BLOGI

ICANN 49 tehniline päev

ICANNi esimesel päeval leiab teiste ürituste kõrval aset tehniline töötuba “Tech day”. Seekordsel üritusel rääkis RIPE taas oma projektist ATLAS, vaadati IPv6 levikut ja probleeme Aasia ja Vaikse ookeni piirkonnas, Tšehhid tutvustasid oma lahedatprojekti Turris, tutvustati dünaamilist DNS tsooni seadistamist, käsitleti registrite ja registripidajate vastu suunatud ründeid regioonis jne. Päris tihe kava.
RIPE Atlas on võrgustik, mille eesmärk on lihtsustatult mõõta Interneti kvaliteeti. Väidetavalt on tegemist suurima mõõtevõrguga maailmas. Võrk koosneb väikestest sondidest, mida RIPE jagab tasuta. Sondi puhul on tegemist põhimõtteliselt väikese wifi ruuteriga, mis kogub mõõteinfot ja saadab andmed RIPE serverisse. Atlas on põhimõtteliselt healoomuline botnet, mis annab võimaluse näha oma võrku väljast poolt. Võrgus on üle 5100 vaatepunkti üle maailma ning andmed on avalikud. Atlast kasutatakse ka näiteks teadusuuringuteks. RIPE rakendab krediidisüsteemi - iga aktiivse sondi võõrustaja saab igapäevaselt oma kontole teatud hulga krediiti, mille eest saab siis soovitud uuringuid  ja päringuid läbi viia. Kui sondi pole või krediiti pole piisavalt, siis alati saab seda ka reaalse raha eest osta (free-to-play). Atlase võrgu abil saadi jälile ka näiteks Türgi suurima telekomi ettevõtte praktikale neti tsensuurist kõrvale hiilimise tõkestamiseks teeselda Google avatud nimeservereid.

Vastukaaluks RIPEle näidati järgmisena Aucklandi Ülikooli projekti IBEX, mis on sarnane mõõtepunktidel põhinev lahendus. Nemad nimetavad oma punkte majakateks. Erinevalt Atlasest jälgib see võrk pakettide teekonda ning kasutatakse väikeseid pseudopakette. Võrgus on täna umbes 30 majakat üle maailma. Estitluses keskenduti aga väga huvitavale dilemmale, millest IIBEX võrk üldse alguse sai - ruutingu algortimid vs reaalaja protokollid nagu näiteks VoIP. Esimesed tegelevad sellega, et iga üksik pakett jõuaks kõige “odavamat” rada mööda sihtkohani. “Odav” rada tähendab seda, et lisaks teekonna pikkusele ja kiirusele peetakse silmas ka koormuse ühtlast jaotamist erinevate alternatiivsete radade vahel. Seega võivad paketid jõuda sihtkohta läbides väga erinevaid teekondi ja üldse mitte samas järjestuses kui need teele saadeti. Teisel puhul on küll oluline kiirus, aga veel olulisem on, et paketid saabuksid korrektses järjekorras. Probleem on seda olulisem, et pidevalt rajatakse juurde uusi linke ja radasid ning samal ajal tuleb juurde üha enam reaalajaprotokollidel põhinevaid teenuseid  - VoIP, videokõned, voogesitus jne. Enne, aga kui saab teha põhjapanevaid järeldusi ning ettepanekuid, tuleb veel palju jälgida ja testida.

Ondrej Filip Tšehhi (.cz) domeeniregistrist tutvustas järgmiseks nende järjekordset projekti nimega Turris. Tegemist on tõeliselt ägeda infoturbe ja küberkaitse projektiga, mille eesmärkideks on tõhustada infoturvet ja selle alaseid uuringu, jälgimise ja mõõtmise võimalusi ning SOHO (Small Office / Home Office) massruuterite turvalisue tõstmine. Nimelt selgus uurimsutöö käigus, et näiteks turvamata või halvasti kaitstud wifi võrkude taga on lisaks kasutajate vähestele oskustele ja teadmistele ka probleemsed ruuterid ise. Seadmetes on vananenud tarkvara väga keeruka või puuduva uuendamise võimaluse tõttu, piiratud turbe valikud, probleemsed DNS lahendused ning IPv6 ja DNSSEC halb või puuduv tugi. Et aga otsingud seadme järele, kus oleks suuremgi osa neist probleemidest lahendatud ning mida oleks võimalik kasutada ka võrgu sondina, mis oleks piisavalt võimekas, et edastada 1Gbps liiklust, seda samal ajal ka analüüsides, ei andnud tulemust, siis tehti ostus arendada ise sobiv seade. Kogu dokumentatsioon, mille järgi ka ise selline seade ehitada on saadaval projekti võrguküljel www.turris.cz. Tegemist on avatud OpenWRT platvormil töötava lahendusega - automaatsed tarkvara uuendused, kogub anonüümseid andmeid (uCollect) ning edastab neid Tšehhi CERTi, kus omakorda töödeldud andmete põhjal uuendatakse muu hulgas ka tulemüüri seadeid, mis saadetakse seadmetesse laiali. Seadmeid on plaanis toota 1000 ja jagada need laiali kolme aastase lepinguga 0,03€ eest. Pärast perioodi lõppu saab kasutaja seadme omanikuks. Präänik kasutaja jaoks lisaks väga võimekale ja praktiliselt tasuta saadud seadmele, on ka võimalus teha sellega, mida pähe tuleb - kasutajal on juurkasutaja õigustes ligipääs ja vabadus paigaldada seadmele kõikvõimalikku tarkvara, ainus kohustulik teenus, mida ei tohi peatada on andmetekoguja. Võimalus selliseid projekte ellu viia teeb veidi kadedaks küll.

Huvitavamatest esitlustest tõstan veel esile EURID (.eu) ettekande dünaamilisest tsooni sätete uuendamisest. Täna toimib hästi ja üle kõikvõimalike nimeserverite lahenduste tsooni andmete uuendamine ja seda tänu IETFi poolt kinnitatud standardile, kuid tsoonifaili seadeid tuleb senini erinevate nimeserverite vahel käsitsi uuendada. Nii ongi EURID teema käsile võtnud, et master ja slave nimeserverite vahel saaks ka tsoonifaili sätted uuendatud. Täna pole see vaikimisi võimalik. Erinevad nimeserverilahendused hoiavad seaded ka erinevalt - bind näiteks sätete failis, PowerDNS MySQLi andmebaasis ja kui kõik nimeserverid veel ei kasuta sama tarkvara või sama versioonigi tarkvarast, on koheselt käes probleem - kuidas seadeid kohandada, kuidas näiteks faili põhise lahenduse puhul sundida tarkvara seadeid uuesti laadima ilma, et DNS päringutele vastamine katkeks jne. EURID pakkuski oma presentatsioonis välja ühe võimalusena tsooni andmete levitamisele sarnase lahenduse, kuid tahab seda veel täpsustada ning siis esitab standardi ettepaneku laiemale publikule kommenteerimiseks.

Verisign esitles oma koostöös Hollandi registriga valminud uut DNSi APIt, mis on moodne ja avatud, toetab kõiki uuemaid DNSi tehnoloogiaid ning millega võiks praegu kasutatavad juba aegunud programmeerimisliidesed välja vahetada. Esitluse tegemise ajal oli väljas versioon 0.1.0 ja arendajate poolne huvi selle vastu märkimisväärne.

Piirkonna küberründeid tutvustades tõdeti taas, et nõrgimateks kohtadeks registrisüsteemide puhul on erinevad veebiliidesed ning üks esmaseid lahendusi on mitmetasemeline autentimine.

Päeva kava, heli voog, ärakiri ja presentatsioonid on saadaval ICANNi kodulehel:singapore49.icann.org/en/schedule/mon-tech

Uus kommentaar

Email again:

© 2017 Eesti Interneti Sihtasutus  | Paldiski mnt 80, 10617 Tallinn | Registrikood: 90010019