Facebook na konferenci Google IPv6 Implementors, která proběhla 10. června 2010 v Mountain View, ohlásil experimentální podporu protokolu IPv6 na dedikované doméně.
Netrpěliví z vás mohou rovnou vyzkoušet následující odkaz: www.v6.facebook.com, který směřuje na IP adresu: 2620:0:1cfe:face:b00c::3 (alespoň ze sítě CZ.NICu). V provozu je také mobilní varianta, kterou naleznete na adrese m.v6.facebook.com.
Z prezentace vyplývá, že Facebook rozběhl dva projekty – Chicago a Cakewalk.
Projekt Chicago měl za úkol beze změn na serverech a s minimálními změnami v produkční síti rozběhnout podporu pro IPv6 protokol. Tato podpora byla implementována pomocí IPv6 load-balanceru, který příchozí provoz na IPv6 adresách rozděluje na IPv4 adresy serverů. Výsledek můžete vidět na již zmíněných URL.
Facebook ale šel dále a v rámci projektu Cakewalk implementoval také podporu pro zbrusu nový protokol LISP (Locator/ID Separation Protocol), který zatím nebyl plně standardizován a je ve stádiu draftů (I-D). Protokol LISP by měl sloužit k rozdělení dvou funkcí, ke kterým nyní slouží IP adresa: a) umístění v síti – tedy jak dostat paket z jednoho místa na druhé, b) identifikátor toho, kdo jste. Nebudu zabíhat do detailů, o tom si můžeme povědět někdy příště.
Každopádně si můžete vyzkoušet i podporu pro protokol LISP a to na adrese: www.lisp6.facebook.com (IPv6 adresa: 2610:d0:face::9). Nicméně vzhledem k tomu, že protokol LISP by měl být transparentní, tak byste neměli pozorovat žádný rozdíl :)
Jen tak mimochodem povšimněte si hříčky se slovem „face“ v IPv6 adrese :-D. Další podobné slovní hříčky v hexadecimálním zápisu jsou k nalezení ve Wikipedii. Do komentářů se pak můžete podělit o nápady, jaké slova se dají zakódovat v češtině a vnést trochu českého humoru do IPv6 adresování. Nejvtipnější IPv6 adresy odměníme malým dárkem (tímto se pasuji na samozvaného a jediného porotce). Konec mikrosoutěže vyhlašuji na letní slunovrat.
Ondřej Surý
Řešení sporů o domény u Rozhodčího soudu v novém
Již příští týden nabude účinnosti nový Řád pro řešení sporů o domény .cz vydaný Rozhodčím soudem při Hospodářské komoře České republiky a Agrární komoře České republiky, na jehož přípravě se sdružení CZ.NIC podílelo. Tento Řád, jehož plné znění je k dispozici na internetové adrese soudu, přináší hned několik poměrně zásadních změn.
Tou první je využití on-line platformy, která je používána pro spory o doménová jména .eu. Spory o české domény jsou řešeny v on-line řízení již od r. 2007, ale platforma pro spory .eu řízení oběma stranám zjednoduší a zpřehlední.
Další zásadní změnou je možnost strany určit si, že spor nebude rozhodován pouze jedním rozhodcem, ale třemi (za předpokladu, že ponese zvýšené náklady s tím spojené a druhá strana s tím bude souhlasit). Doposud to v on-line řízení mohl být pouze jeden rozhodce určený předsedou RS.
Třetí a možná nejdůležitější je pevná sazba poplatku za řízení. Až doteď byl poplatek určován pro spory o domény stejně jako pro jiné typy majetkových sporů a to procentní sazbou z hodnoty předmětu sporu, což bylo min. 7 tis. Kč, max. 1 mil. Kč. Asi Vás nepřekvapí, že stanovit hodnotu domény není vždy (vlastně spíše většinou) úplně jednoduché, nepředvídatelnost výše soudního poplatku působila nejistotu a byla pravděpodobně nejsilnějším argumentem, proč rozhodčí řízení jako způsob řešení sporu o doménu .cz nepoužít. Tomu už bude konec, protože společně s novým Řádem platí nový sazebník – sazby za vedení sporu budou, podobně jako v případě sporů o domény .eu, zohledňovat počet doménových jmen, o která se strany spoří a též počet rozhodců, kteří budou v daném sporu rozhodovat. Tím se náklady na řízení stávají skutečně transparentními a žalobci budou ušetřeni nepříjemných překvapení, jež mohl dříve přinést odlišný názor rozhodce na hodnotu sporu, tedy domény proti názoru žalobce v podaném žalobním návrhu. Sazebník je k dispozici na internetové adrese Rozhodčího soudu.
Pochopitelně Vám přeji, abyste se o Vaši doménu soudit nemuseli. Pokud by taková situace přesto nastala, věřím, že tyto změny posílí důvěru a zvýší zájem o rozhodčí řízení jako kvalitní, důvěryhodný, rychlý a efektivní způsob řešení sporů o domény .cz.
Zuzana Durajová
Výsledky testování podpisu kořenové zóny
Americký úřad NTIA (obdoba našeho ČTÚ), podobně jako minulý rok při rozhodování zda-li podepsat či nepodepsat kořenovou zónu, vyzval veřejnost, aby komentovali finální zprávu o testování podpisu kořenové zóny.
Tato zpráva byla připravena organizací ICANN a společností VeriSign, tedy hlavními autory současného systému podpisu kořenové zóny, který byl testován. Dokument shrnuje závěry z testování a konstatuje, že při testování nebyly identifikovány žádné škodlivé jevy, které by bránily nasazení systému do produkce. Na základě toho doporučuje pokračovat v implementaci a žádá úřad NTIA o autorizaci.
Rád bych uvedl pár zajímavostí ze zprávy, především v bodech, kde nebyl nahlášen úplný úspěch:
- Kořenové nameservery sbíraly data z tzv. priming dotazů. Toho sběru dat se nezúčastnil server B.
- V určitých časových okamžicích probíhal sběr veškerého provozu na kořenové nameservery. Plný sběr dat ze všech nameserverů se povedl pouze u posledních dvou časových oken.
- Proces testování SKR (Signed Key Response – ruční schvalování klíčů) pověřenou osobou z NTIA nebyl dokončen. V průběhu implementace došlo k zesílení bezpečnosti a pověřená osoba bude SKR autorizovat přihlášením přes certifikát na kartě. Tento proces byl pouze vyzkoušen technickým týmem Verisignu.
- Nebylo otestováno porušení tzv. tamper pojistky v HSM (Hardware Security Module). Panuje dostatečná důvěra, že tyto testy byly provedeny při certifikaci FIPS 140. Porušením tamper pojistky dochází ke znehodnocení materiálu uvnitř HSM, případně celého HSM.
- V době publikace této zprávy nebylo dokončeno testování změny DS záznamů. Panuje však shoda, že změna DS záznamů není odlišná od změny jiných záznamů v kořenové zóně a tudíž bude testování úspěšné.
Rád bych na tomto místě a tomto blogu zdůraznil, že celý tým, který měl na starosti odvedl výbornou práci a rád bych tímto poděkoval následujícím lidem:
Joe Abley (ICANN), Mehmet Akcin (ICANN), David Blacka (VeriSign), David Conrad (ICANN), Richard Lamb (ICANN/IANA), Matt Larson (VeriSign), Fredrik Ljunggren (Kirei AB), Dave Knight (ICANN), Tomofumi Okubo (Verisign), Jakob Schlyter (Kirei AB), Duane Wessels (Verisign)
V tuto chvíli zbývá ke spuštění podpisu kořenové zóny už jen pár krůčků. Jedním z nich je vygenerování KSK klíčů, které proběhne příští týden ve středu 16. června 2010 na východním pobřeží (Culpeper, VA). Druhá KSK ceremonie se bude konat 12. července 2010 na západním pobřeží (El Segundo, CA). Následně musí proběhnout oficiální předání DS klíčů mezi TLD operátory a ICANN/IANA. Tento krok bude zatím neviditelný, ale bude zapotřebí, aby ve chvíli spuštění podepsané kořenové zóny do ostrého provozu již kořenová zóna již tyto DS záznamy obsahovala.
Posledním nejdůležitějším krokem bude publikace validních klíčů a správných podpisů, tedy ostré spuštění do produkčního provozu. Tento krok by se měl stát 15. července 2010. A i když mám plnou důvěru k tomu, že vše klapne naprosto hladce, tak stejně držte palce. Jedná se o nejdůležitější změnu v historii v systému DNS od jeho vzniku.
Ondřej Surý
P.S.: Dovolím si na závěr ještě jedno upozornění. Kořenová zóna bude používat algoritmus RSA-SHA256, který je podporován pouze v novějších verzích DNS serveru Bind. Konkrétně 9.6.2-P1 nebo vyšší (nicméně doporučuji nejnovější 9.6-ESV-R1), nebo 9.7.0-P2 (nebo vyšší, v tuto chvíli je již dostupná verze 9.7.1rc1 – tedy kandidát na vydání).
Vládní aktivity v oblasti kybernetické bezpečnosti
Vláda na svém zasedání v předposledním květnovém týdnu, na základě návrhu Ministerstva vnitra, zřídila Meziresortní koordinační radu pro oblast kybernetické bezpečnosti a schválila její statut.
Podle oficiální zprávy, která byla k návrhu statutu vydána, má být zřízení koordinační rady nástrojem pro podporu výkonu koordinační role Ministerstva vnitra v oblasti kybernetické bezpečnosti, která vyžaduje součinnost dalších ústředních orgánů státní správy a dalších subjektů. Jednání rady, jejíž první setkání se má uskutečnit relativně velmi brzy, nejpozději do konce srpna, se budou účastnit nejen Ministerstvo vnitra, ale také zástupci policie, Ministerstva obrany, zahraničních věcí, financí, průmyslu a obchodu, dopravy, ale i BIS, České národní banky a pochopitelně ČTÚ. Přizváni mohou být také externí odborníci.
Zřízení této rady je součástí širšího zájmu státu o kybernetickou bezpečnost, a bylo schváleno vládou už v březnu tohoto roku. Do poloviny prosince by pak MV mělo vládě předložit strategii pro oblast kybernetické bezpečnosti a co je důležité, nejpozději do konce tohoto roku zahájit zajišťování provozu vládního (národního) pracoviště CSIRT. Modelové pracoviště již od r. 2008, v rámci grantu MV, obsluhují pracovníci sdružení CESNET. Sdružení CZ.NIC, které provozuje CSIRT tým zodpovědný za řešení incidentů v rámci AS25192 a incidentů dotýkajících se nameserverů pro domény .cz a ENUM, se aktivně účastní pracovních setkání, které se provozu národního CSIRTu týkají.
Zuzana Durajová
A zase o dva méně
Pozorní lidé si možná všimli, že počitadlo na stránkách Geoffa Hustona ukazuje, že volný adresní prostor se zmenšil o další procentní bod. Ještě včera ukazovalo 7 % a dnes je to již jen 6 %. Důvod je poměrně jednoduchý. Zhruba před měsícem jsem referoval, že dva velké adresní bloky byly přiděleny evropskému RIPE NCC a včera naopak dva velké bloky 177.0.0.0/8 a 181.0.0.0/8 (dohromady cca 33 miliónů adres) putovaly k LACNICu do Latinské Ameriky. Takovýchto volných bloků už je jenom 16, tedy pouze zhruba tři na každý geografický region. A to jak vidno mnoho není, počitadlo nám dnes říká, že lidé, kteří v IANA přidělují IPv4 adresy nebudou mít na konci příštích prázdnin co na práci.
Ondřej Filip
O IPv6 ze všech úhlů pohledu
Přesně za týden to bude rok, kdy česká vláda vydala usnesení číslo 727. O tomto důležitém dokumentu informoval kolega Ondřej Filip na tomto blogu několik dnů po jeho schválení. Já se k němu v tuto chvíli vracím především proto, že přesně 8. června, tedy v den jeho prvního výročí, proběhne druhý den konference Internet a Technologie 10. Že vám toto spojení nedává smysl? Bez dalších informací ani nemůže.
Na 8. června jsme totiž do programu naší konference zařadili dva bloky věnované IPv6. Tomuto tématu jsme se tentokrát rozhodli věnovat nejvíce a to z několika důvodů. Jedním z nich je třeba ono zmíněné výročí, druhým, podstatně důležitějším důvodem je fakt, že konec IPv4 se podle všeho opravdu blíží; počítadla už nějaký ten pátek ukazují konstantní datum, kdy k vyčerpání bloků IP adres verze čtyři s největší pravděpodobnosti skutečně dojde.
V rámci všech konferencí Internet a Technologie (IT 08 a IT 09) jsme se IPv4 a IPv6 dotkli minimálně jedním příspěvkem. Letos je to hned příspěvků několik, přičemž jedním z nich je také panelová diskuse se zástupci všech zainteresovaných společností a institucí, jichž se přechod na IPv6 výrazně týká. Mezi panelisty bude vedle zástupce ISP, poskytovatele internetového obsahu nebo výrobce hardwaru také zástupce státu, konkrétně Ministerstva průmyslu a obchodu České republiky, kterého se na průběh zavádění IPv6 v rámci státní správy můžete zeptat.
Vilém Sládek
Další ocenění pro CZ.NIC
Snad mi laskaví čtenáři toho blogu odpustí, když si dovolím nás trochu pochválit. Po nedávném vyznamenání za projekt BIRD jsme totiž byli oceněni i za naši práci v oblasti DNSSEC. Než se ale dostanu k věci, dovolte mi trochu teorie. Nedávno proběhl finální výběr kandidátů pro funkci TCR (Trusted Community Representatives). Tito důvěryhodní zástupci komunity budou jednak dohlížet nad procesem podpisu kořenové zóny a jednak budou mít v držení kousky klíče, které bude možné použít pro obnovení provozu v případě kompletní havárie.
První funkce byla pojmenována Crypto Officer (CO); těch je sedm pro každou lokalitu, tedy celkem 14. Tito Crypto Officers (minimálně dva) se budou účastnit aktivace HSM (Hardware Security Module), ve kterém je uložena soukromá část KSK klíče. Každý Crypto Officer bude mít v držení klíč k trezoru, kde jsou uloženy přístupové údaje k HSM. Počáteční funkce CO bude pouze dočasná pro první inicializaci HSM modulu. Pokud se dotyčný ve funkci osvědčí, bude s velkou pravděpodobností zvolen pro celý další rok.
Druhá funkce byla nazvána Recovery Key Share Holders; těchto RKSH je přesně sedm. Tito lidé budou mít v držení část klíče, pomocí kterého bude možné obnovit zálohu HSM modulu v případě havárie. Každý RKSH dostane Smart Card – kartu, kterou uloží na bezpečné místo. V případě kompletní havárie HSM se budou muset sejít tito držitelé (pět ze sedmi) a společně obnovit chod HSM zařízení ze zálohy.
No a v čem je to ocenění pro nás? Jedním z těchto důvěryhodných zástupců komunity (konkrétně Recovery Key Share Holder) se stal Ondřej Surý, vedoucí laboratoří CZ.NIC. To je rozhodně skvělá zpráva a právě ono ocenění CZ.NICu i osobně Ondřeje za usilovnou práci na projektech spojených s DNSSECem.
Nyní už jen zbývá doufat, aby trochu opožděný podpis kořenové zóny dopadl dle plánu. Zástupce CZ.NICu bude rozhodně u toho.
Ondřej Filip
DNSSEC nechutná firewallu ESET Smart Security
Kolegové z provozního oddělení mě upozornili, že narazili na zajímavý problém. V případě, že je v programu ESET Smart Security zapnutý osobní firewall, nefunguje náš doplněk do prohlížeče Mozilla Firefox – DNSSEC Validátor. ESET Smart Security kontroluje obsah DNS zpráv a v případě podezřelého obsahu je taková DNS zpráva zablokována. Bohužel v tomto případě je firewall naprogramován příliš restriktivně a blokuje i naprosto korektní DNS zprávy, které obsahují DNSSEC informace.
Nicméně je velmi pozitivní, a chtěl bych to zdůraznit, že výrobce ESET Smart Security přistoupil k problému velmi zodpovědně a proaktivně; nechal si zaslat blokující komunikaci a v některé z dalších verzí bude tato chyba odstraněna. Kéž by se takto chovali všichni výrobci zařízení, která pracují s DNS.
Mezitím než bude blokování DNSSECu opraveno, můžete jako prozatímní opatření vložit IP adresy DNS serverů do konfigurační volby „Adresy vyloučené z aktivní ochrany IDS“ v editoru pravidel a zón.
Na závěr bych dodal, že při implementaci striktních kontrol libovolného protokolu je zapotřebí sledovat nejen nejběžnější chování tohoto protokolu, ale aktivně vyhledávat informace o možnostech protokolu a také sledovat aktuální vývoj (v případě protokolu DNS to znamená pracovní skupinu dnsext a dnsop organizace IETF).
Ondřej Surý
Všechno, co jste kdy chtěli vědět o doménách (ale báli jste se zeptat)
Na základě informací uvedených v registru domén lze vygenerovat spoustu zajímavých dat nejen o doménách samotných, jejich držitelích apod. Je možné poohlédnout se po tom, jaký obsah je na webových stránkách v příslušných doménách, kolik domén je připraveno na přechod na nový protokol IPv6 či jaké jsou tržní podíly serverového software. Tržní podíly webových serverů poskytujících domény .cz následují jako malá ochutnávka tzv. Domain Reportu, který jsme se rozhodli pravidelně připravovat.
Celý Domain Report s mnoha dalšími statistikami za minulý rok 2009 si můžete stáhnout ve formátu PDF: DOMAIN REPORT 2009 CZ [836 kB].
PT
Publikace podepsané kořenové zóny posunuta
Joe Abley včera informoval komunitu, že se změnily plány podpisu kořenové zóny. Poslední fáze, která obsahuje publikaci kořenové zóny podepsané reálným klíčem, byla posunuta z 1. července 2010 na 15. červenec 2010. Tyto dva týdny budou využity na další studium publikování DURZ (viz úvod) podepsané kořenové zóny.
Dalším naplánovaným krokem k podpisu kořenové zóny bude první ceremonie podpisu klíčů, která proběhne 16. června 2010 v USA ve městě Culpeper. Pro ty z vás, kdo stejně jako já netušíte, kde takový Culpeper leží, tak je to kousek od Washingtonu DC.
Ondřej Surý