La notizia (che DOVEVA arrivare perche’ nazioni in guerra NON condividono infrastrutture cruciali) che la Russia stia pianificando di disconnettersi da Internet e’ arrivata ieri, e ho visto alcune “spiegazioni” che erano ridicole.
Per prima cosa, i DNS c’entrano poco. Molti servizi che possono venire usati per trasferire materiale propagandistico (es: Torrent) non ne fanno uso perche’ hanno la loro DHT. Non fermerebbero cose come I2P o Tor. Non si capisce quindi in che modo alcuni giornalisti descrivano la mossa russa come “un distacco dai DNS del resto di internet”.
Certo, se i russi smettessero di annunciare i loro AS su BGP, non potrebbero nemmeno usare i DNS (ca va sans dire) , ma questo non significa che otterrebbero qualche livello di protezione da attacchi.
Quello che fanno e’ di agire sui cosiddetti AS, Autonomous Systems.
La geografia di Internet non e’ composta da nazioni o da nomi, ma da “blocchi” di IP che vengono assegnati dalle autorita’ preposte (in Europa e’ il RIPE) in modo da garantire che siano unici (insomma, che due aziende/governi non si impossessino degli stessi indirizzi).
Quando voi volete raggiungere un dato IP (dopo che magari il DNS vi ha detto che corrisponde al vostro sito web preferito) , qualcuno o qualcosa deve calcolare una rotta verso quell’ IP. Cioe’, voi siete a casa vostra e avete un IP. QUindi adesso si tratta di capire quale strada seguire per arrivare a destinazione.
“Quale strada” nel caso di Internet corrisponde piu’ o meno a “quali AS attraversare”, dal momento che tra voi e il sito che volete vedere ci sono, appunto, queste unita’ amministrative: e’ come dire che per andare da Bologna a Napoli attraverserete molti comuni.
Si’, ma quali. E su quali strade?
Esiste quindi un metodo, chiamato BGP , che e’ anche un protocollo, con il quale le mappe degli AS vengono tenute aggiornate. Alcuni router particolari, di bordo o di frontiera, attraverso un sistema di scambiatori di vario tipo, rappresenteranno poi quelle “strade” che il vostro traffico (i dati che leggete nel browser, insomma) usera’ per arrivare a destinazione.
Allora, quando io ho un AS (quindi “possiedo” un certo numero di indirizzi IP e ci faccio quel che voglio) non devo fare altro che “annunciare” usando questo protocollo che io esisto, e che il mio router che sta sul “bordo” del mio AS e’ capace di portare il traffico verso i miei IP.
Ovvero: “quando arrivi In provincia di Bologna per arrivare a Casalecchio di Reno devi solo seguire la segnaletica”. E’ una traduzione “abbastanza” buona di un annuncio BGP.
A quel punto qualche dispositivo avra’ tutto l’elenco di questi annunci e potra’, come fa un navigatore, calcolare il prossimo “hop” , la prossima tappa, per arrivare a Casalecchio di Reno da Napoli.
Allora, di nuovo: se tutti i miei AS , diciamo tutti gli AS russi, smettono di dichiarare le proprie rotte, che succede? Eh, succede che nessuno li usa piu’ per passare, e succede che nessuno SA piu’ come arrivarci. Insomma, succede che la RUssia non e’ raggiungibile perche’ non c’e’ “route to host”, non e’ possibile sapere come arrivarci.
Ma se gli AS russi continuano a scambiare tra di loro questi annunci, i russi potranno comunicare tra loro: semplicemente non potranno comunicare con l’esterno perche’ anche se il loro pacchetto arrivasse a destinazione la risposta non saprebbe come tornare indietro.
Quindi i russi hanno costruito un insieme di AS che possono sopravvivere senza problemi ed essere staccati, e hanno ordinato a chiunque abbia un sito web di metterlo in questa “zona”, perche’ quando smetteranno di annunciarla il resto del mondo non potra’ piu’ arrivarci.
Ovviamente, oltre a smettere con gli annunci (che equivale piu’ o meno a togliere le mappe a tutti i navigatori) poi ci mettono sopra anche dei firewall, cioe’ tagliano i ponti.
Ma questo ha poco a che vedere coi DNS. Del resto, siccome stanno perdendo la cyberwar (non puoi vincere una cyberwar contro le nazioni che producono i tuoi equipaggiamenti elettronici e i tuoi computers) , il loro problema e’ di non essere raggiungibili: ma il DNS non determina la raggiungibilita’ di un IP, la facilita dandogli un nome.
Perche’ ho scritto che se si sconnettono i russi non torneranno piu’?
Perche’ non hanno assegnati moltissimi IP , ma insieme alla disconnessione viene l’ “invito” alle aziende russe di usare solo RuNet come posto per i loro server. Se pero’ tutte le aziende russe che ora usano i vari cloud tornano a casa, i russi avranno presto bisogno di nuovi blocchi di IP (che gia’ scarseggiano).
Possono averli da due membri di NRO
- chiedendoli al RIPE (che e’ europeo)
- chiedendo ad APNIC di servirli (ora sono sotto il RIPE)
Non e’ detto che APNIC accetti, non e’ detto che in futuro RIPE accetti (dipende dal livello di ostilita’) e la disconnessione unilaterale non e’ nemmeno nelle policy, quindi il RIPE potrebbe anche, dopo qualche tempo, considerare disponibili gli IP russi.
Insomma, i russi saranno tentatissimi di assegnarsi degli IP pubblici da soli. Una volta fatto questo, non potranno piu’ ricollegarsi.
Gli indirizzi pubblici , infatti, sono assegnati in modo da essere unici. E la ragione e’ semplice: immaginate di spedire una lettera, e immaginate che in francia ci sia una persona che ha esattamente il vostro indirizzo. A questo punto sarebbe molto difficile per il postino capire dove recapitare la lettera.
Una volta duplicati degli indirizzi pubblici, cioe’, re-integrarsi con il resto della rete e’ complicatissimo, perlomeno occorre liberarli da almeno un lato.
La seconda possibilita’ e’ che se la Russia si sconnette completamente creando una “intranet nazionale” , sia il RIPE a considerare liberi quegli AS. Anche in questo caso, dopo aver distribuito indirizzi qui e li’, per la Russia non sarebbe possibile tornare indietro.
IPv6 sarebbe una possibilita’, ma il livello di adozione in Russia e’ ancora troppo basso, e nemmeno il resto del mondo brilla.(IPv6 e’ troppo complicato per il cervello dell’americano, e come se non bastasse non si impara su StackExchange.)
Questa e’ la ragione per la quale dico che se i russi escono da internet, come hanno annunciato, probabilmente non rientreranno mai piu’:resistere alla tentazione (o al bisogno) di duplicare gli IP sara’ quasi impossibile, nel medio e nel lungo periodo.
