Hlavní navigace

Nové technologie (nejen) na českém internetu

Petr Krčmář

Ve čtvrtek 4. června 2009 se konal druhý ročník konference Internet a Technologie 09, kterou pořádalo sdružení CZ.NIC. Hovořilo se především o tématech přímo spjatých s internetem jako je DNSSEC, spam, IPv6 a podobně. Pokud jste se akce nezúčastnili přímo, můžete si přečíst o tom nejdůležitějším.

Konferenci Internet a Technologie 09 sledovalo v sále 153 návštěvníků. On-line přenos potom více než 400 zájemců; někteří z nich i přes moderní internetový protokol IPv6. Více než 400 zájemců o internetové technologie, kteří seděli v den konání konference u svých počítačů, je dobrá známka toho, že pořádat takové akce má smysl. Už teď tedy můžeme ohlásit třetí ročník konference, která se bude konat v tuto dobu příští rok, řekl Ondřej Filip, výkonný ředitel sdružení CZ.NIC. Presentace jednotlivých přednášejících můžete získat na webu www.nic.cz/it09.

Luděk Matyska: Gridy jako základ Evropského výzkumného prostoru

Luděk Matyska z organizace CESNET hovořil o iniciativě EGI, která má za cíl během několika let vytvořit velký evropský výpočetní grid. Grid je rozsáhlý distribuovaný systém, který tvoří výpočetní a úložné kapacity různých majitelů, vysvětlil Matyska. Uživatelé gridu pak mohou využívat jednotlivých zdrojů celého systému. Důležitá na tomto systému je jeho decentralizovanost. Různé součásti patří různým majitelům. Celý grid je budován odzdola stejně jako počítačové sítě.

Výsledkem celého projektu by měl být rozsáhlý výpočetní systém určený především pro vědecké účely. Snažíme se o vytvoření jednotného systému, který by mohli uživatelé používat bez ohledu na to, kde jeho části leží a kdo jej vlastní.

V současné době největší evropský grid spojuje zhruba 250 různých míst, má zhruba 80 000 procesorů a pokrývá skoro 40 zemí v Evropě i mimo ni. Primárně je určen pro akademické použití, testy a zkoušky. My ale doufáme, že výsledek bude mít dopad i na komerční sféru. Využití v komerční sféře je ovšem podle Matysky podstatně komplikovanější, protože ne každá firma hodlá využívat například k technologickým výpočtům probíhajícím na počítačích konkurence.

Konference IT09

V současné době je projekt EGI na konci přípravné fáze, která končí společně s rokem 2009. Cílem této fáze je vlastně zjistit, jak to vše připravit a propojit, abychom využili ty roztříštěné součásti do jednoho gridu.

U gridů nemůžeme pominout uživatele, protože na rozdíl od sítí je interakce uživatelů s gridem výrazně užší. Z tohoto důvodu je třeba připravit všechny procesy, aby vše fungovalo.

Koordinační skupina EGI připravuje také definice všech standardů a zajišťuje spolupráci jednotlivých uzlů. Organizace tu není od toho, aby provozovala služby za všechny, ale cílem je koordinace jednotlivých členů struktury. Organizace má za úkol také připravovat, testovat a spravovat software, který je pro provoz gridu potřeba.

Na přednášce byla dále popisována infrastruktura celého EGI, podíl velkých mezinárodních organizací, které koordinují rozsáhlé aktivity. Koordinační organizace EGI bude složena přibližně z jednapadesáti lidí. Velkou část tvoří lidé starající se o komunikaci a administrativu.

Odhadované náklady na celou strukturu EGI jsou 41 milionů Euro na rok. To je zdánlivě vysoká částka. Ale Evropská komise už dnes na roztříštěné gridové aktivity vydá ročně až 30 milionů Euro. Matyska ale věří, že jak budou aktivity postupovat, zvýší se efektivita a podaří se výrazně snížit celkové náklady.

David Antoš: Virtualizace v gridových infrastrukturách

Přednáška Davida Antoše navázala na problematiku gridů a z oblasti zavádění a koordinačních aktivit se přesunula rovnou k technologiím. Zabývala se projektem VirtCloud, který do problematiky gridů přináší virtualizaci.

Virtualizace je dnes čím dál skloňovanější slovo. Rozsáhlý systém gridu přímo vybízí k nasazení virtuálních sítí, které dovolují vytváření menších oblastí a umožňují provádět virtuální rekonfigurace jednotlivých podsítí.

Konference IT09

Hlavním cílem je zvýšit uživatelskou kontrolu nad celou infrastrukturou. Cílem projektu VirtCloud je vytvoření virtuálního clusteru uvnitř reálného gridu. Clustery se dynamicky mapují na jednotlivé uzly gridu a celý tento proces je navíc řízen uživatelem. Nevytváříme vlastní řešení, vystačíme si bohatě s virtuální LAN a VPN.

Virtualizace není na gridech využívána jen pro vytváření virtuálních sítí, ale i na spouštění celých operačních systémů, které pak běží uvnitř clusteru. To vyžaduje vlastní infrastrukturu a zároveň přináší mnoho dalších problémů například s bezpečností nebo se sítěmi. Současným problémem je nedostatek IP adres, proto se začíná pracovat na využití IPv6. Největším problémem jsou ale aplikace, které ale nejsou na IPv6 připraveny.

Daniel Suchý: Rozvoj IPv6 v České republice

Daniel Suchý z NIX.CZ se zabýval historií a současností IPv6 v České republice. První implementace proběhla v síti CESNET už před deseti lety, v rámci NIX.CZ se k ní přistoupilo až v roce 2003. K dnešnímu datu je pro Českou repibliku přiděleno 52 IPv6 prefixů. Přibližně 36 % sítí připojených do NIXu používá zároveň IPv6 peering. Velká část IPv6 sítí je ale stále experimentální a nevyužívají je uživatelé. Největšími sítěmi (dle provozu) používajícími IPv6 jsou Casablanca, CESNET, CoolHousing a CZ.NIC.

Přibývá také služeb, které využívají IPv6. Zmíněn byl například streaming videa z archivu České televize, služba Hosting90 zhruba s deseti tisíci doménami nebo známý server Uschovna.cz. DNS servery CZ.NIC nabízejí také IPv6 konektivitu.

Konference IT09

Firmy si začínají IPv6 všímat, ale koncoví uživatelé stále ještě k IPv6 běžně přístup nemají. S koncovými uživateli už to tak snadné není. Najít síť, ve které jsou uživatelé připojení skrz IPv6, už je složitější. Jedním z důvodů je pravděpodobně neexistence levných domácích zařízení, která nový protokol podporují.

Existují ale některá specifická místa, kde je IPv6 samozřejmostí. Největšími poskytovateli uživatelské IPv6 konektivity jsou různé komunitní sítě a samozřejmě také vysoké školy, kde mají studenti automaticky přístup k IPv6 službám.

Centrum NIX sleduje poměr provozu IPv6 vůči klasickému IPv4. Ve špičkách se IPv6 dostává až na jedno procento provozu, obvykle je to ale podstatně méně. V poslední době se ale situace zlepšuje.

Daniel Suchý také shrnul největší překážky při praktickém nasazování šestkového protokolu: Řada administrátorů má problémy se složitější konfigurací, specifikace ještě není zcela dokončena, často je vyžadován upgrade software i hardware a podobně. Velkým problémem je licenční politika některých firem. Donedávna bylo u zařízení firmy Cisco za IPv6 nutné připlácet.

Opět byl zmíněn problém nedostatku IPv4 adres. Předpokládá se, že v roce 2011 budou přiděleny poslední adresy. Nezbývá tedy mnoho času začít v sítích implementovat IPv6. Naštěstí přibývá poskytovatelů, kteří si problém začínají uvědomovat. V poslední době je řádově více žádostí o IPv6 peering než v době před dvěma lety.

Emanuel Petr: Praktická implementace IPv6

Uživatelé, kterým poskytovatel nenabízí připojení skrze IPv6, musejí použít tunelování. Můžou taky zkusit každý měsíc poslat e-mail a třeba to začne poskytovatele obtěžovat a protokol zavede. Emanuel Petr z CZ.NIC dále představil konkrétní proces sestavení tunelu.

Rozebrán byl postup implementace tunelu typu 6in4 u Tunelbroker.net, kde je postup velmi jednoduchý a vyžaduje jen registraci a zkopírování konfigurace do operačního systému. Nevýhodou je, že je potřeba pro registraci povolit ping na veřejnou adresu a podporovat NATování protokolu 41. Nastavení routeru je pro mnoho uživatelů problém.

Zmíněné nevýhody řeší protokol AYIYA, který zapouzdřuje komunikaci do UDP. Využívá speciální aplikaci AICCU, opět se stačí jen zaregistrovat, požádat o tunel a nakonfigurovat software. Problém je pořád ještě u aplikací, ale řada utilit už nabízí variantu pro IPv6 nebo umí speciální parametr –6.

Dan Ohnesorg: Nasazení IPv6 v Rudná.net

Dan Ohnesorg je jedním z provozovatelů komunitní sítě Rudná.net, která má aktuálně 248 členů a IPv6 využívá od roku 2005. Síť byla založena lidmi, kteří se v sítích pohybovali a chtěli jsme svou hračku. Tenkrát to ovšem bylo velmi nesnadné.

Komunitní síť Rudná.net využívá IPv6 nejen na páteři, ale i u běžných klientů. U serverů je situace velmi pokročila a dnes nenajdete žádného velkého daemona, který by IPv6 nepodporoval. U klientských stanic je situace složitější. O routing a přidělování IP adres v síti provádí daemon Zebra, který správu celé sítě výrazně zjednodušuje.

Hlavní rozdíly mezi IPv4 a 6 jsou ve způsobu připojení. Zatímco IPv4 adresa je interně symetricky NATována a je za firewallem, IPv6 adresy jsou dovedeny až ke koncovému uživateli a případně je před něj předsazen firewall, který blokuje kontakty z internetu. Linuxové jádro v současné době neumí IPv6 shaping, ale zatím to pro nás neznamená žádný problém.

Konference IT09

IPv6 pakety je potřeba dostat skrze celou vaši síť až k uživateli. V drtivé většině případů s tím nenarazíte na žádný problém. Některá zařízení ale šestku neumí, není ale problém část sítě protunelovat. Typickým zástupcem problematického zařízení jsou rádiové spoje, které můžeme tunelem bez problémů přeskočit.

Levnější zařízení jsou paradoxně pro IPv6 vhodnější. Nestarají se o to, co přenášejí a proto skrze ně projde téměř cokoliv. Obecně platí, že čím dražší zařízení, tím více vychytávek a zároveň problémů. Zapomeňte na to, že by vám při problémech výrobce pomohl.

IPv6 má ovšem i některé další nepříjemné vlastnosti zesložiťující administraci sítě. Často se objevují neřešitelné chyby v routingu, někdy má síť horší RTT a podstatně hůře se ladí síť. Z hlášení problémů není často jasné, zda uživatel použil IPv4 nebo 6 a chyby se pak velmi špatně rekonstruují.

Dan Ohnesorg je poměrně optimistický, co se týče IPv6. Sítě jsou v zásadě připravené, problém je na straně klientů. Pochválil také Windows Vista, což je podle Ohnesorga první operační systém, který IPv6 skutečně bez problémů podporuje. Proti Windows XP je to ohromný pokrok. Naopak v případě Linuxu nastavení vždy vyžaduje hromadu ruční práce a je co zlepšovat.

Ondřej Filip: Nové aplikace v DNS

Ondřej Filip, ředitel organizace CZ.NIC, hovořil o protokolu DNS a jeho různých způsobech využití. Kromě tradičního překladu adres hovořil především o využití DNSSEC. Novinkou je podpis tří generických domén: .museum, .gov a .org. Některé další domény ohlásily, že se brzy přidají.

Žhavou novinkou je oznámení urychlení podpisu kořenové domény. ICANN a Verisign uzavřely dohodu o podepsání kořenové domény. Podle oznámení by měla být kořenová doména podepsaná ještě v letošním roce. Rok 2009 je velmi ambiciózní datum, pochody v kořenové doméně jsou obvykle velmi pomalé.

Konference IT09

Další velmi zajímavou implementací DNS je SSHFP, což je speciální záznam, který umožňuje do DNS záznamu vložit SSH fingerprinty, takže ověření může probíhat automaticky. Uživatelé obvykle při dotazu na fingerprint odpoví automaticky yes a nic neověřují. Tato automatizovaná varianta proces výrazně zjednoduší. Tato možnost je již implementována a je už možné ji při SSH na serverech použít.

Pracuje se také na implementaci SSL-HTTPS, což je služba, která umožní přidat self-signed certifikát přímo do DNS záznamu. Zatím je vše v rané fázi, ale výsledkem by měla být vyšší bezpečnost obcházející neznalého uživatele. Uživatel pak nebude dotazován na ověření certifikátu. Podobný princip je možno použít pro šifrování SMTP protokolu a dalších komunikačních kanálů.

Adam Tkáč: DNSSEC v distribuci Fedora

Předchozí přednáška se zabývala především servery, tvorbou klíčů a podobně. Podle Adama Tkáče ze společnosti Red Hat je ale uživatelská strana stejně důležitá. Proto se Fedora zaměřuje na zabezpečení rekurzivních resolverů. Rekurzivní servery jsou často cílem útoků a především úspěšný útok vyžaduje podstatně kratší čas.

Problémem DNSSEC je distribuce klíčů k jednotlivým doménám. Ta bude potřeba do chvíle, než bude podepsána kořenová doména. Distribuce vám může nabídnout centrální aktualizaci potřebných klíčů. Odpadne vám tedy starost o ruční kontrolu. Vyžaduje to ovšem pravidelnou aktualizaci systému.

Brzy vyjde Fedora 11, která právě řeší aktualizaci DNSSEC klíčů. Ty jsou uloženy v adresáři /etc/pki/dnssec-keys/. Rovněž existuje soubor s centrální konfigurací /etc/sysconfig/dnssec. V něm se konfiguruje samotná validace jednotlivých rekurzivních serverů.

DNSSEC je možné také kontrolovat na klientských stanicích pomocí integrovaných resolverů. To není ideální cesta, tudy jít nechceme. Především se tam duplikuje příliš mnoho kódů. Namísto toho bude na klientské stanici integrován vlastní rekurzivní server a vše bude připraveno pro použití, správa tohoto serveru bude plně automatizovaná a nijak se nebude dotýkat uživatele.

Automatická konfigurace bude probíhat ve spolupráci s rozšířeným NetworkManagerem, který umí automaticky reagovat na změny v síti a skrze novou knihovnu bude schopen resolver konfigurovat. Zatím nemáme přesný časový harmonogram, stále je tu mnoho nevyřešených otázek. Snad bude tento systém součástí Fedory 13.

Ondřej Surý: Zranitelnosti v BGP

Ondřej Surý z CZ.NIC tentokrát nehovořil o svém oblíbeném DNSSEC, ale zmínil jiný důležitý protokol BGP. BGP je pro internet velmi důležitý a jeho situace je ještě horší než situace u DNS, zahájil Surý.

BGP je založeno na důvěře, neexistuje žádný centrální mozek lidstva, který by tu komunikaci řídil. Problém je v tom, že propagovat informace skrze BGP může naprosto každý autoritativní systém, který by měl propagovat jen IP rozsahy, které spravuje.

Kvůli chybějícím kontrolám a filtracím je poměrně snadné unášet cizí IP adresy, což se využívá především k šíření ilegálního obsahu (například pornografie) či k blokování nežádoucích serverů, což se například podařilo pákistánským úřadům s YouTube.

Pánové Pilosof a Kapela předvedli na DefConu takzvané neviditelné unášení prefixů, které je velmi špatně odhalitelné. Pomocí známých mechanismů můžeme unést libovolný prefix a navíc zcela neviditelně. Jedinou ochranou je filtrace zákazníků.

Petr Hruška: Antispamové technologie

Petr Hruška z CZ.NIC se zabýval problémem nevyžádané internetové pošty. Pokud si vezmeme počet pokusů o odeslání spamů a vydělíme jej počtem internetových uživatelů, skončíme u čísla 200. Naštěstí to jsou jen pokusy, zahájil Hruška. První spam byl přitom odeslán už v roce 1978. Nyní je spamu mezi 80 a 90 procenty. Některé zdroje uvádějí až 95 procent. Podle Hrušky je zázrak, že se ještě mail v tomto stavu dá používat.

Pětadevadesát procent spamu je odesláno ze zombie počítačů v botnetech, to je hlavní zdroj spamu. Nejvíce spamu odchází ze Spojených států. Většina spamu pochází přibližně od 400 lidí. Je to zřejmé i z toho, že množství spamů v čase kolísá, kdyby za něj bylo zodpovědných více lidí, pravděpodobně by byla čísla vyrovnanější.

Počet zombie počítačů se odhaduje na 10 milionů. Na sto uživatelů internetu tak připadá jeden zombie. Nejčastěji jsou napadáni nezkušení uživatelé, kteří ignorují aktualizace a o svůj počítač se nestarají.

Konference IT09

Problém je v anonymitě e-mailu. To je stejné jako u papírové pošty, podle které se původně mail vytvářel. Kdyby nebylo možné tak jednoduše podvrhnout adresu odesílatele, bylo by možno alespoň upozornit majitele zombie počítače na to, že je něco v nepořádku.

Jednou ze zajímavých technologií je SPF (Sender Policy Framework). Ta umožňuje spárovat IP adresy, které mohou být použity k odesílání pošty z konkrétní domény. Tyto údaje je možné zapsat do DNS záznamu domény. Tím by se zabránilo odesílání pošty z cizích počítačů. Bohužel v Česku mají SPF záznamy jen 2 až 3 procenta domén. V zahraničí je to přitom 10 až 20 %.

Poměrně účinné je také využití blacklistů, což jsou veřejné seznamy počítačů, které odesílají spam. Pokud budete rovnou odmítat poštu odeslanou z počítačů na těchto seznamech, odfiltrujete přibližně 75 % spamů. Zbytek je možno vyřešit pomocí kontroly odkazů v mailech nebo klasickou bayesovskou kontrolou mailů.

Jiří Peterka: Aktuální stav a perspektivy elektronického podpisu

Jiří Peterka zahájil svou přednášku otázkou, zda by měly být zákony technologicky neutrální. Obecně by to prý mělo platit. Je to správné pravidlo, ale jako každé pravidlo musí mít i tohle své výjimky. Mezi ně by měl patřit i elektronický podpis. Původně byl technologicky neutrální zákon předložen v lednu 2000. Neumím si ale představit technologické řešení takto napsaného zákona.

Do druhého čtení už byl směrován i komplexní pozměňovací návrh, který zákon přizpůsoboval stavu v Evropské unii. Ten už byl technologicky závislý a využíval principu asymetrických šifer. Princip podpisu, který byl nakonec uzákoněn, nebyl podle mého názoru dodnes pochopen. Média například stále tvrdí, že se elektronický podpis neuchytil a nepoužívá se. Podle Peterky je to tím, že řada použití je pro běžného uživatele neviditelná, což ale neznamená, že neexistuje.

Jiří Peterka také porovnal bezpečnost autorizace použitím hesla a certifikátu. Zabezpečení jménem a heslem je výrazně méně slabší než v případe elektronického podpisu. Přesto mají obě metody stejné právní důsledky.

Velkým problémem jsou také dlouhodobá technická řešení. Například formáty dokumentů dnes nezaručují bezproblémové přečtení za několik let natož za desítky let. Zároveň je po letech problém s ověřením pravosti takto starého dokumentu. Ta teoretická řešení jsou známá, ale obvykle jsou velmi drahá a komplikovaná.

Od 1. července 2009 nás čekají velké změny v doručování oficiálních dokumentů pomocí takzvaných datových schránek. Společně s nimi přichází takzvaná fikce doručení po deseti dnech, kdy je zpráva považována za doručenou, ať jste si ji otevřeli nebo ne. Komunikace probíhá pomocí elektronických podpisů, což tuto technologii opět staví do centra dění.

Ladislav Možný: Ekosystém internetu v mobilu a jeho očekávaný vývoj

Pan Ladislav Možný ze společnosti T-Mobile ČR se ve své přednášce zabýval internetem v mobilním telefonu. To je oblast, která se rozvíjí poměrně rychle, ale přesto ne tak rychle, jak se očekávalo na začátku. První ‚internetový telefon‘ se v nabídce T-Mobile objevil už v roce 1999. GPRS se ovšem komerčně spustilo až v roce 2002. Internet už byl v té době velkým hitem a média psala o mobilním internetu jako o velké změně. Vznikla velká očekávání, která pak nebyla naplněna.

Velkou změnou v pojetí mobilního internetu byl podle Možného iPhone. Apple se povedlo vyřešit rozhraní směrem k zákazníkovi a přinesl solidní internet na cesty. Výsledkem byl obrovský zájem zákazníků o internet. Samozřejmě to výrazně pomohlo i nám operátorům.

Mobilní internet je ale stále ještě doménou odborníků a k běžným uživatelům proniká jen pomalu. Uživatelé mají velké problémy třeba už jen se spuštěním prohlížeče na telefonu. Zákazníkům vadí nejvíce nižší rychlost a malé rozměry displeje mobilních telefonů. Výrobci na zlepšení neustále pracují. Zlepšují se samotné prohlížeče, rozlišení displeje, objevují se dotykové displeje a také možnosti připojení k různým sítím. Velmi důležitá je také výdrž baterií, která je přímo spojená s mobilitou.

Dnes už lidé začínají chápat, že by jim mobil mohl být k něčemu dobrý. Nejen ke klasickému telefonování. Podle Možného se čím dál častěji mobilní telefony používají k navigaci pomocí Google map, čtení e-mailu a rozvíjející se oblastí jsou mobilní sociální sítě.

Našli jste v článku chybu?

10. 6. 2009 19:08

D.A. (neregistrovaný)

… coz jeste neni nic proti tomu, jako kdyz se vlastne dozvite, co jste tam rikal ;))

9. 6. 2009 23:45

Ash (neregistrovaný)

ne každá firma hodlá využívat například k technologickým výpočtům probíhajícím na počítačích konkurence (ale co?)

je výrazně méně slabší (méně slabší wtf?)

problémem jsou ale aplikace, které ale nejsou (ale ale)

Jsou tu zajímavé informace, ale když to člověk chce před půlnocí jen tak prolétnout a nečíst komplet celé, tak skončí na tom, že stejně musí louskat co bylo vlastně těmi větami myšleno.

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum