06.03.2019 07:24
in_heb 20 6800 Источник
На прошедшей неделе RIPE NCC разослал письма клиентам Netup о том, что их LIR исключён из RIPE NCC и они должны найти себе нового LIR или получить статус LIR самостоятельно. Само письмо было опубликовано в чате ENOG (копия на pastebin). Краткая выдержка из письма:
We would like to inform you that your current sponsoring LIR, NetUP Ltd., is no longer a member of the RIPE NCC. Therefore, the sponsorship agreement that you have signed with this organisation has become invalid.

If you would like to continue using the above resources you will need to:

a) Sign an End User Assignment Agreement with a sponsoring LIR of your choice. You can find a list of Local Internet Registries here
or
b) Become a RIPE NCC Member. You can find more information about becoming a RIPE NCC member here
Эта новость была опубликована на порталах opennet.ru и linux.org.ru, однако сама новость была политизирована в комментариях, а реальные последствия этого события не раскрыты. Давайте попробуем спокойно разобраться в этой ситуации.

Netup оказывает услуги по поддержке PI-блоков и AS. Смысл этой «услуги по поддержке» заключается в том, что клиент платит ежегодные платежи в Netup, а Netup платит в RIPE NCC (RIPE NCC не принимает платежи напрямую от пользователей, не имеющих статус LIR). В БД RIPE это отмечается с помощью атрибута sponsoring-org. Выглядит это примерно так:

whois 194.54.14.159 (IP-адрес sberbank.ru)
% Abuse contact for '194.54.12.0 — 194.54.15.255' is 'network_pvb@sberbank.ru'

inetnum: 194.54.12.0 — 194.54.15.255
netname: PVBSBRF-NET
country: RU
org: ORG-PVB1-RIPE
admin-c: AB35587-RIPE
tech-c: SVP61-RIPE
tech-c: AB35587-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-by: PVBSBRF-MNT-RIPE
mnt-routes: PVBSBRF-MNT-RIPE
mnt-domains: PVBSBRF-MNT-RIPE
created: 2007-12-28T10:02:54Z
last-modified: 2017-01-26T14:57:07Z
source: RIPE
sponsoring-org: ORG-JR8-RIPE

ORG-JR8-RIPE — это LIR Ростелеком (можно посмотреть whois-ом). Таким образом, имеем следующее: PI-блок 194.54.12.0/22 используется Сбербанком, услуги LIR оказывает Ростелеком. С этой сетью всё в порядке.

После исключения Netup из RIPE NCC, RIPE NCC разослал письма владельцам PI-блоков и удалил атрибут sponsoring-org с объектов inetnum (IP-адреса) и aut-num (Автономные системы). На примере сети 195.43.144.0/24 посмотрим что было в БД RIPE совсем недавно что имеем сейчас. К сожалению, сам RIPE не показывает историю изменения объектов, но можно воспользоваться сервисом, который кеширует объекты на какое-то время и поэтому показывает немного устаревшую информацию. По этому линку (его архивный вариант за сегодня) видно, что ещё совсем недавно был атрибут sponsoring-org со значением "ORG-NA225-RIPE" (тот самый Netup). На текущий момент (архивная версия объекта за сегодня с nic.ru) в БД RIPE для этой сети атрибут sponsoring-org отсуствует.

Таким образом, PI-блоки Netup действительно остались без LIR, что означает что если владельцы в течение месяца не найдут нового LIR, то лишатся их. Здесь нужно отметить что Netup подали (или собираются подать) в арбитраж RIPE NCC (по этой же ссылке можно почитать о причине исключения Netup из RIPE NCC). Если арбитраж будет выигран, то все изменения откатят и про это историю можно будет забыть. Однако есть свидетельства (архив) того, что арбитраж в такой ситуации есть большой шанс проиграть.

В данной ситуации, сотрудник RIPE NCC Alex Semenyaka в чате ENOG рекомендует следующее:
Я бы на месте владельцев PI сейчас аккуратно договорился о возможности перехода к другому LIR, и подготовил документы (предупредив, что переход не 100% состоится). Если всё плохо, то всё готово, и переход с готовыми документами быстро проводится. Если арбитр отзвает решение, то извиняемся и остаёмся у NetUp
Скриншот рекомендации
image

Таким образом, на случай проигрыша арбитража Netup-ом, владельцам ресурсов (IP-адреса, AS) рекомендуется уже сейчас подыскивать нового LIR.

Теперь попробуем понять кто же является потенциально пострадавшими. Для этого, аналитиками lor и opennet были пропарсены файлы inet-num и aut-num, в которых были найдены объекты, изменённые 1 марта 2019, именно в этот день RIPE удалял атрибут sponsoring-org с PI-блоков и автономных систем. Результаты выложены на pastebin: AS, PI-блоки (записи относящиеся к Netup начинаются 2019-03-01T11:56:27Z и заканчиваются 2019-03-01T12:28:39Z, несколько записей в начале и в конце попали туда из-за отсутствия точного критерия поиска сетей, которые раньше были у Netup, т.к. с сайта RIPE нельзя скачать архивный файл ripe.db.inetnum). Анализ этих файлов (в первую очередь, по AS) говорит о том, что клиентами Netup были:

  1. Коммерческие операторы связи (телекомы, в основном небольшие, количество абонентов Вайнах-Телеком найти не удалось в публичных источниках)
  2. Коммерческие предприятия (например, X5 Retail Group (AS44704))
  3. Государственные компании (или с участием государства), начиная с филиалов Сбербанк (AS47457, AS58112) и заканчивая больницей в Кемерово (AS35835)

Собственно, у первых двух категорий проблем с переходом к другому LIR быть не должно, если они вообще знают про эту проблему (не факт, что все адресаты в базах рассылки RIPE NCC и Netup актуальны), а вот с государственными компаниями всё не так просто. Как правило, они должны провести тендер чтобы перезаключить договор с другим юр. лицом, что может быть значительно больше 30 дней. Если Netup проиграет арбитраж, то они предлагают такой вариант в своём письме:
В случае, если нам не удастся доказать неправомерность применения санкций в ходе арбитражного разбирательства, мы предложим всем клиентам заключить договора с новой организацией LIR на прежних условиях.
С учётом того, что новая организация LIR это должно быть другое юр. лицо, то с перезаключением этого договора, у гос. компаний могут возникнуть значительные сложности из-за бюрократизации процесса закупок товаров и услуг.

Небольшое дополнение относительно LIR gcxc.net. К сожалению, нет информации когда RIPE NCC у них удалял объекты, поэтому пока не понятно как пропарсить БД RIPE и найти потенциально пострадавшие сети и AS. Имеется лишь комментарий(архив) от самой компании на форуме nag.ru, в котором описывается суть ситуации из-за которой они тоже были исключены из RIPE NCC.

Компаниям Netup и gcxc.net желаю удачи на арбитраже, а их клиентам сохранить за собой ценные ресурсы.

UPD 2019-03-07: Появились уточнённые списки AS и сетей (по архивам за конец февраля)
Автономные системы, находившиеся на поддержке Netup
IP-адреса PI, находившиеся на поддержке NetUP
Автономные системы, находившиеся на поддержке GCXC
IP-адреса PI, находившиеся на поддержке GCXC

Комментарии (20)


  1. vilgeforce
    06.03.2019 10:31
    #19841910

    А как RIPE мотивировали свое решение?


    1. Smayliks
      06.03.2019 11:09
      #19842108
      +1

      gcxc.net:

      Предпочел бы не обсуждать публично такие моменты, но раз вы спросили, я отвечу.
      В целом никаких секретов тут нет, но до окончания арбитража не хотелось бы афишировать.

      Собственно проблема в том что нас вообще не предупреждали.
      Хронология событий примерно такая:
      2017 год — мы регистрируем AS для клиента. Все как обычно, скан договора, скан рег.документа, отправляем заявку. Все ок, клиент получает AS все довольны.
      2019 год от NCC приходит письмо о том что мы предоставили фальшивый контракт, и что данное юр.лицо вообще не в курсе и никакого отношения к данной AS не имеет. Мы отвечаем, что свяжемся с клиентом для уточнения информации. Клиент пропадает, все контакты протухли.
      Копаемся в документах, находим свой косяк.

      Мы выяснили что печать на нашем договоре с клиентом от одной организации:
      COMPANY NAME UK LIMITED
      а директор подписавший договор от другой организации:
      COMPANY NAME LTD
      Когда проверяли в реестре Директора и компанию, не обратили внимания на то что это разные организации но с одинаковым COMPANY NAME…

      Прошло пару недель и мы получаем письмо с фразой:
      «we will terminate your RIPE NCC Standard Service Agreement, with immediate effect.»
      Вот как-то так…

      Повторюсь, других косяков или предупреждений у нас никогда не было.


      1. vilgeforce
        06.03.2019 11:32
        #19842250

        Сурово…


        1. Smayliks
          06.03.2019 11:38
          #19842294

          В целом, получается, что NetUP и gcxc.net виноваты сами — обязанность проверять данные клиентов лежит на них. В RIPE NCC после смены руководства просто решили таким образом навести порядок.

          Но то, что они поступили так радикально и с учётом «первого предупреждения» — не делает им чести, да.


    1. in_heb Автор
      06.03.2019 16:11
      #19844048

      Имеется комментарий RIPE NCC на канале ЗаТелеком

      Копипаста комментария
      Получены некоторые ответы от RIPE NCC по поводу разбирательства отзыва статуса LIR у двух российских регистраторов.

      Вот здесь начало: t.me/zatelecom/8758

      Why have you done it?

      Мы не комментируем конкретные случаи, ввиду необходимости соблюдать конфиденциальность между RIPE NCC и участникам RIPE NCC. Однако, мы хотели бы сделать заявление общего характера по данному вопросу.

      RIPE NCC обслуживает участников в в большом регионе, куда входит 76 стран, и мы твердо нацелены на принятие любых законных шагов, чтобы обеспечить непрерывное оказание услуг ВСЕМ нашим участникам. Доверие наших участников является абсолютно необходимым для функционирования RIPE NCC как технического центра координации работоспособности сети Интернет, и для сохранения этого доверия, мы должны придерживаться принципов нейтральности, непредвзятости и транспарентности. Мы серьезно относимся к тому, чтобы относиться ко всем участникам равным равным образом, невзирая на их местонахождение.

      Для того, чтобы нам выполнять свою роль, наши участники также должны выполнять определенные обязательства, которые прямо и четко оговорены в договоре, который они подписывают с RIPE NCC. К таким обязательствам относятся:

      — оплата членских взносов
      — предоставление точной и достоверной информации
      — реагирование на попытки связаться с участником
      — соблюдение политик, установленных Интернет-сообществом

      Если участник нарушает обязательства, взятые на себя согласно договору с RIPE NCC, мы примем необходимые шаги, что при крайних обстоятельствах может привести к прекращению членства.

      Мы осознаем, что прекращение членства может иметь серьезные последствия для бизнеса организации. И именно поэтому мы столь серьезно относимся к данной процедуре, которая применяется остаточно редко. Мы прекращаем членство только если мы понимаем, что это абсолютно необходимо и пропорционально, а наше решение подкреплено доказательствами и полностью соответсвует процессам, открытым и публично доступным на нашем сайте [1]

      В Российской Федерации у нас более 1500 участников. Всего в период 2017-2018 мы прекратили членство 55 организаций за нарушение контрактных обязательств, 4 из которых были зарегистрированы в РФ.

      Can they restore LIR status?

      Для разбирательств между RIPE NCC и участниками существует Арбитражный процесс [2]. Согласно данному процессу, доброволец из Интернет-сообщества получает доступ к нашей внутренней информации, с целью определить был ли нами соблюден процесс и установленные требования. Если арбитр прийдет ко мнению, что наше решение было неверным, то мы восстановим LIR.

      В то же время, мы приступаем к прекращению членства только если мы уверены, что действуем в полном соблюдении установленных процедур и требований и что данное решение будет подтверждено и арбитром после детального разбирательства.

      What should the clients of these two providers do?

      Клиенты со своими собственными IP адресами, администрируемыми одним из участников RIPE NCC, могут сохранить их, если членство такого участника будет прекращено. В случае прекращения членства мы незамедлительно связываемся с данными третьими лицами, чтобы проинформировать их о необходимых шагах, которые им нужно совершить в данной ситуации, чтобы они могли найти другую организацию, которая бы приняла на себя необходимые обязательства перед RIPE NCC (это называется Sponsoring LIR)

      —————————-
      [1] Процедура прекращения членства: www.ripe.net/publications/docs/ripe-697

      [2] Арбитражный процесс разрешения конфликтов RIPE NCC: www.ripe.net/publications/docs/ripe-691


      1. lamer84
        06.03.2019 18:01
        #19844554

        мы приступаем к прекращению членства только если мы уверены, что… и что данное решение будет подтверждено и арбитром после детального разбирательства.
        Интересно, а были случаи восстановления членства?


  1. tuxi
    06.03.2019 11:01
    #19842066

    А я все гадал, чей то rest.db.ripe.net/search колбасило недавно, вплоть до массовой отдачи 503


    1. Gansterito
      06.03.2019 11:21
      #19842166

      С этим не связано. Все сервисы RIPE (web, whois) падали с 21-го февраля.


      1. tuxi
        06.03.2019 11:34
        #19842262

        А что было то в итоге не было новостей? По моим наблюдениям, первые 1..2 дня после возникновения проблемы, где то 20..30% запросов не обрабатывалось, а на 3-и сутки уже 100% отлупы были. То есть речь не о часе-двух точно.


        1. Night_Snake
          06.03.2019 11:53
          #19842398

          Полноценного postmortem не было, хотя не вам одному интересно, что произошло.
          ну нет у них привычки выносить в паблик разбор полётов, видимо ;) Максимум пока вот


  1. Night_Snake
    06.03.2019 11:31
    #19842248

    Не RIPE, а RIPE NCC всё же.


    1. in_heb Автор
      06.03.2019 11:36
      #19842274

      Спасибо! Вроде бы везде где надо поправил.


  1. mwambanatanga
    06.03.2019 12:26
    #19842650
    +1

    Компаниям Netup и gcxc.net желаю удачи на арбитраже
    Выше в комментариях написано, что одна из фирм фактически признала свой косяк. Поэтому желаю всем объективного арбитража и наискорейшего торжества справедливости.


    1. in_heb Автор
      06.03.2019 12:45
      #19842764

      В самом деле, больше всего в этой ситуации (проигрыша арбитража) пострадают бедняги, которые сидели на PA-блоках этих LIR-ов, эти IP-адреса нельзя передать в другой LIR. К счастью, он всего один у Netup-а (ну или остальных не нашли). Относительно gcxc.net — их (PA-блоков) побольше (ctrl+f, GCX), но неизвестно какой именно из gcxc.net lir-ов получил страйк, поэтому их ещё не посчитали (у них там 4 LIR-а как минимум).

      P.S. PI-блоки gcxc.net тоже не посчитали (т.к. нет архива старого inetnum.db)


  1. motienko
    06.03.2019 18:01
    #19844552

    Добрые люди, а осилит ли кто-нибудь сделать «зеркало» баз RIPE NCC на github? Чтобы историю можно было посмотреть?


    1. in_heb Автор
      06.03.2019 18:39
      #19844734

      Там проблема с размером файлов. Один из основных файлов ripe.db.inetnum весит больше 3Гб, а даже на Github LFS лимит в 2Гб. Если тупо резать построчно, то diff-ы будут кривые, поэтому тут надо как-то придумать как преобразовать эти файлы для хранения в git. Если разбивать на мелкие файлы (например, один inetnum — один файл), то могут вежливо попросить.


    1. Doctor5772
      07.03.2019 10:02
      #19846924

      Как один из вариантов, раздавать через p2p сети, на хабре наверняка будут желающие и имеющие возможность постоять на раздаче.


  1. user318
    07.03.2019 14:18
    #19848566

    А вот и показывает:

    $ whois -h whois.ripe.net -- --show-version 8 195.43.144.0/24
    % This is the RIPE Database query service.
    % The objects are in RPSL format.
    %
    % The RIPE Database is subject to Terms and Conditions.
    % See http://www.ripe.net/db/support/db-terms-conditions.pdf

    % Version 8 of object "195.43.144.0 - 195.43.144.255"
    % This version was a UPDATE operation on 2016-06-02 11:12
    % You can use "--list-versions" to get a list of versions for an object.

    inetnum: 195.43.144.0 - 195.43.144.255
    netname: SBERBANK-BAIKAL-NET
    country: RU
    org: ORG-SRO1-RIPE
    admin-c: DVV56-RIPE
    tech-c: DVV56-RIPE
    status: ASSIGNED PI
    mnt-by: RIPE-NCC-END-MNT
    mnt-by: MNT-SBERBANK-BAIKAL
    mnt-routes: MNT-SBERBANK-BAIKAL
    mnt-domains: MNT-SBERBANK-BAIKAL
    created: 2008-06-19T10:06:22Z
    last-modified: 2016-04-14T10:09:27Z
    source: RIPE # Filtered
    sponsoring-org: ORG-NA225-RIPE

    % This query was served by the RIPE Database Query Service version 1.93.2 (BLAARKOP)


    Документация тут:
    www.ripe.net/manage-ips-and-asns/db/support/documentation/ripe-database-documentation/types-of-queries/16-12-historical-queries


    1. in_heb Автор
      07.03.2019 17:33
      #19849694

      Спасибо за подсказку. Век живи — век учись!
      Может быть ещё знаете как вычислить PI-блоки gcxc.net, которые были на их LIR'ах? (не имея архива ripe.db.inetnum)

      не делать же whois --show-version на все inetnum'ы без sponsoring-org (хотя почему бы и нет?)


      1. user318
        07.03.2019 18:28
        #19849922

        Тут наверное просто уже не получится. Вроде бы дампы базы у них только текущие лежат. Может быть где-то есть архивные. Но я не знаю.