Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 2 min 59 sek zpět

Krátké vlny (díl 5.) – Data pro ČTÚ, Zero rating před soudem a milované mojeID

Čt, 09/24/2020 - 08:30

„Výhodou krátkých vln je způsob jejich šíření v atmosféře – díky mnohonásobným odrazům, k nimž dochází na ionizovaných částicích ve vyšších vrstvách (ionosféra), není nutná přímá dohlednost mezi vysílačem a přijímačem, takže jejich vzájemná vzdálenost může dosáhnout i tisíců až desítek tisíc kilometrů. Slabinou jsou naopak nestabilní podmínky šíření. Prostřednictvím krátkých vln se často vysílají zahraniční programy rozhlasových stanic do zemí, kde je omezená svoboda projevu nebo kde je zavedena cenzura.“ (zdroj: Wikipedia)

Služba mojeID žije. Prošel jsem si validací, a i když to bylo přes Czech Point na České poště, tak to ani nebolelo. Prošel jsem validací a jsem plnohodnotný uživatel e-gov služeb státu. Nynějších i budoucích. Sdružení CZ.NIC po testovacím pilotu, během něhož se k NIA úspěšně připojilo několik desítek pravidelných uživatelů, vylepšilo portál mojeID a spustilo kampaň.

Inovativní prvek, se kterým služba mojeID přichází, je použití bezpečnostních klíčů podle standardů FIDO Alliance. Tyto bezpečnostní klíče nabízejí  moderní operační systémy přímo svázané s účtem uživatele v jeho počítači. To se týká například Windows 10 s funkcí Hello nebo Androidu (od verze 7). Uživatelé těchto systému si tak nemusí žádné bezpečnostní klíče pořizovat a bez nutnosti instalace dalších aplikací do svých systému mohou okamžitě začít komfortně používat služby veřejné správy.

A kdo přeskakuje mezi platformami, nebo preferuje fyzický klíč, nemusí si instalovat žádnou čtečku – klíč lze připojit přes USB konektor nebo s využitím bezdrátových technologií NFC a Bluetooth.

Velký obdiv všem, kteří na projektu mojeID pracovali a pracují, v čele s Jaromírem Talířem. Mám radost, že se jednou podařilo propojit stát se soukromým sektorem. Jasně, můžete si počkat na bankovní identitu. Prý bude někdy příští rok. A možná budete mít bankovní identitu rádi, ale mojeID, mojeID budete milovat.

Vláda se seznámila s materiálem Národního úřadu pro kybernetickou bezpečnost (NÚKIB) „Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2019. Počtení je to věru zajímavé – pokud nemáte čas přečtěte si aspoň shrnutí, které pro iRozhlas připravila Jana Magdoňová. A telegrafická verze – V roce 2019 bylo NÚKIB nahlášeno 217 incidentů (v roce 2018 jich bylo 164). V roce 2019 také proběhla kybernetická špionáž, za útokem stala pravděpodobně skupina Sofacy spojená s ruskou rozvědkou (GRU). Problém, který NÚKIB identifikuje je nedostatek odborníků i peněz, zejména ve zdravotnictví (na rozdíl od finančního sektoru, který je hodnocen jako cíl zabezpečený, ale lákavý). Na CSIRT.CZ bylo nahlášeno 483 phishingových útoků. Varování proti Huawei a ZTE trvá a NÚKIB nevidí důvod ho měnit.

Kromě České národní banky a Úřadu pro civilní letectví, se kterými NÚKIB spolupracuje dlouhodobě, začala v roce 2019 spolupráce například se Státním úřadem pro jadernou bezpečnost a Českým telekomunikačním úřadem. Cílem spolupráce je především snaha minimalizovat zátěž regulovaných orgánů a osob. NÚKIB spolupracuje také se soukromým sektorem – dokonce to má ve svém akčním plánu. Jednou z aktivit je podpora projektu Fénix a zapojení významných sítí veřejné správy za účelem zachování funkcionalit a služeb během masivních kybernetických útoků.

NÚKIB také připravuje osvětové a a vzdělávací aktivity s dalšími subjekty soukromé sféry jako je sdružení CZ.NIC nebo platformy Česká národní koalice pro digitální pracovní místa (DigiKoalice) nebo EDUIn.

V e-learningu bylo proškoleno přes 5 000 úředníků. Tak teď by to chtělo nasadit penetrační testy a vyhodnotit úspěšnost e-learningové formy:-)

Big news for everyone – nebo aspoň pro fanoušky a podporovatele síťové neutrality. Evropský soudní dvůr poprvé vyložil pravidla síťové neutrality obsažená v nařízení 2015/2120. Podle soudu požadavky na ochranu práv uživatelů internetu a na nediskriminační nakládání s provozem brání tomu, aby operátor zvýhodňoval některé aplikace a služby prostřednictvím nabídek, v jejichž rámci se na tyto aplikace a služby vztahuje „zero rating“ a při využívání ostatních aplikací a služeb dochází k blokování nebo zpomalení. Rozhodnutí v plné verzi je zde. Dočkáme se i rozhodnutí ve věci „využívat koncové zařízení dle své volby?“

ČTÚ rozeslalo do meziresortu návrh vyhlášky o rozsahu, formě a způsobu předávání informací pro zajištění srovnávacího nástrojeCílem této vyhlášky je naplnit srovnávací nástroj daty. Srovnávací nástroj je po zrychlení procesu přenositelnosti druhým výdobytkem novely zákona o elektronických komunikacích, která nabyla účinnosti 1. dubna 2020 a která měla poněkud, diplomaticky řečeno, nestandardní legislativní proces.

K návrhu zákona totiž neproběhlo meziresortní připomínkové řízení, materiál nebyl na programu jednání vlády dne 27. února 2019 a přesto jej vláda na tomto jednání schválila. K materiálu bylo přiloženo stanovisko předsedy Legislativní rady vlády ze dne 26. února 2019, který k návrhu zákona neměl žádné připomínky a doporučil vládě přijmout schvalovací usnesení. Zajímavostí také je, že jako předkladatel je uveden Úřad vlády, a nikoliv gesční Ministerstvo průmyslu a obchodu. Proč ten spěch? Důvod je prostý. Dne 24. února 2019 v pořadu Otázky Václava Moravce oznámil zástupce opoziční strany Jakub Michálek (Piráti), že mají připravenou novelu zákona o elektronických komunikacích, která by měla „snížit poplatek za přestup k jinému operátorovi“. A pak to vzalo rychlý spád.

Nicméně teď se ČTÚ snaží zajistit funkčnost nezávislého srovnávacího nástroje s pomocí firmy CHAPS. Operátoři určitě věnují funkčnosti zvýšenou pozornost (i proto ČTÚ připravuje k tématu 14. října 2020 workshop). Za případné nedodání informací do srovnávače hrozí podnikateli poskytující veřejně dostupnou službu elektronických komunikací pokuta ve výši až 50 000 000 Kč nebo do výše 10 % z čistého obratu pachatele přestupku dosaženého za poslední ukončené účetní období, podle toho, která z těchto hodnot je vyšší.

Ve Vysočanech ještě chvíli zůstaneme. Pravidelný čtenář – kontrolor pokrytí – si jistě všiml, že ČTÚ vylepšilo svůj portál pro vizualizaci telekomunikačních služeb. Portál má dlaždicové uspořádání a dá se očekávat, že kromě současných informací o mobilním pokrytí a pokrytí DAB+ přibudou v budoucnu informace o dalších službách. Dobrá práce. Datoví fajnšmekři se nemohou dočkat.

Ministerstvo vnitra rozeslalo do meziresortu návrh novely zákona o krizovém řízení, která v části druhé mění i zákon o integrovaném záchranném systému tak, že „Český telekomunikační úřad vyhradí na základě požadavku Ministerstva vnitra bez výběrového řízení rádiové kmitočty umožňující provozování informačních a komunikačních sítí a služeb integrovaného záchranného systému.“ Myšlenku návrhu lze pochopit. Dokud nemáte kmitočty, nikdo se s vámi moc nebaví (virtuálové by mohli vyprávět). Ale toto oprávnění je „trochu“ bezbřehé navíc formou nepřímé novely. To se nedělá. No počkejme si, jak to bude ustanovení vypadat po meziresortu. #staytuned

 

 

Kategorie:

Seriál #Martyisdead na Zlínském filmovém festivalu

St, 09/16/2020 - 09:55

Dalo by se říct, že je již tradicí, navštívit každoročně s projektem Bezpečně na netu mezinárodní zlínský filmový festival a být součástí doprovodného programu této prestižní akce. Letošní ročník festivalu byl z důvodu koronavirových opatření výrazně zkrácen a také odložen (na září). Po loňské premiéře snímku Maturant, který se věnuje pravdě a lži na Internetu, jsme letos mladším divákům představili seriál #Martyisdead.

Tento osmidílný thriller vypráví příběh patnáctiletého Martyho, který tragicky zemřel. Zůstala po něm série mrazivých videí, které natáčel krátce před svou smrtí. Jeho otec se se smrtí svého dítěte nedokáže smířit a tak pomalu a systematicky skládá střípky Martyho online života. Celý seriál byl inspirovaný skutečnými případy kyberšikany a co se ocenění týče, získal také hlavní cenu na mezinárodním festivalu Serial Killer pro nejlepší webseriál střední a východní Evropy.

Protože nám koronavirová pauza na jaře přerušila všechny projekce seriálu, byli jsme zvědaví, jak na příběh budou reagovat mladší diváci. I když jde vyprávění příběhu místy opravdu „na dřeň“ a chvílemi z něj mrazí, diváci tento styl předání informací ocenili; po jeho skončení jsme dokonce zaslechli hlasy o tom, že je škoda, že to nebylo delší. A za to jsme pochopitelně rádi. Prevence nemusí být vždy nudná a problémy, které řeší, lze zprostředkovat zajímavě, například skrze filmové zpracování, které je mladým lidem bližší. Nutno podotknout, že není dobré ve škole pustit cokoliv bez vysvětlení. Následná diskuse je vždy žádoucí a nutná.

I my jsme po projekci vyvolali debatu, která byla opravdu zajímavá; dotazů se sešlo opravdu hodně. S režisérem seriálu Pavlem Soukupem, který byl následnému programu přítomen, jsme si odnesli důležité poselství – aby k některým věcem nedocházelo, stačilo by mít dobře nastavené vztahy v rodině (bohužel jen dvě procenta dětí by se se svým závažným problémem na Internetu svěřilo rodičům).

Ve Zlíně jsme zároveň oznámili pokračování seriálu, které bude mít název #Annaismissing. Ten představíme příští rok, a to na 61. ročníku zlínského festivalu.

Pokud jste to ještě neudělali, podívejte se se svými dětmi na Martyho a bavte se o něm. Možná budete překvapeni, jak moc vaše děti o problémech, které si myslíme, že se nás nedotýkají, ví a možná je i prožívají.

Kategorie:

V .CZ DNS anycastu jsme nasadili XDP, výrazně rychleji tak odbavíme DNS provoz

Út, 09/15/2020 - 14:20

Ve středu 9. 9. 2020 vydali kolegové z Laboratoří CZ.NIC novou verzi autoritativního DNS serveru Knot DNS (3.0), která přináší mimo jiné i podporu XDP. Pokusím se shrnout, jak jsme pro novou verzi připravili trochu specifické prostředí, v průběhu léta testovali a následně spustili do ostrého provozu v našeho .CZ DNS anycastu.

Omezení XDP

Režim XDP, zjednoduše řečeno, umožňuje výrazně zrychlit zpracování DNS dotazů, které přichází standardním kanálem na port UDP/53. A to tak, že tyto dotazy a příslušné odpovědi jsou přímo předávány mezi síťovou kartou a DNS démonem. To je sice výhodné, protože odpadne režie jádra, průchod packetů síťovým stackem a podobně. Na druhou stranu je to ale komplikace pro administrátory, protože se k takovému serveru musí chovat zcela jinak, než v rámci konvenčního provozu autoritativního DNS serveru.

Jednou z hlavních výzev, kterou jsme před nasazením museli řešit, bylo již zmíněné obcházení síťového stacku. Se spuštěným režimem XDP totiž není možné sledovat provoz přímo v operačním systému (např. utilitou tcpdump), není možné použít firewallová pravidla a také není možné standardním způsobem sbírat DNS provoz a posílat k dalším analýzám, v našem případě do infrastruktury projektu ADAM. Další omezení se týká oblasti routingu, neboť v tuto chvíli není možné použít Knot DNS 3.0 s XDP na standalone serveru, který má více konektivit (typicky místní IXP a tranzit), které v několika instancích provozujeme v zahraničí jako doplněk k DNS stackům. S kolegy z Knot DNS týmu se budeme snažit případ source-routingu řešit, protože by se nám tím otevřela možnost provozu velice výkonných uzlů anycastu ze standalone serveru, což by znamenalo snížení nákladů na provoz lokalit s takovýmto serverem.

Abychom tedy měli vhled do síťového provozu, připravili jsme vedle budoucího serveru ještě jeden server, který jsme pojmenovali NET. Server NET není vlastně žádnou novinkou, používáme jej u obou 100Gbps DNS stacků v Praze. Tento server je připojen dvěma dalšími uplinky do obou access switchů ve vybrané lokalitě a mirroruje síťový provoz z DNS serveru/ů. Ten se následně zpracovává standardními metodami pro projekt ADAM. A současně je možné přímo sledovat aktuální provoz tak, jak jsme zvyklí. Má to však jedno ale. V mirrorovaném provozu není možné rozlišit, jaký provoz byl odbaven pomocí XDP a jaký pomocí UDP. Jak sledovat přímo XDP provoz, popíšu na závěr.

Konfigurace XDP

Během léta jsme s kolegy z týmu Knot DNS konzultovali vše potřebné k tomu, abychom vůbec XDP mohli nasadit do produkčního prostředí. Řešili jsme ideální HW konfiguraci serveru, nastavení operačního systému a distribuci, zapojení do sítě (LACP ano nebo ne?) a další parametry. Nejzásadnějším parametrem byl co největší počet CPU jader (ideálně bez funkce hyperthreading), optimální rozložení RAM modulů, vhodná síťová karta, která umožňuje využití dostatečného počtu RX/TX front a verze linuxového jádra.

DNS server, který jsme pro Knota s XDP použili, má tedy následující konfiguraci:

– 2x Intel Xeon Gold 6140, každý 18C/36T s frekvencí 2.30Ghz
– 32 GB RAM
– 3x 480GB SSD MixUse
– 10GE Intel X710 SFP+
– Ubuntu server 20.04 LTS s jádrem 5.4

Server má tedy s vypnutou funkcí hyperthreading k dispozici celkem 36 jader, které jsme pro XDP rovnoměrně rozdělili mezi obě síťová rozhraní, neboť je server připojen do dvou access switchů s aktivním LACP.

/sbin/ethtool -L ens3f0 combined 18
/sbin/ethtool -L ens3f1 combined 18

Samotná aktivace XDP v DNS démonu je úplně jednoduchá. Po nastavení počtu front stačí ve stávající konfiguraci knot.conf přidat direktivu listen-xdp
listen-xdp: ens3f0
listen-xdp: ens3f1

a restartovat démona knot. Dále je ještě potřeba rozšířit capabilities v knot systemd service

CapabilityBoundingSet=CAP_NET_RAW CAP_NET_ADMIN CAP_SYS_ADMIN CAP_SYS_RESOURCE
AmbientCapabilities=CAP_NET_RAW CAP_NET_ADMIN CAP_SYS_ADMIN CAP_SYS_RESOURCE

Jak prosté!

Testování provozu XDP

Kolegové z týmu Knot DNS během vývoje samozřejmě prováděli různá svá měření výkonnosti. Podrobnosti můžete najít na stránkách projektu. I my jsme provedli několik našich testů, abychom si celé řešení „osahali“ a hlavně uvěřili proklamovanému nárůstu výkonu.

Ve verzi Knot DNS 3.0 je k dispozici nástroj kxdpgun, kterým je možné otestovat, kolik provozu DNS server zvládne odbavit při zadaném vzorku dat. Kolegové z týmu Knot DNS nám připravili tři vzorky dat:

– test č. 1.: DNS dotazy s malými odpověďmi o velikosti 61B (pozitivní odpovědi bez DNSSEC),
– test č. 2.: DNS dotazy s velkými odpověďmi o velikosti 788B (negativní odpovědi s DNSSEC),
– test č. 3.: DNS dotazy s odpovědmi o velikosti 179B (pozitivní odpovědi s DNSSEC).

Všechny testy jsme prováděli z jiného serveru, který byl také připojen rychlostí 10Gbps do stejných switchů. Výsledkem bylo:

– Při testu č. 1 server odbavil cca 10 milionů QPS!
– Při testu č. 2 jsme narazili na strop 10GE linky, server odbavil cca 1,5 – 2 milionů QPS.
– Při testu č. 3 server odbavil cca 5 milionů QPS.

I my tedy potvrzujeme, že výkonnost Knota se s podporou XDP zvýšila několikanásobně! Bez XDP jsme totiž na základě benchmarků uvažovali, že jeden DNS server zvládne při běžném DNS provozu odbavit maximálně 1-1,5 milionů QPS.

Provoz XDP

Jakmile jsme začali připravovat oba servery do provozu (tedy DNS server s Knot DNS 3.0 a NET server pro sběr síťového provozu), přemýšleli jsme, kam je umístit a v rámci jakého písmenka DNS anycastu provozovat. Pokud bychom nový DNS server umístili do jedné z pražských lokalit, jeho provoz by zastínily oba 100Gbps DNS stacky. Směroval by na něj totiž velice malý provoz. A nebo bychom naopak museli jedno písmenko DNS anycastu z obou stacků odstranit, což se jeví (alespoň z počátku spuštění XDP) jako velice riskantní. Vybrali jsme tedy naší třetí, neveřejnou, lokalitu, kde jsme letos v létě provedli upgrade páteřních síťových prvků (popíšu v jednom z příštích blogpostů) a kde také provozujeme několik standalone DNS serverů.

Nový DNS server jsme připravili pro provoz v rámci anycastu A. Abychom zajistili, že bude zpracovávat co největší objem provozu a mohli sledovat reálné chování, uměle jsme všem ostatním DNS serverům, v této lokalitě a se stejným písmenkem DNS anycastu, snížili BGP prioritu. To znamená, že jsou sice všechny v provozu, ale nestahují na sebe žádný provoz. Jakmile by ale došlo k výpadku nového serveru, automaticky by převzali jeho roli a výpadek tohoto písmenka DNS anycastu by nebyl patrný.

Nový DNS server s podporou XDP jsme spustili v produkčním režimu 3. září 2020 v dopoledních hodinách.

Statistiky provozu

Jak jsem uvedl výše, pokud sledujeme a sbíráme DNS provoz standardními nástroji, není možné rozlišit XDP od UDP. Knot DNS však nabízí interní statistiky, které stačí jen aktivovat v konfiguraci knot.conf.

template:
– id: default

global-module: mod-stats

Pak stačí jen spustit příkaz knotc stats. Z výstupu získáme informaci o počtu dotazů via UDP, TCP, XDP a další statistiky od startu démona.

dns> knotc stats

mod-stats.request-protocol[udp4] = 15
mod-stats.request-protocol[tcp4] = 424336
mod-stats.request-protocol[udp6] = 2
mod-stats.request-protocol[tcp6] = 577667
mod-stats.request-protocol[udp4-xdp] = 228091218
mod-stats.request-protocol[udp6-xdp] = 57092138

Abychom tyto hodnoty mohli vizualizovat i do grafů, připravili jsme script, který tato data sbírá, počítá přírůstky a poté posílá ke zpracování do systému Munin. Jak vidno na grafu níže, po UDP není zpracován žádný provoz a po TCP je v zásadě také nulový.

Statistiky provozu KNOT 3.0 s XDP pro .CZ anycast

Největší potenciál nasazení Knot DNS 3.0 s XDP vidím u serverů s výkonnými AMD procesory s velkým počtem jader, na DNS stackách s 10/40/100GE uplinkem. Na takové případy se již připravujeme a v blízké budoucnosti spustíme další XDP instance. Budeme tedy schopni využít současnou infrastrukturu ještě efektivněji, plánovaná rozšíření nebo upgrady DNS anycastu v zahraničí budeme moci budovat s menšími nároky na místo a vyšší výkonností a v budoucnu budeme moci i snížit počet serverů ve velkých DNS stackách.

 

Kategorie:

Krátké vlny (díl 4.) – Poslanci a zahrádkáři aneb Digitální daň ve druhém čtení

Čt, 09/10/2020 - 09:00

„Výhodou krátkých vln je způsob jejich šíření v atmosféře – díky mnohonásobným odrazům, k nimž dochází na ionizovaných částicích ve vyšších vrstvách (ionosféra), není nutná přímá dohlednost mezi vysílačem a přijímačem, takže jejich vzájemná vzdálenost může dosáhnout i tisíců až desítek tisíc kilometrů. Slabinou jsou naopak nestabilní podmínky šíření. Prostřednictvím krátkých vln se často vysílají zahraniční programy rozhlasových stanic do zemí, kde je omezená svoboda projevu nebo kde je zavedena cenzura.“ (zdroj: Wikipedia)

Denní přírůstky nakažených COVID-19 rostou a pro organizátory profesních konferencí je stále akutnější odpovědět si na otázky – uspořádat vůbec konferenci? Uspořádat ji prezenčně? Uspořádat ji v online prostředí? CSNOG 2020 proběhl čistě v online prostředí, CyberCon 2020, který pořádá NÚKIB zatím drží prezenční formu, Kam kráčí telekomunikační sítě 2020 sází na oba způsoby konferenčního přenosu informací – prezenčně v Plzni a záznam pro vzdálené účastníky. Klobouk dolů všem organizátorům, kteří organizování akcí i přes logistické komplikace a zvyšující čísla nevzdali a nevzdávají.

Na výběr moc nemají účastníci akce, která proběhne prezenčně od 15. září 2020 – myslím tím řádné zasedání schůze Poslanecké sněmovny, která potrvá do 2. října 2020. A program schůze je naplněný až po střechu – 494 bodů k projednání včetně ústních interpelací. A bude to zajímavá schůze i z pohledu telekomunikačně-digitálního. Poslanci se budou muset nejdříve vypořádat s návrhem novely zákona o urychlení výstavby dopravní, vodní a energetické infrastruktury a infrastruktury elektronických komunikací, který má mimo jiné ambici usnadnit výstavbu sítí elektronických komunikací – definicí přípolože a zmenšením ochranného pásma z 1 metru na půl metru. Ale matérie, kterou tahle norma upravuje je pestrá, na své si přijdou příznivci vyvlastňování, vodní infrastruktury i fanoušci atomového zákona. 

Na programu schůze je i návrh zákona o dani z digitálních služeb, ke kterému je nyní evidováno 11 písemných pozměňovacích návrhů. Většina z nich míří na úpravu sazby daně z navrhovaných 7 % na 5 %, resp. 3 %. Koaliční rada se shodla na 5 % sazbě s účinností od 1. ledna 2021, tak uvidíme, jak v tomto konkrétním případě bude koalice jednotná. Se specifickým pozměňovacím návrhem přichází pan poslanec Stanjura, který mění parametry určení subjektu daně, tedy „digitálního podnikatele“, na kterého dopadá daňová povinnost.

Podle předkladatele pozměňovacího návrhu „důvodová zpráva k návrhu zákona neobsahuje konkrétní zdůvodnění toho, proč byl pro účely určení „převážně digitální“ společnosti zvolen podíl zrovna ve výši 10 % oproti dalším aktivitám subjektu/skupiny subjektů. Vzhledem k nedostatku analytických dat považuje předkladatel PN tuto hranici za velmi konzervativní a problematickou. Společnosti, případně skupiny, na které má právní úprava primárně dopadat, budou tento podíl plnit bez jakékoliv pochybnosti. Podíl digitálních služeb v rámci jejich činnosti nebude zanedbatelný a bude dosahovat vysokého procenta. Naopak, existuje značná pochybnost, zda uvedená hranice nebude natolik nízká, že regulace zasáhne subjekty, na které nemá a nikdy neměla primárně dopadat, a to společnosti a skupiny, které se zabývají primárně jinými činnostmi než poskytováním digitálních služeb!“ Proto variantě navrhuje zvýšení podílu na 20 %, resp. 15 %.

Pod číslem tisku 756 bude Poslanecká sněmovna projednávat vládní návrh zákona v souvislosti s elektronizací postupů orgánů veřejné moci. Návrh má v souvislosti s přijatým zákonem o právu na digitální služby odstranit stávající legislativně-technickou praxi, která de facto neumožňuje rozšíření sdílení údajů vedených v různých informačních systémech veřejné správy, neboť již tak rozsáhlá ustanovení zákonů regulující využívání údajů by bylo nutno znásobit doplněním dalších v úvahu připadajících informačních systémů veřejné správy. Zákon o právu na digitální služby zavedl novou koncepci využívání údajů ze základních registrů a agendových informačních systémů. Oprávnění jednotlivých úřadů k čerpání údajů ze základních registrů a agendových informačních systémů se bude nově odvíjet od registrace agendy v registru práv a povinností a registrace působnosti konkrétního úřadu v agendě. Ústřední správní úřad ohlašující agendu (gestor agendy) vyhodnotí, které údaje ze kterých informačních systémů veřejné správy bude potřeba pro výkon jím ohlašované agendy využívat, přičemž potřebu těchto údajů odůvodní. Držíme si palce.

Na první čtení čeká stále novela zákona o vojenském zpravodajství, kde zástupci Vojenského zpravodajství nabídli odložení projednávání návrhu zástupcům Svazu průmyslu a dopravy a ICTU na září, a dali tak možnost přípravě společného komplexního pozměňovacího návrhu, který by měl odstranit zbývající nedodělky a nedotahy.

A trochu legislativního pláče, nářku a skřípění zubů – ve výborech byl projednán sněmovní tisk č. 634 – zahrádkářský zákon. Nic proti zahrádkářům, i já se rád zakousnu do čerstvé ředkvičky nespálené roundupem, ale tohle je legislativní peklo. Jak moc velké zjistíte, když si rozkliknete stanovisko vlády k tomuto návrhu, které je sice smířlivě neutrální“, ale obsahově si nebere servítky. Například vláda ve stanovisku upozorňuje na to, že „definice zahrádkářské činnosti obsažená v § 2 větě první návrhu zákona jako „veřejně prospěšné činnosti, zaměřené na pěstování ovoce, zeleniny, květin, užitkových nebo okrasných rostlin, jejich další zpracování nebo úprava především pro vlastní potřebu a potřebu svých domácností“ je zjevně vnitřně rozporná, neboť jen těžko může být za veřejně prospěšnou považována činnost, která primárně slouží k uspokojování vlastních potřeb osoby a nikoli širších potřeb veřejnosti.“ Zásah – potopeno. Proč o tom píšu? Protože díky těmto nesmyslným legislativním zmetkům pak nemusí být čas důležité sněmovní tisky – například zákon o prověřování zahraničních investic, nebo výroční zprávy regulačních orgánů, České televize atd.

Konec sněmovního okénka. Na novelu zákona o elektronických komunikací přinášející do českého právního řádu evropský Kodex pro elektronické komunikace ještě musíme počkat, 17. září by o něm měla jednat Legislativní rada vlády, pak vláda a pak hurá do Sněmovní 4.

Evropská komise zahájila veřejnou konzultaci s cílem revidovat pravidla státní podpory do rozvoje broadbandové infrastruktury. Konzultace trvá až do ledna 2021 a lze očekávat, že i Česká republika se po zkušenostech s vypisováním dotací do broadbandové infrastruktury v I. až IV. výzvě (která je v současnosti vyhodnocována) má čím přispět.

V dubnu 2020 Úřad průmyslového vlastnictví potvrdil neznámému tazateli, že doposud neeviduje žádnou přihlášku vynálezu podanou umělou inteligencí. Optimistický příznivec konspiračních teorií si oddechne, pesimistický fanoušek konspirací si pomyslí, že by to Úřad průmyslového vlastnictví stejně nepoznal. #staytuned

 

Kategorie:

Novinky v Knot DNS 3.0

Út, 09/08/2020 - 10:54

Open-source implementace autoritativního DNS serveru Knot DNS vyšla ve verzi 3.0. Navzdory kulatému číslu se na dosavadní funkcionalitě software nic nemění: novinek je sice o něco více než v běžné desetinkové verzi 2.9, ale jde převážně o featury, které když uživatel nezapne, bude vše fungovat jako u předchozích verzí. Migrace je tudíž jednoduchá.

XDP

Když je potřeba maximální výkon při odpovídání (hlavně jako obrana proti pokusům o zahlcení), je docela velkou brzdou zpracování packetů kernelem. V případech, kdy jádro systému není zároveň využíváno k routování, firewallování či sledování provozu, je výhodnější ho (platí pro moderní verze Linuxu) úplně obejít a předávat packety ze síťové karty rovnou do DNS démona. Tato technologie se jmenuje eXpress Data Path a její implementací v Knot DNS naroste výkon odpovídání DNS přes UDP o desítky procent. Ostatní provoz (DNS přes TCP, správa přes SSH, …) je tím nedotčen a projde kernelem jako obyčejně.

Příklad:
listen-xdp: ens2f0@53

Tento řádek v konfiguraci zapne odpovídání přes XDP na všechny UDP packety s cílovým portem 53, přicházející na rozhraní ens2f0, bez ohledu na cílovou IP adresu. Packet s odpovědí je poslán zpět stejnou cestou, tj. jsou u něj prohozeny zdrojové a cílové IP, respektive MAC adresy.

Katalogové zóny

Jedním z problémů operátorů s velkým počtem zón je, že nové zóny neustále přibývají nebo ubývají, a je tedy potřeba upravovat konfigurační soubor nejen na primárním, ale i na všech sekundárních autoritativních DNS serverech, aby pracovaly se správnou množinou zón. Katalogová zóna je falešná zóna, která není součástí globálního DNS stromu, ale slouží jako podklad pro konfiguraci velkého množství regulérních zón, přičemž je velice snadné ji standardními postupy (i inkrementálně) replikovat na sekundární servery. Při změně v katalogové zóně se každý server sám překonfiguruje na základě přidaných/odebraných záznamů.

Příklad:
catalog-role: interpret
catalog-template: tpl_standard

Ty řádky v konfiguraci zóny signalizují, že jde o katalogovou zónu. Taková nebude odpovídat na obyčejné DNS dotazy zvenčí. Zároveň se interpretuje jako katalogová: projdou se všechny PTR záznamy v ní a na základě nich se nakonfigurují členské zóny. Konfigurace členských zón se pak řídí šablonou tpl_standard (v našem případě), ve které může být například definována sada sekundárních serverů k rozeslání NOTIFY, nebo parametry DNSSEC podepisování.

Aktuálně probíhá tvorba RFC standardu pro katalogové zóny, s nímž je implementace v Knot DNS v souladu.

Další možnosti práce s katalogovými zónami, které bude možné nejenom interpretovat, ale i generovat, jsou plánovány do příštích verzí Knot DNS.

Průběžná validace DNSSEC

Zatímco pro DNS odpovídání lze díky anycastu použít více různých DNS serverů a tím diverzifikovat použitý software, podepisování zóny DNSSECem se odehrává na jednom místě a operátor si tedy musí zvolit, které implementaci bude důvěřovat. V minulosti už se objevily různé softwarové chyby, které způsobily například chybné vygenerování NSEC3 záznamů (sloužících k důkazům neexistence), což znefunkčnilo některé domény. Velcí DNS operátoři proto každou novou verzi podepsané zóny verifikují některým z dostupných nástrojů, to je však zdlouhavý proces, který omezuje rychlost a frekvenci změn v zóně.

Zapnutím v konfiguraci dnssec-validation: on bude Knot kontrolovat všechny příchozí změny do zóny, že jsou správně podepsané. Chybně podepsané změny jsou odmítnuty. Malé změny velké zóny jsou zkontrolovány rychle. Validační Knot může být nakonfigurován jako sekundár podepisovacího serveru, a zároveň jako primár veřejných serverů. Kdyby došlo při podepisování k chybě, bude tak veřejně dostupná poslední funkční verze zóny.

Tato kontrola je pochopitelně přínosná hlavně v případě, že se k podepisování používá jiná implementace.

Minimalizace odpovědí na ANY a RRSIG

V minulosti bylo na dotaz na typ ANY či RRSIG vráceno tolik záznamů, pro kolik existuje pod daným jménem typů, což vedlo k velkému poměru velikosti odpovědi vůči dotazu, a nahrávalo amplifikačním útokům. Protože je legitimní přínos takových dotazů zároveň velmi malý, je řešením na ně odpovídat minimalizovaně, podle RFC 8482. Už od verze 2.9.4 částečně, a od 3.0 úplně, odpovídá Knot DNS na tyto dotazy pouze jedním, namátkou vybraným typem, odpovědi tedy nejsou amplifikovány více, než při dotazu na konkrétní RR typ.

Utilita kzonesign

Na rozdíl od jiných, modulárních DNS implementací, preferuje Knot DNS podepisování přímo v démonu, což má výhody například v rychlosti či automatickém načasování roll-overů klíčů. Nicméně pro testovací či speciální účely nyní nabízí utilitu kzonesign, která funguje podobně jako dnssec-signzone: načte zónový soubor, podepíše zónu, a vypíše zpátky do souboru. Odlišnost je v tom, že parametry podepisování se nepředávají jako opšny v příkazové řádce, ale konfiguračním souborem ekvivalentním konfiguraci Knota.

Záloha metadat

K perzistentním datům autoritativního DNS serveru kromě zónového souboru a konfigurace patří také žurnál (change-sety posledních změn zóny), podepisovací klíče a jejich metadata, a timestampy zóny (poslední NOTIFY, poslední refresh apod.). Tato data se mohou nacházet na různých místech filesystému a jejich záloha je problematická, neboť je během ní potřeba mít všechny zóny zmražené, aby v průběhu nedošlo ke změnám dat a nebyly zálohovány nekonzistentně. Nová verze Knota umožňuje jedním příkazem bezpečně zálohovat nebo obnovit vše potřebné do/z daného adresáře.

Příklad:
$ knotc zone-backup +backupdir /mnt/backup/auth_dns

Deterministické ECDSA

Podepisovací algoritmus ECDSA je výhodný díky vysoké bezpečnosti při malé velikosti klíčů a podpisů. Má však to specifikum, že ověřování existujících podpisů trvá násobně déle, než vytváření podpisů samotných. Při podepisování se také využívá zdroj náhodnosti a podpis stejných dat stejným klíčem může pokaždé vypadat jinak. Tyto vlastnosti odstraňuje deterministické ECDSA, které generuje pokaždé stejný podpis a je ho tedy při dostupnosti privátního klíče možné ověřit znovuvygenerováním a porovnáním, což zrychluje studený start serveru nad již podepsanou zónou. Také může sloužit jako ochrana před útoky založenými na oslabení generátoru náhody.

Příklad:
policy:
algorithm: ECDSAP256SHA256
reproducible-signing: on

Dotazování DoH v kdigu

Utilita kdig, sloužící především adminům pro kontrolu funkčnosti DNS serverů a resolverů, nyní podporuje dotazování DNS-over-HTTPS (DoH).

Příklad:
$ kdig @193.17.47.1 +https=/doh example.com.

Utilita kxdpgun

S implementací výkonných síťových operací pomocí XDP přichází i testovací a benchmarkovací utilita, která je schopná generovat v extrémních případech i desetimiliony dotazů za sekundu. kxdpgun umožňuje nastavit rychlost a další parametry benchmarku, a na konci měření zobrazí statistiky přijatých odpovědí včetně návratových kódů. Tým Knot DNS už teď používá tuto utilitu k měření výkonu své a ostatních implementací DNS serverů.

Trust Anchor Roll-over

Nejčastěji v situaci, kdy je podepsaná zóna podzónou nepodepsané, se využívá správy Trust Anchoru podle RFC 5011. Při roll-overu takového klíče je potřeba, aby byl publikován s nastaveným revoked flagem. Knot DNS 3.0 to umožňuje, i když ne automatizovaně.

Kategorie:

Krátké vlny (díl 3.) – Kriminální ústředna informuje, CSNOG 2020 a odtučněné 5G na Slovensku

Čt, 08/27/2020 - 09:25

„Výhodou krátkých vln je způsob jejich šíření v atmosféře – díky mnohonásobným odrazům, k nimž dochází na ionizovaných částicích ve vyšších vrstvách (ionosféra), není nutná přímá dohlednost mezi vysílačem a přijímačem, takže jejich vzájemná vzdálenost může dosáhnout i tisíců až desítek tisíc kilometrů. Slabinou jsou naopak nestabilní podmínky šíření. Prostřednictvím krátkých vln se často vysílají zahraniční programy rozhlasových stanic do zemí, kde je omezená svoboda projevu nebo kde je zavedena cenzura.“ (zdroj: Wikipedia)

Dne 17. srpna 2020 vzala vláda na vědomí Zprávu o situaci v oblasti vnitřní bezpečnosti a veřejného pořádku na území České republiky v roce 2019 (ve srovnání s rokem 2018) (panečku, to je sexy název). Zpráva obsahuje informace Ministerstva vnitra, Policie ČR, resortů i příslušných institucí působících v oblasti vnitřní bezpečnosti a veřejného pořádku o trestné činnosti v roce 2019 v České republice.

V roce 2019 bylo registrováno celkem 199 221 trestných činů. Jedná se o první nárůst od roku 2013. Kvantitativní nárůst nápadu trestné činnosti oproti roku 2018 činil 3,5 %, přičemž počet objasněných trestných činů se nepatrně zvýšil o 0,3 %. Celková objasněnost činí 46,8 %. Nejvíce se na nárůstu podílela majetková trestná činnost.

Pro čtenáře mohou být zajímavé kapitoly věnující se kybernetické kriminalitě (strana 49) kybernetické bezpečnosti (strana 100).

V roce 2019 narostla kybernetická trestná činnost oproti roku 2018, a to z 6 815 skutků v roce 2018 na 8 417 (+1 602) skutků. V této statistice jsou zahrnuty skutky oznámené napříč všemi úrovněmi Policie ČR. Zpracovatel materiálu však odhaduje, že tyto počty skutků se mohou od skutečných počtů spáchaných skutků výrazně lišit, neboť kybernetická kriminalita se vyznačuje značnou latencí.

Zdroj: Zpráva o situaci v oblasti vnitřní bezpečnosti a veřejného pořádku na území České republiky v roce 2019, Ministerstvo vnitra

V rámci boje s kyberkriminalitou je sekce kybernetické kriminality NCOZ kontaktním místem pro příjem hlášení o závadovém obsahu na internetu. Tato sekce je také členem projektu Europolu EMPACT, který byl vytvořen za účelem boje se závažnou mezinárodní a organizovanou trestnou činností spojenou s pohlavním zneužíváním dětí.

 V roce 2019 byl také zaznamenán nárůst trestněprávních aktivit v darknetu, např. v podobě e–shopů s nelegálním zbožím nebo zbožím pocházejícím z trestné činnosti jako jsou zbraně, drogy, padělané doklady atd.

V oblasti prevence kybernetické kriminality spolupracuje NCOZ s orgány samosprávy, státní správy, neziskovým sektorem, základními, středními a vysokými školami. Preventivní informace jsou dostupné na webu Policie, sdružení CZ.NIC, NÚKIB atd.

Specifickou cílovou skupinou prevence jsou osoby zvlášť zranitelné v kyberprostoru. Do této kategorie patří žáci mateřských, základních, středních škol a vysokých škol, včetně škol speciálních. NÚKIB uspořádal pro jednotlivé cílové skupiny v roce 2019 celkem 78 vzdělávacích a osvětových přednášek, prezentací a workshopů. Souběžně s jednotlivými přednáškami uspořádal NÚKIB ve spolupráci s dalšími partnery Festival bezpečného internetu (dále jen „FBI“). FBI se sestával z pěti odborných konferencí pro různé cílové skupiny, na jejichž přípravě se kromě NÚKIB podílelo mimo jiné sdružení CZ.NIC, CESNET a další. Celkem se FBI zúčastnilo 597 lidí z řad pedagogů, policistů a odborné veřejnosti, která se věnuje problematice informačních technologií a práva. Jen tak dál.

CZ.NIC, NIX.CZ a CESNET míní, COVID-19 mění, proto se konání CSNOG 2020 přesunulo z Brna do virtuálního prostoru. Abstrakty přednášek si můžete prostudovat zde a připojit se (zdarma) můžete 8. a 9. září 2020.

Do 8. září 2020 můžete přispět do veřejné konzultace, kterou pořádá Evropská komise k balíčku Digital Services Act (DSA). Celý aktivita určitě zaměstná nejen české předsednictví (CZPRES 2022) a dotýká se i evropských správců domén nejvyšší úrovně, takže i oni připravují svůj příspěvek. O co ve stručnosti kromě jiného jde? O nic menšího než odpovědnost za obsah a odstraňování nelegálního a škodlivého obsahu z internetu.

Správci domén nejvyšší úrovně  jako techničtí provozovatelé internetové infrastruktury nejsou podle současného platného právního rámce EU považování za online zprostředkovatele. Jejich úkolem je zajistit provozování rozhodující části internetové infrastruktury – DNS registrů. Jako takoví nemají kontrolu nad uživatelským obsahem a nedávalo by ani smysl, aby za něj nesli odpovědnost. Pro budoucí bezpečné online prostředí je určitě důležitá spolupráce s kompetentními orgány veřejné správy a sdílení příkladů dobré praxe. Příslušné orgány veřejné správy musí být materiálně i personálně vybaveny tak, aby mohly kvalifikovaně a na základě zákona rozhodovat o nelegálnosti online obsahu.

Kéž bude úředník Evropské komise uměřený a rozumný ve svých budoucích návrzích.

V meziresortním připomínkovém řízení je novela zákona o kybernetické bezpečnosti. Návrh zákona má za cíl novelizovat zákon o kybernetické bezpečnosti ve 3 oblastech:

  • adaptovat český zákona na Nařízení Evropského parlamentu a Rady (EU) 2019/881 –  Akt o kybernetické bezpečnosti (jedná se zejména o systém evropských certifikací);
  • zpřesnit kompetenci NÚKIBu a Národního CERT vyhledávat zranitelnosti a doplňující rozsah údajů hlášených do evidence kontaktních údajů;
  • zajistit vyšší míru důvěry mezi NÚKIBem a subjekty nahlašujícími kybernetický bezpečnostní incident nebo předávajícími informace o relevantních zranitelnostech tím, že by tyto informace nebyly předávány jiným orgánům veřejné moci v případě, že by tím došlo k ohrožení zájmu chráněného zákonem o kybernetické bezpečnosti. Že by otevírající se náruč NUKIBu „hodným nebo skoro hodným“ hackerům?

Slovenský čtvrtý operátor (4ka) má menší ostudu se svým odtučněným „5G“, a my otestujeme nenápadně to české. #staytuned

Kategorie:

Upgrade síťové infrastruktury v našich datacentrech (část 1.) – 2x 100Gbps mezi pražskými datacentry

Út, 08/18/2020 - 14:26

V tomto a také v jednom z příštích blogpostů bych se rád věnoval síťových upgradům ve všech třech našich datacentrech. Na letošní rok jsme si totiž naplánovali poměrně velké zásahy do infrastruktury. Koronakrize nám způsobila značné komplikace v realizacích. Původní plán navrhnout a pořídit potřebný materiál (ODF, transceivery, metalickou a optickou kabeláž apod.) během prvního kvartálu a začít s realizacemi hned na jaře vzal za své. Vzhledem ke značným výpadkům ve výrobě některých komponent byly dodací lhůty násobně delší a tak jsme museli jednotlivé realizace přeorganizovat. Fyzicky jsme mohli začít pracovat v datacentrech až v černu. Dnešní část se bude věnovat navýšení kapacity linek mezi našimi primárními datacentry v Praze.

Původní zapojení okruhů – 2x 10Gbps

Mezi datacentry ČRA Tower a CE Colo v Praze máme pronajaté dva nezávislé dvouvláknové okruhy od různých dodavatelů, které jsou vedené odlišnými trasami. Oba okruhy jsou tzv. „Dark Fiber“, tedy nenasvícená optická vlákna. To znamená, že není definována rychlost, jakou budeme na linkách využívat. Rychlost je definována použitými transceivery na obou koncích okruhů. Původní zapojení mělo kapacitu 2x 10Gbps, kdy každý okruh byl zapojen do jednoho ze dvou páteřních switchů v dané lokalitě. Celkově jsme tedy měli díky LACP (Link Aggregation Control Protocol – neboli metodě kombinující více fyzických síťových připojení do logické linky, jež poskytuje odolnost proti výpadku a zvyšuje rychlost) mezi pražskými datacentry k dispozici 20Gbps.

Původní zapojení CE Colo – ČRA

Tato kapacita však již nebyla dostatečná, neboť realizací privátního sálu v ČRA Tower a novou koncepcí sítě jsme díky postupné obměně access switchů začali zapojovat všechny servery dvěma 10Gbps uplinky. Jako první bylo (nepočítaje DNS anycast) tímto způsobem zapojeno produkční prostředí registru FRED a servery pro provoz služby mojeID v datacentru ČRA Tower a neveřejné lokalitě. Dalším podstatným důvodem bylo, že v obou lokalitách provozujeme dva velké 100Gbps DNS stacky.

Nové zapojení okruhů – CWDM a něco navíc

Začali jsme tedy uvažovat nad upgradem na 2x 100Gbps. Na tom by nebylo nic těžkého. Díky průběžným upgradům i páteřních switchů v obou lokalitách jsme měli k dispozici dostatek 100Gbps portů. Stačilo by tedy na současných okruzích vyměnit 10Gb SFP+ LR transceivery za 100G QSFP28 LR. Ale tak jednoduché to nebylo. V nové koncepci sítě jsme totiž začali zcela oddělovat MGMT síť, tedy síť, kam jsou připojené remote-managementy serverů, switche, konzolové switche apod. Tuto MGMT síť jsme začali jako první používat právě v privátním sálu v ČRA Tower, kde jsme společně s optickou infrastrukturou natáhli i metalickou kabeláž mezi páteřními a access MGMT switchi. Aby byla dostupná i v datacentru CE Colo a také v neveřejné lokalitě, řešili jsme to pomocí technologie Q-in-Q, díky které je možné tzv. „zabalit“ vybrané VLANy do jiné a tuto jedinou „poslat“ mezi lokalitami. Řešení je to sice pěkné, ale popírá to náš záměr mít MGMT zcela oddělenou.

Bylo tedy potřeba najít takové řešení, jak po pronajatých okruzích provozovat 100Gbps a další kanál s 1Gbps čistě pro MGMT síť. Jelikož v obou lokalitách používáme modulární ODF, které umožňuje osazení různými typy modulů, oslovili jsme dodavatele, zda-li jsou takové řešení schopni dodat.

A skutečně takový modul měli k dispozici na bázi tzv. „band splitteru“ pro 1310/1550 nm. Pro 100Gbps by se tedy použil segment 1310nm a pro přenos 1/10Gbps pak 1550nm. Pro obě trasy bychom museli mít logicky celkem čtyři kusy těchto modulů.

Takové řešení by sice uspokojilo naše aktuální potřeby, ale nechtěli jsme být limitováni jen jedním dalším kanálem. Proto jsme uvažovali další možnosti rozšíření. Dostali jsme tedy nabídku na dvě rozšíření. 1) CWDM-MUX se čtyřmi kanály + 1310nm pro 100Gbps a 2) CWDM-MUX s osmi kanály + 1310nm pro 100Gbps. Dali jsme přednost ekonomičtější variantě, tedy řešení se čtyřmi kanály, které se dodává v jedné kazetě.

Jak to vlastně funguje? Uvnitř každého modulu je MUX. Ten kombinuje více optických signálů v jednom optickém vlákně za použití různých vlnových délek – barev. Jeho úkol je jednoduchý. Z připojeného okruhu „rozdělí“ vlnové délky na jednotlivé LC konektory. Stejně jako v původní variantě 100Gbps + 1Gbps, musíme mít v každém datacentru dva moduly, každý pro jeden okruh.

Schéma MUXu

Jak ukazuje schéma níže, do prvního LC konektoru je přiveden TRUNK, tedy vlákno jednoho okruhu. Na druhém konektoru je k dispozici 100Gbps na standardní vlnové délce 1310nm. Na zbylých čtyřech pak vlnové délky 1470, 1490, 1510 a 1530nm pro použití 1/10Gbps. Takto jsou zapojeny všechny moduly.

Zapojení CWDM modulů

My tedy reálně využijeme zatím 1310nm pro 100Gbps a 1470nm pro 1Gbps MGMT síť.

Obrázek níže ukazuje nové zapojení okruhů mezi datacentry při využití CWDM technologie.

Nové zapojení CE Colo – ČRA

Transceivery a zprovoznění

Ale to není všechno, ještě zbývá použít vhodné transceivery. Standardní 100G QSPF28 transceiver a různě „barevné“ 1G SFP transceivery jsou běžně k dostání. Je však důležité sledovat ještě jeden důležitý parametr každého transceiveru. A tím je power budget, tedy do jakého maximálního útlumu výrobce garantuje jeho funkčnost. Velikost útlumu je závislá na prvcích, které jsou po cestě, ale také na délce tras (včetně celkové délky přímo v datacentrech).

Museli jsme tedy zjistit, jako jsou útlumy na trasách a k nim připočítat útlumy i na MUX modulech.

Útlumy tras s náměrem po datacentrech vycházely následovně:

Trasa1:

* 1310nm – 7.65dB

* 1550nm – 5.48dB

Trasa 2

* 1310nm – 7.66dB

* 1550nm – 5,01dB

Připočtením 2x 1,4dB útlumu na MUX modulech se dostáváme na nejhorší útlum cca 10,46dB. Což už je poměrně hodně. Pro srovnání, u běžného 100Gbps LR transceiveru pro délku 10 km se pohybuje power budget okolo 4-5dB. Museli jsme tedy najít výkonnější transceiver, byť délka 10 kilometrů by dostačovala. Vybírali jsme mezi různými dodavateli, včetně dodavatele MUX modulů. Nakonec jsme pořídili transceivery 100G QSFP28 ER4 with dual CDR, 40 km, LC-Duplex, λ1296-1309 nm s power budgetem 18dB od dodavatele, který nabídl nejnižší cenu a právě nejvyšší power budget. Máme celkem pět kusů, abychom měli jeden náhradní. Jelikož se jedná o poměrně drahé a nepříliš běžné transceivery, mohou mít delší dodací lhůtu. Pro MGMT síť jsme pak vybrali 1G SFP CWDM EX, 40 km, LC-Duplex, λ1470nm s power budgetem 19dB. Pořídili jsme samozřejmě také 5 kusů.

Oba propoje jsme díky LACP mohli postupně přepojit během dne a bez dopadu na celou infrastrukturu. Vlastně jeden dopad to přeci jen mělo, namísto 2x 10Gbps jsme „rozsvítili“ 2x 100Gbps! Na obrázku níže jsou nové 100G transceivery ty s tím červeným držákem.

Páteřní switche v CE Colo

V příští části o upgrade síťové infrastruktury shrnu všechny zbylé letošní úpravy v datacentru CE Colo a také novinky v naší neveřejné lokalitě.

Kategorie:

Na krátkých vlnách (díl 2.) – aukce, závislost, nezávislost a konec anonymních SIM karet

Čt, 08/13/2020 - 09:30

„Výhodou krátkých vln je způsob jejich šíření v atmosféře – díky mnohonásobným odrazům, k nimž dochází na ionizovaných částicích ve vyšších vrstvách (ionosféra), není nutná přímá dohlednost mezi vysílačem a přijímačem, takže jejich vzájemná vzdálenost může dosáhnout i tisíců až desítek tisíc kilometrů. Slabinou jsou naopak nestabilní podmínky šíření. Prostřednictvím krátkých vln se často vysílají zahraniční programy rozhlasových stanic do zemí, kde je omezená svoboda projevu nebo kde je zavedena cenzura.“ (zdroj: Wikipedia)

#Aukce700 verze 2020, restart číslo 2 nabrala spád. Připomínky k návrhu podmínek aukce byly doručeny, zapomeňte. ČTÚ většinově odmítl obdržené připomínky. V pátek nepřekvapivě zveřejnil vypořádání připomínek. Překvapivě ale zveřejnil i informaci o stručném průběhu jednání mezi předsedkyní ČTÚ a předsedou ÚOHS ze dne 3. srpna 2020 a velmi překvapivě zahájil výběrové řízení na kmitočty z pásma 700 MHz a 3,4 – 3,6 GHz. Úřad zařadil vyšší rychlost a jedeme dál.

Osobně mě mrzí, že způsob vypořádání připomínek (nebereme zajatce, odmítáme vše), zabil i poměrně neškodnou připomínku uplatněnou sdružením CZ.NIC k uložení povinnosti nasadit protokol IPv6 do mobilních sítí. V podmínkách aukce se opravdu protokol IPv6 objevil, bohužel pouze v textaci, kdy „Úřad předpokládá, že operátoři protokol IPv6 nasadí.“ I když v tabulce vypořádání je u připomínky sdružení CZ.NIC „akceptováno“, prostým jazykovým rozborem je jasné, že zde mělo být „neakceptováno“. V tom spěchu není divu, že tabulka obsahuje chyby, snad budou brzy opraveny.

A zájemcům o dění kolem aukce, kteří nestihli předchozí dějství, doporučuji shrnutí Davida Slížka na Lupa.cz.

Na webu Karlovarského kraje byl zveřejněn dokument „Závislost na videohrách a finanční nástrahy, které videohry obsahují“ vypracovaný krajským protidrogovým koordinátorem panem Jiřím Vimrem. I když milovník her by dokument asi koncipoval jinak, jsem rád, že vznikl a byl zveřejněn. Proč? Protože většina rodičů nerozumí nebezpečí, které in-app platby ve hrách na mobilu mohou pro jejich děti (a nejen děti) představovat. Krátký dokument srozumitelně vysvětluje pojmy a popisuje finanční nástrahy hraní, aniž by opomíjel pozitivní vliv hraní.

Dne 11. srpna 2020 BEREC zveřejnil své nové stanovisko k nezávislosti regulátorů. Navzdory potvrzení záruk nezávislosti regulátorů v novém regulačním rámci (Evropský kodex elektronických komunikací), BEREC se znepokojením sleduje opatření některých členských států, která by mohla bránit jejich nezávislosti.
BEREC připomíná povinnost včasné, úplné a správné transpozice nových pravidel do vnitrostátních právních předpisů a účinné uplatňování stávajících, včetně zvýšených požadavků na nezávislost. Současně BEREC vyzývá Komisi, aby nadále aktivně sledovala vývoj a aktivně chránila před jakýmikoli kroky, které oslabují schopnost nezávislých regulačních orgánů vykonávat jejich regulační funkce, jak se předpokládá v rámci elektronických komunikací EU.

Nejen případ „odvolání“ polského regulátora nutí BEREC vydávat toto stanovisko. Dostane se mu sluchu na správných místech?

Dne 28. července 2020 proběhlo na Ministerstvu průmyslu a obchodu České republiky první jednání řídícího výboru 5G aliance. Řídicí výbor 5G aliance se má scházet 4krát ročně a témata jako průmysl 4.0, bezpečnost, 5G fakenews, chytrá města se budou průběžně řešit v pracovních skupinách. Podle slov zakladatelů se chce 5G aliance tam, kde je to vhodné, inspirovat a sama inspiraci přinášet. Na podzim proto plánují třeba seminář v Ústí nad Labem, které je jedním z vítězů soutěže „5G pro 5 měst“ nebo česko-bavorský workshop k 5G koridoru Mnichov-Praha. Těšíme se na další informace.

Hospodářské noviny přinesly informaci, že poslanci chtějí zakázat anonymní SIM karty. Tento požadavek vznesla i BIS v rámci připomínkování návrhu novely zákona o elektronických komunikací. Zastánci argumentují faktem, že anonymní SIM karty představují bezpečnostní riziko, protože je bezpečnostní složky nemohou pořádně monitorovat. Proti se již nyní staví Piráti. Ondřej Profant tento požadavek „považuje za rozporné s právem na soukromí, které zaručuje naše ústava. Lidé si mohou pořídit tuto službu anonymně proto, aby je nikdo neotravoval s telemarketingem.“ Rýsuje se tak první politický střet nad návrhem zákona, který čeká na schválení vládou a poputuje do Poslanecké sněmovny.

Horké léto slibuje zajímavý podzim. #staytuned

Kategorie:

Organizace INHOPE zdvojnásobila počty hlášení závadného obsahu

Út, 08/11/2020 - 09:05

Mezinárodní síť INHOPE zastřešující hotlinky po celém světě bojuje již 20 let s nezákonným obsahem na Internetu. A s kladným výsledkem. Množství materiálu, který obsahuje sexuální zneužívání dětí, jejž jednotlivé národní linky zpracovávají, se mezi lety 2017 a 2019 téměř zdvojnásobil, a to rovněž díky novým členům.

Síť INHOPE se neustále rozšiřuje. V loňském roce přistoupilo šest nových hotlinek, a to z Thajska, Kambodže, Portugalska, Španělska, Maďarska a Kypru. Na konci roku 2019 tedy skupina obsahovala celkem 47 hotlinek ze 43 zemí světa. V nejbližších letech je v plánu další expanze do Latinské Ameriky, na Blízký východ a do Afriky.

V rámci sítě národních linek pracuje více než 200 analytiků, kteří dostávají hlášení od laické veřejnosti či od internetových společností, ale též sami aktivně vyhledávají závadný obsah na Internetu. Tato nelehká práce však pomáhá v boji proti sexuálnímu zneužívání dětí. V České republice je možnost nahlásit nelegální online obsah např. prostřednictvím webového formuláře STOPonline.cz, který se nachází i na webových stránkách našeho projektu Bezpečně na netu.

V roce 2019 zpracovala síť INHOPE celkem 183 788 hlášení, jež obsahovala 456 055 obrázků a videí, z nichž 320 672 bylo vyhodnoceno jako nezákonných. 73 % tohoto nelegálního obsahu se podařilo z hostitelského webu odstranit do 6 dnů, což se dá považovat za úspěch.

Oběťmi nezákonného online obsahu jsou především děvčata, a to z 91 %. Věk obětí se bohužel neustále snižuje. V loňském roce se 92 % případů týkalo dětí ve věku 13 let a méně, což je dosti znepokojivé.

Čísla, která se dotýkají hostingu dětské pornografie v Evropě, ukazuje zajímavá statistika, viz obrázek níže, kdy Nizozemí dlouhodobě zaujímá prvenství se svými 79 %, po něm následuje Francie s 10 % a třetí příčku obsadilo Slovensko se 4 %. V České republice hosting tohoto nelegálního obsahu zaujímá méně než 1 %, na což můžeme být hrdí.



Zdroj: INHOPE Annual report 2019

I přestože se obecně daří stále lépe bojovat proti vzniku a šíření materiálů se sexuálním zneužívám dětí, INHOPE si klade za cíl kromě expanze do dalších zemí světa i zvýšení automatizace a zlepšování procesů, které by vedly k účinnějšímu odhalování nezákonného obsahu.

Kategorie:

Nový DNS anycast na Slovensku

Čt, 07/30/2020 - 07:05

Delší dobu jsme na našem blogu nepsali o upgrade nebo přípravě nových lokalit DNS anycastu pro ccTLD .cz. Je to tím, že máme nové lokality zatím pouze rozjednány, koronakrize nám samotnou realizaci dost komplikuje. Dalším důvodem je, že jsme se v posledních měsících soustředili na upgrade sítě v našich datacentrech, o čemž se ale rozepíšu někdy příště. Přesto máme menší, ale o to zajímavější, novinku ze světa DNS anycastu pro .CZ doménu. Tentokrát nepůjde o žádnou větší instalaci nebo exotickou lokalitu, ale o spuštění DNS serveru u našich nejbližších sousedů, bratrů Slováků.

Umístit DNS server/y do Bratislavy se může na první pohled zdát jako zbytečné. I dle našich statistik získaných z projektu Adam víme, že to není lokalita se zásadním provozem pro ccTLD .cz. I když další geograficky odlehlá lokalita, v jiném datacentru, které je napájeno z rozvodné soustavy jiné země, znamená vždycky posílení bezpečnosti provozu celého anycastu. Naší hlavní motivací pro zprovoznění další části DNS anycastu právě v Bratislavě ale bylo zlepšení odezev DNS anycastu pro region střední Evropy při dotazování jednoho konkrétního IPv4/IPv6 prefixu, interně „písmenka“, viz dále.

Nejdříve krátké opakování. DNS anycast pro .CZ se totiž skládá ze čtyř IPv4/IPv6 prefixů, zjednodušeně řečeno z písmen A, B, C a D. Z různých lokalit se pomocí protokolu BGP oznamují jen některé z nich. V zahraničních lokalitách je to vždy jen jedno písmeno v případě tzv. „standalone“ serverů, v případě malých DNS stacků jedno až dvě. Výběr vhodného písmena vždy závisí na analýze DNS provozu a také rovnoměrnému rozložení mezi ostatními lokalitami. V České republice, díky provozu dvou velkých DNS stacků, oznamujeme do internetu písmena tři. A proč ne rovnou všechny čtyři? Je to proto, abychom v případě neočekávaných skutečností jako jsou např. masivní DDoS útoky, blackouty datacenter a jiných mnohdy až katastrofických scénářů měli jedno písmeno DNS anycastu z České republiky nedotčené. A tím je anycast C.

Písmeno C, tedy prefix 194.0.14.1/2001:678:11::1 oznamujeme záměrně z jiného ASN, než z našeho primárního AS25192 a pouze ze zahraničních lokalit. Konkrétně, v době psaní tohoto blogpostu, z Brazílie, Japonska, Rakouska a Velké Británie. Udělali jsme však výjimku pro naše ISP stacky. Je to proto, že routery ISP poskytovatelů typicky „vidí“ nejkratší cestu k písmenům A, B a D přes peeringový uzel NIX.CZ. Proto dává největší smysl v této uzavřené DNS instanci, kterou používají vybraní ISP pouze ve své síti, použít také anycast C.

Ale vraťme se zpět k novému uzlu a vysvětlení, proč právě v Bratislavě. Jak jsem psal výše, anycast C se nepropaguje veřejně v České republice a v rámci peeringového uzlu NIX.CZ je ve skutečnosti dostupný díky peeringu sdružení CESNET s rakouskou akademickou sítí acoNET, ve které provozujeme malý DNS stack. Spuštěním ISP stacku právě ve sdružení CESNET jsme dostupnost ccTLD .cz v této síti zlepšili, ale paradoxně díky zákazu propagace tohoto prefixu mimo síť CESNET (dle podmínek provozu ISP stacků) jsme trochu „zhoršili“ dostupnost anycastu C pro všechny připojené sítě v peeringovém uzlu NIX.CZ. Slovo zhoršili záměrně dávám do uvozovek, protože to pro běžné uživatele neznamenalo žádný rozpoznatelný problém, jen se některým DNS dotazům přibližně o 20ms prodloužila latence, protože nejčastěji na anycast C odpovídal DNS stack až ve Velké Británii. Tato skutečnost nás vedla k zamyšlení, jak tuto situaci napravit a současně i vylepšit bez toho, abychom museli měnit konfiguraci daného ISP stacku.

V červnu nás tedy napadlo, že bychom mohli využít spojení peeringových uzlů NIX.CZ a NIX.SK, kdy servery připojené v NIX.SK mohou být připojeny VLANou i do Prahy. Nabízely se dvě možnosti. Server umístit do nějakého datacentra v České republice, kde bychom si mohli pronajmout trasu až do NIX.SK. A nebo server umístit fyzicky přímo do Bratislavy. Druhá varianta se ukázala jako výhodnější, protože server vlastně nebude umístěn v České republice, nebude v naší síti, v žádném datacentru a připojení nebude závislé na další konektivitě. Tím se poměrně elegantně objeví anycast C přímo v NIX.CZ a samozřejmě také v NIX.SK.

Peeringové uzly NIX.CZ a NIX.SK mají od této chvíle dostupná všechna písmena DNS anycastu ccTLD .cz. Přímo a bez jakýchkoliv zprostředkování. Pokud je váš poskytovatel Internetu připojen do peeringového uzlu NIX.CZ nebo NIX.SK, můžete si vyzkoušet, že níže uvedeným DNS dotazem na NS záznamy domény .CZ odpoví server na Slovensku.

linux> dig +nsid ns cz @c.ns.nic.cz

A závěrem ještě přikládám graf průměrného počtu QPS dne 20.7. 2020 ve všech lokalitách, které oznamují anycast C. Je patrné, že server na Slovensku odbavuje poměrně významný provoz.

Kategorie:

Na krátkých vlnách (díl 1.) – agenti, operátoři, regulátoři a Internet

Po, 07/27/2020 - 13:20

„Výhodou krátkých vln je způsob jejich šíření v atmosféře – díky mnohonásobným odrazům, k nimž dochází na ionizovaných částicích ve vyšších vrstvách (ionosféra), není nutná přímá dohlednost mezi vysílačem a přijímačem, takže jejich vzájemná vzdálenost může dosáhnout i tisíců až desítek tisíc kilometrů. Slabinou jsou naopak nestabilní podmínky šíření. Prostřednictvím krátkých vln se často vysílají zahraniční programy rozhlasových stanic do zemí, kde je omezená svoboda projevu nebo kde je zavedena cenzura.“ (zdroj: Wikipedia)

Na Internetu existuje mnoho webů, které se snaží pravidelně shrnovat nejdůležitější události uplynulého týdne/měsíce v digitálním světě. V tom nebude tento blogový seriál výjimkou. Nicméně věřím, že si díky svému zaměření a kombinaci zpráv najde své čtenáře.

V pondělí 13. července proběhl kulatý stůl k novele zákona o Vojenském zpravodajství (pod záštitou Výboru pro obranu a jeho místopředsedy Jana Lipavského a předsedy podvýboru pro e-Government Ondřeje Profanta). Účast byla nad poměry hojná – poslanci (1x ANO, 3x Piráti, 1x TOP09, 1x ODS), senátor, zástupci Vojenského zpravodajství v čele s panem ředitelem Berounem, zástupci NIX.CZ, CZ.NIC, VNICP, Svazu průmyslu a dopravy, Hospodářské komory a další obvyklí podezřelí.

Všichni zúčastnění ocenili současný přístup zástupců Vojenského zpravodajství, kteří se snaží novelu a případné úpravy, které by měly reagovat na podněty sektoru, otevřeně diskutovat se zástupci Poslanecké sněmovny i odborné veřejnosti. Výsledkem jednání je shoda na přípravě komplexního pozměňovacího návrhu (pod taktovkou Svazu průmyslu a dopravy), který bude reagovat na hlavní výtky – výslovné zajištění pasivity nástrojů detekce (postaru sond), využití nástrojů detekce až jako mezního nástroje (preference možnosti uzavřít s operátorem dohodu o spolupráci) a v neposlední řadě možnost Vojenského zpravodajství (a jeho specializovaného Národního centra kybernetických operací) informovat o útocích a hrozbách národní CSIRT a případně operátory. Na obou stranách (předkladatelů návrhu a kritiků) panuje shoda na úpravách, které se musí promítnout do konkrétního legislativního znění (právníci legislativci si přijdou na své). První čtení proběhne v září.

Ministerstvo průmyslu a obchodu (MPO) odeslalo do orgánů Legislativní rady návrh novely zákona o elektronických komunikacích. Do českého právního řádu se tak implementuje evropský kodex pro elektronické komunikace. Hutné čtení a určitě se mu budu tady ještě věnovat. Na veřejnost se střípky novely dostaly v podobě informace o rušení telefonních budek. A někde už neváhají a staví jim pomníky. Češi byli vždycky mistři na to, jak udělat z překážky výhodu.

#Aukce700 verze 2020, restart číslo 2 – veřejná konzultace skončila, úřad obdržel 267 připomínek. A první pod kotlem zatopil operátor O2.

Server Lidovky.cz upozorňuje na blížící se volbu nového předsedy Úřadu pro ochranu osobních údajů. Zatím známými kandidáty jsou současný místopředseda Josef Prokeš a bývalý státní tajemník na Ministerstvu vnitra Jiří Kaucký. Z důvodu prověření praxe pana Kauckého, Senát volbu odložil do srpna. Příští rok se má také řešit obsazení předsedy Úřadu pro ochranu hospodářské soutěže. Pokud se nestane něco neplánovaného a nebude se řešit dříve.

Proč to zmiňuji? Oba dva úřady jsou důležité pro digitální sektor. Německé předsednictví (DEPRES) aktivně projednává revizi směrnice o ochraně osobních údajů v elektronických komunikacích (e-Privacy) a Česká republika si zaslouží nezávislého regulátora, který bude odborně rozhodovat případné kauzy. A efektivní fungování Úřadu pro ochranu hospodářské soutěže je prostě nutnost – nedovolená veřejná podpora, zneužití dominantního postavení, zakázané dohody a další a další nešvary, které musí soutěžní regulátor řešit (rychle a efektivně, což je v prostředí služebního zákona dvojitá výzva).

Dne 23. července 2020 zorganizovalo MPO Kulatý stůl k návrhu Národního plánu rozvoje sítí s velmi vysokou kapacitou. MPO se v diskuzi zaměřilo na „rozvoj sítí s velmi vysokou kapacitou na území samospráv a vzájemnou kooperaci s komerčními subjekty, možnosti financování rozvoje sítí prostřednictvím různých evropských nebo národních dotačních titulů nebo podpor, vysokorychlostní připojení socioekonomických aktérů (např. školy, nemocnice, místní úřady, knihovny apod.)“. Samotný návrh národního plánu je zde. Hezké čtení.

Vládní zmocněnec pro zastupování České republiky před soudním dvorem Evropské Unie zveřejnil svouzprávu o činnosti za rok 2019. Z devíti telekomunikačních případů se vyjádřil v jednom případě – C-807/18 a C-39/19 Telenor Magyarország, který se týkal uplatňování zero ratingu. V rámci předběžné otázky se maďarský soud zeptal, zda maďarský telekomunikační operátor může nabízet balíček služeb přenosu dat, v rámci kterého bylo umožněno koncovým uživatelům neomezeně používat vybrané aplikace/hudební kanály, avšak používání jiných aplikací/kanálů, které nejsou zahrnuty ve zvýhodněném tarifu, bylo zpoplatněno a po vyčerpání datového objemu zpomaleno. Ve spolupráci s ČTÚ bylo Soudnímu odesláno písemné vyjádření, „ve kterém je zastáván názor, že posuzovaný případ zero ratingu je v rozporu s nařízením 2015/2150, kterým se stanoví opatření týkající se přístupu k otevřenému Internetu.“ Česká republika se vyjádřila ve smyslu, že praktiky maďarského operátora považuje za porušení nařízení o síťové neutralitě. Long live open Internet access!

Kategorie:

Náš letní tábor aneb Jak jsme jeli do Srbska nebo (ne)lezli do koruny stromu

Po, 07/27/2020 - 09:50

V polovině července jsme pro děti kolegů uspořádali příměstský letní tábor. Každý z pěti dnů jsme se snažili navštívit jinou lokalitu. Hned druhý den jsme zamířili vlakem podél Berounky. Túra zprvu působila šok. „Vážně jedeme až do Srbska? To není možné!“ Nápis však byl vysázen bílým na modrém nádražní budovy. Pětikilometrový okroužek nás dovedl ke známé vyvěračce Českého krasu, prameni Koda a potom do bezpečné a veřejně přístupné jeskyně, kde účastníky čekala šifrovačka. Kromě vlastního programu děti zaujala i jeskyně samotná. „Co je tam vzadu? Můžeme se tam podívat? Támhle je díra a někam vede!“ bloumaly baterkou okolo škvírky ve skalní stěně.

Třetího dne jsme se vypravili na lekci softballu do areálu bohnických Joudrs. Zahájili jsme hrou s míčky, obědem, pečlivou rozcvičkou a pak vylehčenou verzí pálkařské hry. Účastníci byli motivováni trojnásobnou porcí zmrzliny, pokud by na jeden odpal trefili až dalekou trávu. Kdo ví, třeba se některá dětská duše nechá pohnout k lásce ke sportu a už od září bude dojíždět na konečnou autobusu po vlastní ose.

Ve čtvrtek mělo krápat, i pustili jsme se do Zemědělského muzea. Přiznám se, že jsem tam jako dítě nikdy nebyl, vždycky jsme zatočili vedle do technického, a nyní jsem zůstal u vytržení z kvality, jakou se k nám expozice řítily. Žádné studené zasklené všednosti, na které smíme spočinout pouhým zrakem. Kdo vydržel a podíval se i do sklepa, mohl se svézt na jednom z miniatur traktorů a valníků. Následoval orientační běh po letohrádku Hvězda. Družiny dostaly bravurně zpracované materiály se zakreslenými a nafocenými body, kterými je třeba proběhnout… nebo aspoň projít, protože pro hrozbu kapek deště měla část osazenstva poloholiny namísto tenisek.

Dýchlo na mě, jak moc se změnily poměry, jak moc nám stoupá životní úroveň a klesají některé schopnosti, generace po generaci. V encyklopediích Miloše Zapletala můžete ještě běžně najít zmínky o stanovištích, kde děti osmdesátých let šplhají čtyři metry do koruny stromu, na úroveň fáborku připraveného vedoucím. Za prvé bych tam sotva vyšplhal sám, za druhé by mě dnes zavřeli, pokud bych děti nechal šplhat na strom do takové výšky bez jištění. Všechno je bezpečnější a každé dítě má v kapse telefon – únik z nudy a tvořivosti. Jedním z úkolů bylo zjistit indicii napsanou z horní strany poměrně nízké zídky. Nepokusil se tam však vylézt nikdo; nakonec jsme přišli na pozici, kde byl nápis vidět i ze zdola. Co můžu dětem předat, aby na tom nebyly se svými schopnostmi ještě o moc hůř než já? „Pěkně se podíváme na mapu… umíš mi říct, kudy jsme proběhli? Když je jedna zeď obory támhle a druhá támhle, kde asi stojíme? Když žaludy rostou na dubu a tohle je žaludový list, co to může být za strom?“ Je možno, že stimul v podobě hraček zavěšených na stromy spojil pár synapsí, aby účastníci za pár let sklidili orientaci v prostoru. Jedna dívka si nečekaně odnesla (byť možná jen dočasnou) znalost kombinačních čísel.

Milým překvapením byl závěrečný den, kdy se děti s vervou a chutí vrhly do odpoledního programu – připravíme pohoštění rodičům. Někdo zdobil balónky, jiný lepil barevné proužky, další krájel mozarellu, tamten připravoval sendviče a aranžoval rajčata. Udělat překvapení pro rodiče, to každé dítě rádo. A kdo by se přesto nudil, mohl si zatočit na kole smůly. „Můžu si zatočit?“ „Můžeš.“ „Vytvoříme pro každé políčko úkol!“ „Tak jo.“ „Padla mi pětka! Co mám dělat?“ „Tak třeba… deset kliků?“ Jiné dítě se ozvalo: „Je to pětka, mělo by jich být pět!“ A tak vzniklo kolo smůly, kde děti stály frontu na to získat kliky, dřepy nebo přinejlepším nový pokus na točení. „Proč děti motivovat zmrzlinou, když to lze
trestem?“ kroutil jsem nevěřícně hlavou.

Jeden chlapec nás neustále informoval o stavu věcí ve svém životě. Jeden příklad za všechny – v momentu, kdy jsem pobíhal po okolí a chystal nadcházející program, mne prioritně tahal za ruku, volaje: „Edvarde! Edvarde!“ Řekl jsem si, že situace může být vážná, a proto jsem k němu sklonil hlavu, abych zvěděl, co má hoch na srdci. Sdělení bylo natolik fascinující, že jsem pak všeho nechal a běžel si je slovo od slova poznamenat… Když si zjednal mou pozornost, řekl prve se dlouze zamysliv: „V medevilu jedna chodí, myslím, myšky nebo ty ruky.“ Co je medevil jedna jsem samozřejmě neměl ani ponětí.

Je krásná i neznalost sociálních situací, kdy se běžně stane, že dítě, konečně dobyvši blízkost dospělého, jme se vyprávět mu dojmy, aniž pozoruje, že na dospělého mluví ještě další účastník či dva. Vznikají tak groteskní situace, kdy je dospělý hermeticky obklopen ze všech stran a pingponguje jednu větu po druhé (zná zřejmě každý rodič). Dospělý se pak snaží párovat děti mezi sebou: „Teď mluví Bedříšek. Josífku, neříkej to mně, ale nám všem. Ano, dobře, chci slyšet vtip, ale možná by jej chtěli slyšet i kamarádi,“ a jemně děti dokormidluje k vzájemným vztahům, o které jde. Několikátý den tábora stoupne vzájemná důvěra a děti si hrají již i mezi sebou. A po týdnu už jsme mohli říci: „Ne, už nechci slyšet další vtip, prosím, již jsi jich říkal na deset.“

Kategorie:

Zveřejňujeme software DNS Probe

Po, 07/13/2020 - 10:03

Laboratoře CZ.NIC v minulých dnech zveřejnily úvodní verzi softwaru DNS Probe. Jde o výkonný nástroj k zaznamenávání transakcí DNS, který je vyvíjen v rámci projektu ADAM. Jeho úkolem je zachycovat DNS provoz na síťovém rozhraní (UDP i TCP), párovat DNS dotazy s příslušnými odpověďmi a exportovat konsolidované záznamy o každé jednotlivé DNS transakci, která se v síťovém provozu vyskytla. DNS Probe může být nasazena buď na stejném stroji společně s DNS serverem anebo na samostatném monitorovacím počítači, jemuž se předává přesná kopie provozu DNS serveru (např. pomocí zrcadlení portů na switchi).

Předpokládáme, že DNS Probe bude postupně nahrazovat současnou metodu záznamu DNS provozu, kterou CZ.NIC používá na svých jmenných serverech. Ta je založena na ukládání kompletních paketů ve formátu PCAP do diskových souborů a jejich následném přenosu na centrální server k dalšímu zpracování. Použití DNS Probe přinese dvě hlavní výhody:

  • efektivní a úspornou reprezentaci exportovaných dat
  • široké možnosti konfigurace a správy

DNS Probe umí v současnosti zapisovat exportovaná data ve dvou formátech: Apache ParquetC-DNS. První z nich je obecný formát používaný v ekosystému Hadoop, jenž je často používán i k ukládání rozsáhlých dat o DNS provozu. C-DNS je naproti tomu standardní formát navržený specificky pro ukládání a přenos záznamů o DNS transakcích. Zjistili jsme, že s oběma formáty je možné dosáhnout až 75% úspory objemu dat v porovnání s PCAP.

Při kompilaci DNS Probe je možné zvolit jedno ze dvou rozhraní (backendů) pro zachycování paketů, která upřednostňují buď vyšší rychlost zpracování nebo nižší paměťové nároky: klasický socket typu AF_PACKET anebo DPDK.

V následujícím grafu jsou vidět rychlosti zpracování paketů dosažitelné s každou ze čtyř možných kombinací backendu a výstupního fomátu. Je z něj také zřejmé, že výkon narůstá ve všech případech zhruba lineárně s počtem procesorových jader použitých ke zpracování paketů. Další informace o provedených testech výkonu lze najít na této wiki stránce.

DNS Probe je možné konfigurovat a spravovat i vzdáleně pomocí standardního protokolu NETCONF. Díky tomu lze kromě jiného v reálném čase monitorovat činnost tohoto softwaru a případně také reagovat na změny v síťovém provozu. Například se dá dočasně zredukovat výběr datových položek zapisovaných do záznamů C-DNS, a díky tomu aspoň omezeně pokračovat v záznamu DNS provozu třeba i během DDoS útoku.

Číslo zveřejněné verze je 0.5.0, což má v podstatě signalizovat dvě věci:

  1. DNS Probe se zatím nehodí k nasazení v podmínkách s kritickými nároky, neboť jsme ji zatím zvládli otestovat jen v omezené míře.
  2. Konfigurační rozhraní je sice použitelné, má ale dosti daleko k uživatelské přívětivosti. V některé z dalších verzí počítáme s jeho výrazným vylepšením.

I přesto se domníváme, že současná verze je dostatečně stabilní a funkční. Prosíme proto dobrovolníky, kteří se zajímají o zpracování DNS provozu, aby nám s testováním vypomohli. Nalezené chyby a návrhy nových vlastností je možné vložit na projektové stránce Issues.

Kategorie:

ODVR – vypnutí ochrany Rebinding a úpravy DoH

St, 07/08/2020 - 14:30
DNS rebinding

Naše otevřené DNSSEC validující resolvery měly od začátku provozu (tedy i v době, kdy ještě běžely na DNS resolveru Unbound) nastavenu ochranu proti DNS Rebindingu. Toto nastavení jsme zachovali i při spuštění nového ODVR anycastu postaveného již na našem Knot Resolveru.

V praxi taková ochrana funguje tak, že pokud se v DNS zóně vyskytují A/AAAA záznamy s IP adresami z privátních rozsahů, resolver zablokuje doménový překlad. Uživateli se vrátí odpověď se stavem „REFUSED“ a v textové formě pak hlášení „blocked by DNS rebinding protection“.

O filtrování privátních rozsahů na veřejném DNS jsme v době spouštění ODVR moc neváhali. Nebyl rozumný důvod, proč by se měly privátní adresy v těchto zónách objevovat. Jenomže vše se vyvíjí a DNS nezůstává pozadu. Ukazuje se, a zpětná vazba uživatelů ODVR to jen potvrzuje, že pro některé účely překládat privátní adresy smysl má. Níže uvádím několik příkladů, které potřebu ochrany proti DNS rebindingu na ODVR oslabují:

  • filtrování e-mailů založené na DNSBL. Jedná se o jednu z účinných metod, jak ještě před přijetím e-mailu zjistit, že příchozí e-mail je s největší pravděpodobností spam. DNSBL servery pracují s privátními adresami a zapnutá ochrana proti DNS rebindingu je v podstatě blokuje
  • doménové záznamy, které jsou záměrně směrovány na privátní rozsahy v interní síti, v domácnostech či menších sítích, kde nemá smysl nastavovat a udržovat další DNS služby. Typickým příkladem mohou být různé interní webové služby nebo vývojová prostředí.
  • smysluplnou konfiguraci ochrany proti DNS Rebindingu stejně není možné univerzálně nakonfigurovat, protože někteří uživatelé potřebují IP adresy z rozsahu 172.16.*.*, jiní z 192.168.1.* apod.
  • Google, Cloudflare a velká část poskytovatelů připojení má na svých DNS resolverech tuto ochranu standardně vypnutou, což uživatele ODVR může mást

Na základě výše uvedeného jsme se shodli, že ochranu DNS Rebinding na celém ODVR anycastu k dnešnímu dni zcela vypneme.

DoH

Přibližně před rokem jsme na novém ODVR anycastu zprovoznili i DNS-over-HTTPs. Jelikož šlo poměrně o novou implementaci, rozhodli jsme se, že tento protokol budeme zatím zkušebně provozovat pouze na jedné z IP adresy ODVR anycastu, konkrétně na 185.43.135.1/2001:148f:fffe::1, abychom získali zkušenosti s jeho podporou. Spolu s kolegy z týmu Knot Resolveru jsme implementaci postupně odladili, a tak jsme se rozhodli, že spustíme protokol DoH i na druhé anycastové IP adrese 193.17.47.1/2001:148f:ffff::1 a to také k dnešnímu dni.

Věřím, že vypnutím DNS Rebindingu si naše veřejné resolvery najdou zase další spokojené uživatele.

Kategorie:

Evropská komise vydala zprávu DESI. Česká republika si polepšila, ale…

Út, 06/16/2020 - 06:15

Od roku 2014 Evropská komise pravidelně sleduje a porovnává pokrok členských států EU v digitální oblasti v rámci tzv. Indexu digitální ekonomiky a společnosti (DESI). Dne 11. června 2020 Evropská komise vydala nejnovější zprávu DESI za rok 2020. Česká republika se umístila na 17. místě (vloni 18. místo), pozitivně byla hodnocena v kapitolách Lidský kapitál, Integrace digitálních technologií a Využívání internetových služeb. Naopak meziroční propad byl zaznamenán v kapitole Konektivita (z 19. na 24. místo) a Digitální veřejné služby (z 21. na 22. místo). Pojďme se na srovnání podívat blíže.

Zpráva je založena na datech sesbíraných v roce 2019 a tím, že je zpráva DESI vydávaná v podstatě v polovině roku 2020, subjektivně můžeme některá čísla vnímat jinak. Nicméně cíl Evropské komise je jasný – podpořit trošku té přirozené digitální soutěživosti mezi členskými státy a správně zvolenými slůvky pochválit nebo naopak jemně dloubnout pod žebra. U každého státu je navíc ke zprávě připojena podrobná kapitola o telekomunikacích.

Základní data sbírá Evropská komise od vládních úředníků a subjektů, které se pohybují na trhu. A i když se všichni snaží prodat úspěchy v daném roce a vyleštit powerpointové prezentace, úředníci Evropské komise mají většinou ten luxus pospojovat si všechny izolované grafy a čísla do souvislostí. Pamatuji si, že když Evropská komise začala tato srovnání v roce 2014 vydávat, jeden z náměstků ministerstva vnitra v růžových barvách líčil rozvoj českého e-governmentu a básnil o tom, jak jsou české datové schránky úžasná a skvělá záležitost, která pomáhá všem občanům v komunikaci s úřady. Úředník Evropské komise ho nechal dokončit oslavnou ódu a pak se jen suše zeptal (ano, myslím, že to byl Brit) – „A vy máte datovou schránku?“ Náměstkovo suché polknutí a slabé „Ne“ vydalo v tu chvíli za všechny prezentace.

Základní oblasti hodnocení jsou konektivita, lidský kapitál, využívání internetových služeb, integrace digitálních technologií a digitální veřejné služby.

Jak je hodnoceno Česko?

Česko je nejsilnější v integraci digitálních technologií, kde jeho výsledky převyšují průměr EU. Je to hlavně díky dobrým výsledkům v oblasti elektronického obchodu. Podíl osob zaměstnaných v oboru ICT a podíl absolventů v tomto oboru významně vzrostl, nicméně české (a nejen české) firmy stále hlásí potíže při hledání odborníků s digitálními dovednostmi. I když vláda zavádí nové digitální veřejné služby (míněn asi portál občana?), jejich využívání je však dosud omezené. Konektivita se nezlepšuje dostatečně rychle, zejména z důvodu nedostatečného pokrytí pevnými sítěmi s velmi vysokou kapacitou. Ani 4G pokrytí už ve srovnání s ostatními zeměmi EU nepůsobí nijak výjimečně. Velká část obyvatel čte zprávy na internetu a používá internetové bankovnictví.

I. Konektivita

S celkovým skóre konektivity ve výši 44,9 se Česko mezi zemeěmi EU řadí na 24. místo. Celkové využití pevného vysokorychlostního připojení je stejné (74 %) jako v předchozím roce a je o něco nižší než průměr EU. Pokrytí rychlým širokopásmovým připojením je v Česku stabilní (90 % v roce 2018 a 92 % v roce 2019), což je stále méně než EU stanovený cíl ve výši 100 % určený pro rok 2020. Pokrytí pevnými sítěmi s velmi vysokou kapacitou (28 % domácností v roce 2018) se nevýrazně zvýšilo na 29 %, a to výhradně v důsledku zavedení nových sítí FTTP, dosud však zůstává pod průměrem EU ve výši 44 % (včetně kabelových sítí modernizovaných na DOCSIS 3.1).

Počet domácností s pevným širokopásmovým připojením o rychlosti nejméně 100 Mb/s rovněž zaznamenal pouze mírný nárůst (z 18 % na 20 %) a Česko se u tohoto ukazatele dosud řadí relativně nízko (19. místo). Země vykazuje plné průměrné pokrytí 4G – touto technologií je nyní v Česku pokryto 100 % domácností.

Maloobchodní ceny v Česku jsou vyšší než průměr EU – Česko dosáhlo u indexu cen širokopásmového připojení skóre 57 oproti průměru EU ve výši 64, což je mezi všemi členskými státy EU řadí v této kategorii na 21. místo. Navzdory relativně vysokým cenám, zejména v mobilním segmentu, je využití širokopásmového připojení v Česku jen mírně pod průměrem EU.

U ukazatele připravenosti na 5G se Česko řadí na 15. místo. V zemi bylo zatím přiděleno 42 % spektra harmonizovaného na úrovni EU pro bezdrátové vysokorychlostní služby.

II. Lidský kapitál

Pokud jde o lidský kapitál, Česko obsadilo 14. místo, přičemž jeho skóre je těsně pod průměrem EU. Vzrostl podíl obyvatel s alespoň základními (62 %) a vyššími než základními (26 %) digitálními dovednostmi. Podíl osob zaměstnaných jako odborníci v oblasti ICT stoupl na 4,1 %, což je více než průměr EU (3,9 %). Největší koncentrace odborníků v oblasti ICT je v Praze, kde představují 7,9 % celkové zaměstnanosti. V segmentu ICT silně převládají muži. Pouze 10 % všech odborníků v oblasti ICT tvoří ženy – to je druhé nejnižší skóre v EU. Přesto (nebo právě proto) se DESI zpráva věnuje aktivitám organizace Czechitas.

Česko se více zapojilo do Evropského týdne programování. Počet registrovaných aktivit vzrostl o 54 % na 232 a zúčastnilo se jich více než 13 000 osob. 49 % účastníků tvořily dívky nebo ženy. Většina aktivit se uskutečnila ve dvou největších městech a 65 % ve školách. Zpráva také zmiňuje činnost české Digikoalice, která sdružuje 204 členů, kteří se pravidelně setkávají a řídí iniciativy, jež poskytují příležitosti v oblasti odborné přípravy a vzdělávání mladým lidem, zaměstnancům, starším občanům a uchazečům o zaměstnání.

Nedobré hodnocení v rámci srovnávání dostává české školství. Zpráva konstatuje, že české školy postrádají učitele s příslušnou kvalifikací v oblasti digitálních dovedností. Nejvyšší kontrolní úřad a Česká školní inspekce uvádějí, že navzdory stávající strategii digitálního vzdělávání se vzdělávací systém nepřizpůsobuje dostatečně rychle digitální transformaci. Mnozí učitelé nemají dostatek materiálů a necítí se dostatečně připraveni na to, že by měli vyučovat digitální dovednosti. Školy nemají přístup k odpovídající digitální infrastruktuře. Stáří 80 % počítačů, jež mají žáci k dispozici, je více než tři roky a školy nemají dostatek finančních prostředků na investice do moderního digitálního vybavení.

III. Využívání internetový služeb

Pokud jde o využívání internetových služeb, Česko i nadále postupuje na vyšší příčky. Země je nyní na 17. místě a má vyšší skóre než v roce 2019, dosud je však pod průměrem EU. Digitální mezera ve společnosti se zmenšuje, jelikož podíl osob, které internet nikdy nepoužily, klesl na 9 % (stejný jako průměr EU). 92 % uživatelů internetu v Česku čte noviny a časopisy on-line. To je nejvyšší skóre v celé EU.

„Podíl uživatelů, kteří prodávají on-line, se však snížil a podíl osob, které využívají komerční služby videa na vyžádání, je nejnižší v EU. To by mohlo souviset s vysokou cenou mobilních širokopásmových služeb. V důsledku toho mohou spotřebitelé omezovat používání internetových služeb na svých telefonech a tabletech.“ Dopad „vždyť vám to stačí“ nízkých datových limitů na digitální svět v jednom odstavci.

IV. Integrace digitálních technologií

Pokud jde o integraci digitálních technologií, Česko se posunulo na 9. místo a má skóre nad průměrem EU. Hlavní hnací silou v této oblasti je i nadále elektronický obchod. V Česku prodává on-line 28 % malých a středních podniků a obrat z elektronického obchodování již představuje více než pětinu jejich příjmů. To je druhé nejvyšší skóre v EU.

V zavádění nových digitálních technologií (analýza big data, cloud) jsou však české společnosti pod průměrem EU.

Česko je patnáctým největším konečným uživatelem průmyslových robotů na světě. Podle Svazu průmyslu a dopravy plánuje více než polovina společností v průběhu příštích pěti let zvýšit investice do aplikací Průmyslu 4.0. V tomto ohledu jsou větší společnosti aktivnější než malé a střední podniky. Hlavními důvody pro zavádění prvků Průmyslu 4.0 je zvýšení produktivity a snížení jednotkových nákladů na zaměstnance.

V. Digitální veřejné služby

V oblasti digitálních veřejných služeb kleslo Česko v pořadí EU na 22. místo, přičemž jeho skóre je výrazně pod průměrem EU. Země zvyšuje objem veřejných služeb, které mohou lidé a podniky využívat on-line. Žádný z ukazatelů však není vyšší než průměr EU a pouze polovina osob, které potřebují předložit orgánům veřejné správy úřední formuláře, tak činí elektronicky (průměr EU je 67 %).

Na konci roku 2019 nabízel Portál občana již 120 služeb on-line, měl však pouze 45 000 registrovaných uživatelů (0,7 % Čechů ve věku 15–64 let). Pozitivní vývoj se odehrává ve vydávání elektronických receptů, kdy v roce 2019 se vydává v průměru 6 milionů e-receptů měsíčně.

Evropská komise si všimla i slavného hackathonu na „vytvoření beta verze e-shopu“ pro elektronické dálniční známky (který byl původně plánován za 16 milionů EUR), a uvádí ho jako příklad alternativního přístupu k zadávání veřejných zakázek v oblasti IT. Nevíte, jak to skončilo…? Evropská komise pléduje za využívání open source, když píše že „přístup založený na otevřeném zdrojovém kódu by mohl více poskytovatelům umožnit nabízení nových služeb, které do již existujících systémů přilákají více lidí. Zátěž nadále představují i neúspěšné a předražené zakázky na služby ICT ve veřejné správě.“ Snad dočte státní správa i na tuhle poslední stránku.

Kdo dočůrá dál…

Po přečtení konkrétního hodnocení České republiky, pojďme splnit primární cíl DESI indexu a porovnat Českou republiku. Využijeme k tomu webu, kde Evropská komise umožňuje srovnání různých členských států a různých indikátorů, které vstupují do DESI indexu.

I. Konektivita

II. Lidský kapitál

III. Využívání internetových služeb

IV. Integrace digitálních technologií

V. Digitální veřejné služby

Vidíme, že ve V4 regionu vedeme v integraci digitálních technologiích a lidském kapitálu. A jak budou grafy vypadat, když se porovnáme s nejlépe hodnoceným státem v DESI hodnocení – Finskem.

I. Konektivita

II. Lidský kapitál

III. Využívání internetových služeb

IV. Integrace digitálních technologií

V. Digitální veřejné služby

Nemá se to dělat, ale pojďme se srovnat ještě s nejhůře hodnoceným státem.

I. Konektivita

II. Lidský kapitál

III. Využívání internetových služeb

IV. Integrace digitálních technologií

V. Digitální veřejné služby

Z těchto pár grafů si každý dokáže představit, jak si zhruba Česká republika stojí v mezinárodním srovnání. Už nyní je jasné, že srovnání pro rok 2020, které bude Evropská komise dělat příští rok, bude ovlivněno pandemií COVID-19. Zda Česká republika využije této krize, při které i největší odpírači digitálního světa viděli, že digitální nástroje pomáhají zmírnit dopady pandemie a mohou přinést nová řešení starých i nových problémů, uvidíme brzy. Držme si palce (i když to vlastně nestačí…).

Kategorie:

Nová verze Turris OS 5.0 je venku

Po, 06/08/2020 - 15:00

Vydali jsme novou verzi Turris OS 5.0, která je založená na nejnovější verzi OpenWrt 19.07.3 a je určená pro všechny routery Turris. Co se týče „modrých“ routerů Turris 1.x, tak v tomto případě se aktuálně jedná o experimentální podporu (týká se zařízení s microSD kartou a se souborovým systémem Btrfs). V článku vám představíme, co je nového, včetně možnosti zvolit si migraci z operačního systému Turris OS 3.x. Zmíníme se také o překážkách, které nám bránily v dřívějším vydání a také přidáme, na co se můžete těšit do budoucna.

Turris OS 5.0 – Úvod

Verze operačního systému označená 4.0 byla založena na stále podporované verzi OpenWrt 18.06. Té by ale měla v nejbližší době skončit podpora ze strany vývojářů OpenWrt. S vydáním nové hlavní verze jsme zase o krůček blíže k nejnovějším verzím OpenWrt. Během vývoje Turris OS 5.0 jsme narazili na několik překážek, s nimiž jsme se museli vyrovnat. Týkaly se různých kolizí balíčků, které poskytují stejně nazvaný soubor v totožné cestě, nebo neexistující balíčky, ty byly v upstreamu odstraněny, protože je nikdo neudržuje, nebo že daný software již není udržován. V našem systému jsme také neměli zapnutou jednu volbu v kernelu, díky čemuž v některých případech nebylo na routeru Turris Omnia možné načíst Wi-Fi ovladač pro ath9k. Za toto upozornění děkujeme našim beta testerům z fóra. Dále byl před vydáním nové verze OpenWrt aktualizován hostapd, který by sám o sobě nebyl problematický, jenže po aktualizaci tohoto balíčku se vypnuly všechny Wi-Fi sítě a nenaběhly, dokud nedošlo k restartu routeru. Ukázalo se, že se jedná o problém s netifd, který je konfiguračním daemonem pro síť v OpenWrt, a jeho chybné implementací sledovaní procesů. Většinu překážek se nám ale podařilo překonat. Na odstranění zbývajících problémů, které jsme zjistili při důkladném testování, usilovně pracujeme.

Novinky

Nyní se pojďme podívat na to nejzajímavější, co nám OpenWrt 19.07 přináší. Současně s tím vám představíme změny, které jsme si pro vás přichystali, a na kterých ještě děláme.

reForis

Velkou novinkou je postupný redesign webu Foris (reForis), kterým bychom rádi nahradili ten současný. Foris je tu s námi již delší dobu, a proto si zaslouží nový kabát „ušitý“ z moderních technologií jako jsou například Bootstrap, React a Flask. V aktuální verzi nám reForis přináší podporu snapshotů v grafickém rozhraní a také například umožňuje nastavení přesměrování na vlastní DNS server, který jsme si sami neurčili.ja

Pokud byste chtěli vyzkoušet reForis a poskytnout nám zpětnou vazbu, tak budeme samozřejmě velice rádi. Je jen nutné jej v tuto chvíli doinstalovat ve Forisu (záložka Aktualizace). Ještě několik verzí tu s námi budou obě rozhraní, abychom je mohli lépe otestovat, než reForis nahradí Foris úplně.

Migrace z verze Turris OS 3.x na Turris OS 5.x

Protože aktuálně podporujeme dvě verze Turris OS, ptali se nás uživatelé, zda plánujeme automatickou migraci z verze Turris OS 3.x na 5.x (abychom nemuseli udržovat dvě velmi rozdílné verze, které od sebe dělí řada let vývoje). Ano, automatickou migraci připravujeme a už teď najdete v naší dokumentaci návod, podle kterého můžete postupovat. Opět, budeme velice rádi, když nám na fóru poskytnete zpětnou vazbu.

Mezi další zajímavosti patří například používání cronie jako plánovače úloh, místo vixie-cronu, který již není vyvíjen. Dále je zde nová verze Updateru, u kterého došlo k výraznému přepisu zdrojového kódu a ve výsledku nyní zabírá méně operační paměti během aktualizačního procesu. Také jsme přidali ovladače pro další DVB tunery jako je třeba velmi rozšířená Astrometa DVB-T2 2018.

Pojďme se nyní podívat na novinky OpenWrt verze 19.07:

Samba 4

Ve verzi OpenWrt 18.06 najdete Sambu, ale ve verzi 3, která je zranitelná vůči bezpečnostním chybám. Samba je služba pro sdílení souborů, dokumentů a fotek především v rámci lokální sítě, ale také do Internetu. Ve verzi OpenWrt 19.07 najdete Sambu 4. Ta je stále aktivně vyvíjena, a proto jsme se rozhodli připravit základní migraci nastavení ze Samby 3 na Sambu 4.

Podpora WPA3

OpenWrt přináší základní podporu pro standard WPA3. Ten ale není ve výchozím stavu nastaven a vyžaduje instalaci dodatečných balíčků. Prozatím neuvažujeme o tom, že bychom tyto balíčky zahrnuly do základní instalace, jelikož u některých zařízení by se mohla projevit nekompabilita a problémy s Wi-Fi připojením při používání WPA2+WPA3 módu (velká část zařízení podporuje stále pouze WPA2).

LuCI

Ani vývojáři v OpenWrt nezahálí a pracují na přepisování jednotlivých částí administračního rozhraní LuCI. Zde došlo k výrazné změně chování – většina procesů probíhá na straně klienta a to za pomocí Javascriptu.

A to je za nás v tuto chvíli vše. Za vývojový tým projektu Turris bych chtěl poděkovat všem uživatelům routerů Turris, kteří se podíleli na testování nové verze. Velice si vážíme vaší pomoci a podpory a věříme, že pro vás naše novinky budou zajímavě a přínosné. O své připomínky se můžete podělit jak našem fóru, tak zde na blogu sdružení CZ.NIC.

Kategorie:

Průzkum: Jak nastavujete DNS resolvery?

Po, 06/08/2020 - 10:25

DNS resolvery neustále přidávají nové funkce, aniž by odstraňovaly ty staré. Tento trend však nemůže pokračovat donekonečna, protože by se software nakonec zhroutil pod vlastní vahou. Které funkce jsou v praxi využívány a které je možné odebrat? Předkládáme předběžné výsledky průzkumu mezi správci DNS resolverů a také zveme čtenáře, aby se zapojili do průzkumu napříč výrobci, který běží do 30. června 2020.

Proč potřebují výrobci zpětnou vazbu

DNS protokol je tu už 33 let a je velice komplexní: jeho specifikace se rozrostly ze 132 stránek v roce 1987 na více než 3 000 stránek a nadále roste! DNS software nabízí také mnoho funkcí specifických pro výrobce, což ještě zvyšuje jeho složitost, a ta zase vede k delším manuálům, konfiguraci náchylnější na chyby a zabugovanému, méně spolehlivému softwaru.

Výrobci se teoreticky mohou rozhodnout zastaralé funkce a části kódu odstranit, čímž sníží pravděpodobnost výskytu chyb, jenže to by museli vědět, které funkce jejich uživatelé ve skutečnosti používají. Odstranění zastaralého kódu by jistě pomohlo oběma stranám. Avšak právě k tomu chybí zpětná vazba od správců. Výrobci se navíc snaží být konzervativní – přidávají nové funkce a neodebírají staré – a to je samozřejmě strategie, která není dlouhodobě udržitelná.

Jak taková historická zátěž vypadá v praxi? Pojďme se podívat na dokumentaci k různým softwarovým balíčkům, odhadnout počet možností a porovnat celkový počet možností s používáním popsaným v dosud obdržených 120 vyplněných detailních dotaznících.

BIND: $ man named.conf | sed -e 's/ //g' | sort -u | wc -l

Konfigurační soubor named.conf pro BIND 9.16 podporuje zhruba něco přes 400 různých nastavení, z nichž mnohé mohou být použity v různých kontextech (global, view, zone) a interagovat spolu, a to také s autoritativní částí DNS serveru, který je součástí BINDu. Údaje z průzkumu momentálně ukazují, že se v praxi využívá jen 65 ze 400 možností.

Kandidát na nejobskurnější nastavení, které se v odpovědích v průzkumu zatím neobjevilo: „dialup” s výběrem z 6 režimů. Používá to ještě někdo? (Pravděpodobně ano.)

Unbound: $ man unbound.conf | grep '^ *[a-zA-Z0-9_-]*:' | sed -e 's/ //g' -e 's/:.*$//' | sort -u | wc -l

Konfigurační soubor unbound.conf Unbound 1.10.0 podporuje zhruba něco přes 230 možností, ale z průzkumu momentálně vyplývá, že jich je aktivně využíváno pouze 30, což může být dáno tím, že své konfigurace v rámci průzkumu dobrovolně sdílelo jen několik správců Unboundu.

Kandidát na nejobskurnější možnost, která se v odpovědích v průzkumu zatím neobjevila: „dlv-anchor

PowerDNS Recursor: $ pdns_recursor --help | fgrep -- -- | wc -l

PowerDNS Recursor 4.3.0 máv konfiguračním souboru 152 možností, což je výrazně méně, ale také má pro účely konfigurace zabudovaný jazykLua, díky čemuž je jeho konfigurační soubor Turingovsky kompletní.

Průzkum nyní nemá dostatek dat od uživatelů funkce PowerDNS, ale zato má kandidáta na nejobskurnější možnost: „distribution-pipe-buffer-size“.

Knot Resolver 5.1.1 je nejnovější přírustek do rodiny rekurzivních resolverů, ale jeho nevině vypadající konfigurační soubor je prakticky programem v jazyce Lua s nekonečnými možnostmi. Data průzkumu momentálně ukazují, že někteří uživatelé jazyk Lua používají ke skriptování svých vlastních funkcí uvnitř resolveru, ale většina respondentů používá pouze předpřipravené funkce dodávané se softwarem. To vede k otázce, zda konfigurace v jazyce Lua stojí za to, nebo zda by bylo možné ji nahradit něčím uživatelsky přívětivějším.

Kandidát na nejobskurnější možnost, která se v odpovědích v průzkumu zatím neobjevila: modules.unload(‘detect_time_jump’)

Jak vidíte, všechny čtyři implementace nabízejí široké možnosti konfigurace – to je spousta kódu, který je potřeba udržovat a testovat, a to hlavně proto, že spolu funkce vzájemně interagují. Náš průzkum zároveň ukazuje, že mnohé funkce pravděpodobně nejsou využívány, což nabízí příležitost odstranit historický balast. Proto vás prosíme, zúčastněte se průzkumu, a pomozte nám tak zjistit, které zastaralé části mohou být odstraněny a s nimi i chyby které způsobují. Povede to k spolehlivějšímu software a zároveň i jednodušší konfiguraci.

Snad je teď jasnější, proč výrobci potřebují více zpětné vazby od uživatelů.

Jak špatné je to s nedostatečnou zpětnou vazbou?

Abychom ilustrovali rozsah problému, uděláme si hrubý odhad toho, kolik provozovatelů poskytuje výrobcům DNS resolverů zpětnou vazbu.

Odhad č. 1: Počet osob, které komunikují s výrobci

Tady použijeme veřejně dostupné zdroje k odhadnutí počtu lidí, kteří s výrobci komunikovali.

Všechny čtyři projekty mají elektronický mailing list, takže můžeme stáhnout archivy a použít několik regexů k získání počtu unikátních e-mailových adres:

$ grep -o -h '^From [^ ]\+ at [^ ]\+ ' *-users/2019-*.txt | sort -fu | wc -l

Výsledek je 534 e-mailových adres včetně přispěvatelů, kteří pracují na všech čtyřech projektech.

Všechny čtyři projekty mají také veřejné bug trackery, tudíž můžeme spočítat uživatele, kteří během roku 2019 nahlásili problém nebo nějaký okomentovali. Aby byl tento úkol proveditelný, analýzu si trochu zjednodušíme:

  • Nebudeme se pokoušet odečítat interakce zaměstnanců samotných výrobců.
  • BIND a PowerDNS neoddělují své repozitáře pro rekurzivní a autoritativní servery – proto budeme počítat všechny komunikace v těchto dvou repozitářích.
  • Nebudeme deduplikovávat uživatele mezi GitHubem a soukromými instancemi GitLabů používanými různými výrobci.

Jednoduchým skriptem založeným na exportu GitHub API a Gitlab CSV získáme 400 účtů, které přidali v roce 2019 alespoň jeden komentář ve veřejných trackerech (určitě přemrštěný odhad).

V poslední řadě také musíme započítat zákazníky komunikující s výrobci soukromě, což je mnohem složitější. ISC naštěstí zveřejňuje podrobný roční přehled, který odhaluje, že dalších zhruba 100 zákazníků může komunikovat s ISC soukromě. Další výrobci tyto čísla nezveřejňují, takže můžeme extrapolovat čísla z ISC na všechny čtyři open-source výrobce, a získáme tak dalších 400 uživatelů komunikujících soukromě.

Nakonec můžeme shrnout celkový počet lidí komunikujících s výrobci během roku 2019:

  • veřejné mailing listy = 530 (včetně zaměstnanců výrobců)
  • veřejné bug trackery = 400 (bez deduplikace napříč projekty)
  • odhadovaný počet zákazníků komunikujících soukromě = 4 x 100 = 400 (extrapolováno z dat ISC)

Celkem je to 1330 lidí, což je téměř jistě nadsazený odhad. Co to ale znamená? V jakém je to poměru k počtu provozovatelů DNS resolverů?

Odhad č. 2: Počet provozovatelů

Získat přesné číslo je nemožné, ale můžeme určit horní a spodní mez.

Velmi konzervativní spodní hranice by mohl být počet Autonomních systémů používaných na Internetu. V současnosti existuje zhruba 67 000 provozovatelů, kterým záleží na infrastruktuře Internetu natolik, aby provozovali svůj vlastní AS, a proto pravděpodobně provozují i další zásadní internetové služby, jako je DNS resolver.

Stanovit horní hranici je daleko složitější. Kdybychom se omezili jen na rekurzivní DNS resolvery, mohli bychom náš odhad založit na počtu unikátních IP adres odesílajících DNS dotazy na DNS root servery během jednoho dne, ale počet unikátních zdrojových IP adres vypočítaný pro všechny instance root serverů není k dispozici. Musíme proto využít nezávislých statistik jednotlivých provozovatelů root serverů. Z nich má nejvyšší počet unikátních zdrojových IP adres zaznamenaných za jeden den server L-root – toto číslo se pohybuje kolem 8 milionů.

Tím jsme získali velmi široké rozpětí od 67 000 do 8 000 000.

Jaká část provozovatelů komunikuje s výrobci?

Nakonec můžeme odhadnout, kolik provozovatelů během roku 2019 komunikovalo s výrobci DNS software:

horní hranice = (1330 lidí komunikujících s výrobci v roce 2019) / (67 000 autonomních systémů) = 2 %

spodní hranice = (1330 lidí komunikujících s výrobci v roce 2019) / (8 000 000 zdrojových adres) = 0,017 %

Z toto můžeme usoudit, že pouze 0,017 až 2 % provozovatelů během roku 2019 komunikovalo s alespoň jedním výrobcem DNS software. Výrobcům tak chybí zpětná vazba, a mají tak v principu dvě možnosti:

  • Nadále udržovat všechny funkce, včetně těch nepoužívaných, a vytvářet tak software, který obsahuje více bugů a je pro všechny složitější na konfiguraci.
  • Odstranit funkce, které malý zlomek „komunikujících“ uživatelů nepoužívá, což ale může vést k odstranění funkcí, které potřebují „mlčící“ uživatelé.

Pokud se vám ani jedna z těchto možností nezamlouvá, zapojte se do našeho průzkumu a pomozte nám to změnit.

Lepší pozdě než nikdy

Průzkum běží do 30. června 2020 a dává vám příležitost říct výrobcům, které funkce potřebujete a neměly by být odstraněny, vyjádřit svá přání ohledně budoucího vývoje konfiguračních rozhraní, podpory DNS-over-TLS a DNS-over-HTTPS atd.

Manuální průzkum umístěný na webu s formuláři má samozřejmě značné limity. Proto se u dotazník také ptá na postoje k zabudovaným funkcím „call home“, které by mohly v budoucnu sběr dat automatizovat.

Dejte nám vědět, co si myslíte.

Kategorie: