CZ.NIC: patnáctiletý (nejen) správce domény

6. 6. 2013
Doba čtení: 12 minut

Sdílet

V rámci nedávné konference Internet a Technologie 13 proběhly také malé oslavy patnáctého výročí existence sdružení CZ.NIC, které je správcem naší národní internetové domény. Při té příležitosti se hovořilo o historii, současnosti, ale také budoucnosti. Ta už zdaleka není svázaná jen s doménou.

Jiří Peterka: 15 let CZ.NICu

Ve čtvrtek 21. května 1998 byla podepsána zakládací listina sdružení CZ.NIC, které se stará o národní doménu. Jiří Peterka nás provedl patnáctiletou historií české domény. V roce 1990 vznikla doména .cs a první registrovanou doménou byla iac.cs (Institute of Applied Cybernetics).

Po rozdělení Československa vznikla 13. ledna 1993 také TLD .cz, která ovšem byla zabydlena až v dubnu 1993. V jednu chvíli vzniklo asi deset domén druhé úrovně, takže se už nedá říct, která byla první, vysvětlil Peterka. Důležité ovšem je, že byla zachována kontinuita správce, protože doménu .cs spravovala stejná organizace jako pozdější .cz.

V té době se za domény ještě neplatilo, protože domén byla zaregistrovaná jen hrstka. Žádné hromadné registrace v té době ještě neexistovaly, počty domén byly velmi nízké. V té době také platila velmi přísná pravidla pro registraci domén. Bylo možné si zaregistrovat jen obchodní jméno nebo značku, ale tím možnosti končily. Soukromá osoba neměla šanci získat třeba doménu podle svého příjmení, vysvětlil Peterka.

Vznikalo ovšem silné pnutí, které bylo způsobeno tím, že správce domény byl zároveň sám jedním z komerčních internetových poskytovatelů. Ostatní měli pocit, že jim se správou nevychází vstříc a není to správně vyvážené. To v roce 1997 vyústilo v rozhodnutí, že by měl správu převzít někdo nový a nezávislý a měl by hospodařit tak, aby nikdo nebyl poškozován. Už tehdy se hovořilo o sdružení, které by se jmenovalo CZ-NIC. Zatím ještě s pomlčkou.

V listopadu roku 1997 došlo také k uvolnění pravidel registrace. Stačilo už jen dodržet jisté technické podmínky, jako funkční DNS servery. Už ale bylo možné registrovat téměř cokoliv. Už vznikaly také jisté představy o ceně domény: 1600 za registraci a první rok provozu a 800 Kč za každý další rok provozu.

Až 21. května 1998 byla podepsána zakladatelská listina sdružení, které založilo šestnáct poskytovatelů připojení, kteří tehdy působili v České republice. Uvědomovali si, že je potřeba řešit správu domény novým způsobem. Původní představa fungování sdružení byla ale úplně jiná. Předpokládalo se, že sdružení bude jen naplňovat vlastnická práva, ale nebude vykonávat související agendy. To bude provádět nějaká jiná servisní organizace. Proběhlo výběrové řízení, které ale vyhrála ta samá organizace, která doménu technicky spravovala původně.

CZ.NIC pak začal doopravdy fungovat v září 1999 a postupně přebíral správu domény .cz. Už tehdy se bojovalo se spekulacemi s doménami. Pomocí plateb, později také speciálních žádostí a nakonec také tím, že registrace proběhla až po zaplacení. Původně byla doména zaregistrovaná ihned a do 78 dnů ji bylo potřeba zaplatit, vysvětlil Peterka systém, který později nahrával spekulacím.

Původně byl CZ.NIC správcem registru i registrátorem. Byla tu ovšem snaha oddělit správu registru od komerčních registrátorů. K tomu nakonec došlo v září 2003. Všichni držitelé domén museli své domény převést od CZ.NIC k některému z nových registrátorů. To také umožnilo poprvé výrazně snížit koncovou cenu domény pro držitele. Vznikla vlastně velkoobchodní cena, za kterou CZ.NIC prodává domény registrátorům. Koncové ceny pak už určují oni. Původní zřizovací poplatek pak byl zrušen 1. ledna 2006 a od té doby platíme už jen roční poplatek.

Později bylo rozhodnuto, že je třeba přejít na registr provozovaný vlastními prostředky. Během roku 2006 se začalo pracovat na vlastním systému FRED, k jehož nasazení došlo v říjnu 2007. To opět umožnilo snížit velkoobchodní cenu ze 400 Kč na 190 Kč. Tím došlo opět ke zrychlení nárůstu registrací. Miliontá doména v TLD .cz pak byla zaregistrovaná v listopadu 2012.

Martin Semrád: milníky NIX.CZ

Výkonný ředitel sdružení NIX.CZ, které je zájmovým sdružením provozujícím hardwarovou platformu pro vzájemné propojení sítí v České republice. NIX je neutrální platforma, kde členové rozhodují o chodu a o tom, co se ve sdružení děje. Martin Semrád přirovnal fungování peeringového centra k funkci aerolinek. Ty přepravují cestující (data), kteří přestupují na neutrální půdě (letišti) mezi různými aerolinkami.

Operátoři se propojují v peeringových centrech, protože jim to umožňuje snížit počet potřebných portů nutných pro propojení. Zároveň to zvyšuje stabilitu služeb a snižuje latence, protože nabízí nejkratší komunikační cesty. Navíc je možné takto snížit náklady na konektivitu. V případě českých firem může jít přes NIX až o 60 % provozu, vysvětlil Semrád.

Historie NIXu začala psát 30. srpna 1996, kdy byla podepsána zakladatelská smlouva. Na první valné hromadě se rozhodovalo o tom, zda se členem stane i SPT Telecom. Mnoho členů bylo ale proti, proto se společnost dostala do NIXu až příští rok, popsal Semrád úvodní problémy sdružení. První peeringový uzel byl spuštěn v únoru 1997 na Žižkovské věži. Primární linky tehdy tvořily bezdrátové spoje, optická síť tehdy ještě nebyla tak dokonalá.

Martin Semrád také zmínil některé milníky z dob života NIX.CZ. Na konci devadesátých let se telekomunikační trh teprve vyvíjel, ale už v roce 2000 bylo propojeno 20 členů rychlostmi od dvou do sta megabitů. Existovaly už také dvě lokality vzájemně propojené 2Gbit přípojkou. V roce 2002 také byla překonána hranice 1 Gbps a o rok později přibyly další dva uzly. Ve stejném roce (2003!) také došlo k implementaci IPv6.

V roce 2005 začal NIX podporovat 10Gbps technologii a provoz během jednoho roku stoupl z 5 Gbps na 10 Gbps. V dalším roce pak došlo opět ke zdvojnásobení provozu na 20 Gbps a o dva roky později na 50 Gbps. V roce 2009 bylo překročeno 100 Gbps a připojeno bylo 94 účastníků. V té době se začíná diskutovat o tom, že současná topologie už nepostačuje. V roce 2010 došlo k přechodu na topologii „dvojité hvězdy“.

V roce 2011 pak byla překonána hranice 200 Gbps a po osmi letech vznikl pátý přípojný bod. V následujícím roce se začala testovat 100GE technologie, která byla do produkce nasazena až letos. V rámci sdružení se také začíná diskutovat o bezpečnosti peeringu, což je důsledek letošních březnových DDoS útoků, uzavřel Semrád.

Ondřej Surý: Laboratoře CZ.NIC a jejich výzkumné projekty

Ondřej Surý ve své přednášce popsal projekty, které v současné době vyvíjí Laboratoře CZ.NIC. Jako první byl zmíněn nástroj DSCng, který slouží jako prezentační nástroj pro monitorování provozu DNS serverů. Přepsali jsme starý DSC z Perlu do Pythonu. Nástroj generuje webové stránky s interaktivními grafy. Je to moderní web, kde si můžete všechno pěkně naklikat a grafy jsou interaktivní.

Dále byl zmíněn DNSSEC Validátor, což je rozšíření do prohlížečů, které nedávno vyšlo ve verzi 2.0.0. Starší verze neprováděly DNSSEC validaci, ale jen kontrolovaly AD bit. Dnes je pomocí knihovny libunbound prováděna validace přímo v rozšíření. To je dostupné pro Google Chrome a Mozilla Firefox.

Dalším projektem je Datovka pro Android, která umožňuje přistupovat do datové schránky z chytrého mobilního zařízení s Androidem. Doplňuje existující portfolio aplikací pro Linux, Windows, OS X a iOS.

Oblíbeným projektem Ondřeje Surého je Knot DNS, který v poslední verzi přinesl dynamické updaty (DDNS), response rate limiting a vylepšil ovládací utilitu knotc. Ta už nekomunikuje pomocí signálů na PID, ale má vlastní protokol. Umí o trochu více věcí, například zjistit stav zóny. Připravovaná verze 1.3.0 zlepší asi o třetinu spotřeba paměti a vymění parser.

Knot DNS by měl v dalších verzích přinést podporu DNSSEC. Chceme, aby to bylo co nejjednodušší pro uživatele, abychom zároveň podpořili DNSSEC. Pracuje se také na společném management protokolu, kterým by bylo možné ovládat všechny různé servery. Utilitou knotc by bylo možné nakonec ovládat třeba i BIND. Tyto novinky by se měly objevit už v letošním roce. Ještě později by Knot měl být schopen fungovat i jako resolver.

Nejnovějším projektem Laboratoří CZ.NIC je projekt vzdělávacích aplikací. Chceme vytvořit společný framework, ve kterém bude možné jednoduše dělat vzdělávací aplikace. Zvolena byla platforma Android, protože je diverzifikovaná a nehrozí u ní takový vendor lock-in. V budoucnu chceme být multiplatformní, aby vše běželo na různých platformách.

Potíž současných aplikací pro tablety je, že drtivá většina je jich v angličtině. Existují jen nějaké knihy a je možné mít v češtině výuku angličtiny, popsal problematickou situaci Surý. Podle jeho slov neexistuje žádný software, ve kterém by mohl učitel vytvořit výukové materiály a žáci by si je pak mohli pustit doma na Androidu, Linuxu, Windows či iOS a ony by vypadaly všude stejně.

Druhým vzdělávacím projektem je Evropa 2045, což je vzdělávací hra, která má za úkol děti naučit principům fungování Evropské unie. Obsah už existuje, takže se můžeme soustředit na vlastní aplikaci. Ta je zatím napsaná ve Flashi a CZ.NIC ji bude portovat pro tablety.

Bedřich Košata: bezpečný router pro domácí uživatele

Bedřich Košata hovořil o velmi zajímavém projektu, který vyvíjí vlastní domácí router. Na začátku přednášky popsal aktuální situaci. Jsou to vlastně zařízení, kterých si za normálních okolností nevšímáme. Pokud fungují, nehlásíme se do nich, neaktualizujeme je. Nedávno jsem potřeboval něco na skříni, kde mám WiFi router a zjistil jsem, že to je úplně jiné zařízení, než jsem čekal. Vzpomněl jsem si, že jsem ho asi před dvěma lety vyměnil.

V této oblasti je možné vylepšit několik klíčových věcí. První z nich je bezpečnost, protože router typicky zapneme a už na něj nesaháme. Uživatelé proto často ignorují aktualizace firmware, nemění hesla a neudržují router v dobré kondici. Router je klíčové zařízení v domácí infrastruktuře a chrání nás. Musíme se o něj starat. Po uživatelích to ovšem nelze chtít, takže je třeba vše zařídit automaticky.

Dalším problémem k řešení jsou moderní technologie, které dnes ještě routery zcela ignorují. Podpora IPv6 není stále ještě běžná a validaci DNSSEC snad neumí žádné zařízení. Málokterý router také zvládne „uroutovat“ 500 Mbps, výkon navíc výrazně padá s počtem firewallových pravidel, NATováním a podobně.

Ideální router tedy podle Košaty obsahuje operační systém se schopností automatických aktualizací, měl by mít zapnutou podporu IPv6 a DNSSEC, měl by nabízet přívětivé uživatelské rozhraní a chránit uživatele před bezpečnostními hrozbami. Na základě těchto úvah vznikl projekt interně nazývaný ‚CZ.NIC router‘.

Navrhované zařízení poběží nad linuxovým operačním systémem OpenWRT. Jde o existující projekt, chceme spolupracovat s komunitou a vracet jí všechny výsledky své práce. OpenWRT už má podporu IPv6 a není problém do něj nainstalovat Unbound pro podporu DNSSEC. Webové rozhraní už také má, ale chceme jít ještě dál, podporovat NETCONF a nabízet třeba i mobilní aplikaci, která vám umožní router sledovat na dálku.

Bezpečnost bude zajištěna jednak automatickými aktualizacemi a bezpečným výchozím nastavením, ale také aktivním monitorovacím systémem. Chceme využít celou síť zapojených routerů pro monitoring. Centrálně se budou vyhodnocovat možné hrozby a k uživatelům se budou zpět vracet údaje pro automatickou úpravu firewallů. Budeme sledovat anomálie v síťovém provozu pomocí statistických metod a budeme dostávat údaje o neúspěšných přístupech do sítě. Pravidla pak budou vytvářena ručně odborníkem, který rozhodne, co je skutečný problém a co jen falešný poplach.

Pro podobné využití bude potřeba zvolit rozumný hardware. Problém je, že běžné krabičky nemají dostatek paměti ani výkonný procesor. Proto jsme se rozhodli vyvinout vlastní hardware. Vznikne tak open hardware vydaný pod otevřenou licencí. V návrhu je zatím dvoujádrový procesor, SO-DIMM slot na DDR3 paměti, pět gigabitových portů a samozřejmě rychlá WiFi. Letos bychom rádi vyrobili tisíc těchto zařízení a oslovili skupinu potenciálních testerů, kteří nám budou poskytovat data.

Tomáš Košňar: technická analýza kyberútoků z března 2013

Tomáš Košňar ze společnosti CESNET se ve své přednášce zabýval technickým rozborem březnových DDoS útoků i tím, jak podobné útoky eliminovat. Cílem útoku byly uživatelsky viditelné a hojně navštěvované zdroje. Útoky probíhaly v pracovní době ve dvou vlnách: od 9 do 11 a od 14 do 16.

První typ útoku používal metodu SYN FLOOD. Jde o velké množství požadavků na otevření spojení. V TCP stacku se vytvoří struktura, která souvisí s otevřením spojení. Podle implementace v operačním systému jde o stovky bajtů v paměti. Jestliže takových požadavků přichází milion za sekundu, dojde rychle k vyčerpání zdrojů.

Řešením jsou takzvané SYN cookies, které údaje potřebné ke spojení neuchovávají v paměti, ale posílají je zpět v odpovědi. Není pak potřeba alokovat v paměti žádnou strukturu, protože jsem zpětně schopen z další odpovědi zjistit, jestli jsem původní paket mohl poslat já.

Druhé schéma využívalo techniku odražení s podvrženou zdrojovou IP adresou cíle, který chceme napadnout. Potvrzení se pak vrací k adrese cíle. K navázání spojení sice nedojde, ale dochází ke zbytečným operacím v TCP stacku. Výhodou je, že dojde k randomizaci zdrojů celého útoku. Úspěšnost útoku závisí na tom, jak je úspěšný samotný odraz. V CESNETu odpovědělo zhruba 10 % oslovených strojů. Asi 6 % komunikaci odmítlo, další 4 % ji přijalo. V obou případech byl ovšem nový paket odeslán k cíli.

Tyto útoky jsou velmi efektivní. Z pohledu síťového operátora jde o neohrožující útoky, protože jde o velmi malé objemy: asi 1 až 1,5 Mbps. Je to věc, která není pro síť žádným bezpečnostním incidentem. Z hlediska poskytovatele služby je situace jiná, protože dochází ke koncentraci do jednoho místa a zpracování údajů už neprobíhá na síťové vrstvě, ale na úrovni TCP stacku.

Dopad takového útoku je drtivý na předřazená zařízení. Tedy na zařízení, která původně měla cíl útoku chránit. Má smysl budovat infrastrukturu schopnou odbavit vyšší počet požadavku než je smysluplné? Podle Košňara nedává smysl stavět řádově výkonnější systém kvůli útokům.

Eliminaci je možné provést na různých úrovních. Například na základě kombinace MAC adres a IP adres je možné určit, zda komunikace přichází ze správného směru. Například zjistím, že komunikace od Seznamu ke mě nikdy nepřijde od ruského poskytovatele.

Na síťové vrstvě je možné rozlišovat jednotlivá síťová rozhraní. Opět je možné filtrovat, zda daným rozhraním může tato komunikace opravdu přijít. Systematičtějším řešením je nasazení reverse path check podle doporučení BCP 38. Mohu odmítnout komunikaci, která nepatří pod prefixy, které mi oznamuje můj partner. Bohužel toto řešení je účinné jen ve chvíli, kdy jej nasadí celý svět. Jediné slabé místo umožňuje injektovat do světového internetu pakety s podvrženou IP adresou.

Na úrovni koncové sítě je nutné spolupracovat se svým síťovým operátorem. Zároveň je možné selektivně filtrovat komunikaci. Když jsem Seznam, můžu odfiltrovat jen provoz ze zahraničí a zůstanu dostupný alespoň českým uživatelům. Další možností je například posouvání cíle útoku po adresním prostoru. Můžu si připravit nízké TTL pro DNS záznamy a v případě útoku můžu posouvat servery napříč adresním prostorem.

U odraženého útoku je třeba spolupracovat s operátorem sítě, která je používaná pro odraz. Jakmile jsou pakety odraženy, jedná se o zcela legitimní provoz. Je nutné tedy zasáhnout v síti ještě před samotným odrazem. Poté už je pozdě, protože TTL, zdrojová i cílová adresa a další údaje v paketech, jsou už legitimní.

bitcoin_skoleni

Bohužel podobných útoků přibývá také díky jejich dobré dostupnosti díky jejich komerčním poskytovatelům. Měli bychom se proto připravit na opakování podobných potíží.

(Foto: Igor Kytka, CZ.NIC)

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.