Kolik ubylo v říjnu?

10.11.

Letošní říjen byl z hlediska alokací poněkud nezvyklým měsícem. Oproti podprůměrnému záři byly říjnové alokace spíše nadprůměrné – spotřebovalo se zhruba 26 miliónů adres. Hlavní událostí byla v současnosti už málo vídaná veliká alokace v Severní Americe. Zdejšímu kabelovému operátorovi Comcast byl přidělen blok 50.128.0.0/9, což odpovídá 8,4 miliónu adres! Díky této alokaci se zásoba volných adres v severoamerickém registru adres snížila na hranici, při které si ARIN obvykle zažádá o nové adresní bloky. Tento fakt ilustruje i následující obrázek převzatý ze stránek Geoffa Hustona.
Volné IP adresy v registru ARIN

V praxi to obvykle funguje tak, že regionální registry nečekají na to, až jim adresy dojdou úplně. Obvykle si zažádají o nové bloky ve chvíli, kdy jejich zásoba klesne pod určitou kritickou mez. Tři největší registry – ARIN, APNIC a RIPE NCC mají tuto hranici na dvou /8 neboli 34 miliónech adres. Africký AfriNIC a jihoamerický LACNIC mají tuto mez vzhledem ke svým velikostem pochopitelně nižší.

No a jak vypadal tradiční pomyslný závod zemí? Je logické, že tentokrát drtivě zvítězily Spojené státy; na říjnových alokacích se podílely 47 %. Až s velkým odstupem je následují Brazílie a Indie s 8% podíly. Trochu nezvyklé je i to, že maličké Irsko obsadilo pátou příčku a požádalo o 1,3 miliónu adres, což odpovídá 5 %. Do TOP 10 se opět dostala i jedna africká země a to v tomto případě Keňa. Situace je vidět na tradičním koláčovém grafu.

zari-top10

A jak vlastně vypadá situace s IPv6? Která země je na nový protokol nejlépe připravena, nebo spíše, která země už alokovala nejvíce IPv6 adres? Následující tabulka ukazuje pořadí jednotlivých zemí v počtu IPv6 alokací větších než /40.

  1. USA – 957
  2. Německo – 339
  3. Japonsko – 287
  4. Velká Británie – 253
  5. Nizozemí – 181
  6. Austrálie – 175
  7. Rusko – 173
  8. Francie – 133
  9. Čína – 123
  10. Kanada – 105
  11. Korea – 97
  12. Švýcarsko – 95
  13. Itálie – 91
  14. Švédsko – 89
  15. Česko – 81
  16. Polsko – 81
  17. Norsko – 75
  18. Rakousko – 73
  19. Nový Zéland – 64
  20. Indonésie – 62
  21. Indie – 60

Jak je vidět, Česká Republika obsadila spolu s Polskem pěkné 15. místo a porazila i takové země jako třeba lidnaté Španělsko, vyspělejší Belgii nebo obrovskou Indii. Jen pro porovnání států V4, Maďaři obsadili 38. místo s 24 alokacemi a Slováci 44 s 16.

Ondřej Filip

Komentáře (1)
Celý článek

Přešli jsme na NSEC3, co z toho vyplývá?

9.11.

Pro ty, kteří dění kolem české domény a DNSSEC pravidelně sledují, není zpráva z titulku jistě žádnou novinkou. Informaci o přechodu na NSEC3 jsme uveřejnili již před více než dvěma měsíci. Proč o tom tedy dnes psát na blogu?

Nedlouho před tím, než byla tato nová technologie nasazena, se na internetu objevil postup, jak „vylistovat“ obsah domény .CZ s pomocí NSEC záznamů. Ty umožňují prokázat neexistenci domény tím, že pro každé existující doménové jméno odkazují na další existující záznam v zóně. NSEC3 řeší právě tuto vlastnost, kterou zmíněný postup využívá.

NSEC3 totiž nepracuje s doménovými jmény samotnými, ale jen s jejich hashovanou podobou a není jej tedy možné pro tzv. „zonewalking“ použít. To se bohužel ještě nedoneslo některým zvědavcům, kteří se stále pokouší doménová jména z NSEC3 záznamů extrahovat. To se projevuje tím, že v provozu autoritativních serverů pro  doménu .CZ se u některých klientů (rekurzivních serverů) objevuje neobvyklé množství dotazů na neexistující domény se jmény jako „ha2022l2fk5ei80alie61h33i4r9vcko.cz.“ či „LJA47DB0JD4B6MEVIS2V2NFIRUJ33971.cz.“. U některých klientů jsou to dokonce desítky dotazů za vteřinu bez přestávky a to po několik týdnů.

Pokud jste tedy zapomněli někde na svém serveru zapnutý „zonewalking“ skript pro NSEC3, ušetříte vašemu počítači i dalším po cestě práci, pokud ho vypnete. Získaný seznam neexistujících domén vám totiž nejspíš k ničemu užitečnému stejně nebude.

Bedřich Košata

Komentáře (3)
Celý článek

ITAR končí

8.11.

V půlce července byla podepsána kořenová zóna a krátce na to jsem si posteskl, že DS záznamy některých domén zůstaly v ITARu a některé se přesunuly do kořenové zóny. Dnes už je situace úplně jiná. ITAR je už téměř prázdný a naopak kořenová zóna se nám utěšeně plní. Snad proto ve čtvrtek IANA oznámila, že ukončuje provoz ITARu. Dle tohoto oznámení budou na konci listopadu vymazány z ITARu všechny záznamy a na začátku příštího roku bude provoz celého adresáře ukončen. Zatím nebylo vydáno žádné podobné prohlášení u dalšího podobného systému, tedy DLV.

Jaké záznamy vlastně ITAR v současnosti ještě obsahuje? Jsou v něm DS záznamy následujících domén: .arpa, .bg, .br, .gov, .nu, .pr, .th, a .tm. Překvapivé je, že DS první jmenované, tedy .arpa, neni v kořenové zóně. Je to poměrně škoda. Tato doména je využívána i třeba pro reverzní DNS zóny či ENUM. Snad se tedy rychle podaří i tuto doménu zmigrovat. Každopádně kořenová zóna v současné chvíli obsahuje 294 domén a podepsaných je z toho 46.

Pokud tedy používáte ITAR, připravte se na jeho vypnutí a buďte bez obav, kořenová zóna vám bude stačit…

Ondřej Filip

Komentáře (0)
Celý článek

Co chystáme o datových schránkách na LinuxAlt?

25.10.

Je to již skoro rok, co byly datové schránky uvedeny do ostrého provozu. Od té doby se mnoho změnilo, jak v samotných datových schránkách (mnozí si jistě pamatují na captchu číhající zákeřně po úspěšném přihlášení heslem), tak na poli dostupného softwaru. V současné době je k dispozici celá řada alternativních řešení, od proprietárních po svobodné, která umožňují práci s datovou schránkou naprosto bez nutnosti používat oficiální webové rozhraní.

Jedním z dostupných nástrojů je aplikace dsgui vyvíjená v našich Laboratořích, se kterou seznámíme návštěvníky v krátké přednášce na letošním LinuxAltu. Protože je ale tato aplikace na světě již nějaký ten pátek, určitě případné zájemce o návštěvu konference potěší, že v rámci stejné přednášky představíme také dva novější produkty, které by měly přispět ke zlepšení možností elektronické komunikace se státní správou na alternativních platformách. První z nich bude klient pro datové schránky pro iPhone, který umožní snadnou a okamžitou kontrolu datové schránky z prostředí tohoto telefonu. Druhou pak multiplatformní prohlížeč a editor elektronických formulářů ve formátu ZFO, které jsou státní správou hojně využívány a které se často používají v kombinaci s datovými schránkami.

Doufáme, že naše přednáška přispěje alespoň malou částí k úspěšnosti letošního LinuxAltu. Budeme se těšit na shledanou v Brně!

Bedřich Košata

Komentáře (0)
Celý článek

Zase kus IP prostoru pryč

19.10.

Nejsou to ani tři měsíce, co jsem referoval o tom, že byl spotřebován další kus adresního prostoru „starého Internetu“. Čtenáři s dobrou pamětí si možná vzpomenou, že tehdy putovaly dva velké adresní bloky (/8) do regionu Asie-Pacifik, nebo-li organizaci APNIC. Zmiňovaný region se podílí největším dílem na současném alokačním tempu a proto nebylo příliš překvapivé, že se včera tato událost opět opakovala a další část adresního prostoru putovala k APNICu. Konkrétně byly přiřazeny bloky 36.0.0.0/8 a 42.0.0.0/8 a zbývá už tedy jen 12 volných bloků velikosti /8 (neboli 16777216 adres) z 256. Nejvyšší registr adres IANA už má tedy v zásobě volné adresy, které odpovídají pouze 4,7 % celkového adresního prostoru. Následující tabulka ukazuje, které bloky jsou ještě volné (zelená barva), které jsou už alokované (červená) a které jsou vyhrazené pro jiné použití (fialová).

Použití /8 bloků

Jak je vidět, zelené barvy už nám mnoho nezbývá a je evidentní, že nebude dlouho trvat a tato tabulka bude kompletně červeno-fialová. Pro milovníky grafů jsem tentokrát připravil obrázek, který ilustruje, jak se vyvíjí rychlost spotřebovávání zmíněných velkých bloků.

Rychlost spotřeby velkých adresních bloků dle let a regionů

Za povšimnutí stojí dvě věci:

  • už zmiňovaná zvyšující se aktivita APNICu (modré sloupečky), která zdaleka převyšuje evropský i severoamerický region.
  • přidělování adresních bloků v dosud neuzavřeném roce 2010 viditelně zrychlilo – to může souviset s tím, že se poskytovatelé služeb snaží co nejvíce předzásobit

Mimochodem, poměrně zajímavý bude konec přidělování těchto bloků. IANA v normální režimu přidělí už jen sedm z těchto dvanácti volných. Je to proto, že poslední přidělování bude speciální. V jeden okamžik totiž každý z pěti regionů dostane po jednom bloku. To je poměrně výhodné pro Afriku, protože tam jeden blok vystačí zhruba na tři roky, naopak je to nevýhodné pro region Asie-Pacifik, který spotřebuje jeden blok přibližně za jeden a půl měsíce. Obzvláště tento region by tedy měl zintenzivnit práce na rozšiřování protokolu IPv6, ani my Evropané ale samozřejmě nemůžeme zůstat v klidu.

Ondřej Filip

Komentáře (13)
Celý článek

Další a další evropské registry se hlásí k DNSSECu

13.10.

Minulý týden proběhlo jedno z pravidelných pracovních setkání, která pořádá organizace CENTR sdružující většinu evropských a několik dalších registrů národních domén.

Tentokrát bylo setkání monotematické a zaměřilo se na výměnu zkušeností s implementací DNSSECu. Kromě registrů, které již DNSSEC zavedený mají – jako například .cz ;-), se prezentovali i ti správci, kteří momentálně spuštění této bezpečnostní technologie zvažují, plánují ho nebo již jsou v procesu realizace.

O stále rostoucím zájmu o tuto technologii vypovídá následující statistika z průzkumu, který CENTR realizoval v průběhu září mezi svými členy (zúčastnilo se ho 31 registrů): do dnešního dne je DNSSEC v plném provozu v sedmi zemích, v částečném pak v dalších pěti; 15 registrů na jeho zavedení pracuje, pouze 4 zbylé zatím v tomto směru nemají žádné plány. Více následující obrázek, který vydá za 1000 slov:

Do konce roku 2010 by tak mělo mít DNSSEC v plném provozu 11 registrů, do konce roku 2011 potom již celkem 27 a před koncem roku 2012 by se jejich počet měl přiblížit třicítce.

Zajímavou částí setkání byl také pohled z druhé strany – pozvání přijali i zástupci registrátorů, kteří prezentovali svůj názor na věc. Z mého pohledu byly zajímavé dva body.

Prvním z nich je to, že DNSSEC, ač je to z velké části technologická a technická záležitost, má být uživatelům prezentován jinak, jednodušeji, spíše marketingově než technicky. Tento pohled naprosto potvrzuje řešení našich registrátorů Active24 a WEB4U (a v posledních dnech i společnosti TELE3), kteří DNSSEC nabídli většině svých zákazníků zdarma jako součást běžné služby.

Druhým zajímavým bodem je potom zjištění, že ze strany státních a zejména pak samosprávných orgánů je zájem jen velmi vlažný. V jednom z vystoupení popisoval zástupce švédského registrátora projekt, v jehož rámci aktivně oslovovali jednotlivé radnice s nabídkou zabezpečit jim zdarma jejich domény. Bohužel se setkali s absolutním nezájmem a odmítáním (zpravidla se zdůvodněním, že radnice žádné zvláštní zabezpečení nepotřebují). A to je Švédsko země s nejdéle fungujícím DNSSECem na světě.

Martin Peterka

Komentáře (2)
Celý článek

Informace o rozhodování pražského Rozhodčího soudu ve sporech o doménová jména

12.10.

Na začátku října vydala Komerční banka tiskovou zprávu, ve které informuje, že získala prostřednictvím sporu vedeného u arbitrážního centra v Praze, doménové jméno komercnibanka.biz.

Tato doména byla zaregistrována na fyzickou osobu v říjnu 2008 a arbitrážní centrum, které spor rozhodovalo, a kterým není nikdo jiný, než Rozhodčí soud při Hospodářské komoře ČR a Agrární komoře ČR, konstatovalo, že došlo ke splnění všech požadavků stanovených UDRP – Komerční banka prokázala, že doména je identická či zaměnitelná s její registrovanou ochrannou známkou, žalovaný nemá žádná práva ani oprávněné zájmy ve vztahu k doménovému jménu, které bylo předmětem žaloby a konečně také, že doména byla zaregistrována ve zlé víře. Rozhodčí soud tak dal žalobci za pravdu ve všech bodech.

Zlá víra žalovaného byla mimochodem prokázána tím, že odmítl obě dvě nabídky na koupi domény, které mu banka učinila (celkem by mě zajímalo, jestli to bylo 150 a 180 tisíc Kč, jak je uvedeno ve skutkovém vylíčení stavu – odst. V rozhodnutí nebo zda KB nabídla 15 a 18 tis. Kč, jak se píše dále v hlavních důvodech rozhodnutí), s odůvodněním, že hodnota domény je na trhu vyšší (takže spíše správně je druhá možnost).

Pro zájemce je celé rozhodnutí k dispozici na stránkách Rozhodčího soudu.

Rozhodčí soud je také sudištěm pro rozhodování sporů o české domény. Od června tohoto roku takové spory probíhají s využitím on-line platformy, která již funguje pro spory vedené podle UDRP, což je případ popsaný výše, a ADR pro .EU. Díky tomu se na stránkách domeny.soud.cz začnou postupně objevovat rozhodnutí i o českých doménách – sporů již bylo podle nového Řádu zahájeno několik, s prvním rozhodčím nálezem se můžete seznámit už nyní.

Zuzana Durajová

Komentáře (5)
Celý článek

Zářijová spotřeba adres

11.10.

Kdo se obával, že se tempo spotřeby nových IPv4 adres v průběhu září dramaticky zrychlí, si teď možná, byť jen trochu, oddychne. Ačkoliv nebylo letošní září z hlediska alokací vyloženě slabé, jednotliví poskytovatelé služeb si vyžádali o trochu méně adres než v prázdninových měsících. Zatímco v červenci a srpnu bylo alokováno 20 a 21 miliónů, září ubralo ze zbývajících adres „pouhých“ 18 miliónů. Rozdíl tři milióny není velký, tempo je to pořád poměrně hrozivé. Navíc si uvědomme, že proces alokace obvykle nějaký čas trvá, RIRy od LIRu požadují dodání různých informací, aby mohly posoudit, zda-li je alokace v pořádku. Takže je možné, že mírnější září bylo právě způsobeno dozvukem prázdnin. Stejně tak v září neproběhla žádná větší alokace nad dva milióny adres.

O největší blok bylo překvapivě zažádáno v Severní Americe a šlo o 1572864 adres pro Frontier Communications Solutions. To je trochu nezvyklé číslo, velikost alokace je v drtivé většině mocnina dvou. Zde tedy byly přiděleny vlastně dva bloky, jeden velikosti 2^20 = 1048576 a druhý velikosti 2^19 = 524288. Zbývající velké alokace nad 1 milión adres jsou s jednou výjimkou tradičně z Asie. Tou výjimkou je blok velikosti 1048576 pro německý T-Mobile.

V září nejvíce alokovala Čína a to zhruba šest miliónů adres následována Spojenými státy s 2,6 milióny a Indií s 2,5 milióny. Do TOP 10 se vešly hned tři Evropské země (Německo, Velká Británie, Ukrajina) plus speciální alokace označované jako EU, které se používají pro organizace, které v rámci evropského regionu působí ve více zemích. Velikost těchto EU alokací byla zhruba půl miliónu adres. Vše je graficky znázorněno na následujícím obrázku.

Pomyslný závod zemí Visegrádské čtyřky jsme v září vedli my Češi se 135168 adresami, to mimochodem stačilo na celkové patnácté místo. Druzí byli Poláci s 34816, třetí Maďaři s 6144 adresami. Slováci se tohoto kola vůbec nezúčastnili neboť nealokovali ani jedinou adresu.

Když už mluvíme o konci IPv4 adres, je jistě namístě ukázat, jaká je situace v IPv6. Jak jsou alespoň z hlediska alokací jednotlivé země V4 připraveny na přechod na nový protokol (v následujících číslech jsou uvedeny jen PA alokace velikosti /32 a větší). Nejvíce IPv6 alokací mají shodně Češi a Poláci, a to 72. Mimochodem obě země alokovaly po dvou blocích v průběhu září. Pokud mám tedy udělat nějaký „rozstřel“, abych mohl určit vítěze, zvolím Poláky, protože dvě jejich alokace jsou větší než standardní /32 a to /28 a /21. Samozřejmě v přepočtu na počet obyvatel je situace opačná. Třetí jsou Maďaři, kteří alokovali 23krát a poslední Slováci s 16 alokacemi. Když se podíváme na počty LIRů v jednotlivých zemích, tak počet alokací je stále ještě nedostatečný. Ale vše se dá pochopitelně ještě dohnat.

Co tedy dodat závěrem? Pohled na známé počítadlo konce IPv4 adres zůstává stále stejně smutný. Člověk nemusí být žádný velký matematik, aby pochopil, že pokud se ze stávajícího koláče volných adres (k dnešnímu dni) zhruba 180 miliónů ukousne každý měsíc zhruba 20 miliónů, tak bude příští rok IANA bez adres a velmi brzy ji budou následovat jednotlivé ostatní RIRy. Jako první pocítí nedostatek adres rychle rostoucí region Asie-Pacifik, což pochopitelně neznamená, že ostatní regiony to vydrží nějak zásadně déle.

Ondřej Filip

Komentáře (1)
Celý článek

Jak vznikají jména?

24.9.

Tentokrát nebudeme pátrat po doménových jménech, jak by se dalo očekávat, ale podíváme se na jména firem. S doménami to ale přeci jen něco společného mít bude – jeden z největších registrátorů domén na světě GoDaddy se prodává a má být nabídnut v aukci. V této souvislosti je zajímavé, jak vlastně vzniklo samo jméno GoDaddy. Zjistíte to z článku o tom, jak vznikla jména některých technologických firem. Dozvíte se tu nejen o tomto případu, ale i o dalších, jako jsou Apple, Google či Yahoo. A pokud by vás zajímaly ještě další názvy, pokračujte sem.

PT

Komentáře (2)
Celý článek

KIDNS – Keys In DNS

13.9.

Technologie DNSSEC je aktuálně nasazována po celém světě. K většímu úspěchu jí ovšem chybí tzv. killer-app. Tj. takové použití DNSSECu, kvůli kterému si jej budou chtít pořídit všichni. Takovou killer-app by se mohly stát standardy ukládání kryptografických dat do DNS, na kterých se pracuje na půdě organizace IETF.

Nejprve bych ovšem krátce zabrousil do historie. Nápad ukládat veřejné části klíčů (nebo jejich otisky) do DNS není nikterak nový. První standard popisující záznam CERT, umožňující ukládat certifikáty do DNS, vytvořili v roce 1999 Olafur Gudmundsson a Donald Eastlake (RFC2538). Tento internetový standard byl v roce 2006 aktualizován Simonem Josefssonem a jeho aktuální podobu naleznete v RFC4398.

Pro SSH vznikl v roce 2006 podobný standard (RFC4255), který je podporován v OpenSSH, ale bohužel je nutné jeho podporu implicitně zapnout. Vytváření šifrovaných tunelů pomocí IPsecu můžete taktéž podpořit informací uloženou v záznamu IPSECKEY (RFC4025) z roku 2005.

Proč tedy zatím nedošlo k masivnějšímu rozšíření používání těchto šikovných pomůcek, jak publikovat veřejné klíče pomocí DNS? Jeden z velkých problémů spočíval v tom, že data, která jste dostali pomocí DNS, nebyla nijak zabezpečena. Tudíž útočník mohl libovolně podvrhnout kryptografický obsah v těchto záznamech.

Naštěstí jsme od té doby ušli dlouhou cestu zakončenou podepsáním kořenové zóny a nyní máme kryptograficky zabezpečený DNS strom, ve kterém můžeme publikovat zabezpečená data. Po počátečním šumu, který vznikl z nadšení z podpisu kořenové zóny, se většina práce naštěstí soustředila okolo IETF. Na posledním setkání IETF 78 v Maastrichtu se na neformálním meetingu (tzv. Bar BoF) potkalo asi 50 zástupců internetové komunity i komerčních firem, které tato problematika zajímá, a dohodli jsme se na postupu směřujícímu k vytvoření regulérní pracovní skupiny (WG) v rámci IETF. Po počátečních průtazích s vytvořením poštovní konference vznikl mailing list keyassure (archiv konference), ve kterém probíhá živá debata nad několika I-D, které vznikly na základě počátečního impulsu.

Aktuálně jsme společně s Warrenem Kumarim z Google vytvořili návrh zakládací listiny pracovní skupiny (za přispění diskutérů v poštovní konferenci) a poslali jsme žádost na vytvoření pracovní skupiny KIDNS (Keys In DNS). Původní záměr byl uspořádat formální BoF setkání na IETF 79 v Pekingu, viz seznam BoF, ale na základě diskuze v konferenci vyplynulo, že BoF již pro vytvoření pracovní skupiny není zapotřebí.

A co se tedy jedná? Pokud chcete provozovat web přes HTTPS (případně mít zabezpečený poštovní protokol – SMTP, IMAP, POP3), tak máte v zásadě jen jednu možnost, jak toto provést tak, aby se certifikát jevil jako důvěryhodný – a to pořídit jej u některé z certifikačních autorit, které jsou považovány za natolik bezpečné, že byli výrobci prohlížečů zařazeny do implicitního seznamu certifikačních autorit. Jak už to ovšem bývá, tak ne všechny certifikační autority jsou stejně bezpečné a bezpečnost je vždy tak silná, jako její nejslabší článek. Běžná praxe u DV (Domain Validated) certifikátů je dnes taková, že ověření validity žádosti je provedeno na základě toho, že jste schopni přijímat e-maily na doméně, pro kterou žádáte certifikát. Jinými slovy vám stačí ovládnout MX záznamy pro směřování pošty a odchytit ty správné e-maily, abyste byli schopni vytvořit certifikát pro konkrétní doménové jméno. Certifikační autority sice poskytují i certifikáty s vyšší úrovní zabezpečení tzv. EV (Extended Validation), ale ruku na srdce, kolik z vás by si všimlo, že se zabezpečení změnilo z EV na DV certifikát. A jak velké by to bylo procento z vašich přátel, rodičů, atp., kteří nejsou obdařeni bezpečnostní paranoiou jako vy.

Úkoly jsou před námi dva:

  1. Umožnit validaci libovolných certifikátů, tedy i self-signed, pomocí záznamu v DNS
  2. Umožnit ověření, že použitý certifikát je pravý a vlastník doménového jména jej zamýšlel použít. To je výrazné vylepšení i pro EV certifikáty.

V obou dvou případech bude nutné záznamy zabezpečit pomocí DNSSECu, aby bylo možné ověřit validitu dat, která klient dostane z DNS.

Na závěr bych uvedl seznam čtení na dlouhé noci, tedy I-D, které zatím v pracovní skupině vznikly:

A na úplný závěr bych vás, pokud vás tato problematika oslovuje, rád pozval do poštovní konference a snad již brzy vzniklé pracovní skupiny KIDNS.

Ondřej Surý

Komentáře (1)
Celý článek