HomeAbout MeSecurityDCLinuxEee PCMusic3D GraphicsRobotsContact Me

Adresik z odzysku
26 kwietnia 2004
 
Kurczące się zasoby klas adresów IPv4 zmuszają do oszczędnego gospodarowania nimi, to zaś miewa niejednokrotnie całkiem niespodziewane konsekwencje.

Tomasz Grabowski

We wczesnym stadium rozwoju światowej sieci – w czasach, kiedy istniała sieć ARPANET oraz kilka mniejszych sieci opartych na protokole IP, zakładano, że jedna sieć IP będzie obejmować co najwyżej kilka tysięcy urządzeń. Ustalenie długości adresu IP na 32 bity wydawało się wtedy wręcz przesadne. Przekonanie o tym, że adresów nigdy nie zabraknie skłaniało do lekkomyślnego rozdawania ogromnych klas adresów instytucjom, których potrzeby nie były aż tak duże. Dziś wszyscy ponosimy skutki tamtej polityki.

APNIC, ARIN, RIPE i LACNIC – organizacje zajmujące się przyznawaniem adresów IP w sieci Internet, od kilku lat ostrzegają przed niebezpieczeństwem związanym z wyczerpywaniem się puli dostępnych adresów i skłaniają dysponentów do oszczędniejszego gospodarowania dostępnymi zasobami. Przez najbliższe kilka lat przed problemem całkowitego wyczerpania się adresów ochronią nas techniki odzyskiwania adresów w postaci translacji NAT czy tzw. maskowania, ich stosowanie jest jednak zasadne głównie wobec komputerów PC. W przypadku serwerów, które muszą być ‘widoczne’ z Internetu, a takich ciągle przybywa, translacja nie wchodzi w grę.

Jednym ze sposobów oszczędzania adresów stało się ponowne wykorzystanie adresów, które z jakichś powodów zostały zwolnione. To już codzienna praktyka dostawców Internetu. Okazuje się jednak, że w niektórych przypadkach takie działanie jest bardzo niebezpieczne i powoduje wiele różnego rodzaju problemów – z praktycznym unieruchomieniem dostępu do Internetu włącznie.

Halo, tu pomyłka

Kupując nowy telefon komórkowy otrzymujemy niejednokrotnie numer, który był wcześniej używany przez kogoś innego. Pół biedy, jeśli poprzednik używał telefonu głównie do celów prywatnych. Jeżeli odziedziczymy numer po wziętym lekarzu czy np. pizzerii przyjmującej zamówienia przez telefon, mamy problem. Tłumaczenie po raz setny, że numer nie należy już do pierwotnego właściciela, mogą przyprawić o ból głowy. Na dłuższą metę korzystanie z takiego numeru może być niemożliwe.

Podobny problem dotyczy także adresów IP. Jednak ilość ewentualnych możliwych zagrożeń jest w tym przypadku o wiele większa i mogą one mieć bardzo poważne skutki dla bezpieczeństwa sieci. Pierwszy raz z problemem tym zetknąłem się kilka lat temu. Po podłączeniu do Internetu niewielkiej, składającej się z kilkunastu komputerów sieci, w ciągu kilku godzin włamano się na  większość z jej komputerów, pozostawiono obraźliwe teksty na stronach WWW, a na koniec dostęp do rzeczonej sieci został praktycznie w całości uniemożliwiony przez zmasowany atak Distributed Denial of Service.

Całe zajście było o tyle dziwne, że sieć ta nie posiadała żadnych istotnych zasobów, a czas jaki upłynął od momentu podłączenia jej do Internetu wykluczał możliwość, że któryś z jej użytkowników zdążył narazić się komuś gdzieś w Internecie. Dopiero kilka dni później udało mi się ustalić prawdziwą przyczynę ataków. Pula adresów, która została przyznana tej sieci, należała wcześniej do firmy świadczącej usługi darmowych kont z dostępem do usług systemowych (tzw. konta shell’owe).

Po rozmowie z poprzednim właścicielem okazało się, że jej użytkownicy popadali bardzo często w różnego rodzaju konflikty i wojny prowadzone w Internecie, przez co firma cały czas miała problemy z atakami. Dzięki odpowiednim systemom zaporowym oraz łączu o przepustowości 10 Mb/s była w stanie oprzeć się większości z nich. Jednak kiedy jej miejsce w sieci zajęła firma dysponująca łączem 256 Kb/s obsługiwana przez niedoświadczonych jeszcze administratorów, problem ataków okazał się zbyt poważny.

Oczywiście po interwencji u dostawcy Internetu i przyznaniu firmie innej puli adresów wszystkie ataki ustały. „Trefna” pula adresów jest atakowana po dziś dzień – prawdopodobnie w wyniku działania zautomatyzowanego oprogramowania DDoS, które zostało wprowadzone do sieci kilka lat temu i nadal generuje niepotrzebny ruch.

Uciążliwie, a nawet groźnie

Prawdopodobieństwo otrzymania takiej "trefnej" klasy nie jest na razie duże, będzie jednak wzrastać wraz z kurczeniem się puli wolnych adresów IP. Opisana wyżej sytuacja to nie jedyny przykład problemów związanych ze swoistym „recyklingiem” adresów IP. Znany mi inny przypadek polegał na otrzymaniu adresu IP „w spadku” po serwerze pocztowym wykorzystywanym przez spamerów do rozsyłania listów reklamowych.

Oczywiście adres ten szybko trafił na wszelkie „czarne listy”. Nowy właściciel miał pecha przyznać swojemu serwerowi poczty ten sam adres, przez co wysyłana w świat poczta była blokowana lub oznaczana jako listy spamerskie. Trudno o lepszą „antywizytówkę” – zwłaszcza, gdy firma działa na rynku, na którym jakość dzialu informatyki ma istotny wpływ na reputację.

Przykłady problemów związanych z „recyklingiem” adresów IP można niestety mnożyć. Często zdarza się na przykład, że dostęp do serwisów i usług internetowych jest przyznawany wyłącznie na podstawie adresów IP. Gdy sieć otrzyma klasę adresową po kimś, kto miał np. zablokowany dostęp do określonych serwisów (np. serwerów grup dyskusyjnych, serwerów FTP czy popularnych serwisów WWW), wyjaśnienie sprawy oraz odblokowanie dostępu może zająć kilka dni lub nawet tygodni.

Jeżeli obiektem recyklingu jest nasza dotychczasowa klasa adresowa (to bardzo prawdopodobne – oddaje się jedną, a otrzymuje inną), w kłopocie mogą znaleźć się organizacje współpracujące. Jeśli ktoś „na sztywno” ustawił dostęp do swojej sieci z adresów należących wcześniej do klasy, które się właśnie pozbyliśmy, osoby nieuprawnione mają szanse uzyskać dostęp do ważnych zasobów. Zaiste ciekawe jest, jakie drzwi stanęłyby przed nami otworem, gdybyśmy przypadkiem odziedziczyli klasę adresową po instytucjach rządowych, firmach zajmujących się usługami związanymi z bezpieczeństwem czy też firmach takich jak np. Microsoft.

Ta ostatnia możliwość mogłaby też obrócić się przeciwko nam. Mała firma z łączem o przepustowości 256 Kb/s byłaby być może zadowolona, gdyby otrzymała adres IP przypisany wcześniej do domeny microsoft.com? Entuzjazm związany z niewiarygodnie dużą liczbą odwiedzin na serwerze WWW firmy szybko ustąpiłby miejsca frustracji związanej z całkowitym zapychaniem się łącza. Także z powodu ataków. Niebezpieczeństwo powstaje także po stronie odwiedzających – nowy właściciel adresu IP należącego dawniej do Microsoftu mógłby podłożyć w to miejsce kopię oryginalnej strony WWW i umieścić na niej informację np. o potrzebie zainstalowania łaty, która zawierałaby konia trojańskiego.

Adresy tylko na wynajem

Konieczność zmiany puli adresów pojawia się najczęściej wraz ze zmianą dostawcy Internetu, problemy związane z kurczeniem się puli dostępnych adresów w ramach posiadanej już klasy, a także zmiany wprowadzane w polityce routingu (patrz wywiad obok).

Kto jest winien, gdy firma otrzyma pulę adresów po niefrasobliwym poprzedniku? Poprzedni właściciel, aktualny właściciel, dostawca Internetu zarządzający pulą adresów, a może właściciel źle skonfigurowanego serwera DNS, który nie zdążył odświeżyć w porę informacji? Nie ma tu prostej odpowiedzi, ponieważ adresy IP nie są czyjąkolwiek własnością – podobnie jak trudno jest wskazać właściciela zwykłego adresu pocztowego.

Adresy IP są przyznawane przez pewne powszechnie znane instytucje, ale jest to raczej prawo do posługiwania się, niż prawo własności. Ustalenie winnego na drodze prawnej byłoby więc przedsięwzięciem karkołomnym. Być może warto byłoby wprowadzić w końcu regulacje prawne dotyczące tego kto ponosi odpowiedzialność za szkody wynikłe z tego powodu. Dopóki jednak tak się nie stanie, każdy powinien spróbować zabezpieczyć się przed tym problemem we własnym zakresie.

Niezbędny dialog z dostawcą

Firmy wykorzystujące Internet do prowadzenia biznesu powinny w swoich politykach bezpieczeństwa uwzględnić reguły odnośnie postępowania w razie zmiany adresów IP. W przypadku zmiany dostawcy Internetu wypada tu zalecić np. płacenie jeszcze przez jakiś czas za niewykorzystywane już adresy IP, aby dać czas wszystkim serwerom DNS oraz administratorom innych sieci na wprowadzenie odpowiednich zmian.

Z kolei w umowie podpisywanej z nowym dostawcą Internetu warto zastrzec, że ewentualne zmiany adresów IP muszą być poprzedzone wcześniejszym kilkumiesięcznym ostrzeżeniem. Dobrym pomysłem będzie zagwarantowanie sobie innej puli adresów IP, gdy okaże się, że otrzymana właśnie pula utrudnia lub uniemożliwia prawidłowe funkcjonowanie sieci w wyniku działalności poprzedniego właściciela adresów. W szczególności chodzi tu o spam-listy, blokady w dostępnie do określonych zasobów Internetu, ataki DDoS itp.

Metod minimalizowania niebezpieczeństwa związanego z „recyklingiem” adresów IP jest wiele. Przynajmniej część z nich zależy od profilu firmy. Najważniejsze jest jednak to, aby zdawać sobie sprawę z istnienia problemu i w porę zacząć starać się o minimalizację skutków potencjalnych kłopotów.
 
 
 
***RAMKA Z WYWIADEM ***
Rozmowa z Dariuszem Knap wykładowcą na Politechnice Szczecińskiej, specjalistą ds. sieci w Akademickim Centrum Informatyki w Szczecinie

Zmiana klasy adresowej to zwykle konieczność. Z jakich powodów operatorzy sieci starają się o przyznanie nowych bądź rozszerzenie istniejących klas?

Powodów bywa wiele, jednak trzy z nich zdarzają się stosunkowo często. Najczęstszym powodem jest zmiana dostawcy Internetu. W takiej sytuacji zachowanie dotychczasowych adresów jest raczej niemożliwe, ponieważ wymagałoby formalnej rezygnacji dotychczasowego dostawcy z praw do niej. W większości przypadków firma ISP nie zgodzi się na to.

Drugi poważny powód zmiany klasy to agregacja adresów, co ma związek z dążeniem przez administratorów do optymalizacji routingu. W szczególności chodzi o dążenie do możliwie prostej topologii i konfiguracji sieci, wykorzystanie szybkich protokołów routingu oraz utrzymywanie jak najmniejszych tabel routingu. W praktyce wygląda to tak, że jeśli jakaś instytucja wykorzystująca np. klasę o rozmiarze umożliwiającym zaadresowanie maksymalnie 16 komputerów, zgłasza zapotrzebowanie na kolejną klasę o takiej samej długości, to idealnym rozwiązaniem byłoby przyznać jej nową klasę umożliwiającą zaadresowanie od razu 32 komputerów.

Trzeci powód jest związany ze zmianami polityki routingu wymagającymi np. odmiennego traktowania ruchu pochodzącego od poszczególnych grup użytkowników.

O co tak naprawdę chodzi w tym ostatnim przypadku?

Posłużę się naszą siecią jako przykładem. Posiadamy kilka łączy do Internetu. Do kontroli ruchu na poszczególnych bramkach używamy protokołu BGP, który działa w oparciu o numery Systemów Autonomicznych (AS – Autonomous System) oraz przypisane do nich pule adresów – tzw. prefixy. Jeden AS może zawierać np. sto klas typu C zagregowanych w postaci zaledwie kilku prefiksów.

Staramy się podzielić AMSK na dwie części zarządzane przez dwa niezależne Systemy Autonomiczne. W każdym z nich chcemy prowadzić odmienną politykę routingu, co pozwoli uprościć zasady routingu i w efekcie podniesie wydajność i niezawodność naszych bramek. Dzięki przejrzystości łatwiej będzie też można zarządzać konfiguracją sieci. W rezultacie tych zmian zminimalizujemy także liczbę prefixów, co powinno znacznie zmniejszyć intensywność ruchu kontrolnego, jaki nasze routery wysyłają do Internetu. W skali całego świata takie dostosowania mają bardzo duże znaczenie dla sprawności Internetu. Jedyny mankament jest taki, że musimy przy okazji zmienić adresację wielu zarządzanych przez nas podsieci.

Jak wygląda współpraca z administratorami przy takiej masowej zmianie adresacji?

Różnie. W przypadku podsieci, których użytkownicy korzystają z Internetu głównie jako klienci usług, zwykle nie ma większego problemu – zwłaszcza jeśli wykorzystywany jest NAT. Jeżeli jednak w podsieci działają ważne serwery poczty, WWW czy DNS, administratorzy są niechętni. I trudno się dziwić – takie operacje zawsze powodują przerwę w dostępności usług. Próbujemy łagodzić problemy, np. ustalając wspólnie najdogodniejszy termin i tryb przeprowadzenia rekonfiguracji.