Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)

[Lol Phirae]

Děje se vám to též? Na libovolném tunelu od HE při zadání dotazu do ARESu obdržím pouze toto:

Přístup nebyl povolen

Z vaší IP adresy, nebo z IP adres skupiny uživatelů, které jste součástí (uživatelé přistupující přes firewall organizace, nebo uživatelé využívající služeb poskytovatele připojení k internetu) došlo k závažnému porušení pravidel pro bezpečnost provozu (viz provozní podmínky: http://wwwinfo.mfcr.cz, nebo http://wwwinfo.mfcr.cz/ares/ares_podminky.html.cz). Jsme proto nuceni až do vyšetření zamezit přístup k IS ARES. Všem, kteří nenesou vinu na porušování provozních podmínek, se omlouváme a doporučujeme obrátit se na správu firewallu vaší organizace nebo na vašeho poskytovatele služeb připojení k internetu.

Access forbidden

A serious infringement of rules concerning operational security has occurred. The reason can be at your IP address or at IP addresses of your user group (the users who use an access through a firewall of their organisation or those who use an internet service provider). Please, see the operating conditions at http://wwwinfo.mfcr.cz/ares/ares.html.en or http://wwwinfo.mfcr.cz/ares/ares_podminky.html.en. Unfortunately, we are forced to cancel your access to the ARES IS until the reason of the infringement has been identified. We recommend that the users who are not responsible for the infringement of the operational security should contact their firewall administrator or the relevant internet service provider. Please, accept our apologies for the inconvenience that this has caused you.

(Po nacpání IPv4 adresy wwwinfo.mfcr.cz do hosts vše funguje normálně.)

[Reklama]

[Pavel vv]

Tak že vyřešeno, používej ipv4

[Lol Phirae]

Tak že vyřešeno, používej ipv4

Dobrý den, vy jste z MF? Relevantnost odpovědi by tomu nasvědčovala. Až na MF nějakého génia napadne zablokovat třeba nějakou /22 na IPv4, tak předpokládám, že všichni zákazníci daného providera mají taky smůlu. (Nehledě na to, že jsme na tom tak dobře, že za jednou IP na CGN jsou stovky zákazníků, kteří si mj. i tuhle srandu platí z daní.)

[j]

Sou to retardi ... to je easy ... mimochodem, cet si ze muzes vygenerovat max 1k requestu/den? Teda pres noc dokonce 5k ... realne dostanes ban po cca 2k5 (docasne). Jo ... a taky nezapomen na to, ze v zavislosti na idiocii tvyho softu (jeho tvurcu) to muze na jednu firmu zbouchat klido 20 requestu.

To vis, stoji nas to jen miliardy, tak co bys nechtel ...

Jo a precet sis ze za ty data nerucej? Naprosto bezne totiz dostanes ze 3 ruznych rejstriku trebas 3 ruzny adresy ... takze si muze hodit minci, ktera je spravna. To, ze nevedi ani jak se spravne jmenujou ulice ...

BTW: Posli nasranej mail buresovi, ne ze by to pomohlo, ale aspon si ulevis. Pocitam ze ti de o neco na tema buresovo dph bonz system a to, ze mas blbe/nemas DICa ...

[Lol Phirae]

Sou to retardi ... to je easy ... mimochodem, cet si ze muzes vygenerovat max 1k requestu/den?

No já negeneruju nic, párkrát týdně tam něco hledám. Ještě cca před 14 dny to fungovalo normálně.

BTW: Posli nasranej mail buresovi, ne ze by to pomohlo, ale aspon si ulevis.

Jo, stížnost plánuju, opravdu neuvěřitelnej postup, tohle.

[Reklama]

[M.]

Na ARES nelezu, zkusil jsem. Ano, přes HE tunel do Práglu stejná hláška. Přes SixXS tunel do Prahy to jde OK.
IMHO dělají to, že když dělá nějaká IP moc dotazu, tak bloknou celý rozsah, do kterého ta IPv4/6 patří, registrovaný dle whois...
A HE nedělá registraci koncových přidělených /48 na tunely, tak bloknou celou 2001:470::/32. SixXS registrace koncových přídělů dělá, takže tam by snad ARES blokoval jen tu koncovou /48?

[j]

Zapomen, sedi tam naprosto neschopnej tatar, a ten si proste blokne to, na co si vzpomene ... co myslis, kdyz napises adminovi, odpovi ti? (a to ze zakona do 30 dnu MUSI). Specielne prave vsechno pod mf neustale nefunguje nebo funguje totalne blbe. Neni to tak dlouho, co sem resil, proc se nemuze ucetni dostat na nejakej web kvuli clu ... a neslo to proto, ze ti kreteni meli v DNS IPv6, ale ten rozsah nebyl vubec naroutovanej.

Dtto je treba katastr - ze zakona verejnej registr. A kdyz se chces na neco podivat, mas tam pojebanou capsu, pres kterou se budes dostavat hodinu.

[Lol Phirae]

IMHO dělají to, že když dělá nějaká IP moc dotazu, tak bloknou celý rozsah, do kterého ta IPv4/6 patří, registrovaný dle whois... A HE nedělá registraci koncových přidělených /48 na tunely, tak bloknou celou 2001:470::/32.

No jistě, jinak by totiž admin musel použít mozkové myšlení a nedejbože něco dělat - a to bolí. Co mě na tom sere naprosto nejvíc není ani to, že nějaký debil jedním kliknutím zablokoval 4+ miliardy /64 sítí, ale to, že tento přístup evidentně považují za systematické řešení a ještě doporučují lidem takovou kokotinu, jako ať s tím otravují ISP. Co by s tím jako ISP měl proboha dělat? Každý normální webserver disponuje možností nastavit rate limit.

[Jenda]

Hezký, myslíte, že takhle půjde zablokovat i EET?

[Lol Phirae]

Srdečné pozdravy na ministerstvo financí... 

Ministerstvo financí ČR
Letenská 15
118 10 Praha 1
petice.stiznosti@mfcr.cz

Elektronicky

V ........... dne 8. 7. 2016

Věc: Stížnost na blokování přístupu k informačnímu systému ARES


Vážení,

dle mého zjištění je již několik týdnů blokován přístup k vyhledávání v informačním systému ARES (http://wwwinfo.mfcr.cz/ares/) z celého IPv6 prefixu 2001:470::/32. Tento prefix je přidělen společnosti Hurricane Electric, Inc. a slouží k poskytování tunnel broker služby milionům uživatelů po celém světě .

Již několik týdnů při připojení přes IPv6 a pokusu o vyhledávání přes informační systém ARES obdrží zákazníci využívající shora uvedenou službu společnosti Hurricane Electric, Inc. pouze následující chybové hlášení:

„Z vaší IP adresy, nebo z IP adres skupiny uživatelů, které jste součástí (uživatelé přistupující přes firewall organizace, nebo uživatelé využívající služeb poskytovatele připojení k internetu) došlo k závažnému porušení pravidel pro bezpečnost provozu (viz provozní podmínky: http://wwwinfo.mfcr.cz, nebo http://wwwinfo.mfcr.cz/ares/ares_podminky.html.cz). Jsme proto nuceni až do vyšetření zamezit přístup k IS ARES. Všem, kteří nenesou vinu na porušování provozních podmínek, se omlouváme a doporučujeme obrátit se na správu firewallu vaší organizace nebo na vašeho poskytovatele služeb připojení k internetu.“

Podotýkám, že k žádnému porušení podmínek provozu z mé strany nedošlo. Rovněž jsem ověřil, že stejný problém se vyskytuje při použití libovolného jiného /64 tunelu, a to i nově vytvořeného, ze kterého nikdy předtím k přístupu k informačnímu systému ARES nedošlo.

Vzhledem k vyčerpání IPv4 adres a stavu implementace IPv6 u jednotlivých poskytovatelů internetového připojení v ČR jsou tyto IPv6 tunely pro mnoho zákazníků jedinou možností, jak získat veřejné IP adresy a zajistit si spolehlivou IPv6 konektivitu k internetu. Dovoluji si upozornit, že zablokováním přístupu ze sítě HURRICANE-IPV6/NET6-2001-470-1 došlo k zablokování přístupu z 232 podsítí s prefixem /64 (nejmenší možná síť při použití IPv6 protokolu, každá z těchto podsítí obsahuje 264, tj. 18,446,744,073,709,551,616 IP adres) - což ve výsledku znamená zablokování přístupu z 296 IPv6 (tj. 79,228,162,514,264,337,593,543,950,336 IPv6 adres). Pro Vaši lepší představu, celý adresní rozsah IPv4 zahrnuje 4,294,967,296 IPv4, přičemž určité rozsahy jsou vyhrazené a pro připojení k internetu nepoužitelné. Správce informačního systému ARES tedy zablokoval přístup pro 18,446,744,073,709,551,616krát větší množství IP adres, než kolika (teoreticky) disponuje celý IPv4 internet.

Celá věc je o to horší, že – soudě podle výše citovaného chybového hlášení – MF ČR zřejmě toto opatření považuje za systémové a blokaci celých podsítí realizuje zcela běžně i v případě IPv4 konektivity. Jak již bylo uvedeno, IPv4 adres jsou vyčerpány a je jich kritický nedostatek. Zákazník nemůže žádným způsobem ovlivnit, přes jakou veřejnou IPv4 adresu je k internetu připojen, přičemž vzhledem k vyčerpání IPv4 adres je zcela běžné, že zákazník veřejnou IPv4 adresu vůbec nemá, jeho zařízením jsou přidělovány pouze IPv4 adresy z rozsahu vyhrazeného pro soukromé sítě, případně z adresního rozsahu určeného pro tzv. carrier grade NAT; za jedinou veřejnou IPv4 adresou poskytovatele připojení k internetu se tedy nacházejí stovky i desítky tisíc zákazníků. Největší poskytovatelé internetu v ČR, jako např. společnosti O2 nebo T-Mobile, již několik let nepřidělují novým zákazníkům veřejné IPv4 adresy, ale pouze IPv4 adresy neveřejné. Veřejné IP adresy jsou přidělovány pouze z rozsahu IPv6 a jedinou plnohodnotnou internetovou konektivitou je v těchto případech IPv6 připojení.

Vzhledem k výše uvedenému je zcela zjevné, že i k blokování jediné IPv4 adresy je třeba přistupovat nanejvýš obezřetně, neboť takovéto blokování může ovlivnit přístup ke službě pro tisíce lidí. Situace, kdy krom blokování jednotlivých IPv4 adres dochází k blokování celých IPv4 a IPv6 podsítí až na úrovni celé alokace pro jednotlivé ISP, je neudržitelný. Informační systém ARES, stejně jako další informační systémy provozované státní správou, musí především plnit svůj účel a sloužit uživatelům, tedy též daňovým poplatníkům. Dále je namístě podotknout, že existují řešení daleko vhodnější, přiměřenější a taková, která nepostihují zcela nesmyslně a neoprávněně miliony uživatelů jednotlivých ISP - to vše navíc v době, kdy MF ČR po daňových poplatnících vyžaduje, aby své zákonné povinnosti plnili prostřednictvím elektronických podání, a kdy plnění těchto povinností vyžaduje ověřování údajů např. v databázích plátců DPH, které jsou rovněž přístupné přes informační systém ARES. Místo takovéhoto nepřijatelného plošného blokování realizovaného navíc ve zjevně zcela nepřiměřeném rozsahu lze využít například vhodně nastavený rate limiting (omezení počtu dotazů/požadavků za jednotku času)  na úrovni webového/aplikačního serveru, případně na úrovni firewallu.

Dle usnesení vlády č. 727/2009 (bod II/2) bylo ústředním orgánům státní správy uloženo „do 31. prosince 2010 zajistit přístup k internetovým stránkám a veřejně dostupným službám eGovernmentu … i internetovým protokolem verze 6“. Zajištění podpory IPv6 dále ukládá i usnesení vlády č. 982/2013  v bodech II/1 písm. d) a II/3. K naplnění těchto požadavků na podporu IPv6 těžko může dojít, pokud je přístup k informačním systémům prostřednictvím IPv6 protokolu masivně bezdůvodně blokován.

Dle § 175 odst. 5, 6 správního řádu žádám o vyrozumění o vyřízení stížnosti, výsledku šetření a opatřeních přijatých k nápravě v zákonné lhůtě.


S pozdravem,

[JardaP .]

No dobry. Tak sem nezapomen dat i tu odpoved, pokud se ti uraci v zakonem predepsane lhute opovedet. Jeste bys mozna mohl podat trestni oznameni na MF se zduvodnenim, ze ti branenim v pristupu k tomu jejich zazraku brani ve vykonavani zakonem ulozenych povinnosti.

[Lol Phirae]

Tady je oficiální formulář na alternativní vyhledávání plátců DPH. Tam mě asi zabanujou taky, protože jsem dal vyhledat nespolehlivé plátce bez zadání DIČ, načež to asi 10 minut (!!!) zuřivě chroustalo a postupně z toho lezl jak z chlupaté deky nestránkovaný seznam 5597 nespolehlivých plátců. Co by se stalo, kdybych nechal vyhledat plátce "spolehlivé", si raději nepředstavuju a zkoušet nebudu.

No comment.

[j]

Neblbni, dyk to stoji jen miliardy ... to prece nemuze za takovy drobny fungovat.

[jeniceek]

Asi si admin na MF myslí, že /32 je nejmenší velikost bloku v IPv6. Poslal jsem jim zprávu, ať s tím něco udělají, tak uvidíme. Kvůli někomu bloknout 2^96 adres je docela těžký hardcore. Se divím, že nevypli rovnou 2000::/3

[Lol Phirae]

Poslal jsem jim zprávu, ať s tím něco udělají, tak uvidíme.

Díky, aspoň nebude Bureš posílat kontroly jenom ke mně... 

Se divím, že nevypli rovnou 2000::/3

Taky jsem překvapen.