Adresik z odzysku
26 kwietnia 2004
Kurczące się zasoby klas adresów IPv4 zmuszają
do oszczędnego gospodarowania nimi, to zaś miewa niejednokrotnie całkiem niespodziewane konsekwencje.
Tomasz Grabowski
We wczesnym stadium rozwoju światowej sieci – w czasach, kiedy istniała
sieć ARPANET oraz kilka mniejszych sieci opartych na protokole IP, zakładano, że jedna sieć IP będzie
obejmować co najwyżej kilka tysięcy urządzeń. Ustalenie długości adresu IP na 32 bity wydawało
się wtedy wręcz przesadne. Przekonanie o tym, że adresów nigdy nie zabraknie skłaniało do
lekkomyślnego rozdawania ogromnych klas adresów instytucjom, których potrzeby nie były aż tak
duże. Dziś wszyscy ponosimy skutki tamtej polityki.
APNIC, ARIN, RIPE i LACNIC – organizacje zajmujące
się przyznawaniem adresów IP w sieci Internet, od kilku lat ostrzegają przed niebezpieczeństwem związanym
z wyczerpywaniem się puli dostępnych adresów i skłaniają dysponentów do oszczędniejszego
gospodarowania dostępnymi zasobami. Przez najbliższe kilka lat przed problemem całkowitego wyczerpania się
adresów ochronią nas techniki odzyskiwania adresów w postaci translacji NAT czy tzw. maskowania, ich stosowanie
jest jednak zasadne głównie wobec komputerów PC. W przypadku serwerów, które muszą być
‘widoczne’ z Internetu, a takich ciągle przybywa, translacja nie wchodzi w grę.
Jednym ze
sposobów oszczędzania adresów stało się ponowne wykorzystanie adresów, które z
jakichś powodów zostały zwolnione. To już codzienna praktyka dostawców Internetu. Okazuje się
jednak, że w niektórych przypadkach takie działanie jest bardzo niebezpieczne i powoduje wiele różnego
rodzaju problemów – z praktycznym unieruchomieniem dostępu do Internetu włącznie.
Halo, tu pomyłka
Kupując nowy telefon komórkowy otrzymujemy niejednokrotnie
numer, który był wcześniej używany przez kogoś innego. Pół biedy, jeśli poprzednik
używał telefonu głównie do celów prywatnych. Jeżeli odziedziczymy numer po wziętym
lekarzu czy np. pizzerii przyjmującej zamówienia przez telefon, mamy problem. Tłumaczenie po raz setny, że
numer nie należy już do pierwotnego właściciela, mogą przyprawić o ból głowy. Na
dłuższą metę korzystanie z takiego numeru może być niemożliwe.
Podobny problem
dotyczy także adresów IP. Jednak ilość ewentualnych możliwych zagrożeń jest w tym przypadku
o wiele większa i mogą one mieć bardzo poważne skutki dla bezpieczeństwa sieci. Pierwszy raz z problemem
tym zetknąłem się kilka lat temu. Po podłączeniu do Internetu niewielkiej, składającej
się z kilkunastu komputerów sieci, w ciągu kilku godzin włamano się na większość
z jej komputerów, pozostawiono obraźliwe teksty na stronach WWW, a na koniec dostęp do rzeczonej sieci został
praktycznie w całości uniemożliwiony przez zmasowany atak Distributed Denial of Service.
Całe
zajście było o tyle dziwne, że sieć ta nie posiadała żadnych istotnych zasobów, a czas
jaki upłynął od momentu podłączenia jej do Internetu wykluczał możliwość, że
któryś z jej użytkowników zdążył narazić się komuś gdzieś w Internecie.
Dopiero kilka dni później udało mi się ustalić prawdziwą przyczynę ataków. Pula
adresów, która została przyznana tej sieci, należała wcześniej do firmy świadczącej
usługi darmowych kont z dostępem do usług systemowych (tzw. konta shell’owe).
Po rozmowie
z poprzednim właścicielem okazało się, że jej użytkownicy popadali bardzo często w różnego
rodzaju konflikty i wojny prowadzone w Internecie, przez co firma cały czas miała problemy z atakami. Dzięki
odpowiednim systemom zaporowym oraz łączu o przepustowości 10 Mb/s była w stanie oprzeć się
większości z nich. Jednak kiedy jej miejsce w sieci zajęła firma dysponująca łączem 256
Kb/s obsługiwana przez niedoświadczonych jeszcze administratorów, problem ataków okazał się
zbyt poważny.
Oczywiście po interwencji u dostawcy Internetu i przyznaniu firmie innej puli adresów
wszystkie ataki ustały. „Trefna” pula adresów jest atakowana po dziś dzień – prawdopodobnie
w wyniku działania zautomatyzowanego oprogramowania DDoS, które zostało wprowadzone do sieci kilka lat temu
i nadal generuje niepotrzebny ruch.
Uciążliwie, a nawet groźnie
Prawdopodobieństwo otrzymania takiej "trefnej" klasy nie jest na razie duże, będzie jednak
wzrastać wraz z kurczeniem się puli wolnych adresów IP. Opisana wyżej sytuacja to nie jedyny przykład
problemów związanych ze swoistym „recyklingiem” adresów IP. Znany mi inny przypadek polegał
na otrzymaniu adresu IP „w spadku” po serwerze pocztowym wykorzystywanym przez spamerów do rozsyłania
listów reklamowych.
Oczywiście adres ten szybko trafił na wszelkie „czarne listy”.
Nowy właściciel miał pecha przyznać swojemu serwerowi poczty ten sam adres, przez co wysyłana w świat
poczta była blokowana lub oznaczana jako listy spamerskie. Trudno o lepszą „antywizytówkę”
– zwłaszcza, gdy firma działa na rynku, na którym jakość dzialu informatyki ma istotny wpływ
na reputację.
Przykłady problemów związanych z „recyklingiem” adresów
IP można niestety mnożyć. Często zdarza się na przykład, że dostęp do serwisów
i usług internetowych jest przyznawany wyłącznie na podstawie adresów IP. Gdy sieć otrzyma klasę
adresową po kimś, kto miał np. zablokowany dostęp do określonych serwisów (np. serwerów
grup dyskusyjnych, serwerów FTP czy popularnych serwisów WWW), wyjaśnienie sprawy oraz odblokowanie dostępu
może zająć kilka dni lub nawet tygodni.
Jeżeli obiektem recyklingu jest nasza dotychczasowa
klasa adresowa (to bardzo prawdopodobne – oddaje się jedną, a otrzymuje inną), w kłopocie mogą
znaleźć się organizacje współpracujące. Jeśli ktoś „na sztywno” ustawił
dostęp do swojej sieci z adresów należących wcześniej do klasy, które się właśnie
pozbyliśmy, osoby nieuprawnione mają szanse uzyskać dostęp do ważnych zasobów. Zaiste ciekawe
jest, jakie drzwi stanęłyby przed nami otworem, gdybyśmy przypadkiem odziedziczyli klasę adresową
po instytucjach rządowych, firmach zajmujących się usługami związanymi z bezpieczeństwem czy
też firmach takich jak np. Microsoft.
Ta ostatnia możliwość mogłaby też obrócić
się przeciwko nam. Mała firma z łączem o przepustowości 256 Kb/s byłaby być może zadowolona,
gdyby otrzymała adres IP przypisany wcześniej do domeny microsoft.com? Entuzjazm związany z niewiarygodnie
dużą liczbą odwiedzin na serwerze WWW firmy szybko ustąpiłby miejsca frustracji związanej z
całkowitym zapychaniem się łącza. Także z powodu ataków. Niebezpieczeństwo powstaje także
po stronie odwiedzających – nowy właściciel adresu IP należącego dawniej do Microsoftu mógłby
podłożyć w to miejsce kopię oryginalnej strony WWW i umieścić na niej informację np. o
potrzebie zainstalowania łaty, która zawierałaby konia trojańskiego.
Adresy
tylko na wynajem
Konieczność zmiany puli adresów pojawia się najczęściej
wraz ze zmianą dostawcy Internetu, problemy związane z kurczeniem się puli dostępnych adresów w
ramach posiadanej już klasy, a także zmiany wprowadzane w polityce routingu (patrz wywiad obok).
Kto
jest winien, gdy firma otrzyma pulę adresów po niefrasobliwym poprzedniku? Poprzedni właściciel, aktualny
właściciel, dostawca Internetu zarządzający pulą adresów, a może właściciel
źle skonfigurowanego serwera DNS, który nie zdążył odświeżyć w porę informacji?
Nie ma tu prostej odpowiedzi, ponieważ adresy IP nie są czyjąkolwiek własnością – podobnie
jak trudno jest wskazać właściciela zwykłego adresu pocztowego.
Adresy IP są przyznawane
przez pewne powszechnie znane instytucje, ale jest to raczej prawo do posługiwania się, niż prawo własności.
Ustalenie winnego na drodze prawnej byłoby więc przedsięwzięciem karkołomnym. Być może
warto byłoby wprowadzić w końcu regulacje prawne dotyczące tego kto ponosi odpowiedzialność
za szkody wynikłe z tego powodu. Dopóki jednak tak się nie stanie, każdy powinien spróbować
zabezpieczyć się przed tym problemem we własnym zakresie.
Niezbędny
dialog z dostawcą
Firmy wykorzystujące Internet do prowadzenia biznesu powinny w swoich
politykach bezpieczeństwa uwzględnić reguły odnośnie postępowania w razie zmiany adresów
IP. W przypadku zmiany dostawcy Internetu wypada tu zalecić np. płacenie jeszcze przez jakiś czas za niewykorzystywane
już adresy IP, aby dać czas wszystkim serwerom DNS oraz administratorom innych sieci na wprowadzenie odpowiednich
zmian.
Z kolei w umowie podpisywanej z nowym dostawcą Internetu warto zastrzec, że ewentualne zmiany
adresów IP muszą być poprzedzone wcześniejszym kilkumiesięcznym ostrzeżeniem. Dobrym pomysłem
będzie zagwarantowanie sobie innej puli adresów IP, gdy okaże się, że otrzymana właśnie
pula utrudnia lub uniemożliwia prawidłowe funkcjonowanie sieci w wyniku działalności poprzedniego właściciela
adresów. W szczególności chodzi tu o spam-listy, blokady w dostępnie do określonych zasobów
Internetu, ataki DDoS itp.
Metod minimalizowania niebezpieczeństwa związanego z „recyklingiem”
adresów IP jest wiele. Przynajmniej część z nich zależy od profilu firmy. Najważniejsze jest
jednak to, aby zdawać sobie sprawę z istnienia problemu i w porę zacząć starać się o minimalizację
skutków potencjalnych kłopotów.
***RAMKA
Z WYWIADEM ***
Rozmowa z Dariuszem Knap wykładowcą na Politechnice Szczecińskiej, specjalistą ds.
sieci w Akademickim Centrum Informatyki w Szczecinie
Zmiana klasy adresowej to zwykle konieczność.
Z jakich powodów operatorzy sieci starają się o przyznanie nowych bądź rozszerzenie istniejących
klas?
Powodów bywa wiele, jednak trzy z nich zdarzają się stosunkowo często. Najczęstszym
powodem jest zmiana dostawcy Internetu. W takiej sytuacji zachowanie dotychczasowych adresów jest raczej niemożliwe,
ponieważ wymagałoby formalnej rezygnacji dotychczasowego dostawcy z praw do niej. W większości przypadków
firma ISP nie zgodzi się na to.
Drugi poważny powód zmiany klasy to agregacja adresów,
co ma związek z dążeniem przez administratorów do optymalizacji routingu. W szczególności
chodzi o dążenie do możliwie prostej topologii i konfiguracji sieci, wykorzystanie szybkich protokołów
routingu oraz utrzymywanie jak najmniejszych tabel routingu. W praktyce wygląda to tak, że jeśli jakaś
instytucja wykorzystująca np. klasę o rozmiarze umożliwiającym zaadresowanie maksymalnie 16 komputerów,
zgłasza zapotrzebowanie na kolejną klasę o takiej samej długości, to idealnym rozwiązaniem byłoby
przyznać jej nową klasę umożliwiającą zaadresowanie od razu 32 komputerów.
Trzeci
powód jest związany ze zmianami polityki routingu wymagającymi np. odmiennego traktowania ruchu pochodzącego
od poszczególnych grup użytkowników.
O co tak naprawdę chodzi w tym ostatnim przypadku?
Posłużę się naszą siecią jako przykładem. Posiadamy kilka łączy do Internetu.
Do kontroli ruchu na poszczególnych bramkach używamy protokołu BGP, który działa w oparciu o
numery Systemów Autonomicznych (AS – Autonomous System) oraz przypisane do nich pule adresów – tzw.
prefixy. Jeden AS może zawierać np. sto klas typu C zagregowanych w postaci zaledwie kilku prefiksów.
Staramy się podzielić AMSK na dwie części zarządzane przez dwa niezależne Systemy Autonomiczne.
W każdym z nich chcemy prowadzić odmienną politykę routingu, co pozwoli uprościć zasady routingu
i w efekcie podniesie wydajność i niezawodność naszych bramek. Dzięki przejrzystości łatwiej
będzie też można zarządzać konfiguracją sieci. W rezultacie tych zmian zminimalizujemy także
liczbę prefixów, co powinno znacznie zmniejszyć intensywność ruchu kontrolnego, jaki nasze routery
wysyłają do Internetu. W skali całego świata takie dostosowania mają bardzo duże znaczenie dla
sprawności Internetu. Jedyny mankament jest taki, że musimy przy okazji zmienić adresację wielu zarządzanych
przez nas podsieci.
Jak wygląda współpraca z administratorami przy takiej masowej zmianie
adresacji?
Różnie. W przypadku podsieci, których użytkownicy korzystają z Internetu
głównie jako klienci usług, zwykle nie ma większego problemu – zwłaszcza jeśli wykorzystywany
jest NAT. Jeżeli jednak w podsieci działają ważne serwery poczty, WWW czy DNS, administratorzy są
niechętni. I trudno się dziwić – takie operacje zawsze powodują przerwę w dostępności
usług. Próbujemy łagodzić problemy, np. ustalając wspólnie najdogodniejszy termin i tryb
przeprowadzenia rekonfiguracji.