Kot že vrabci čivkajo po sosednjih strehah, IPv4 naslovnega prostora zmanjkuje. Slovenija ima zaenkrat še dovolj zalog, tako da operaterjem ne bodo tako zlahka zmanjkalo IPv4 naslovnega prostora, po svetu se pa že kaže kriza. Nekateri veliki operaterji že razmišljajo o uvedbi NAT mehanizma v jedrnem omrežju (CGN, Carrier Grade NAT), nekateri sedaj stavijo na novo sprejet A+P, a pri obeh je značilno to, da en IPv4 naslov nima več enostavno določljivega uporabnika, ki stoji za njim…

Pri obeh mehanizmih gre za deljenje javnega IPv4 naslova, s tem da pri CGN ostane javni naslov v jedru omrežja in uporabnik na svoj WAN port prejme privatni naslov (!), pri A+P gre pa za deljenje javnega IPv4 naslova med uporabniki, s tem da je javni IPv4 naslov z omejenim naborom “portov” na napravi končnega uporabnika, ki ima tako večjo kontrolo nad samim obnašanjem komunikacije na Internet.

Kakorkoli se bo kdo o “velikih” operaterjev odločil, v obeh primerih naletimo na podobno težavo z identifikacijo storilca v primeru zlorabe ali kaznivega dejanja. V log zapisih srežnikov (web, mail, etc…) se zapiše datum in točna ura, kdaj je bila seja med napadalcem in napadenim strežnikom vzpostavljena ter IP naslov, iz katerega je napadalec napad izvedel. Ta kombinacija je do sedaj zadoščala, da so operaterji lahko na podlagi zahteve sodišča iz svojih log zapisov na dostopovnem omrežju natančno določili, kdo je tisti hip dotični IP naslov uporabljal ter to sporočili organom pregona.

Z uvedbo CGN ali A+P se pa ta sistem poruši, saj isti IP naslov uporablja več uporabnikov, teoretično lahko tudi več kot 65.000. Kako torej sedaj ugotoviti, kdo je vdrl v spletno banko in “odnesel” nekaj miljonov evrov?

V log zapisih potrebujemo tudi izvorna vrata (source port), iz katerih je napadalec postavil dotično sejo. Prijavitelj bo moral podati tudi ta podatek v kazenski prijavi. V nasprotnem primeru bodo operaterji samo skomignili z rameni, češ, ni dovolj podatkov.

Kako se to na strežnikih skonfigurira, to bo morda predmet predavanja prihajajočega druženja predstavnikov članov Go6 ali pa celo 6. Slo IPv6 summita novembra, a do takrat je treba ugotoviti, kako na te spremembe opozoriti ustrezne organe.

V bistvu me zanimata dve vprašanji:

– Kdo poda specifikacijo, katere podatke mora oškodovanec dati pri prijavi vdora? Je to Policija, sodišče, tožilstvo? Ta specifikacija se bo morala spremeniti.

– Kako to spremembo sporočiti vsem, ki upravljajo strežnike, povezane na Internet?

Čeprav naši operaterji menda ne bodo uvajali CGN ali A+P, se lahko ponudnikom spletnih vsebin in storitev zgodi, da bodo napad doživeli iz “tujine” in če bo napadalec skrit za kakšnim velikim operaterskim NAT mehanizmom, mu prijava brez vseh teh podatkov ne bo nič koristila.

To vidimo kot enega od stranskih produktov tranzicijskih mehanizmov, pred katerim si ne smemo kar zatisniti oči.

Jan Žorž

Vaš IP naslov (ali ste na IPv6 ?):
18.118.137.243

Comments(2)