На прошедшей неделе RIPE NCC разослал письма клиентам Netup о том, что их LIR исключён из RIPE NCC и они должны найти себе нового LIR или получить статус LIR самостоятельно. Само письмо было опубликовано в чате ENOG (копия на pastebin). Краткая выдержка из письма:
We would like to inform you that your current sponsoring LIR, NetUP Ltd., is no longer a member of the RIPE NCC. Therefore, the sponsorship agreement that you have signed with this organisation has become invalid.
If you would like to continue using the above resources you will need to:
a) Sign an End User Assignment Agreement with a sponsoring LIR of your choice. You can find a list of Local Internet Registries here
or
b) Become a RIPE NCC Member. You can find more information about becoming a RIPE NCC member here
Эта новость была опубликована на порталах opennet.ru и linux.org.ru, однако сама новость была политизирована в комментариях, а реальные последствия этого события не раскрыты. Давайте попробуем спокойно разобраться в этой ситуации.
Netup оказывает услуги по поддержке PI-блоков и AS. Смысл этой «услуги по поддержке» заключается в том, что клиент платит ежегодные платежи в Netup, а Netup платит в RIPE NCC (RIPE NCC не принимает платежи напрямую от пользователей, не имеющих статус LIR). В БД RIPE это отмечается с помощью атрибута sponsoring-org. Выглядит это примерно так:
inetnum: 194.54.12.0 — 194.54.15.255
netname: PVBSBRF-NET
country: RU
org: ORG-PVB1-RIPE
admin-c: AB35587-RIPE
tech-c: SVP61-RIPE
tech-c: AB35587-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-by: PVBSBRF-MNT-RIPE
mnt-routes: PVBSBRF-MNT-RIPE
mnt-domains: PVBSBRF-MNT-RIPE
created: 2007-12-28T10:02:54Z
last-modified: 2017-01-26T14:57:07Z
source: RIPE
sponsoring-org: ORG-JR8-RIPE
ORG-JR8-RIPE — это LIR Ростелеком (можно посмотреть whois-ом). Таким образом, имеем следующее: PI-блок 194.54.12.0/22 используется Сбербанком, услуги LIR оказывает Ростелеком. С этой сетью всё в порядке.
После исключения Netup из RIPE NCC, RIPE NCC разослал письма владельцам PI-блоков и удалил атрибут sponsoring-org с объектов inetnum (IP-адреса) и aut-num (Автономные системы). На примере сети 195.43.144.0/24 посмотрим что было в БД RIPE совсем недавно что имеем сейчас. К сожалению, сам RIPE не показывает историю изменения объектов, но можно воспользоваться сервисом, который кеширует объекты на какое-то время и поэтому показывает немного устаревшую информацию. По этому линку (его архивный вариант за сегодня) видно, что ещё совсем недавно был атрибут sponsoring-org со значением "ORG-NA225-RIPE" (тот самый Netup). На текущий момент (архивная версия объекта за сегодня с nic.ru) в БД RIPE для этой сети атрибут sponsoring-org отсуствует.
Таким образом, PI-блоки Netup действительно остались без LIR, что означает что если владельцы в течение месяца не найдут нового LIR, то лишатся их. Здесь нужно отметить что Netup подали (или собираются подать) в арбитраж RIPE NCC (по этой же ссылке можно почитать о причине исключения Netup из RIPE NCC). Если арбитраж будет выигран, то все изменения откатят и про это историю можно будет забыть. Однако есть свидетельства (архив) того, что арбитраж в такой ситуации есть большой шанс проиграть.
В данной ситуации, сотрудник RIPE NCC Alex Semenyaka в чате ENOG рекомендует следующее:
Я бы на месте владельцев PI сейчас аккуратно договорился о возможности перехода к другому LIR, и подготовил документы (предупредив, что переход не 100% состоится). Если всё плохо, то всё готово, и переход с готовыми документами быстро проводится. Если арбитр отзвает решение, то извиняемся и остаёмся у NetUp
Таким образом, на случай проигрыша арбитража Netup-ом, владельцам ресурсов (IP-адреса, AS) рекомендуется уже сейчас подыскивать нового LIR.
Теперь попробуем понять кто же является потенциально пострадавшими. Для этого, аналитиками lor и opennet были пропаршены файлы inet-num и aut-num, в которых были найдены объекты, изменённые 1 марта 2019, именно в этот день RIPE удалял атрибут sponsoring-org с PI-блоков и автономных систем. Результаты выложены на pastebin: AS, PI-блоки (записи относящиеся к Netup начинаются 2019-03-01T11:56:27Z и заканчиваются 2019-03-01T12:28:39Z, несколько записей в начале и в конце попали туда из-за отсутствия точного критерия поиска сетей, которые раньше были у Netup, т.к. с сайта RIPE нельзя скачать архивный файл ripe.db.inetnum). Анализ этих файлов (в первую очередь, по AS) говорит о том, что клиентами Netup были:
- Коммерческие операторы связи (телекомы, в основном небольшие, количество абонентов Вайнах-Телеком найти не удалось в публичных источников)
- Коммерческие предприятия (например, X5 Retail Group (AS44704))
- Государственные компании (или с участием государства), начиная с филиалов Сбербанк (AS47457, AS58112) и заканчивая больницей в Кемерово (AS35835)
Собственно, у первых двух категорий проблем с переходом к другому LIR быть не должно, если они вообще знают про эту проблему (не факт, что все адресаты в базах рассылки RIPE NCC и Netup актуальны), а вот с государственными компаниями всё не так просто. Как правило, они должны провести тендер чтобы перезаключить договор с другим юр. лицом, что может быть значительно больше 30 дней. Если Netup проиграет арбитраж, то они предлагают такой вариант в своём письме:
В случае, если нам не удастся доказать неправомерность применения санкций в ходе арбитражного разбирательства, мы предложим всем клиентам заключить договора с новой организацией LIR на прежних условиях.
С учётом того, что новая организация LIR это должно быть другое юр. лицо, то с перезаключением этого договора, у гос. компаний могут возникнуть значительные сложности из-за бюрократизации процесса закупок товаров и услуг.
Небольшое дополнение относительно LIR gcxc.net. К сожалению, нет информации когда RIPE NCC у них удалял объекты, поэтому пока не понятно как пропарсить БД RIPE и найти потенциально пострадавшие сети и AS. Имеется лишь комментарий(архив) от самой компании на форуме nag.ru, в котором описывается суть ситуации из-за которой они тоже были исключены из RIPE NCC.
Компаниям Netup и gcxc.net желаю удачи на арбитраже, а их клиентам сохранить за собой ценные ресурсы.
Автор: in_heb
