Ondřej Caletka: StartSSL certifikáty zdarma
Ondřej Caletka ze sdružení CESNET se ve své přednášce věnoval nízkonákladové certifikační autoritě StartSSL. Tato autorita se sídlem v Izraeli je zajímavá především tím, že umožňuje certifikáty získat zdarma. Obchodní model se zde odvíjí trochu jinak. Zatímco běžně je zvykem prodávat certifikát za cenu vystavení, StartSSL prodává službu za cenu nákladů, které jsou v podstatě nulové,
říká Caletka.
Běžně autorita ověřuje, že entita, která certifikát drží, opravdu existuje a jmenuje se tak a tak.
V zásadě rozlišujeme dva typy ověření: důkladné (a nákladné), kdy je potřeba výpis z obchodního rejstříku, obchodní komory, potvrzení adresy apod, a zběžné, které je levnější a méně administrativně náročné. Spousta autorit jde ještě o úroveň níž a ověřuje se pouze podle e-mailové adresy.
StartSSL tedy provádí pouze tzv. domain validation, takže takto vydaný certifikát žádným způsobem nechrání proti odcizení domény. Útočník si při zajištění přístupu k doméně může nechat vydat papírově stejně silný certifikát. Vydání certifikátu s roční platností je zdarma pro nekomerční účely, a to pro doménu druhého řádu a jednu subdoménu. Revokace certifikátu je ovšem podstatě nákladnější, proto si za ni StartSSL účtuje 25 dolarů. Po Heartbleedu se obecně ukázalo, že autority nejsou na hromadnou revokaci připraveny,
dodává Caletka.
Autorita StartSSL kromě doménových certifikátů vydává i S/MIME certifikáty, které se používají pro elektronickou poštu. Pro ně platí ještě volnější podmínky. Certifikát lze vydat na libovolnou e-mailovou adresu. Pokud byste chtěli adresu spojit i se svým jménem, už to pochopitelně bude o něco náročnější. Musíte vyhledat dva notáře ze sítě StartSSL Web-of-Trust, kteří vaši identitu ověří. Patří mezi ně i přednášející Ondřej Caletka.
A jak takové certifikáty nainstalovat? Jednotný postup pro instalaci do veškerého softwaru není, musíte si prostě přečíst manuál.
Krom toho Caletka také doporučuje nespoléhat se na výchozí nastavení. Výchozí nastavení TLS není bezpečné. Používá staré algoritmy, krátké klíče, apod.
Doporučené konfigurace pro různá nasazení můžete najít například v „kuchařce“ na webu BetterCrypto.org.
Problém webové bezpečnosti spočívá i v tom, že uživatelé obvykle do adresního řádku nepíší URL s https, ale nechají se přesměrovat z http. Řešením může být HSTS (HTTP Strict Transport Security), které vynucuje šifrovanou komunikaci. Caletka na závěr připomíná, že šifrování s sebou kromě zřejmých výhod nese i několik omezení. Jedná se zejména o delší handshake a o něco vyšší energetickou náročnost. Při šifrování komunikace rovněž nelze využít kešovací proxy nebo webové optimalizátory.
Adam Golecký: Peering a věci kolem za 50 minut
O peeringu přijel přednášet Adam Golecký, technický ředitel NIX.CZ. Po obecném úvodu do peeringu se věnoval zejména tomu, jak to vypadá v praxi a co se děje v českém peeringovém rybníčku. Golecký zmiňuje dva nejběžnější modely pro výpočet poplatků za peering. Buď odběratel platí fixní cenu za port, nebo se použije tzv. metoda 95% percentilu. Měří se odběr dat, ale odřízne se horních 5 % špiček, aby využití nebylo zkresleno krátkými výkyvy,
vysvětluje Golecký.
Běžně se vyskytují komerční a nekomerční peeringové uzly. Společnost prodává peering jako službu, ve světě to dělá Equinix,
dává přednášející za příklad velký komerční uzel. Zároveň dodává, že komerční uzly se často klientovi snaží vnutit další přidružené služby, které mnohdy nepotřebuje. Takové praktiky se z logiky věci moc nevyskytují u nekomerčních uzlů. To je i u nás v Praze NIX.CZ. Založilo se sdružení, které je vlastněno členy a ti mají na jeho fungování vliv. Dělá pouze peering a neprodává žádnou další službu.
Naše je sdružení vlastněné členy. Je neziskové, což znamená, že vybrané peníze jsou použity na provoz, případně investice.
A pokud se peněz vybírá mnoho, samozřejmě je sdružení nehromadí, to by bylo proti zájmům jeho členů. Příští období tak obvykle dochází k odpovídající redukci cen. Pro využití peeringových služeb NIX.CZ však není byt třeba členem sdružení. Naopak, externích klientů je většina. Podle Goleckého se členům i nečlenům dostává stejných služeb za stejnou cenu.
Sdružení NIX.CZ bylo založeno už v roce 1996, ale začátky byly pomalé. Ve větším objemu se u nás peering začal rozjíždět až na počátku nového tisíciletí. Někdy tou dobou uzel dosáhl rekordního průtoku 1 Gbps. Pro srovnání, aktuální rekord je starý jen pár dní a činí 323 Gbps. To vše teče přes pět pražských datacenter. Už v roce 2003 v NIXu zavedli podporu IPv6, o tři roky později začali housovat první TLD (.eu a další) a od roku 2012 pořádají i vlastní konferenci Peering Day.
Z poslední doby stojí za pozornost zejména projekt Bezpečná VLAN, který byl později přejmenován na FENIX. Je to klub důvěryhodných společností, které jsou připojeny i do NIXu,
říká Golecký. V případě bezpečnostních problémů lze spoluprácí členů dosáhnout vyšší bezpečnosti a dostupnosti. Jde o použití ostrovního režimu. Společnosti zapojené v projektu by se mohly odpojit od celého internetu a zůstat propojené jen mezi sebou.
Např. Seznam by se tak v případě velkého DDoS útoku mohl odpojit od zahraničí, ale z České republiky by byl stále přístupný skrze NIX.CZ.
Podmínky pro přijetí do „klubu“ FENIX jsou poměrně přísné. Z podmínek technického rázu se jedná například o podporu IPv6, DNSSec, redundanci přípojek a další. Firmy celkově musí mít dobrou pověst a také smlouvu se zákazníky o dodržování určitých pravidel, např. nespamování. Od člena se také očekává, že se bude aktivně podílet na řešení bezpečnostních incidentů. Pro tento účel jsou vhodné zejména CSIRT týmy.
Martin Samek: Není Wi-Fi jako Wi-Fi
Martin Samek přednášku věnoval technologii, kterou všichni známe, jsme jí obklopeni, a při tom o ní často máme jen značně omezené znalosti. Řeč je o Wi-Fi. Podle Samka samotný název/zkratka ani nemá význam, zřejmě jde jen o odkaz na Hi-Fi. Historie Wi-Fi se začala psát tak, že v roce 1985 americká Federální komunikační komise definovala použitelná ISM pásma. Roku 1997 pak byl schválen známý standard IEEE 802.11 a od té doby už to jede.
V současnosti se nejvíce používá pásmo 2,4 GHz, které však už v mnohých místech naráží na své limity. Pro takové množství zařízení už je zkrátka úzké. Problém je zejména v nízkém počtu kanálů (13). V praxi se navíc nepřekrývají pouze tři z nich – 1, 6 a 11. Kanál nesdílí jenom Wi-Fi zařízení, ale i Bluetooth (např. sluchátka), mikrovlnné trouby apod.,
upozorňuje Samek. Právě tato zařízení leckdy jsou nenápadným rušitelem signálu.
Z uvedených důvodů se pomalu začíná vstupovat i do pásma 5 GHz. Kromě toho, že je v něm zatím víc „čisto“, výhoda spočívá v tom, že pásmo 5 GHz nabízí mnohem víc kanálů. Pro Wi-Fi jsou podle Samka použitelné kanály 36–64. V praxi je to však komplikovanější. Samek dává za příklad svůj smartphone Nexus 4, který je firmwarově omezen, aby viděl pouze část kanálů. A čím vyšší frekvence, tím nižší prostupnost zdmi. S 5 GHz tak jen těžko pokryjete celý dům.
Při použití nového standardu IEEE 802.11ac a více antén lze v 5GHz pásmu dosáhnout rychlosti až 2,6 Gbps. Zde už však narážíme na omezení gigabitového ethernetu. Abychom možností nového bezdrátového standardu IEEE 802.11ac plně využili, museli bychom zároveň navýšit množství fyzických kabelů a switchů. Tato záležitost se označuje jako ac-paradox.
Samek hovořil také o tom, jak se postupně mění zaměření bezdrátových sítí. Klientů dřív bylo tak málo, že kapacita AP stačila. Stačilo to řešit tak, aby v každém místě byl aspoň trochu signál. Nově se sítě orientují nejen na pokrytí, ale i na kapacitu.
Počet Wi-Fi zařízení na uživatele rapidně roste a plný sál geeků dá síti pořádně zabrat. A to je éra tzv. wearables teprve na počátku.
A co rozmístění přístupových bodů? Podle Samka nemá nějaké vyměřování pokrytí moc smysl, neboť prostředí se mění a s ním i dosah signálu. Proto se dnes používají spíše osvědčené návrhové vzory, kdy se AP umístí po patrech například do písmena „W“ v různých polohách. Jednou svisle, podruhé naležato, atd. Zbytek je na inteligenci sítě.
V poslední době jsou poměrně populární také tzv. „cloudové Wi-Fi“, kdy si koupíte zařízení, to se spojí s cloudem a přes něj se i konfiguruje. Může jít třeba o speciální řešení pro restaurace.
Martin Bílý: Setkání služeb DHCP a LDAP
Správce sítě na FIT ČVUT Martin Bílý přišel na LinuxDays popovídat o tom, jak si usnadnit práci propojením služeb DHCP a LDAP. ISC DHCP umí variantu, že spustím dva servery a řeknu jim o sobě navzájem, že existují. Dokáží se tak domlouvat DHCP failover protokolem. Od nějaké verze DHCP serveru je tu varianta, že server může kromě konfiguračního souboru číst i z LDAPu.
Aby řešení fungovalo, musí na obou serverech běžet DHCP i LDAP. A router musí dotazy předávat na oba servery. Lokální DHCP se dotazuje LDAP a prostřednictvím LDAP replikace dosáhnu toho, že data jsou na obou serverech stejná.
Pro hromadnou konfiguraci LDAP lze použít konverzní skript dhcpd-conf-to-ldap, ten však není úplně bezchybný. Také je třeba dát si pozor na prolínání konvencí DHCP a LDAP.
DHCP server funguje tak, že když si přečte konfigurační údaje, tak pokračuje ve čtení výchozího LDAP souboru. Tam mám uloženy běžné definice jak subnet a host,
vysvětluje Bílý. Metoda může být také dynamická, i když ne stoprocentně. DHCP si přečte údaje o obsluhovaných sítích a z LDAPu dynamicky zjišťuje údaje vztahující se k hostu. To má tu výhodu, že můžu editovat údaje při běžícím DHCP serveru a nemusím ho restartovat.
Pokud použijeme takovéto řešení, je nutné rozdělit pool IP adres, obvykle na dvě poloviny. Může tak dojít i na případ, kdy jeden server svůj pool úplně vyčerpá. Proto je dobré provádět pravidelné rebalancování. V časových intervalech dochází k rebalancování a téměř vyčerpaný server dostane adresy od toho přebytkového.
Ondřej Filip: Routovací démon Bird
Ondřej Filip ze sdružení CZ.NIC se věnoval projektu Bird, který implementuje open-source routovacího démona nejen pro Linux. Nejprve se věnoval terminologii, kde vysvětlil běžné chyby. Router umí předat cizí zprávu podle routovací tabulky. Často se chybně uvádí, kolik toho router uroutuje. Správně je ale uforwarduje, což dělá pomocí sestavení cesty, tedy routování.
Dále vysvětlil rozdíly mezi statickým a dynamickým sestavováním routovací tabulky. V případě dynamického přístupu se předávají informace mezi routery pomocí routovacích protokolů jako RIP, OSPF, IS-IS a či globálním protokolem BGP. Každý BGP router na světě má přehled o tom, jak vypadá celý internet. Jde o stovky tisíc záznamů.
Napříč internetem se předávají jen agregované informace o jednotlivých AS (Autonomní Systém), co je uvnitř sítí, pak ví už jen místní router. Důležité ovšem je, že všichni ví, kam mají své pakety posílat.
Routovací démony jsou běžné uživatelské aplikace mimo jádro, které mají za úkol plnit jadernou routovací tabulku svými informacemi. Obvykle implementují více směrovacích protokolů. Nejpoužívanějším zástupcem je Quagga, která se dříve jmenovala Zebra. Její největší výhodou je, že ke konfiguraci používá syntaxi známou z routerů Cisco. Pokud máte za sebou školení Cisco, umíte ovládat Quaggu.
Dále byly jmenovány OpenBGPD a GateD.
Projekt Bird začal v roce 1999 jako seminární projekt na MFF UK v Praze. Po odevzdání seminární práce jsme se jako pilní studenti na celý projekt vykašlali a on usnul.
K částečnému oživení došlo v roce 2003 v Cesnetu, plné obnovení pak přišlo v roce 2009, kdy vznikly Laboratoře CZ.NIC. Tehdy jsme si to vzali jako první projekt, který zkusíme nějak rozvinout a někam posunout. Chtěli jsme udělat nejlepší routovací démon na světě.
Cílem byl rychlý, efektivní, portabilní a modulární software. Měli jsme na paměti i malá zařízení s malým množstvím paměti, kde musí Bird také fungovat.
Výhodou je také silná možnost filtrování, která podle Ondřeje Filipa silně chybí zařízením Cisco.
Bird běží na Linuxu a BSD systémech, přestože je teoreticky zkompilovatelný kdekoliv. Hlavní problém je v nestandardním rozhraní pro správu routovacích tabulek, které je u každého systému jiné.
Současná verze podporuje protokoly RIP, RIPv2, RIPng, OSPFv2, OSPFv3 a samozřejmě BGP. Pro analýzu routovacích tabulek se hodí MRTdump, k rychlému objevení problému na síti slouží Bidirectional Forwardin Detection. Zatímco za normálních okolností trvá minuty, než si router všimne rozbité cesty, s BFD je problém odhalen téměř okamžitě.
Ze zajímavých vlastností byla zmíněna například podpora více směrovacích tabulek, pokud to operační systém podporuje. V Linuxu je tak možné postavit více routerů či route reflektorů na jednom systému.
Vedle toho je to ovládání z příkazové řádky či už zmíněný filtrační systém. Jde vlastně o jednoduchý programovací jazyk, takže se s ním musíte naučit pracovat. Je to daň za to, co všechno s ním dokážete udělat.
Velmi zajímavým využitím Birda je nasazení jako route serveru v IXP. Route server snižuje počet relací napříč peeringovým centrem, což je výhodné zejména pro nové členy. Přijdu, navážu jednu relaci a jsem propojený s většinou sítí uvnitř centra.
Někteří členové se ale nechtějí propojit s každým, je možné využít takzvaných BGP komunit a jednoduchých filtrů, které vám umožňují navolit, komu kterou cestu chcete posílat a co od něj zase chcete přijmout.
Bird je nasazen například i v českém NIX.CZ právě v úloze route serveru, kde všechna testovaná komerční řešení selhala. Pracuje na dvou různých strojích, na jednom pod Linuxem a na druhém pod FreeBSD. Běží tu okolo 130 BGP relací, každé dvě hodiny probíhá automatická rekonfigurace.
Výkon Birdu se tu hodí, protože konfigurační soubor zabírá 4 MB a Bird se s ním musí rychle vypořádat a zavést všechny potřebné změny.
Bird je takto nasazen u více než 50 % světových IXP, nejčastěji v Evropě. Nejvíc propojovacích uzlů je v Evropě, protože tu máme hodně malých sítí.
Kromě toho jej používá například Netflix, který na něm staví svou CDN pro šíření video obsahu po internetu. To je obrovská firma, která si dvakrát rozmyslí, než nasadí nové řešení.
Projekt Bird je ziskový a pomáhá financovat ostatní projekty Laboratoří CZ.NIC. Nemůžeme ho prodávat, asi by ho nikdo nekupoval. Ale můžeme nabízet podporu.
Mezi klienty patří velké či významné světové společnosti, řada peeringových uzlů a třeba i Netflix. Jedním z klientů je firma, kterou nemůžu jmenovat, ale vyrábí operační systémy a nečekali byste, že používá open source.
Na závěr Ondřej Filip zmínil, že cena roční podpory se pohybuje okolo 30 až 50 tisíc eur. Není překvapením, že v Česku si nikdo tuto podporu neplatí.
Radek Zajíc: Strach z IPv6?
Radek Zajíc ze společnosti T-Mobile je známým popularizátorem IPv6 a podle jeho slov jde o nastupující protokol pro komunikaci v současném internetu. Stávající internet máme na všech počítačích a telefonech a vedle toho vzniká nová struktura, která používá IPv6.
Zatím ale není nový protokol tak rozšířený, zejména proto, že se vlastně neví, kdo má začít. Zda ten, kdo šíří obsah, nebo ten, kdo vás připojuje k internetu.
Protože protokoly nejsou kompatibilní, je potřeba mít obě sítě na obou koncových bodech.
Dnes už velcí hráči poskytující obsah IPv6 podporují, po šestce se tak připojíte třeba ke Google, YouTube, Facebooku nebo LinkedIn. Stále jsou tu ale hlasy, které šestku zavrhují. Otázkou je, jestli je k tomu reálný důvod nebo jde o zbytečnou obavu či nekompetentnost těch, kteří o tom rozhodují.
Jisté je, že IPv4 adresy reálně došly, protože jsou jich jen čtyři miliardy. Zařízení je ale na světě už dnes výrazně více. IPv4 je dnes na kapačkách, protože v posledních dvaceti letech se objevilo několik technologií, které prodloužily jeho život.
Nejprve to bylo zavedení beztřídního adresování, privátní IP adresy, překlad adres pomocí NAT, operátorské CGN a podobně. Zatím to funguje, ale kvalita připojení postupně degraduje. Pokud schováváte stovky tisíc domácností za jednu adresu, musí se to nějak projevit.
Poslední novinkou jsou prodeje bloků IP adres, kde se cena jedné adresy pohybuje okolo 12 dolarů.
Velkou vzpruhou pro světové nasazení byly akce IPv6 day v letech 2011 a 2012. První rok byla IPv6 u některých velkých sítí spuštěna na jediný den, o rok později se rozhodly ji zapnout natrvalo. Problém slepice – vejce tak byl částečně vyřešen.
Podle statistik CZ.NIC podporuje zhruba 21 % domén nový protokol. Horší je to u uživatelů, podle Google jsme v Česku na šestém místě s 6,4 %. První je Belgie, pak Lucembursko, Německo, Švýcarsko a Spojené státy. Evropa je na tom v porovnání se světem poměrně dobře.
Stále to ale není žádná sláva.
Pro provoz IPv6 je potřeba dostat adresy od poskytovatele a nakonfigurovat router. V Linuxu je podpora na vysoké úrovni, stačí nastavit router a případně firewall a fungujete.
Firewall patří podle Zajíce až na koncový uzel a neměl by zahazovat pakety na hraničním routeru. Tím bychom se opět zbavili možnosti komunikovat s koncovým zařízením a posílat mu data přímo. Nedělejte to.
Výjimkou jsou podle Zajíce rizikové protokoly, které do internetu nepatří, například Samba.
Zajímavá je také blízká budoucnost IPv6. Facebook například připravuje IPv6-only datacentra s branou do IPv4 světa. IPv4 se bohužel ještě dlouho nezbavíme, ale časem se situace obrátí a budeme mít brány pro přístup do IPv4.
Mobilní operátoři postupně přechází na režim IPv4 jako služba, někteří už to reálně provozují. Nejblíže třeba v Polsku, u nás bohužel žádný z mobilních operátorů IPv6 zatím neumí.
Ondřej Caletka: Jak se měří internet
Ondřej Caletka se sdružení CESNET na začátku přednášky položil jednoduchou otázku: Funguje internet?
Na to není vůbec snadné odpovědět, protože internet nemá žádný centrální bod, podle kterého bychom to mohli posoudit. Většina uživatelů vyzkouší otevřít prohlížeč a pokusí se načíst svou domovskou stránku. To ovšem není nijak relevantní měření, protože se toho může hodně rozbít na koncové stanici i po cestě.
RIPE NCC provozuje svůj vlastní systém aktivního měření internetu RIPE Atlas. Jde o síť sond, která je budována od roku 2010 a dnes je v ní zapojeno více než 6500 sond, v Česku je jich asi 200. Sondy provádí základní měření sítě jako ping, traceroute nebo DNS.
Data se pak setkají u RIPE, ten je může vyhodnotit a zjistit problém na síti. Pokud třeba vypadne nějaký peeringový uzel, v Atlasu se to rychle projeví.
Sondy používají speciální hardware s ohledem na nízkou cenu a spotřebu elektřiny. Dnes se používá komerční router TP-Link MR3020, ve kterém je vyměněn firmware za OpenWRT. Do USB rozhraní je zapojen 4GB flash disk, na kterém je uložený operační systém a naměřená data. Router má i Wi-Fi, která je ale v současné době deaktivovaná. Použití Wi-Fi má problém zejména v tom, že pokud byste měli doma zarušenou bezdrátovou síť, budete měřit problémy koncového bodu a ne sítě.
Sonda se napájí obvykle z USB vašeho routeru a lze ji připojit do 10/100Mbit sítě. Jakmile ji připojíte, můžete na ni zapomenout. Nemá žádné konfigurační rozhraní ani otevřený port.
Sonda sama po připojení „zavolá domů“ a zjistí, co má měřit. Kromě zmíněných pingů či traceroute je možné také například zkoušet HTTP spojení či ověřovat SSL. To se hodí zejména pokud někdo zkouší podvrhnout na některé síti vlastní certifikáty.
Používat tuto síť může prakticky kdokoliv, je možné spouštět vlastní měření. Aby to nikdo nezneužíval, zavedla se virtuální měna, kterou získáváte za hostování sond.
Pokud máte dostatečný „kredit“, můžete spouštět měření na vybraných sondách proti svým vlastním serverům a ověřovat si průběžně jejich dostupnost. Výstupy je pak možné získávat v různých formátech a integrovat si je například do monitorovacího systému.
Další zajímavou sondou je Atlas Anchor, což je výkonná sonda určena pro datová centra. Je založena na x86 platformě Soekris Net6501–70 a systému CentOS. Anchor slouží jako cíl pro měření malých sond RIPE Atlas. Po světě je jich 76, v Česku jsou tři, všechny v Praze. Anchor si ale musíte koupit, stojí asi 900 eur. Výhodou jejího hostování ale je, že vám chodí automatické zprávy z měření funkčnosti vaší sítě.
Ze sítě Atlas je možné získat zajímavá statistická data. Například byla analyzována dostupnost CDN Wikipedie či bylo odhaleno blokování Twitteru v Turecku. Vládnoucí straně se nelíbilo, co se o ní píše na sociální síti, a tak nařídila ISP zablokovat přístup na Twitter.
Bylo to provedeno tak, že byla změněna zóna na rekurzivních serverech poskytovatelů. Lidé ale brzy zjistili, že když si nastaví čtyři osmičky, omezení obejdou.
Nastal další krok a byl zablokován přístup k veřejným DNS rekurzorům, což ale rozbilo internet mnoha uživatelům. Proto si poskytovatelé nainstalovali falešný DNS server, na který přesměrovali provoz ze čtyř osmiček. Ale jak jim takový únos IP adresy prokázat?
Právě k tomu posloužil Atlas, který ukázal, že na dobu únosu výrazně klesla latence komunikace s údajným DNS serverem na IP adresách Google. Nejbližší DNS servery od Google jsou v Irsku, takže pokud se tureckým poskytovatelům nepodařilo překročit rychlost světla, nebylo možné takové latence napříč Evropou dosáhnout.
Podobně jsou takto odhalovány například problémy s MTU na jednotlivých sítích. Obvyklé jsou problémy na 1 % sítí, ale jakmile se pokoušíme přenášet pakety delší než 1400 bajtů, dostaneme se až na 10 %. Ještě horší je to na IPv6. Pokud budete navrhovat službu, která má přenášet delší pakety, musíte s tím počítat.
Zajímavé také je, že zhruba 2 až 4 % sond není schopno pingnout adresu končící na .0 nebo .255, které je mylně považovány za adresu sítě broadcastovou adresu. Od dob zavedení CIDR nemusí nutně hranice sítě končit na .255.
Zapojit se může každý, kdo si objedná sondu či ji získá od některého ambassadora. Česko je ale poměrně dobře pokryté, takže je potřeba nové sondy dávat do sítí, kde ještě žádné nejsou.
V Praze, Brně a Ostravě je sond dost, takže je potřeba se dostat spíše do vesnic. Poloha je jedním parametrem, druhým je pak AS sítí, kde už sondy jsou.
