Развитие адресации: IPv6, DNS и веб-сёрфинг по паспорту

17. September 2009, 8:29 Безопасность, Интернет

Flickr, EL GeneralissimoВ современном Интернете анонимность рядового пользователя, не принимающего специальных мер к сокрытию следов, – это миф. Рядового пользователя, нашалившего в форуме, при необходимости оперативно и точно вычисляют. Но, конечно, специалистам известны меры разной степени сложности, позволяющие существенно повысить степень анонимности при использовании Интернета (специальные прокси-серверы, мощная сеть TOR и т.д.).

На этом фоне тем более интересно проанализировать тенденции развития систем адресации Интернета. Начнём, пожалуй, с IPv6. Да, этот новый протокол предлагает новинки в обеспечении безопасности передачи данных, позволяет оптимизировать маршрутизацию, повысить надёжность работы Сети. При этом среди основных особенностей протокола IPv6 – огромная “мощность” пространства адресов. IPv6 позволяет присвоить уникальный адрес каждому квадратному метру поверхности Земли. И при этом множество адресов останется про запас.

Интернет уже давно и прочно обрёл глобальность. Внутрь нового киберпространства затягиваются другие “транспорты мысли”: про газеты, журналы и книги, наверное, не нужно напоминать – все они давно проросли в Сеть; следом на базу Интернета успешно переезжает радио и телевидение. Более того, мобильная и стационарная телефония – также близки к окончательной интеграции с Сетью: технологии передачи речи и автоматической “коммутации абонентов” вот уже не первый год отлично развиваются, вспомните, например, успешный Skype. Да, операторы “традиционной” связи, – в основном, мобильной, – пока что для проформы сопротивляются, даже иногда запрещают использовать сервисы типа Skype в своих сетях. Но надолго ли хватит подобного сопротивления? То есть, в обозримом будущем Интернет окончательно станет основой мировой информационной инфраструктуры.

Вернёмся к “пространству адресов”. В IPv6 адресов так много, что каждое устройство, каждое изделие, – проще говоря: всякий товар, – можно снабдить уникальным сетевым адресом. Кофеварки и холодильники, автоматически подключающиеся к Сети, уже не в новинку. IPv6 позволит автоматически присваивать “глобально уникальный” адрес не только каждому выпускаемому мобильному телефону, но и каждому зонтику, каждой рубашке. Пребывая в прачечную, рубашка сможет отметиться в базах данных, причём из записи будет ясно, что это за рубашка, когда и кем выпущена, как часто бывала она в прачечных.

Можно подумать, что рубашка с IP-адресом – это уж слишком. Но ведь используемый в рамках “складской системы” и уникальный, с точностью до вида продукции, штрих-код на товарах в супермаркете уже никого не удивляет. Именно наличие такого штрих-кода позволяет автоматизировать процесс доставки и массовой продажи товаров. Поэтому уникальный адрес для рубашки – логичное продолжение.

Тем более, что товар с чипом и подключением к Интернету сможет автоматически “отметиться” на кассе супермаркета, чтобы касса сняла деньги со счёта покупателя. В прачечной рубашка сможет сообщить стиральной машине, как именно её нужно стирать. Так что, с поправкой на технологический прогресс, мотивировка наличия уникального IP у каждой рубашки с китайской фабрики, хоть и является некоторым преувеличением, – но может быть даже более убедительной, чем в случае с давно введенными в оборот уникальными глобальными идентификаторами аппаратов сотовой связи.

В старом IPv4 проблемы с недостаточным для всех мыслимых узлов пространством глобально маршрутизируемых адресов научились побеждать. Вдумчивое чтение соответствующих технических спецификаций, использование трансляций адресов – всё это позволило Интернету демонстрировать тот активный рост, который, несмотря на “узкие рамки” IPv4, пока не думает замедляться. При этом, правда, большие группы пользователей локальных сетей оказываются “спрятаны” за единственным видимым снаружи IP-адресом. А пользователь, путешествующий между сетями, появляется в Интернете то под одним адресом, то под другим.

IPv6 борется с этой проблемой. Причём, далеко не только с помощью упоминавшегося большого количества доступных IP-адресов. Предлагаются механизмы, позволяющие “мобильному устройству” перемещаться между сетями, сохраняя свой уникальный IPv6-адрес. Такие адреса вполне могут распределяться отдельными блоками, по корпоративному признаку. Например, компания-производитель коммуникаторов присваивает этим коммуникаторам уникальный адрес на этапе производства и этот адрес позволяет работать во всём IPv6-интернете. Это удобно для пользователя коммуникатора – не нужно менять настройки, перемещаясь по стране или зарубежом, можно получать звонки на тот же самый IPv6-адрес (который, кстати, прописывается в DNS).

Итак, среди фундаментальных особенностей IPv6 – присвоение уникального глобального идентификатора всякому устройству. Адрес присваивается таким образом, чтобы устройство, независимо от своего местоположения, всегда действовало от имени своего адреса. То есть, важнее ответа на вопрос “Где?” – ответ на вопрос “Кто именно?”. И в таком случае не может быть двух коммуникаторов с одинаковым адресом, так как это приведёт к конфликтам в маршрутизации. Этот же момент требует дополнительной авторизации устройства при перемещении между сегментами Сети. Авторизацию может предоставлять фиксированный “домашний узел”, который, логично, находится в ведении компании-производителя коммуникаторов (или, например, оператора сотовой связи – у них уже имеется опыт обмена подобной авторизационной информацией при перемещении абонентов “в руминге”).

Выходит, тенденция развития IP – в дальнейшей “индивидуализации” доступа к ресурсам Сети, в борьбе против “анонимности”.

Другое направление связано с DNS. Контактная информация, адреса глобально доступных ресурсов – всё это хранится в DNS. Система доменных имён остаётся единственным инструментом, позволяющим привязать “человекопонятные” обозначения к сложным для запоминания IPv6-адресам. Следующий этап развития DNS – повсеместное внедрение DNSSEC. Технология DNSSEC – это также инструмент индивидуализации сегментов доменного пространства. В рамках технологии адресная информация подписывается электронной цифровой подписью. А сама подпись удостоверяется доверенным центром. Собственно, схема во многом повторяет давно известный в офлайне институт нотариата.

Система подписей в DNSSEC должна иметь иерархию. В рамках этой иерархии администратор зоны уровнем выше как бы ручается за администраторов доменов, распределяемых в его зоне, удостоверяя данные, переданные этими администраторами.

Почему “как бы”? Потому что до сих пор вопрос о том, за что именно ручается удостоверяющий подпись администратор в DNSSEC, остаётся очень острым вопросом. Отвечает ли администратор доменной зоны за адресацию внутри неё, если он подписал изменения? А если при этом какой-то из доменов указывает на нарушающий закон сайт? Каким образом администратор, поставивший свою подпись под параметрами адресации, может контролировать контент, показываемый под доменами в его зоне, если эта зона содержит тысячи, сотни тысяч и миллионы записей?

В офлайне, по сложившейся практике, для того чтобы избавиться от поисков ответов на неудобные вопросы, стараются тщательно идентифицировать других участников процесса публикации контента. В случае чего – есть возможность указать на виновного. Как только будет широко развернута DNSSEC, и начнётся распределение криптографических ключей в этой системе (а без ключей она работать не сможет), вполне вероятно, что потребуется ввести дополнительнные меры по идентификации администраторов доменов, получающих ключи для генерирования своих подписей.

А использование электронной подписи в дальнейшем, для изменения каких-либо записей о домене, будет чем-то вроде подтверждения того, что изменения внёс именно ранее идентифицированный администратор, а не какой-нибудь там “заезжий хакер”. То есть, опять важным пунктом новой внеряемой технологии, а именно DNSSEC, становится обеспечение ответа на вопрос “А кто именно?”, ответ на вопрос “Где? В каком домене?” – уже вторичен: ведь работа DNSSEC основана на удостоверении автора, источника адресной информации в DNS. Дело в том, что только такое удостоверение позволяет защитить пользователей от атак “с подменой адреса”, потому что позволяет проверить, является ли источник информации авторитативным.

Выходит, что и вектор развития DNS во многом направлен в сторону более строгой индивидуализации, так же как и IPv6. И в целом оба фундаментальных элемента Интернета демонстрируют движение к дальнейшему уничтожению анонимности, на самом базовом уровне. Так что фраза “В Интернет – по виртуальному паспорту” – в ближайшие годы может оказаться совсем не шуточной.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 6

  • 1. 18th September 2009, 12:26 // Читатель dm написал:

    Расскажу про Италию. Только там ?В Интернет ? не по виртуальному паспорту а по реальному?.

    Италия, Милан – нашли некое интернет-кафе, где сразу потребовали сделать скан паспорта, ссылаясь на анти-террористический зако. Закон не позволяет пользоваться интернетом в публичных местах без идентификации личности.

    В аэропорту Милан-Бергамо стоит автомат, который не пускает в интернет без предьявления ID. То ли еще будет. Выводы делайте сами :)

  • 2. 21st September 2009, 22:19 // Читатель Алексей написал:

    Статья – сплошная реникса.

    1. Присваивать IP-адрес каждой рубашке – глупость. Это все равно, что присваивать отдельный ИНН каждой курице на птицефабрике. Для товаров используются другие идентификаторы, в том числе и глобально уникальные. “Чип подключения к Интернету” – слишком дорогое удовельствие, обычный RFID-чип гораздо дешевле и меньше засоряет эфир.

    2. IP-адрес является не идентификатором сетевого устройства, а именно адресом, подобно почтовому. Использовать в качестве IP-адреса идентификатор – почти то же самое, что писать на конверте номер паспорта получателя вместо его почтового адреса – уникально, однозначно, но неудобно.

    3. IP-адрес (в том числе и IPv6) состоит из двух полей – номер сети и номер машины в сети. Для удобства маршрутизации номер машины может логически разделяться на номер подсети (или номера нескольких вложенных подсетей) и номер машины в подсети. Если уникальный несменяемый IP-адрес назначается устройству при его создании, то встроить такое устройство в IP-архитектуру будет ОЧЕНЬ сложно. Если таких устройств будут миллионы, то Интернету придет конец.

    4. В качестве номера машины в IPv6-адресе может выступать уникальный MAC-адрес сетевого устройства. Но этот способ назначения номера машины необязателен, неудобен и непопулярен (в т. ч. из-за снижения анонимности).

    5. Уникальный идентификатор все равно может быть подделан. Например, многие маршрутизаторы легально поддерживают подмену MAC-адреса: внутри подсети виден реальный MAC-адрес маршрутизатора, а во внешнюю сеть транслируется подставной. Так что идентификаторы сами по себе не работают.

    6. Электронные подписи DNSSEC служат только для защиты DNS-ответов от подделки. Проверка подписи позволяет определить, был ли ответ (IP-адрес искомого сервера) получен от легального сервера DNS или от злоумышленника. Кто именно создал DNS-запись и какие именно материалы размещаются на сайте – эти вопросы не имеют никакого отношения к службе DNS.

  • 3. 22nd September 2009, 13:14 // Александр Венедюхин ответил:

    Что-то много написано и – не по существу. Ну да, и “офлайн-паспорта” подделывают – это как-то отменяет назначение паспорта?

    В DNSSEC ключи удостоверяет третья сторона (например, администратор домена первого уровня), которая и может затребовать подтверждения “персональных данных”. Процесс похож на получение полноценных, в административном плане, SSL-сертификатов, только процедура несколько другая.

  • 4. 25th September 2009, 00:09 // Читатель Alatar написал:

    Почему не по существу? ИМХО всё правильно написано. По крайней мере, что касается пунктов 2, 3, 4 – в общем-то их суть сводится к тому, что IP адрес нужен для маршрутизации, а не для идентификации. В данный момент, когда IPv6 используется через специальные гейты к которым подключаются через IPv4 это работает, а вот как это будет работать, когда IPv6 полностью заменит старую адресацию, я не представляю. Если я с одним и тем же IP буду выходить в сеть из Москвы и, например, из Урюпинска, то как маршрутизаторы будут определять, куда кидать пакеты? Хранить таблицу маршрутизации для каждого конкретного адреса? Это уж слишком расточительно.

  • 5. 25th September 2009, 11:10 // Александр Венедюхин ответил:

    Почитайте описание протокола и политики распределения адресов. Собственно, то, что политики становятся иными и послужило поводом для заметки. А вовсе не “дискуссия” о формальной структуре адреса.

  • 6. 25th September 2009, 11:52 // Александр Венедюхин ответил:

    Занимательно, кстати, что реально работающий “роуминг” у операторов сотовой связи, где “с тем же номером” можно выходить в сеть и из Москвы, и из Урюпинска – не вызывает сомнений у комментаторов.