se nechal slyšet, že očekává, vstup nového operátora na český trh. Velká část komentářů se věnuje tomu, zda-li jsou nastavené podmínky skutečně motivující pro nového hráče a jaké obtíže bude muset případný nový operátor překonávat. Dovolte mi, abych i já přidal jeden aspekt, který zatím alespoň dle mého názoru nikde nebyl diskutován.

Předběžné harmonogramy aukce naznačují, že proces skončí nejdříve na přelomu tohoto roku. Od tohoto okamžiku se případný vítěz pustí do budování nové infrastruktury. A také to bude již několik měsíců poté, co v Evropě dojdou IPv4 adresy. Pokud tedy půjde o nového hráče, který se pokusí dobýt nějaký zajímavý tržní podíl stávající mobilní trojce, dá se předpokládat, že jednou z hlavních služeb bude rychlé připojení na Internet, koneckonců aktuální dokumenty k aukci pokrytí vysokorychlostním Internetem přímo vyžadují. Bude tedy lákat především technicky zdatné uživatele, pro které je stálé internetové připojení jejich chytrého telefonu nutností.

Pro sta tisíce takovýchto uživatelů, ale bude muset nový operátor sehnat IPv4 adresy. Trochu se obávám, že v této době by pouze s IPv6 ještě nevystačil. Ale kde je v roce 2013 vzít, když evropský registr RIPE NCC už bude přidělovat maximálně 1024 adres na operátora, což by nestačilo ani pro Carrier Grade NAT. Samozřejmě můžete namítnout, že zcela jistě nepůjde o úplně novou společnost, která doposud o telekomunikacích ani neslyšela. Takže se dá předpokládat, že již nějaké IP adresy dostala, ale i tak si neumím představit, že by registr RIPE NCC přidělil v posledních pár letech komukoliv větší rozsah IP adres aniž by věděl, že je dotyčný skutečně nespotřebuje v aktuálních projektech.

Jinými slovy nový operátor rozhodně nebude mít na růžích ustláno. Krom problémů s dražením kmitočtů, budování infrastruktury a sháněním nových klientů bude muset i řešit, kde vzít IPv4 adresy. Patrně bude muset provést nákup od někoho, kdo je ještě má. A kolik stojí jedna IPv4 adresa nám nedávno naznačila společnost Microsoft, která kupovala IPv4 adresy po 11 USD. Pokud by se protokol IPv6 rozvíjel rychleji, podobné problémy by nový operátor nemusel řešit. S trochou nadsázky se tak dá říct, že podpora nového protokolu IPv6 je vlastně podporou kompetitivnějšího telekomunikačního trhu.

Pokud vás tyto a související otázky zajímají, dovolte, aby vás pozval na konference IPv6 Day, kterou pořádáme 6.6. v Praze v Národní technické knihovně. Registrace je sice již uzavřena, ale nezoufejte, konference bude on-line vysílána po Internetu na http://www.nic.cz/ipv6day/, takže o možnost sledovat zajímavé přednášky a diskuse nepřijdete.

Ondřej Filip

Minulý týden přijal náš tým CSIRT.CZ zprávu od Lotyšského týmu CERT.LV o masivním DDOS útoku na cíl v jejich zemi.

Při tomto útoku bylo využito již delší dobu známého útoku DNS Amplification attack. Při tomto útoku posílá útočník DNS dotazy se zdrojovou IP adresou nastavenou na adresu oběti útoku. Záměrně se přitom ptá na informace, které způsobí, že odpověď serveru DNS bude mnohonásobně větší, než původní dotaz. Tyto informace však nebudou posílány na adresu útočníka, ale na IP adresu oběti, která si o ně ve skutečnosti vůbec nežádala. Takto může útočník s relativně pomalým připojením zahltit internetové připojení i daleko rychleji připojené oběti. Tento útok umožňují špatně nakonfigurované rekurzivní DNS servery, které jsou nakonfigurovány jako otevřené. To znamená, že takovýto DNS server poskytuje služby nejen uživatelům ve své síti, ale v podstatě celému světu.

Schéma útoku DNS Amplification attack, zdroj: Lupa.cz.

Zajímavé je, že se na tomto útoku podílelo i více jak 170 DNS serverů z České republiky, a to i přes to, že CZ.NIC již dříve vydal varování před tímto způsobem konfigurace DNS serverů. My jsme samozřejmě informace poskytnuté Lotyšským týmem zpracovali a předali je dál jednotlivým správcům nevhodně nakonfigurovaných DNS, kteří, jak doufáme, již touto dobou dělají příslušná protiopatření. Obáváme se však, že se může jednat jen o špičku ledovce a takto špatně nakonfigurovaných DNS serverů může být v naší zemi daleko více. Z tohoto důvodu plánujeme provést analýzu současného stavu, abychom měli jasnější představu o rozměrech tohoto rizika.

Pavel Bašta

V rámci našich osvětových aktivit se snažíme objíždět české střední školy s prezentacemi o internetu a doménách, o DNS a DNSSEC, o mojeID, IDN nebo třeba IPv6. Před několika lety jsme v této souvislosti začali spolupracovat i s Jednotou školskych informatiků, z čehož se po čase zrodila možnost uspořádat takové školení i pro samotné kantory (dostali jsme na něj i akreditaci od MŠMT). První a druhý běh tohoto kurzu se uskutečnil před dvěma lety a na obou dohromady se sešlo ke 40 zájemců, tedy poměrně dost. A tak jsme ho letos oprášili a ve spolupráci s JSI vypsali jeho pokračování. Přeci jen, za dva roky se toho v mnohém dost změnilo.

Jednodenní vzdělávací (čti informativní) kurz pro učitele IT předmětů na gymnáziích, středních a vyšších odborných školách se uskuteční v naší akademii 14. června. Pásmo se bude skládat z přednášek o tom, jak funguje internet, jak je to s doménami a s přechodem na IPv6, co je DNS, DNSSEC, IDN nebo mojeID. Chybět nebude ani část o projektech, které v CZ.NIC pro školy a jejich návštěvníky připravujeme, nebo diskuse na závěr o tom, co by od nás pedagogové uvítali.

Tento kurz je pro pedagogy, a to zdarma. Doporučujeme proto přihlásit se co nejdříve, aby bylo ještě místo. V případě, že se utrhne lavina zájmu a my budeme zahlceni přihláškami (na to se v duchu těšíme :)), vypíšeme samozřejmě náhradní termín. Jestli nás tedy čtete i na školách a tato nabídka vám přijde zajímavá, neváhejte a přihlaste se. Čas máte do 14. května včetně. Pokud máte kolem sebe kolegy, které by to všechno kolem internetu mohlo zajímat, dejte jim vědět nebo je rovnou přihlaste.

A pro vás ostatním, kterým jsou už školní lavice malé. Měli byste o takové jednodenní posezení zájem? Dejte nám vědět v komentářích, jestli se máme myšlence zařadit takový kurz do naší nabídky dále věnovat. Přeci jen, do akademie jsou zvyklí chodit spíše odborníci s praxí. V tomto případě jde jednoznačně o kurz méně odborný.

Aktualizováno 12. dubna 2012:
Protože se tato nabídka setkala s dobrou odezvou, otevřeli jsme ještě jeden běh tohoto kurzu; ten je od dnešního dne vypsaný na 31. května. Pokud mě ale dosud někdo nepředběhl, na 14. června jsou ještě dvě nebo tři místa volná. Zájem účastníků nás velice těší.

Vilém Sládek