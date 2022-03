Internet stojí na několika důležitých pilířích, mimochodem všechny jsou v soukromých rukou. Seřadil jsem je podle toho, jak snadno se dají opravit, pokud jsou nějak narušeny.

1) Jednotné poskytování obsahu a služeb – bohužel tento pilíř v praxi příliš nefungoval. Asi každý máme zkušenost s různými formami geoblokingu, který existuje obvykle nikoliv jako důsledek nějakých geopolitických událostí, ale spíše kvůli obchodním strategiím či licenčním omezením. Právě tato vrstva internetu je již narušena velmi silně. Mnohé služby ukončují svůj provoz v Rusku, naopak Rusko již velmi dlouho některé sociální sítě omezovalo a v současné době je blokuje zcela.

2) Jednotný jmenný systém, kořenové DNS – klíčový systém spravovaný organizací ICANN/IANA a správci kořenových DNS serverů. Uvědomme si, že tento systém funguje globálně a s ohledem na to, že se po světě téměř neustále někde válčí, ukazuje mimořádnou robustnost. Zástupci ICANN se vždy snažili chovat striktně neutrálně a velmi pečlivě vážili i redelegace jednotlivých národních domén. Nikdy nesáhli ke zrušení delegace nějaké národní domény krom případů, že zanikl příslušný stát (doména .cs, .yu) i když existence domény .su dokazuje, že ani v tomto nebyli důslední.

3) Jednotný routing – pokud chcete být v internetu dostupní, musíte si nějakým způsobem opatřit konektivitu do páteře internetu (neboli Tier-1 ISP). To nemusí být nutně přímo, můžete použít i ISP, kteří netvoří páteř internetu, podstatné je, že mají nějak delegaci do páteře zajištěnou. Tento pilíř se začíná mírně narušovat, například firma Cogent přestala poskytovat služby ruským sítím. To je poměrně silný krok, ale internet je postaven hodně robustně a toto tedy zatím ještě samo o sobě mnoho neznamená. Pokud sankce západních zemí budou přibývat a dojde i na toto poskytování služeb, budou mít ruské sítě ještě poměrně hodně možností, kde konektivitu čerpat.

4) Jednotný adresní systém, distribuce IP adres – zatímco rozpad jednotného jmenného systému lze nějak technicky jednoduše obcházet, rozpad jednotného adresního systému by byl větší oříšek. Pro dnešní aktuální diskusi je klíčová organizace RIPE NCC, (pro úplnost, v této organizaci působím v představenstvu). RIPE NCC podobně jako ICANN se vždy snažil a maximální neutralitu. RIPE NCC distribuuje adresy celé Evropě, postsovětským republikám a blízkému východu. Tento region již prošel mnoha válkami a RIPE NCC se snažil na tyto události nereagovat. Práci samozřejmě komplikuje mnoho faktorů, v regionu je několik sporných neuznaných území, jako například obě odštěpená území z Ukrajiny, ale mnohem starší jsou třeba Podněstří, Abchazie a podobně. Některé organizace a osoby na tomto území čelí mezinárodním sankcím, tím jsou postižené některé sítě v Íránu či Sýrii a přesto RIPE NCC těmto sítím jejich adresy pouze zmrazil. Tedy mohou je efektivně používat pro svou konektivitu, omezení se týká převodů apod. Lze tedy předpokládat, že pokud by to sankce umožňovaly, RIPE NCC by se v případě Ruska choval obdobně.

5) Jednotné standardy – bez jednotných standardů nemůže existovat žádná globální struktura. Zde mluvíme především o dokumentech RFC vydávaných organizací IETF a dokumentech W3C (World Wide Web Consortium). Zde zatím k nějakému vědomému narušování nikdy nedošlo. Horší je někdy interpretace standardů některými vendory, ale to je úplně jiná kategorie.

Nedávno zaslala ukrajinská strana prostřednictvím svého vicepremiéra Mykhaila Fedorova několik dopisů (například zde pro ICANN), které požadují odstřižení Ruska od internetu. Po ICANN a RIPE NCC požaduje:

• zrušení delegace domén .ru, su a .рф, • vypnutí kořenových serverů na území Ruska, • zrušení alokace IPv4 a IPv6 adres.

Obě organizace vydaly poměrně jasná prohlášení (odpověď ICANN, prohlášení RIPE NCC) , že k ničemu takovému se nechystají, pořád setrvávají v neutralitě a budou nadále naplňovat svou vizi jednotného funkčního internetu. K tomu se přidala i organizace ISOC.

Překvapivě naopak certifikační autorita Thawte přikročila k revokaci některých SSL certifikátů. Dlužno podotknout, že tento krok neměl příliš velký dopad, například web banky VTB (vtb.ru) sice byl chvíli nedostupný, ale za pár desítek minut si již VTB opatřila nový certifikát a web se rozjel.

Celkem nedávno se objevil údajně uniklý ruský dokument, který by naopak měl znamenat, že Rusko se odstřihne samo.

Je na to Rusko připraveno?

Rozpojení tak komplexního systému není jednoduchá věc. Služby na internetu jsou často velmi silně provázány a je velmi obtížné domyslet všechny závislosti. V praxi jsme si to mohli sami nedávno ověřit při výpadku služeb Google, kdy přestala fungovat celá řada zdánlivě nesouvisejících webů.

Nicméně Rusko je v přípravách na trvalé odstřižení od internetu asi nejdál. Připravuje se na tuto akci systematicky a poměrně dlouho. Poskytovatelé v Rusku musejí provádět registraci svých internetových adres a čísel autonomních systému v jakési kopii databáze RIPE NCC a zároveň mají povinnost využívat alternativní kořenový server, který by zjevně neakceptoval žádost na vyřazení domény .ru ze zóny.

Stejně tak Rusko má zákon o suverénním ruském internetu a ruské sítě již odpojení „suverénního RUNETu“ nacvičovaly, takže jsou pravděpodobně dobře připravené, i když jsem si jist, že velká část vnitřních služeb by tímto krokem byla silně ovlivněna.

Může tedy k odpojení Ruska od internetu dojít? Ze strany organizací spravující jednotlivé internetové zdroje to zatím nehrozí, ty reagovaly velice uvážlivě. Nicméně je pochopitelně možné, že tento krok přijde přímo z ruské strany.

Dovolím si malou odbočku. Myšlenka odpojení státu od internetu vznikla i u nás v České Republice a je zhmotněná v projektu FENIX v propojovacím uzlu NIX.CZ. I některé české sítě jsou připravené na krátkodobé odpojení od světa v případě masívního DDoS útoku ze zahraničí. Naštěstí aktivace tohoto mechanismu zatím nutná nebyla.

Další otázkou je, jak do celé věci promluví sankce a omezená funkčnost převodu peněz pro ruské firmy. Za členství v RIPE NCC a částečně i za IP adresy je totiž nutné pravidelně platit. Pokud ruské sítě nebudou schopny zaplatit, může dojít ke zrušení členství a tedy i odebrání IP adres či čísel autonomních systémů.

S ohledem na nedostatek IPv4 adres v současném internetu by jistě byly (po určité karanténě) transferovány početným novým zájemcům. Tento krok by již byl pro tyto ruské sítě nevratný. Ještě je potřeba připomenout, že odebrání IP adres je z technologického hlediska problematický krok. Přidělení je zaneseno v databázi RIPE NCC (a případně v RPKI), ale to neznamená, že se někdo nemůže pokusit posílat pomocí protokolu BGP informaci, že je přesto tato sada IP adres dostupná. Je možné, že ruské sítě by takto dealokované adresy dále používaly a to by komplikovalo jejich redistribuci.

Může dojít k rozštěpení?

Pokud tedy dojde k rozštěpení, bude velice záležet na jaké úrovni a též na jak dlouho. K blokování jednotlivých služeb již dochází, to jistě bude dále pokračovat. Nicméně tyto kroky lze poměrně rychle napravit prostým odstraněním této blokace. Nezdá se pravděpodobné, že by ICANN zrušil ruské domény. Tento krok by pro vnitřní sítě Ruska mnoho neznamenal, provozují vlastní alternativní kořen a ruské domény by jim doma fungovaly. Naopak zbytek světa by přišel o možnost sledovat webové stránky Ruska, či posílat jim e-maily.

Tento krok je technicky též jednoduše vratný, ale nalomení důvěry v organizaci ICANN by se napravovalo poměrně dlouho, pokud by to vůbec šlo. Znejistili by i jiné země a mohlo by vést k silném tlaku na převod kompetencí ICANN pod nějakou mezivládní organizaci. K odpojování ruských sítí u některých tranzitních poskytovatelů již vlastně začalo a je možné, že vůli sankcím bude pokračovat. Zde bude spíše záležet na Rusku, zdali si chce mezinárodní konektivitu zachovat.

S ohledem na nepřeberné technologické možnosti se jistě nějaká cesta najde. Na druhou stranu může dojit k silné degradaci této konektivity. Pokud dojde k odebrání IP adres (především IPv4, těch je málo), bude hodně záležet jakým způsobem se to bude dít. Pokud budou uvaleny takové sankce, že RIPE NCC bude muset zrušit členství velké části ruských členů, bude se jistě hledat způsob, jak tyto IP adresy pouze zmrazit, aby je bylo možné použít v případě, že budou sankce v krátkém čase zrušeny. Ale bude-li to trvat dlouho, RIPE NCC bude těžko odolávat tlaku členů na redistribuci těchto adres. Pak už by bylo opětovné napojení RUNETu na internet obtížnější.

Obdobný problém může nastávat pokud jednotlivé sítě nebudou schopny za členství v RIPE NCC platit, ale to by bylo hodně individuální. Co se týká jednotných standardů, tak v krátkodobém pohledu u nich problém nevidím. Rusko nemá důvod nějaké změny ve standardech implementovat a ty nejdůležitější standardy týkající se IP adres, routingu, DNS a podobně se vyvíjejí jen velmi pomalu a nějaké štěpení by bylo viditelné až za skutečně dlouhou dobu.

Dojde tedy v rozštěpení? Těžko předvídat, ale nikdy jsme nebyli blíže. Velkým problémem je i obrovské rozhádání technické komunity, které je možné pozorovat například v listu RIPE NCC ve vlákně o ukončení konference ENOG. Tyto rány bude skutečně těžké zacelit.

Text původně vyšel na blogu CZ.NIC.