Adresik z odzysku

Kurczące się zasoby klas adresów IPv4 zmuszają do oszczędnego gospodarowania nimi, to zaś niejednokrotnie miewa całkiem niespodziewane konsekwencje.

Kurczące się zasoby klas adresów IPv4 zmuszają do oszczędnego gospodarowania nimi, to zaś niejednokrotnie miewa całkiem niespodziewane konsekwencje.

We wczesnym stadium rozwoju światowej sieci - w czasach, gdy istniała sieć ARPANET oraz kilka mniejszych sieci opartych na protokole IP, zakładano, że jedna sieć IP będzie obejmować co najwyżej kilka tysięcy urządzeń. Ustalenie długości adresu IP na 32 bity wydawało się wtedy wręcz przesadne. Przekonanie o tym, że adresów nigdy nie zabraknie, skłaniało do lekkomyślnego rozdawania ogromnych klas adresów instytucjom, których potrzeby nie były aż tak duże. Dziś wszyscy ponosimy skutki tamtej polityki.

APNIC, ARIN, RIPE i LACNIC - organizacje zajmujące się przyznawaniem adresów IP w Internecie - od kilku lat ostrzegają przed niebezpieczeństwem związanym z wyczerpywaniem się puli dostępnych adresów i skłaniają dysponentów do oszczędniejszego gospodarowania dostępnymi zasobami. Przez najbliższych kilka lat przed problemem całkowitego wyczerpania się adresów ochronią nas techniki odzyskiwania adresów w postaci translacji NAT czy tzw. maskowania, ich stosowanie jest jednak zasadne głównie wobec komputerów PC. W przypadku serwerów, które muszą być widoczne z Internetu, a takich ciągle przybywa, translacja nie wchodzi w grę.

Jednym ze sposobów oszczędzania adresów stało się ponowne wykorzystanie adresów, które z jakichś powodów zostały zwolnione. To już codzienna praktyka dostawców Internetu. Okazuje się jednak, że w niektórych przypadkach takie działanie jest bardzo niebezpieczne i powoduje wiele różnego rodzaju problemów - z praktycznym unieruchomieniem dostępu do Internetu włącznie.

Halo, tu pomyłka

Kupując nowy telefon komórkowy, niejednokrotnie otrzymujemy numer, który był wcześniej używany przez inną osobę. Pół biedy, jeśli poprzednik korzystał z telefonu głównie do celów prywatnych. Jeżeli odziedziczymy numer po wziętym lekarzu czy np. pizzerii przyjmującej zamówienia przez telefon, mamy problem. Tłumaczenie po raz setny, że numer nie należy już do pierwotnego właściciela, może przyprawić o ból głowy. Na dłuższą metę korzystanie z takiego numeru może być niemożliwe.

Podobny problem dotyczy także adresów IP, jednak liczba ewentualnych możliwych zagrożeń jest w tym przypadku o wiele większa i mogą one mieć bardzo poważne skutki dla bezpieczeństwa sieci. Pierwszy raz z problemem tym zetknąłem się kilka lat temu. Po podłączeniu do Internetu niewielkiej, składającej się z kilkunastu komputerów sieci w ciągu kilku godzin włamano się na większość jej komputerów, pozostawiono obraźliwe teksty na stronach WWW, a na koniec dostęp do rzeczonej sieci został praktycznie w całości uniemożliwiony przez zmasowany atak Distributed Denial of Service.

Zajście to było o tyle dziwne, że sieć ta nie miała żadnych istotnych zasobów, a czas, jaki upłynął od momentu podłączenia jej do Internetu, wykluczał możliwość, że któryś z jej użytkowników zdążył narazić się komuś gdzieś w Internecie. Dopiero kilka dni później udało mi się ustalić prawdziwą przyczynę ataków. Pula adresów, która została przyznana tej sieci, należała wcześniej do firmy świadczącej usługi darmowych kont z dostępem do usług systemowych (tzw. konta shellowe).

Po rozmowie z poprzednim właścicielem okazało się, że jej użytkownicy bardzo często popadali w różnego rodzaju konflikty i wojny prowadzone w Internecie, przez co firma cały czas miała problemy z atakami. Dzięki odpowiednim systemom zaporowym i łączu o przepustowości 10 Mb/s była w stanie oprzeć się większości z nich. Jednak kiedy jej miejsce w sieci zajęła firma dysponująca łączem 256 Kb/s obsługiwana przez niedoświadczonych jeszcze administratorów, problem ataków okazał się zbyt poważny.

Oczywiście, po interwencji u dostawcy Internetu i przyznaniu firmie innej puli adresów ataki ustały. Trefna pula adresów natomiast jest atakowana po dziś dzień - prawdopodobnie w wyniku działania zautomatyzowanego oprogramowania DDoS, które zostało wprowadzone do sieci kilka lat temu i nadal generuje niepotrzebny ruch.

Uciążliwie, a nawet groźnie

Prawdopodobieństwo otrzymania trefnej klasy nie jest na razie duże, będzie jednak wzrastać wraz z kurczeniem się puli wolnych adresów IP. Opisana sytuacja to nie jedyny przykład problemów związanych ze swoistym "recyklingiem" adresów IP. Znany mi inny przypadek polegał na otrzymaniu adresu IP "w spadku" po serwerze pocztowym wykorzystywanym przez spamerów do rozsyłania listów reklamowych.

Oczywiście, adres ten szybko trafił na wszelkie czarne listy. Nowy właściciel miał pecha, przyznając swojemu serwerowi poczty ten sam adres, bowiem wysyłana w świat poczta była blokowana lub oznaczana jako listy spamerskie. Trudno o lepszą antywizytówkę, zwłaszcza gdy firma działa na rynku, na którym jakość pracy firmowych informatyków ma istotny wpływ na jej reputację.

Przykłady problemów związanych z "recyklingiem" adresów IP można niestety mnożyć. Często zdarza się, że dostęp do serwisów i usług internetowych jest przyznawany wyłącznie na podstawie adresów IP. Gdy sieć otrzyma klasę adresową po kimś, kto miał np. zablokowany dostęp do określonych serwisów (np. serwerów grup dyskusyjnych, serwerów FTP czy popularnych serwisów WWW), wyjaśnienie sprawy i odblokowanie dostępu może trwać kilka dni lub nawet tygodni.

Jeżeli obiektem "recyklingu" jest nasza dotychczasowa klasa adresowa, w kłopocie mogą się znaleźć nasi partnerzy handlowi. Jeśli ktoś "na sztywno" ustawił dostęp do swojej sieci z adresów należących wcześniej do klasy, które się właśnie pozbyliśmy, osoby nieuprawnione mają szanse uzyskać dostęp do ważnych zasobów. Zaiste ciekawe jest, jakie drzwi stanęłyby przed nami otworem, gdybyśmy przypadkiem odziedziczyli klasę adresową po instytucjach rządowych, firmach zajmujących się usługami związanymi z bezpieczeństwem czy też firmach takich jak Microsoft.

Ta ostatnia możliwość mogłaby też się obrócić przeciwko nam. Mała firma z łączem o przepustowości 256 Kb/s byłaby być może zadowolona, gdyby otrzymała adres IP przypisany wcześniej domenie microsoft.com? Entuzjazm związany z niewiarygodnie dużą liczbą odwiedzin na serwerze WWW firmy szybko ustąpiłby miejsca frustracji związanej z całkowitym zapychaniem się łącza. Także z powodu ataków. Niebezpieczeństwo powstaje także po stronie odwiedzających. Nowy właściciel adresu IP należącego dawniej do Microsoftu mógłby podłożyć w to miejsce kopię oryginalnej strony WWW i umieścić na niej informację np. o potrzebie zainstalowania łaty, która zawierałaby konia trojańskiego.

Adresy tylko na wynajem

Kto jest winien, gdy firma otrzyma pulę adresów po niefrasobliwym poprzedniku? Poprzedni właściciel, aktualny właściciel, dostawca Internetu zarządzający pulą adresów, a może właściciel źle skonfigurowanego serwera DNS, który nie zdążył w porę odświeżyć informacji? Niestety, adresy IP tak naprawdę nie należą do nikogo. Są przyznawane przez pewne instytucje, ale jest to raczej prawo do posługiwania się niż prawo własności. Ustalenie winnego na drodze prawnej byłoby więc przedsięwzięciem karkołomnym. Być może warto byłoby wprowadzić regulacje prawne dotyczące tego, kto ponosi odpowiedzialność za szkody wynikłe z tego powodu. Dopóki jednak tak się nie stanie, dopóty każdy powinien spróbować zabezpieczyć się przed tym problemem we własnym zakresie.

Niezbędny dialog z dostawcą

Firmy wykorzystujące Internet do prowadzenia biznesu powinny w swoich politykach bezpieczeństwa uwzględnić reguły odnośnie do postępowania w razie zmiany adresów IP. W przypadku zmiany dostawcy Internetu wypada tu zalecić np. płacenie jeszcze przez jakiś czas za niewykorzystywane już adresy IP, aby dać czas wszystkim serwerom DNS i administratorom innych sieci na wprowadzenie odpowiednich zmian.

Z kolei w umowie podpisywanej z nowym dostawcą Internetu warto zastrzec, że ewentualne zmiany adresów IP muszą być poprzedzone wcześniejszym kilkumiesięcznym ostrzeżeniem. Dobrym pomysłem będzie zagwarantowanie sobie innej puli adresów IP, gdy okaże się, iż otrzymana właśnie pula utrudnia lub uniemożliwia prawidłowe funkcjonowanie sieci w wyniku działalności poprzedniego właściciela adresów. W szczególności chodzi tu o spam, blokady w dostępie do określonych zasobów Internetu, ataki DDoS itp.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200