csak egy buta arnyek
Vótmá (eddigi posztok):
We can check your plugins and stuff
2011-10-03 02:45:54
nincs kategoria

Az előbb épp felvázoltam a biztos, megállíthatatlan, elkerülhetetlen tech-pokalipszist, elfogynak az IPv4 címek, a v6-ra senki nem akar áttérni, a routing tábla minden határon túl nő és átszakítja a TCAM gátakat és elönti a szervertermeket, minden sötétebb ajzatból SSL-MITM támadások lesnek ránk, és már a kernel.org-ot is megették a hecskerek és mindmeghalunk (internet nélkül mármint).

Persze vannak roppan érdekes kezdeményezések, projektek, csoportosulások pont az első bekezdésre rákontrázva.

Nézzük őket sorra: LISP 1 2 3, ILNP és SHIM6. Ez ilyen erős mindfuck faktorral rendelkező betű-szóleves. A LISP érdekes túlzásba vitele a "rátervezésnek" (mondjatok szépszót az "overengineering"-re). Mármint az alapprobléma a "core router"-eknek túl sok infót kell tárolniuk. (Core router, hálózati eszköz nagyon-nagy szolgáltatónál, melyeken esetenként több szolgáltató teljes forgalma átfolyik és L3 - layer 3, azaz IP szintű - útválasztást végez.) Ez azért van, mert mindenki szeretné a saját kis hálózatát finomhangolni, a saját IP tartományocskáját használni, ahelyett, hogy a területi aggregáció szerint ésszerűt használná. Persze ez kb. kivitelezhetetlen, mert pont ez az őrült szabadság az egyik előnye az Internetnek, de tény, hogy túl sokat pakolnak az alap protokolok nyakába, mármint szeretik elsumákolni azokat a problémákat, hogy mi van akkor, ha megváltozik az IP címem menet közben. A TCP nem képes ezt kezelni. Nem is értem miért. Oh, várjunk csak, de! Már így is ~20 oldalnyi diagram kell a pontos (!) specifikációjához. Az SCTP elvben tudna ilyet, de az meg egy bughalmaz, hiszen senki nem használja. Hm, hm. Lehet, hogy akkor ezt a TCP-re kéne ráépíteni? OSI modell, megint helló. Viszont így is gyászosan low-level az operációs rendszerek hálózattámogatása (socket programming, hajrá). Ehhez képest a LISP egy már ma működő, meglehetősen kifinomult, biztonságos, a végfelhasználók és a nagy-és-drága routerek szempontjából észrevétlen megoldást kínál. Érdekes lesz.

OpenFlow. Itt a lényeg, hogy egy igazi, normális menedzsment szintet húznak a hálózatra. Van egy csomó nagyon jó alprojektjük, pl. a FlowVisor, ami virtuális hálózatot tud csinálni (kap egy kis címtartományt, és azok szempontjából úgy konfigurálod az eszközöket az OpenFlow-n keresztül, ahogy akarod, a FlowVisor meg vigyáz, hogy tényleg csak ahhoz nyúlj, amit neked osztottak), OpenPipes, amivel kiterjeszthető a koncepció adatforrásokra és adatfeldolgozókra/végpontokra, még holisztikusabb (teljesebb) szemléletet, algoritmusokat lehetővé téve. Alapvetően a lényege, hogy a hálózat újrakonfigurálásához kapsz egy API-t, és nem kell a fostos Cisco parancssort buzerálnod, meg feketemágiázni mindenféle egyéb konzolon.

DNSSEC, Key Signing Ceremony. Még több biztonság, manapság nem árthat. A főfő koncepció a "trust anchor", azaz a bizalomhorgony, amit valahova le kell betonozni, ha meg akarsz állni stabilan az internet vad vizein. Az SSL/PKI globális tanusítvány infrastruktúra elvben az ellen védett, hogy valaki ne adhassa ki magát másnak, viszont a problémája az, hogy túl sok megbízható "tanusító hatóság" (certificate authority) van benne. A DNSSEC esetén csak a legfelső (a DNS-gyökér) zónának a kulcsát kell ismerni, hogy le lehessen vezetni a DNS szerver válaszából az igazságot. (Mondjuk itt a DNS regisztrátorok lettek valamelyest a gyenge pontok.)

Aztán vannak ilyen egyéb biztonsági mozgolódások: Az EFF HTTPS Everywhere + SSL Observatory-ja, a Mozilla is keményebben dobálja ki a romlott almákat a CA-s kosárkájából, itt egy új-érdekes szoftver a Convergence, egy előadás szlájdjai ~ avagy mit kezdjünk az egész SSL/TLS tanusítvány infrastruktúrával (hackerspace budapest tiki link). SSL + Global PKI vita, a Hacker News-on is. (Külön érdekes az egyik hozzászólás a tofu/pop ~ trust on first use, persistence of pseudonym előnyeiről és hátrányairól.)





Milyen nap van ma?

Megkíméljelek egy kis gépeléstől legközelebb?