Linux E X P R E S

Facebook

Internet a Technologie 14 – den první

konference_IT14.jpg

Pražská konference o internetových technologiích přinesla mnoho zajímavých přednášek a také čtyři workshopy. Nosným tématem byla bezpečnost, tedy oblast, která je zrovna pár dní po útocích na domácí routery velmi aktuální.


Konference Internet a Technologie, kterou pořádá sdružení CZ.NIC, obvykle společně s dalšími partnery (často NIX.CZ, jak tomu bylo i nyní, a také CESNET), se od svého vzniku v roce 2008 již stala zajímavou tradicí. Přináší čerstvé informace o internetových technologiích a při workshopech si lze leccos vlastnoručně vyzkoušet.

Konference v pivovaru

Kdo zavítal na dřívější konference Internet a Technologie, ví dobře, že se konaly postupně na různých místech po Praze. Po NTK, MFF UK a dalších lokalitách se místem konání stal smíchovský pivovar Staropramen, konkrétně Paspův sál v prvním patře nad restaurací Potrefená husa. Kulisu konference tedy dotvářely dřevěné pivní sudy a účastníky již zdálky vítala charakteristická pivovarská vůně.

Spojení starého s novým: z dřevěného sudu vykukují anténky routeru Turris Spojení starého s novým: z dřevěného sudu vykukují anténky routeru Turris


Kdo měl zájem, mohl se zúčastnit exkurze do pivovaru nebo po skončení oficiálního čtvrtečního programu zůstat na neformální část, jejíž součástí byl i gastronomický zážitek. V předsálí byla například možnost zvalidovat si svoji totožnost u mojeID nebo zakoupit knihy z edice CZ.NIC (které jsou též k dispozici v elektronické podobě zdarma).

Z konference se „vysílal“ videostream, takže i ten, kdo se nemohl zúčastnit osobně, měl možnost konferenci v přímém přenosu sledovat a třeba také využít jabberovou chatovou místnost ke komunikaci o tématech konference.

Audiovizuální pracoviště – odtud se vysílalo video, ale také ovládalo ozvučení sálu (foto Jan Bednář) Audiovizuální pracoviště – odtud se vysílalo video, ale také ovládalo ozvučení sálu (foto Jan Bednář)

Přednášky – den první

První den, tedy 22. 5. 2014, se konaly pouze klasické přednášky. Každý přednášející měl vyhrazeno 25 minut, což je sice čas velmi krátký, ale odpovídající tomu, kolik příspěvků bylo na programu.

IPv6: už tam budeme?

Po úvodním slovu Ondřeje Filipa, výkonného ředitele CZ.NIC, a pár organizačních informacích v podání Viléma Sládka, mluvčího téže organizace a současně moderátora konference, se rozběhla první přednáška, při které Pavel Satrapa přinesl určitou dávku optimismu ohledně rozšíření IPv6.

Zahájení konference Zahájení konference


Podíl dotazů posílaných protokolem IPv6 na vyhledávač Google už překonal tři procenta a čím dál rychleji roste. Větší rozšíření IPv6 je v domácnostech než ve firmách (což je poznat podle nárůstu podílu o víkendech) a menší ochota k nasazování protokolu je u poskytovatelů obsahu než u ISP.



Nespí ani tvůrci specifikací pro tento protokol. V poslední době byla vydána celá řada nových nebo aktualizovaných dokumentů RFC, které řeší zejména bezpečnostní aspekty IPv6, ale například také problematiku přidělování adres.

Aktuální témata ICANN

Na další přednášku se vrátil „k řečnickému pultu“ Ondřej Filip a popsal historii a principy fungování organizace ICANN, která je „řídicím orgánem“ Internetu. Velkou pozornost věnoval především probíhajícím bitvám o ovládání této organizace – ta je dnes v rukou široké škály subjektů, zejména z oblasti regionálních a národních registrů, registrátorů, ale i uživatelů Internetu.

Účastníci konference sledují přednášku Ondřeje Filipa o organizaci ICANN Účastníci konference sledují přednášku Ondřeje Filipa o organizaci ICANN


Některé státy (zejména Rusko a Čína) se snaží situaci změnit a přenést kontrolu do rukou vlád, například prostřednictvím mezinárodní organizace ITU. Jedním z důvodů se v poslední době stalo odposlouchávání ze strany USA – souvislosti mezi odposlechy a řízením Internetu však lze najít jen stěží.

Novinky v registračním systému a mojeID

České domény už řadu let běží na „novém“ registračním systému FRED, který se ale od svého zavedení dočkal už řady novinek, o kterých povyprávěl Jaromír Talíř. Jednou z aktivit poslední doby je ověřování kontaktů u domén a jejich uvádění do souladu se skutečností.

Mezi další novinky patří doménový prohlížeč (umožňující držitelům domén prohlížet si údaje, ale také například zamykat domény proti změnám ze strany registrátorů) a připravované zavedení nového WHOIS protokolu RDAP (poskytuje strukturovaná data prostřednictvím HTTP).

Jaromír Talíř při své přednášce Jaromír Talíř při své přednášce


Vyvíjí se také systém identit mojeID, kde se v poslední době nejen změnilo uživatelské rozhraní, ale například přibyly veřejné profily (možnost publikovat veřejně určité údaje) nebo strukturovaný katalog služeb používajících mojeID.

Lepší vyhořet než se stěhovat?

Zdeněk Brůna popsal ve své přednášce zkušenosti se stěhováním datového centra do jiné lokality – jak z hlediska důvodů ke stěhování (kterými nejčastěji bývají problémy s dodávkou energie a s chlazením), tak i samotného procesu.

Před stěhováním je třeba si zodpovědět několik klíčových otázek – zejména zda si vybudovat vlastní centrum (a pokud ano, zda si vše potřebné zajišťovat vlastními silami či pomocí externích služeb), nebo zda si centrum či jeho část pronajmout. Velkou pozornost je třeba věnovat jak technickým parametrům, tak úrovni služeb a samozřejmě nákladům. Na samotné stěhování se musí vyčlenit dostatek času a vše si předem náležitě připravit, aby stěhování proběhlo hladce a nikdo jím nebyl zbytečně zatěžován.

Zdeněk Brůna: Opravdu se raději stěhujeme... Zdeněk Brůna: Opravdu se raději stěhujeme...

Nové doménové koncovky

U přednášky o nových doménových koncovkách (generických doménách) došlo ke změně – namísto původně ohlášeného Petra Komárka vystoupil Jiří Průša. Nové domény zatím nejsou příliš využívány – velmi populární jsou v Německu (kde je řada „městských“ domén, např. berlin, ale i domény spolkových zemí, oborů apod.) a například také na Kajmanských ostrovech, kde se ale zřejmě jedná o spekulanty.

Nové domény jsou velkou změnou, která přináší na jednu stranu mnoho příležitostí (registrace domén v případech, kdy jsou národní nebo dosavadní generické domény obsazené), ale na druhou také řadu komplikací (nezvyk, vyšší cena při často malém využití atd.).

Veřejný cloud na opensource platformě OpenStack

Miroslav Pikus pohovořil o zkušenostech s nasazením cloudové platformy OpenStack v prostředí hostingu, kde je část služeb tvořena klasickým webhostingem a část zákaznickými VPS. Kromě vlastního OpenStacku byl nasazen také nástroj CFEngine.

Miroslav Pikus popisuje zkušenosti s OpenStackem Miroslav Pikus popisuje zkušenosti s OpenStackem


Zkušenosti jsou smíšené – na jednu stranu OpenStack splnil svůj účel a výrazně usnadnil optimální přidělování systémových prostředků jednotlivým webům a VPS (dřívější řešení zahrnovalo neustálé přesuny mezi fyzickými servery), správa konfigurací prostřednictvím CFEngine je také mnohem efektivnější.

Na druhou stranu je v OpenStacku ještě mnoho chyb a některé vlastnosti nejsou úplně doladěné, proto je při nasazování a provozu potřeba tomu věnovat určitý čas a námahu. Postupem času se ale situace zlepšuje a během zhruba dalšího roku by se OpenStack už mohl „usadit“.

Ekologické a ekonomické chlazení budoucnosti

Zkusili jste někdy ponořit server do oleje? Že je to nesmysl? Josef Grill si to nemyslí a ve své přednášce popsal, jaký smysl to má, jakých výsledků lze dosáhnout a jaká jsou úskalí. Ve stručnosti – olejové chlazení umožňuje velmi podstatně snížit celkovou spotřebu energie, a to až pod úroveň užitečné spotřeby serveru (protože lze ze serveru odebrat ventilátory).

Josef Grill a jeho „servery v oleji“ Josef Grill a jeho „servery v oleji“


Odpadní teplo lze využít snáze než při chlazení vzduchem – například jím lze přes výměník ohřívat vodu v bazénu. Na druhou stranu nelze olejové chlazení použít vždy – mohou být problémy se zárukou, s nakládáním s vyřazeným serverem, samozřejmě i ta celková „umaštěnost“ může být na závadu.

Soukromí na Internetu a co dál?

Po vydatném obědě následovaly odpolední přednášky, s první z nich vystoupil Ondřej Surý a nastolil možná až trochu chmurný pohled na oblast soukromí na Internetu. Věnoval se především zabezpečení DNS, kde situace není dobrá – proti případným snahám měnit DNS odpovědi lze používat DNSSEC, ale rozumná ochrana proti odposlechům DNS zatím k dispozici není (a ne, DNSCrypt takovou není).

Soukromí na Internetu (a převážně v DNS) Soukromí na Internetu (a převážně v DNS)


Navíc nejde jen o samotná DNS data, ale také o metadata (nebo by se dalo říct „postranní kanály“) a o to, že do hry vstupuje také následná komunikace po jiných protokolech – a například SNI je zrovna protokol, který umožňuje snadno odposlechnout, o jakou doménu má klientská strana zájem.

Bezpečná VLAN

V reakci na loňské masivní útoky typu DDoS založilo několik firem a organizací iniciativu, která má za cíl ochránit infrastrukturu členů proti útokům zvenčí. Projekt byl označen jako „Bezpečná VLAN“ a Martin Semrád ve své přednášce popsal, v čem spočívá a jak má chránit před útoky.

Zapomeňte na Bezpečnou VLAN, je tady FENIX Zapomeňte na Bezpečnou VLAN, je tady FENIX


Projekt je nejen o souborech technických opatření, která se na infrastruktuře provádějí, ale řeší také věci organizační (komunikaci, reakce na incidenty atd.), včetně procesu vstupu nových členů. „Třešničkou na dortu“ přednášky bylo představení nového názvu projektu: FENIX.

NCKB – současnost a budoucnost

Při příležitosti slavnostního otevření nového sídla Národního centra kybernetické bezpečnosti přišel jeho ředitel Vladimír Rohel centrum trochu představit. NCKB je součástí Národního bezpečnostního úřadu, a přestože je jeho hlavním úkolem fungovat jako vládní CERT, jeho působnost je širší.

S námi přichází zákon. Zákon o kybernetické bezpečnosti. S námi přichází zákon. Zákon o kybernetické bezpečnosti.


Nyní například připravuje vyhlášky navazující na právě schvalovaný zákon o kybernetické bezpečnosti. NCKB pracuje také na různých projektech kybernetické bezpečnosti (jak u nás, tak mezinárodně) a v neposlední řadě na své chloubě: výkladovém slovníku kybernetické bezpečnosti.

Nové možnosti autentizace aplikací v nových generacích mobilních sítí

Když se hovoří o mobilních sítích 4G (nebo též LTE), drtivá většina lidí si pod tím představí vyšší rychlost internetového připojení. Jenže možnosti sítí nové generace jsou mnohem větší a jednou z novinek je autentizační mechanismus, o kterém pohovořil Libor Dostálek.

Co všechno umí nové mobilní sítě Co všechno umí nové mobilní sítě


SIM karta pro tyto sítě obsahuje podporu pro služby USIMISIM, které lze využít právě k této autentizaci (AKA), která umožňuje ověřovat jak identitu uživatelů vůči síti, tak i naopak. Především lze ale autentizovat uživatele i vůči aplikacím (ať už VoLTE, nebo třeba i HTTPS). Mobilní telefon se tak vlastně chová podobně jako počítač při ověřování čipovou kartou (kdy je touto kartou SIM v telefonu).

Regionální strategie britského peeringového uzlu LINX

Tato přednáška byla v angličtině a Richard Petrie v ní hovořil o peeringovém uzlu LINX, který si lze představit jako „trochu větší“ NIX.CZ. Ovšem LINX má ještě další ambice – cílem je, aby byly všechny toky v co největší míře lokální, tedy aby data například v Manchesteru netekla přes Londýn.

Přednáška britského hosta o peeringu LINX Přednáška britského hosta o peeringu LINX


LINX proto postupně začíná budovat v různých městech menší uzly, přes které se budou posílat data z dané spádové oblasti – datová komunikace pak bude fungovat rychleji, efektivněji a s menší zátěží pro samotný LINX.

Bezpečnostní monitoring (SIEM)

David Vorel ve své přednášce představil management bezpečnostních informací a událostí (SIEM) – a to jak z hlediska fungování (od prvotního sběru dat například ze syslogu nebo technologií jako auditd či SELinux až po různé možnosti výstupů), tak i přehledu toho, co všechno lze sledovat.

Analýza „rom-0“ chyby na SOHO routerech

Poslední přednáška nebyla na původním programu, nicméně aktuální události si ji vysloveně vyžádaly. Zpráva o útoku na domácí routery různých značek (a to i s netriviálními hesly) obletěla celý svět a vyděsila nejednoho uživatele. Jak vysvětlil Tomáš Hlaváček, zděšení je vcelku na místě, vzhledem k charakteru této chyby.

Tomáš Hlaváček popisuje podstatu útoku na domácí routery Tomáš Hlaváček popisuje podstatu útoku na domácí routery


Problém spočívá v tom, že od určitých verzí operačního systému ZynOS lze zcela triviálně a bez jakékoli autentizace stáhnout obsah paměti ROM, včetně administrátorského hesla. Chyba byla v původním systému opravena, ale vadná verze se dostala do routerů řady výrobců. Na celém světě je chybou postiženo víc než milion „krabiček“, v Česku okolo pěti tisíc.

Definitivním řešením je samozřejmě oprava systému, ale ne vždy lze opravenou verzi nainstalovat. Každopádně by si uživatelé měli zakázat vzdálený přístup k routeru a samozřejmě pak ověřit, zda se již nestali obětí útoku.

Den druhý

Druhá část reportáže bude věnována pátku 23. května, kdy se dopoledne konaly přednášky a odpoledne workshopy, včetně jednoho (ne)workshopu. A kromě jiného se dozvíte, co znamená jít dělat penetrační testy s Teensy.

Není-li uvedeno jinak, je autorem fotografií Lukáš Jelínek.

Diskuze (1) Nahoru