Přístup nebyl povolen
Z vaší IP adresy, nebo z IP adres skupiny uživatelů, které jste součástí (uživatelé přistupující přes firewall organizace, nebo uživatelé využívající služeb poskytovatele připojení k internetu) došlo k závažnému porušení pravidel pro bezpečnost provozu (viz provozní podmínky: http://wwwinfo.mfcr.cz, nebo http://wwwinfo.mfcr.cz/ares/ares_podminky.html.cz). Jsme proto nuceni až do vyšetření zamezit přístup k IS ARES. Všem, kteří nenesou vinu na porušování provozních podmínek, se omlouváme a doporučujeme obrátit se na správu firewallu vaší organizace nebo na vašeho poskytovatele služeb připojení k internetu.
Access forbidden
A serious infringement of rules concerning operational security has occurred. The reason can be at your IP address or at IP addresses of your user group (the users who use an access through a firewall of their organisation or those who use an internet service provider). Please, see the operating conditions at http://wwwinfo.mfcr.cz/ares/ares.html.en or http://wwwinfo.mfcr.cz/ares/ares_podminky.html.en. Unfortunately, we are forced to cancel your access to the ARES IS until the reason of the infringement has been identified. We recommend that the users who are not responsible for the infringement of the operational security should contact their firewall administrator or the relevant internet service provider. Please, accept our apologies for the inconvenience that this has caused you.
Tak že vyřešeno, používej ipv4
Sou to retardi ... to je easy ... mimochodem, cet si ze muzes vygenerovat max 1k requestu/den?
BTW: Posli nasranej mail buresovi, ne ze by to pomohlo, ale aspon si ulevis.
IMHO dělají to, že když dělá nějaká IP moc dotazu, tak bloknou celý rozsah, do kterého ta IPv4/6 patří, registrovaný dle whois... A HE nedělá registraci koncových přidělených /48 na tunely, tak bloknou celou 2001:470::/32.
Ministerstvo financí ČR
Letenská 15
118 10 Praha 1
petice.stiznosti@mfcr.cz
ElektronickyV ........... dne 8. 7. 2016
Věc: Stížnost na blokování přístupu k informačnímu systému ARES
Vážení,
dle mého zjištění je již několik týdnů blokován přístup k vyhledávání v informačním systému ARES (http://wwwinfo.mfcr.cz/ares/) z celého IPv6 prefixu 2001:470::/32. Tento prefix je přidělen společnosti Hurricane Electric, Inc. (https://whois.arin.net/rest/net/NET6-2001-470-1.html) a slouží k poskytování tunnel broker služby (https://tunnelbroker.net/) milionům uživatelů po celém světě .
Již několik týdnů při připojení přes IPv6 a pokusu o vyhledávání přes informační systém ARES obdrží zákazníci využívající shora uvedenou službu společnosti Hurricane Electric, Inc. pouze následující chybové hlášení:
„Z vaší IP adresy, nebo z IP adres skupiny uživatelů, které jste součástí (uživatelé přistupující přes firewall organizace, nebo uživatelé využívající služeb poskytovatele připojení k internetu) došlo k závažnému porušení pravidel pro bezpečnost provozu (viz provozní podmínky: http://wwwinfo.mfcr.cz, nebo http://wwwinfo.mfcr.cz/ares/ares_podminky.html.cz). Jsme proto nuceni až do vyšetření zamezit přístup k IS ARES. Všem, kteří nenesou vinu na porušování provozních podmínek, se omlouváme a doporučujeme obrátit se na správu firewallu vaší organizace nebo na vašeho poskytovatele služeb připojení k internetu.“
Podotýkám, že k žádnému porušení podmínek provozu (http://wwwinfo.mfcr.cz/ares/ares_podminky.html.cz) z mé strany nedošlo. Rovněž jsem ověřil, že stejný problém se vyskytuje při použití libovolného jiného /64 tunelu, a to i nově vytvořeného, ze kterého nikdy předtím k přístupu k informačnímu systému ARES nedošlo.
Vzhledem k vyčerpání IPv4 adres a stavu implementace IPv6 u jednotlivých poskytovatelů internetového připojení v ČR jsou tyto IPv6 tunely pro mnoho zákazníků jedinou možností, jak získat veřejné IP adresy a zajistit si spolehlivou IPv6 konektivitu k internetu. Dovoluji si upozornit, že zablokováním přístupu ze sítě HURRICANE-IPV6/NET6-2001-470-1 došlo k zablokování přístupu z 232 podsítí s prefixem /64 (nejmenší možná síť při použití IPv6 protokolu, každá z těchto podsítí obsahuje 264, tj. 18,446,744,073,709,551,616 IP adres) - což ve výsledku znamená zablokování přístupu z 296 IPv6 (tj. 79,228,162,514,264,337,593,543,950,336 IPv6 adres). Pro Vaši lepší představu, celý adresní rozsah IPv4 zahrnuje 4,294,967,296 IPv4, přičemž určité rozsahy jsou vyhrazené a pro připojení k internetu nepoužitelné. Správce informačního systému ARES tedy zablokoval přístup pro 18,446,744,073,709,551,616krát větší množství IP adres, než kolika (teoreticky) disponuje celý IPv4 internet.
Celá věc je o to horší, že – soudě podle výše citovaného chybového hlášení – MF ČR zřejmě toto opatření považuje za systémové a blokaci celých podsítí realizuje zcela běžně i v případě IPv4 konektivity. Jak již bylo uvedeno, IPv4 adres jsou vyčerpány a je jich kritický nedostatek. Zákazník nemůže žádným způsobem ovlivnit, přes jakou veřejnou IPv4 adresu je k internetu připojen, přičemž vzhledem k vyčerpání IPv4 adres je zcela běžné, že zákazník veřejnou IPv4 adresu vůbec nemá, jeho zařízením jsou přidělovány pouze IPv4 adresy z rozsahu vyhrazeného pro soukromé sítě (https://tools.ietf.org/html/rfc1918), případně z adresního rozsahu určeného pro tzv. carrier grade NAT (https://tools.ietf.org/html/rfc6598); za jedinou veřejnou IPv4 adresou poskytovatele připojení k internetu se tedy nacházejí stovky i desítky tisíc zákazníků. Největší poskytovatelé internetu v ČR, jako např. společnosti O2 nebo T-Mobile, již několik let nepřidělují novým zákazníkům veřejné IPv4 adresy, ale pouze IPv4 adresy neveřejné. Veřejné IP adresy jsou přidělovány pouze z rozsahu IPv6 a jedinou plnohodnotnou internetovou konektivitou je v těchto případech IPv6 připojení.
Vzhledem k výše uvedenému je zcela zjevné, že i k blokování jediné IPv4 adresy je třeba přistupovat nanejvýš obezřetně, neboť takovéto blokování může ovlivnit přístup ke službě pro tisíce lidí. Situace, kdy krom blokování jednotlivých IPv4 adres dochází k blokování celých IPv4 a IPv6 podsítí až na úrovni celé alokace pro jednotlivé ISP, je neudržitelný. Informační systém ARES, stejně jako další informační systémy provozované státní správou, musí především plnit svůj účel a sloužit uživatelům, tedy též daňovým poplatníkům. Dále je namístě podotknout, že existují řešení daleko vhodnější, přiměřenější a taková, která nepostihují zcela nesmyslně a neoprávněně miliony uživatelů jednotlivých ISP - to vše navíc v době, kdy MF ČR po daňových poplatnících vyžaduje, aby své zákonné povinnosti plnili prostřednictvím elektronických podání, a kdy plnění těchto povinností vyžaduje ověřování údajů např. v databázích plátců DPH, které jsou rovněž přístupné přes informační systém ARES. Místo takovéhoto nepřijatelného plošného blokování realizovaného navíc ve zjevně zcela nepřiměřeném rozsahu lze využít například vhodně nastavený rate limiting (omezení počtu dotazů/požadavků za jednotku času) na úrovni webového/aplikačního serveru, případně na úrovni firewallu.
Dle usnesení vlády č. 727/2009 (https://apps.odok.cz/attachment/-/down/KORN97AR4LRO) (bod II/2) bylo ústředním orgánům státní správy uloženo „do 31. prosince 2010 zajistit přístup k internetovým stránkám a veřejně dostupným službám eGovernmentu … i internetovým protokolem verze 6“. Zajištění podpory IPv6 dále ukládá i usnesení vlády č. 982/2013 v bodech II/1 písm. d) a II/3 (https://apps.odok.cz/attachment/-/down/VPRA9EVEBJYC). K naplnění těchto požadavků na podporu IPv6 těžko může dojít, pokud je přístup k informačním systémům prostřednictvím IPv6 protokolu masivně bezdůvodně blokován.
Dle § 175 odst. 5, 6 správního řádu žádám o vyrozumění o vyřízení stížnosti, výsledku šetření a opatřeních přijatých k nápravě v zákonné lhůtě.
S pozdravem,
Poslal jsem jim zprávu, ať s tím něco udělají, tak uvidíme.
Se divím, že nevypli rovnou 2000::/3
..., načež to asi 10 minut (!!!) zuřivě chroustalo a postupně z toho lezl jak z chlupaté deky nestránkovaný seznam 5597 nespolehlivých plátců. ...Kua Lol,
Hezký, myslíte, že takhle půjde zablokovat i EET? :)Myslím, že ano. Z legrace jsem si napsal EET klienta v Javě. Lokálně testy procházejí bez problémů, ale z Travis-CI serverů odmítá EET WS (https://pg.eet.cz:443/eet/services/EETServiceSOAP/v2) veškerou komunikaci. Pro nějaké cloudové účetnictví to jistě bude nemilé.
Hele, hestli to eet bude zvladat taky tisicovku req/den/ip ... tak se to zhrouti po 10s provozu. A to zcela samo bez vnejsich pricin.
Vážený pane,
k Vašemu dopisu z 8. července 2016, zaslaného elektronicky
na petice.stiznosti@mfcr.cz ve věci stížnosti na blokování přístupu k IS ARES, Vám sděluji
následující.
17. června 2016 bylo zjištěno, že dochází k značnému přetěžování serverů, na kterých je provozován IS ARES, které způsobovalo výpadky v dostupnosti IS ARES. Příčinou bylo masivní dotazování z desítek IP adres z adresního rozsahu 2001:470::/32. Protože tímto došlo k porušení podmínek provozu: http://wwwinfo.mfcr.cz/ares/ares_podminky.html.cz bylo přistoupeno k postupnému blokování jednotlivých IP adres z výše uvedeného rozsahu. Reakcí na toto zablokování bylo okamžité spuštění dotazování z jiných IP adres s tím, že jejich počet dále narůstal. Proto bylo přistoupeno k postupnému blokování adresních podrozsahů, z kterých bylo toto masivní dotazování průběžně detekováno. Tento stav trval až do 24. června 2016, kdy již bylo nutné vzhledem k častým výpadkům v dostupnosti IS ARES zablokovat výše uvedený adresní rozsah. K tomuto opatření bylo přistoupeno v zájmu zajištění funkčnosti a dostupnosti IS ARES pro všechny uživatele, kteří jej využívají ke své práci a dodržují výše uvedené podmínky provozu.
IS ARES pouze souhrnně zpřístupňuje veřejně dostupné údaje, které přebírá od institucí, které ze zákona vedou registry a evidence o ekonomických subjektech (zdrojové registry). Proto Vám v případě nedostupnosti IS ARES, z výše uvedeného adresního rozsahu, navrhuji dotazovat se přímo do těchto zdrojových registrů:
Veřejný rejstřík: https://or.justice.cz/ias/ui/rejstrik
Registr živnostenského podnikání: http://www.rzp.cz/
Registr ekonomických subjektů: http://apl.czso.cz/irsw/
S pozdravem
Ing. Božena Zděnková
ředitel odboru Rozvoj ICT
No, oni udelali web a pak zjistili, ze jim na nej lezou nejaci zasrani navstevnici a narusuji jim tim funkcnost webu. Postupne zablokovani celeho Internetu je jedinym spravnym resenim.
Trochu si protirecis... Az splni cil tak jim bude stacit jedine pravidlo - deny all.
Zjevně. Smutným faktem zůstává, že pokud tam budou sedět podobní experti, bude přístup zablokován a žádné skutečné řešení se realizovat nebude. Jedinou možností, jak tento stav změnit, je správní žaloba - nejsem si zrovna jist, zda mám chuť investovat 3000 do soudního poplatku, věnovat čas sepsání žaloby a doufat, že za cca dva roky, až se k tomu naše přetížené soudy dostanou, někdo pochopí problém a žádoucím způsobem rozhodne a bezúročný úvěr se mi od státu vrátí.
je to priserny kocourkov...Dosnem babisovi eet ne? Pocitam ze 10 lidi bude bohate stacit ... refresh tak 1x za minutu a bude to dole trvale.
Ale tak já vidím DDoS jako nástroj s poměrně velkým potenciálem - pokud by jen 10 tisíc lidí měsíčně zaměstnalo úředníky s podobnou agendou, která jim zabere aspoň dvě hodiny práce, tak to je ročně nějakých 240,000 úředníkohodin, které úředník nemůže věnovat tomu, že programově škodí a vymýšlí další snůšku buzeračních kravin.
240,000 úředníkohodin vyresi ministerstvo najmutim dalsich 115 lidi za penize danoveho poplatnika.
Hm, zatial ziadna oficialna odpoved? Tiez mam tento problem a rozmyslam ako ho vyriesit.
Tiez mam tento problem a rozmyslam ako ho vyriesit.
Nevím co tu řešíte, prostě jim pošlete, že používáte tuto a tuto IPv6 adresu, která podmínky užívání neporušuje a ať jí odblokují.Nevim co si nepochopil, daleko vetsi sanci mas, kdyz to posles na hlavni nadrazi.
Proč ta agresivita? Meritum věci přece spočívá v tom, že provozovatel systému zjistil aktivitu, která byla v rozporu s jím stanovenými pravidly a přijal opatření, aby této aktivitě zabránil. Původce aktivity změnil postup, následovala další reakce provozovatele atd. až k finálnímu řešení.Bohužel, blokování celého prefixu /32, který je sdílen uživateli z celého světa, je naprosto nepřiměřené protiopatření. Je to asi jako, kdyby odhalili zneužívání prostřednictvím mobilních dat jednoho operátora a na základě toho odstřihli všechny zákazníky daného operátora. To už můžou rovnou službu vypnout kompletně.
Docela by mne zajímalo, jak jinak by měl provozovatel REÁLNĚ postupovat, aby byli zdejší diskutéři spokojení - prosil bych bez emocí, konkrétní návrhy.
Dopis dobry, ale mel bych dve otazky, pripominky.
1/ i napriklad o2 s internetem za 300/mesicne vam da ip6 adresu.
2/ Eet podle vseho bude geoip sensitiv, avs a pod tedy fungovat nebudou.
Proč ta agresivita? Meritum věci přece spočívá v tom, že provozovatel systému zjistil aktivitu, která byla v rozporu s jím stanovenými pravidly a přijal opatření, aby této aktivitě zabránil. Původce aktivity změnil postup, následovala další reakce provozovatele atd. až k finálnímu řešení.
Docela by mne zajímalo, jak jinak by měl provozovatel REÁLNĚ postupovat, aby byli zdejší diskutéři spokojení - prosil bych bez emocí, konkrétní návrhy.
2/ Eet podle vseho bude geoip sensitiv, avs a pod tedy fungovat nebudou.
Docela by mne zajímalo, jak jinak by měl provozovatel REÁLNĚ postupovat, aby byli zdejší diskutéři spokojení - prosil bych bez emocí, konkrétní návrhy.
Dopis dobry, ale mel bych dve otazky, pripominky.
1/ i napriklad o2 s internetem za 300/mesicne vam da ip6 adresu.
Děkuji za radu. Přijít o veřejnou IPv4 adresu a dostat od O2 usmolenou /64 (která ještě navíc ani není statická), to je skutečné terno. Jinak HE je s funkčností asi tak několik světelných let před O2, včetně dynamického DNS, vlastních reverzních záznamů pro IPv6 apod. Tak asi proto.
-- ip4 preci uz musite mit, kdyz jste schopen sestavit ip6 tunel od HE. Otazka znela proc nepouzivate tuto ip4 a tunelujute pres ip6. Jestli 02 nabizi nestatistkou ip6, pak je to jen plus ne, kdyz ares rozlisuje provoz dle IP. Zaroven zakladat svuj kseft na tunelu mi prijde vice perverzni, nez nativni ip6 od o2.2/ Eet podle vseho bude geoip sensitiv, avs a pod tedy fungovat nebudou.
Celé HE je zablokované. O GeoIP to nemá ani potuchy.
eet jako evidence trzeb, nekdo si stezoval v tomto vlaknu ze test app na aws se mu nedoboucha na eet. Tedy odpoved byla ze podle navrhu eet to nepujde nikdy, duvod je ta geoip.Proč ta agresivita? Meritum věci přece spočívá v tom, že provozovatel systému zjistil aktivitu, která byla v rozporu s jím stanovenými pravidly a přijal opatření, aby této aktivitě zabránil. Původce aktivity změnil postup, následovala další reakce provozovatele atd. až k finálnímu řešení.
Docela by mne zajímalo, jak jinak by měl provozovatel REÁLNĚ postupovat, aby byli zdejší diskutéři spokojení - prosil bych bez emocí, konkrétní návrhy.
Jak má příkladmo postupovat, jsem již nastínil v té stížnosti. Jenže to by tam za ty stovky milionů a miliardy na tento a mraky dalších dojebaných IS musel někdo něco vytvořit něco použitelného , ne že se se peníze rozkradou, zakázka ve finále je outsource pro studentíky za pár šušňů na hodinu, managoři si vyplatí desetimilionové odměny, a ve finále bude u toho sedět Božena, která kliká na "Zablokovat subnet".
Krom toho bych ještě agresivně podotknul, že kdyby ty veřejné databáze vytvořené za peníze daňových poplatníků konečně někdo zpřístupnil ke stažení v použitelném formátu a následné inkrementální aktualizaci inteligentním způsobem, tak jim tam lidi nebudou honit boty.
P.S. Pro zdůraznění - já tam nic nedoluju. Já jsem to chtěl jen několikrát týdně použít ke stanovenému účelu, bez toho, abych si spravoval vlastní záznamy v DNS apod. nesmyslů. Protože k použití to je určeno.
>:( >:( >:(
jj, svet je zlej, ares je napsanej pred 20ti lety, divim se ze jim jeste vubec fungujeTo bych chápal. Problém ale nastane, jakmile ti stát určí povinnost ho využívat (kontrola, zda protistrana existuje a zda není nespolehlivý plátce).
me prijde ze prudite :)
Dopis dobry, ale mel bych dve otazky, pripominky.Jasne, a /48 ti pridelej za kolik, za miliardu? Eur pochopitelne?
1/ Proc pouzivate HE tunel ? znamena to ze mate ip4..? Zaroven i napriklad o2 s internetem za 300/mesicne vam da ip6 adresu.
2/ Eet podle vseho bude geoip sensitiv, avs a pod tedy fungovat nebudou.
bezruc
Proč ta agresivita? Meritum věci přece spočívá v tom, že provozovatel systému zjistil aktivitu, která byla v rozporu s jím stanovenými pravidly a přijal opatření, aby této aktivitě zabránil. Původce aktivity změnil postup, následovala další reakce provozovatele atd. až k finálnímu řešení.Realne by clovek cekal, ze kdyz STAT dopice neco provozuje, a VYZADUJE aby to ovcani pouzivali, tak ze to ma provozovat tak aby se to pouzivat dalo. Zajimavy, ze jinde to zadnej problem neni. Jen v CR je to problem porad a se vsim - dalsi uzasna vec je captcha na VEREJNY (ze zakona) katastr, pres kterou projdes mozna na 30 pokus.
Docela by mne zajímalo, jak jinak by měl provozovatel REÁLNĚ postupovat, aby byli zdejší diskutéři spokojení - prosil bych bez emocí, konkrétní návrhy.
Bohužel, blokování celého prefixu /32, který je sdílen uživateli z celého světa, je naprosto nepřiměřené protiopatření. Je to asi jako, kdyby odhalili zneužívání prostřednictvím mobilních dat jednoho operátora a na základě toho odstřihli všechny zákazníky daného operátora. To už můžou rovnou službu vypnout kompletně.Ja myslim ze nejlepsi reseni by bylo, kdyby vsichni ISB zablokovali vsechny IPcka ktery pouziva stat.
P.S. Pro zdůraznění - já tam nic nedoluju. Já jsem to chtěl jen několikrát týdně použít ke stanovenému účelu, bez toho, abych si spravoval vlastní záznamy v DNS apod. nesmyslů. Protože k použití to je určeno.I kdybys tu databazi stahoval naprosto celou, tak to porad delas naprosto v souladu se zakonem, jakykoli omezeni ktery vymysli nejaka pica (zduraznuju) nema naprosto zadny opodstatneni. Viz zminenej katastr.
>:( >:( >:(
A to nemluvim o takovy drobnosti, ze si tam muzes precist, ze za uvedeny udaje nikdo neruci, takze to, jestli nekdo je nebo neni platce natoz jesli je nebo neni spolehlivej platce ... si taky klidne muzou cucat z prstu, coz te ale nijak nezbavuje TVY odpovednosti.