Jak blízko jsme rozštěpení internetu? Má smysl na něm blokovat obsah?

31. 8. 2022
Doba čtení: 10 minut

Sdílet

 Autor: Roman Prachař
V Brně proběhlo třetí setkání komunity českých a slovenských správců sítí CSNOG. Druhý den se hovořilo především o automatizované správě sítí a blokování obsahu na internetu.

Tomáš Kubina: NETCONF vs. gNMI

Protokol NETCONF je tu s námi od roku 2006 a jeho úlohou je nabídnout aplikační rozhraní pro síťové zařízení, aby bylo možné jej snadno spravovat. Jde o získání a nastavení aktuálního stavu síťového prvku. Dobré na něm je, že nemusíme získat všechny údaje najednou, ale nabízí filtrování. Specifikujeme, co chceme a dostaneme vyžádané informace.

Je postavený na principu vzdáleného volání procedur (RPC). Tato volání jsou kódovaná v XML a samotný protokol je primárně transportovaný přes SSH. Dočetl jsem se, že je možné používat TLS, ale nezkoušel jsem to. Standardní operace by měly být široce podporované, ale je potřeba to vždy ověřit.

Autor: Roman Prachař

Protokol gNMI vznikl v roce 2015 a stojí za ním iniciativa OpenConfig. Uživatelé síťových zařízení se dohodli, že vytvoří protokol, který bude použitelný napříč síťovými prvky. Je postaven na frameworku gRPC, nad kterým je připravená specifikaci pro potřeby síťového světa. Podobně jako NETCONF má i gNMI za úkol zpřístupnit rozhraní pro správu síťového prvku.

Výhodou gNMI je, že je lépe zakódovatelný do binárního formátu, což má pozitivní dopad na rychlost a množství přenášení dat. Pokud použijete gNMI, přenáší se až čtyřikrát méně dat než u NETCONF. Čím se přenáší dat více, tím více se projeví efektivita přenosu. Podobně je to s časem odezvy. Pro přenos zpráv je tu použit protokol HTTP/2 včetně šifrování TLS.

Alexander Zubkov: automatická aktualizace prefix listů

Když konfigurujeme BGP, musíme nastavit filtrování, aby nedocházelo například k únosům. Častou metodou je filtrace pomocí seznamu prefixů, kde můžeme použít explicitní seznam nebo používat data generovaná z registru. Chceme data generovat pravidelně, a proto to musíme dělat pravidelně. Příklad je možné najít na GitLabu.

Qrator Labs provozuje desítky směrovacích uzlů na Linuxu pomocí démona BIRD. Data pro filtraci se pak generují automaticky pomocí Ansible. Je potřeba stahovat AS sety, generovat konfiguraci pro BIRD a poslat mu rozkaz, aby novou konfiguraci použil.

Autor: Roman Prachař

Celé řešení je postavené na třech komponentách: Ansible, Plag HTTP a skriptech updatefilter, které dělají různé práce přímo na serverech. V seznamu prefixů je možné nastavit explicitní hodnoty a pak také dynamické komponenty, které jsou automaticky konfigurované. Seznamy je možné získat pomocí nástroje bgpq4 , který ukládá informace do keše, aby každý server nezatěžoval servery registrátora. Máme privátní HTTP API implementované pomocí Nginx, kde je možné si prefixy vyžádat.

Jaroslav Zdeněk: správa sítí od studentů pro studenty

Silicon Hill je největší studenty spravovaná síť v Česku, která existuje od roku 1993. Síť na Strahově má 3000 členů. Známe větší sítě v Německu, ale v Česku druhá taková není. Síť má 5000 přístupových gigabitovách portů, ale uživatelé mají čím dál víc zájem jen o Wi-Fi. Teď jsme dokoupili více než sto nových AP a přes prázdniny budeme rozšiřovat bezdrátovou síť.

Síť je velmi rozsáhlá, přístupových přepínačů je 120, jádro pak tvoří dva přepínače C9500. Naše primární konektivita je přes ČVUT do sítě CESNET. Máme také záložní konektivitu, kterou jsme vloni zdvojnásobili. Logickou topologii sítě tvoří asi 90 VLAN, které obsluhuje jeden router Catalyst 9500. Síť je postavena na veřejných IPv4 adresách a podporujeme i IPv6.

Členové mají fixní IPv4 i IPv6 adresy s identifikací dle MAC adresy. Šestkové adresy jsou přidělovány pomocí DHCPy6d, což znamená, že server musí být ve všech uživatelských VLAN. Modernějším řešením je RFC 6939, které umožňuje do požadavku přibalit také MAC adresu. Máme to vyzkoušené, z DHCP serverů to podporuje minimálně ISC Kea.

Autor: Roman Prachař

Wi-Fi síť využívá privátní IPv4 adresy a veřejné IPv6. Kvůli Androidu není možné použít DHCPv6, takže se adresy musejí přidělovat pomocí SLAAC a o pořádek se stará 802.1X. Máme vyzkoušeno, že jakmile si uživatel nastaví statickou IPv6 adresu a přijde první paket, letí okamžitě informace do RADIUS serveru. Přibývá také uživatelů, kteří chtějí k Wi-Fi připojit nejrůznější IoT zařízení, což na Strahově vyřešili pomocí MPSK a iPSK.

Strahovské koleje se za třicet let posunuly od koaxiálního kabelu až k FTTr, kdy někteří uživatelé mají možnost připojit si v pokoji koncové zařízení optikou až rychlostí 10GE. Není to ani proto, že by někdo potřeboval takovou rychlost připojení do světa, ale někteří členové pracují v AVC a potřebují třeba stříhat video ve vysoké kvalitě.

Protože jde o studentskou síť, je potřeba evidovat jednotlivé členy platící členské příspěvky. K tomu slouží informační systém, který se zabývá konfigurací sítě, přidělováním adres jednotlivým zařízením, detekcí portu a identifikací člena z IP adresy. Všichni mají přidělené IP adresy, takže hned víme, kdo to je a můžeme mu tak třeba při přihlášení hned vyplnit uživatelské jméno.

Alexander Isavnin: blokovat či neblokovat?

Ruská federace má velké zkušenosti s blokováním nepohodlného obsahu. Letos oslavíme deset let od implementace nových zákonů o blokování. Rusko předstírá, že je západním typem demokracie, takže všechny cenzorní zásahy jsou prováděny podle zákona. Putin je z hlediska svého vzdělání právníkem.

Na začátku byla na blokování obsahu připravována veřejnost kauzami jako Modrá velryba, kdy se začali občané ptát, kdo bude chránit děti před podobnými hrozbami. Vše bylo připraveno pro blokování obsahu ve jménu ochrany a bezpečnosti našich dětí.

Prvním krokem mělo být označení obsahu za závadný, regulační úřad Roskomnadzor se měl snažit kontaktovat provozovatele s požadavkem na odstranění. Pokud by k němu nedošlo, byly by metainformace předány operátorovi, který by blokaci provedl. Slovo blokace bylo v celém byrokratickém procesu od začátku.

Po deseti letech je možné tento systém zpětně hodnotit. Je tohle blokování efektivní? Podle statistik rozhodně ne. Počet dětských sebevražd roste, stejně jako počet lidí vězněných kvůli drogám. Z hlediska počtu blokovaných zdrojů je to velmi efektivní, za rok je blokováno 25 tisíc zdrojů navádějících k sebevraždám.

Blokovaných témat postupně přibývá: porušení autorského zákona, teroristická propaganda, mnohem více informací nebezpečných pro děti, online prodej alkoholu, gambling a další. Rusko má druhou agendu, kterou se tím snaží sledovat. Prvními blokovanými teroristy nakonec byli Kasparov a Navalny. Blokování namířené proti nim ale také není efektivní.

Hlavním efektem blokování tedy je, že zavádí povinnosti pro operátory, kteří jsou nyní za blokování zodpovědní a přibývají jim další cíle: vyhledávače, agregátory zpráv, nejrůznější VPN, komunikátory a podobně. Internet je tedy v Rusku silně regulovaný prostřednictvím operátorů. Sítě jsou přísně hlídány a hrozí jim vysoké pokuty, přičemž není přesně určeno, jak blokovat a jak má celý systém fungovat.

Pro obě strany tak vzniká prostor pro zneužití. Vznikají tak zdroje s provokativními tématy, informace o obcházení jsou také považovány za ilegální, k provokativním doménovým jménům jsou přidávány dlouhé seznamy IP adres, které jsou pak zablokovány a podobně. Byl také zablokován Telegram ve jménu likvidace teroristické propagandy.

Z technického hlediska blokování také nefunguje, skutečně problémové zdroje se dokáží rychle přesouvat jinam. Výsledkem jsou tedy jen vedlejší škody, nejrůznější selhání a vysoká zátěž sítě. Odborná technická komunita se to snaží vysvětlovat, ale je ignorována.

V České republice je blokován jen obsah dvojího typu: gambling a ilegální prodej léků. Seznamy jsou velmi krátké a jsou otevřené. Zatím nemáme žádné skutečné vynucování ani zodpovědnost na straně operátorů. Jste zatím jen na začátku toho, co se stalo v Rusku. Co začalo ve jménu ochrany dětí je nyní v Rusku zneužíváno k masivní cenzuře na všech frontách.

Dmitry Kohmanyuk: hostování ukrajinské domény v CZ.NIC

Ukrajinská doména zaznamenala příznaky krize už 15. ledna, kdy přišel velký DDoS útok na autoritativní servery. Způsobilo to výpadek části interní infrastruktury, což zastavilo aktualizaci v zóně. Byla to malá krize, která je vždycky dobrá, protože vás připraví na velkou krizi.

Poté začal útok na Kijev a bylo potřeba se připravit na další problémy. Prioritou bylo zajistit bezpečnost lidí, poté dat a služeb a zajistit financování. Bylo potřeba také provést změny v infrastruktuře, která byla do té doby umístěna pouze na území Ukrajiny. Rozhodli jsme se přesunout nebo duplikovat nejdůležitější části, aby byly zálohovány i v zahraničí.

Velkým problémem byla také bezpečnost lidí, kteří byli v mnoha případech evakuování nebo jsou v nebezpečí života. Můžete zajistit techniku, ale velmi špatně se pracuje s rizikem, kdy některý člen může být unesen a například donucen vyzradit přístupové údaje. Naštěstí se to zatím nestalo, ale to nebezpečí tu je.

Autor: Roman Prachař

Poučení zní, že kromě dobrého návrhu počítačové sítě je potřeba budovat také lidskou síť. Velmi důležité je setkávání s lidmi, navštěvování konferencí a osobní kontakty. Ti lidé vám pak mohou v kritické situaci pomoci. Pokud vás někdo zná delší dobu, pravděpodobně vám pomůže, často i zdarma.

Provozovatelé domény kontaktovali CZ.NIC, zda by neposkytl servery pro hostování ukrajinské domény. Komunikace probíhala velmi rychle prostřednictvím různých online služeb. Denně se konaly pravidelné online schůzky, na kterých se domlouvaly technické detaily spolupráce. Český tým byl velmi pružný a ochotný. První servery byly nakonfigurovány během tří dnů. Během spolupráce jsme se také naučili spoustu nových věcí.

CZ.NIC dnes pomáhá s provozem základní infrastruktury a DNS, ale zapojeny jsou také další společnosti jako CloudNS, Cloudflare, Gransy, Netnod a další. Chtěl bych poděkovat všem členům, zaměstnancům a vedení z CZ.NIC.

Ondřej Filip: jak blízko jsme rozštěpení internetu?

Co drží internet pohromadě? Ondřej Filip vyjmenoval pět věcí seřazených podle důležitosti: jednotné standardy, jednotný adresní systém, jednotný routing, jednotný jmenný systém a jednotné poskytování služeb. Jednotné poskytování služeb už bylo narušeno dávno, obvykle z komerčních důvodů, zejména geoblokingem. Vstoupila do toho ale i politika, blokování, ukončování různých služeb v různých státech a podobně. Tato vrstva je hodně narušená a hodně služeb už nefunguje tak, jak byste očekávali. Dá se to ale snadno obejít třeba pomocí VPN.

Další položkou je jednotný jmenný systém, který spravuje ICANN a operátoři kořenové zóny. Má to poměrně složitou strukturu, ve které jsou různé zájmové skupiny na stejné úrovni. Různé organizace, komerční firmy a vlády mají stejné rozhodovací právo, což celému prostředí dává obrovskou stabilitu. ICANN je také velice striktně neutrální, zahubit doménu nejvyšší úrovně je velmi složité. Podařilo se to u zastaralých domén .cs a .yu, nepovedlo se to u domény původního Sovětského svazu .su.

Autor: Roman Prachař

Z technického hlediska je podstatně významnější jednotný routing, kdy operátoři kategorie Tier-1 tvoří páteř internetu. Tito provozovatelé sítě si vzájemně neplatí za propojení sítí a mohou posílat data do všech sítí na světě. Dále je to zahuštěné různými propojovacími uzly a podobně. Celé je to velmi robustní. Tato velká infrastruktura už se začala částečně hroutit, některé společnosti vypověděly smlouvy ruskému operátorovi kvůli sankcím. Většina největších operátorů je ze Spojených států či Evropy, navíc jde o soukromé firmy. Internet není zřizován státy. Zároveň to ale neznamená, že stát nemůže mít na internet vliv.

Pro fungování internetu je zásadní také jednotný adresní systém, který v Evropě, na Středním východě a v postsovětských republikách spravuje RIPE NCC. Je to poměrně velký region, často velmi neklidný a války jsou tu poměrně časté. Z toho plyne spousta důsledků pro adresní prostor. Nejhorší pro internet by ale bylo zavedení vlastních standardů, což by znamenalo jeho rozpad.

Před časem přišla z Ukrajiny žádost na zrušení delegace ruských domén, vypnutí kořenových serverů na území Ruské federace, revokace certifikátů a další kroky. Žádost byla odeslána na ICANN a RIPE NCC. Tohle není první válka a ani první podobná žádost. Odpovědí opět bylo, že organizace zůstávají neutrální a ICANN navíc uvolnil milion dolarů na pomoc ukrajinským operátorům.

Překvapivá byla ale reakce certifikační autority Thawte, která revokovala některé certifikáty, například pro doménu ruské banky vtb.ru, přičemž dotčené weby rychle migorvaly na jiné certifikáty. Řada ruských služeb také přestala používat zahraniční certifikační autority a raději přestávají šifrovat. Sdružení registrátorů domén CENTR vyloučilo registrátora ruské národní domény.

bitcoin_skoleni

V zájmu internetu a jeho uživatelů není Rusko odpojit, nepomohlo by to nikomu. Neodpojí se ale Rusko samo? Už nějakou dobu tam platí zákon o suverénním internetu. Rusové mají například vlastní kořenové servery a operátoři mají povinnost je používat, stejně tak je povinná registrace IP v místní databázi. Tvrdí také, že v roce 2019 zkoušeli odpojení od internetu a bylo to úspěšné. Žádné podrobnější informace ale nebyly oficiálně zveřejněny.

Je těžké predikovat, jestli se jednotný internet rozštěpí. Rusko se na to intenzivně připravuje, Západ to neřeší. Nepříjemné by to bylo pro obě strany. Zřejmě by to bylo horší pro Západ, protože Rusko si najde jiný způsob, jak se na nás dívat. Můžeme se podívat na Severní Koreu, která o nás ví vše, a my ani nevíme, kdy se narodil Kim Čong-un.

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.