На прошедшей неделе RIPE NCC разослал письма клиентам Netup о том, что их LIR исключён из RIPE NCC и они должны найти себе нового LIR или получить статус LIR самостоятельно. Само письмо было опубликовано в чате ENOG (копия на pastebin). Краткая выдержка из письма:
Netup оказывает услуги по поддержке PI-блоков и AS. Смысл этой «услуги по поддержке» заключается в том, что клиент платит ежегодные платежи в Netup, а Netup платит в RIPE NCC (RIPE NCC не принимает платежи напрямую от пользователей, не имеющих статус LIR). В БД RIPE это отмечается с помощью атрибута sponsoring-org. Выглядит это примерно так:
ORG-JR8-RIPE — это LIR Ростелеком (можно посмотреть whois-ом). Таким образом, имеем следующее: PI-блок 194.54.12.0/22 используется Сбербанком, услуги LIR оказывает Ростелеком. С этой сетью всё в порядке.
После исключения Netup из RIPE NCC, RIPE NCC разослал письма владельцам PI-блоков и удалил атрибут sponsoring-org с объектов inetnum (IP-адреса) и aut-num (Автономные системы). На примере сети 195.43.144.0/24 посмотрим что было в БД RIPE совсем недавно что имеем сейчас. К сожалению, сам RIPE не показывает историю изменения объектов, но можно воспользоваться сервисом, который кеширует объекты на какое-то время и поэтому показывает немного устаревшую информацию. По этому линку (его архивный вариант за сегодня) видно, что ещё совсем недавно был атрибут sponsoring-org со значением "ORG-NA225-RIPE" (тот самый Netup). На текущий момент (архивная версия объекта за сегодня с nic.ru) в БД RIPE для этой сети атрибут sponsoring-org отсуствует.
Таким образом, PI-блоки Netup действительно остались без LIR, что означает что если владельцы в течение месяца не найдут нового LIR, то лишатся их. Здесь нужно отметить что Netup подали (или собираются подать) в арбитраж RIPE NCC (по этой же ссылке можно почитать о причине исключения Netup из RIPE NCC). Если арбитраж будет выигран, то все изменения откатят и про это историю можно будет забыть. Однако есть свидетельства (архив) того, что арбитраж в такой ситуации есть большой шанс проиграть.
В данной ситуации, сотрудник RIPE NCC Alex Semenyaka в чате ENOG рекомендует следующее:
Таким образом, на случай проигрыша арбитража Netup-ом, владельцам ресурсов (IP-адреса, AS) рекомендуется уже сейчас подыскивать нового LIR.
Теперь попробуем понять кто же является потенциально пострадавшими. Для этого, аналитиками lor и opennet были пропарсены файлы inet-num и aut-num, в которых были найдены объекты, изменённые 1 марта 2019, именно в этот день RIPE удалял атрибут sponsoring-org с PI-блоков и автономных систем. Результаты выложены на pastebin: AS, PI-блоки (записи относящиеся к Netup начинаются 2019-03-01T11:56:27Z и заканчиваются 2019-03-01T12:28:39Z, несколько записей в начале и в конце попали туда из-за отсутствия точного критерия поиска сетей, которые раньше были у Netup, т.к. с сайта RIPE нельзя скачать архивный файл ripe.db.inetnum). Анализ этих файлов (в первую очередь, по AS) говорит о том, что клиентами Netup были:
Собственно, у первых двух категорий проблем с переходом к другому LIR быть не должно, если они вообще знают про эту проблему (не факт, что все адресаты в базах рассылки RIPE NCC и Netup актуальны), а вот с государственными компаниями всё не так просто. Как правило, они должны провести тендер чтобы перезаключить договор с другим юр. лицом, что может быть значительно больше 30 дней. Если Netup проиграет арбитраж, то они предлагают такой вариант в своём письме:
Небольшое дополнение относительно LIR gcxc.net. К сожалению, нет информации когда RIPE NCC у них удалял объекты, поэтому пока не понятно как пропарсить БД RIPE и найти потенциально пострадавшие сети и AS. Имеется лишь комментарий(архив) от самой компании на форуме nag.ru, в котором описывается суть ситуации из-за которой они тоже были исключены из RIPE NCC.
Компаниям Netup и gcxc.net желаю удачи на арбитраже, а их клиентам сохранить за собой ценные ресурсы.
UPD 2019-03-07: Появились уточнённые списки AS и сетей (по архивам за конец февраля)
Автономные системы, находившиеся на поддержке Netup
IP-адреса PI, находившиеся на поддержке NetUP
Автономные системы, находившиеся на поддержке GCXC
IP-адреса PI, находившиеся на поддержке GCXC
We would like to inform you that your current sponsoring LIR, NetUP Ltd., is no longer a member of the RIPE NCC. Therefore, the sponsorship agreement that you have signed with this organisation has become invalid.Эта новость была опубликована на порталах opennet.ru и linux.org.ru, однако сама новость была политизирована в комментариях, а реальные последствия этого события не раскрыты. Давайте попробуем спокойно разобраться в этой ситуации.
If you would like to continue using the above resources you will need to:
a) Sign an End User Assignment Agreement with a sponsoring LIR of your choice. You can find a list of Local Internet Registries here
or
b) Become a RIPE NCC Member. You can find more information about becoming a RIPE NCC member here
Netup оказывает услуги по поддержке PI-блоков и AS. Смысл этой «услуги по поддержке» заключается в том, что клиент платит ежегодные платежи в Netup, а Netup платит в RIPE NCC (RIPE NCC не принимает платежи напрямую от пользователей, не имеющих статус LIR). В БД RIPE это отмечается с помощью атрибута sponsoring-org. Выглядит это примерно так:
whois 194.54.14.159 (IP-адрес sberbank.ru)
% Abuse contact for '194.54.12.0 — 194.54.15.255' is 'network_pvb@sberbank.ru'
inetnum: 194.54.12.0 — 194.54.15.255
netname: PVBSBRF-NET
country: RU
org: ORG-PVB1-RIPE
admin-c: AB35587-RIPE
tech-c: SVP61-RIPE
tech-c: AB35587-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-by: PVBSBRF-MNT-RIPE
mnt-routes: PVBSBRF-MNT-RIPE
mnt-domains: PVBSBRF-MNT-RIPE
created: 2007-12-28T10:02:54Z
last-modified: 2017-01-26T14:57:07Z
source: RIPE
sponsoring-org: ORG-JR8-RIPE
inetnum: 194.54.12.0 — 194.54.15.255
netname: PVBSBRF-NET
country: RU
org: ORG-PVB1-RIPE
admin-c: AB35587-RIPE
tech-c: SVP61-RIPE
tech-c: AB35587-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-by: PVBSBRF-MNT-RIPE
mnt-routes: PVBSBRF-MNT-RIPE
mnt-domains: PVBSBRF-MNT-RIPE
created: 2007-12-28T10:02:54Z
last-modified: 2017-01-26T14:57:07Z
source: RIPE
sponsoring-org: ORG-JR8-RIPE
ORG-JR8-RIPE — это LIR Ростелеком (можно посмотреть whois-ом). Таким образом, имеем следующее: PI-блок 194.54.12.0/22 используется Сбербанком, услуги LIR оказывает Ростелеком. С этой сетью всё в порядке.
После исключения Netup из RIPE NCC, RIPE NCC разослал письма владельцам PI-блоков и удалил атрибут sponsoring-org с объектов inetnum (IP-адреса) и aut-num (Автономные системы). На примере сети 195.43.144.0/24 посмотрим что было в БД RIPE совсем недавно что имеем сейчас. К сожалению, сам RIPE не показывает историю изменения объектов, но можно воспользоваться сервисом, который кеширует объекты на какое-то время и поэтому показывает немного устаревшую информацию. По этому линку (его архивный вариант за сегодня) видно, что ещё совсем недавно был атрибут sponsoring-org со значением "ORG-NA225-RIPE" (тот самый Netup). На текущий момент (архивная версия объекта за сегодня с nic.ru) в БД RIPE для этой сети атрибут sponsoring-org отсуствует.
Таким образом, PI-блоки Netup действительно остались без LIR, что означает что если владельцы в течение месяца не найдут нового LIR, то лишатся их. Здесь нужно отметить что Netup подали (или собираются подать) в арбитраж RIPE NCC (по этой же ссылке можно почитать о причине исключения Netup из RIPE NCC). Если арбитраж будет выигран, то все изменения откатят и про это историю можно будет забыть. Однако есть свидетельства (архив) того, что арбитраж в такой ситуации есть большой шанс проиграть.
В данной ситуации, сотрудник RIPE NCC Alex Semenyaka в чате ENOG рекомендует следующее:
Я бы на месте владельцев PI сейчас аккуратно договорился о возможности перехода к другому LIR, и подготовил документы (предупредив, что переход не 100% состоится). Если всё плохо, то всё готово, и переход с готовыми документами быстро проводится. Если арбитр отзвает решение, то извиняемся и остаёмся у NetUp
Скриншот рекомендации
Таким образом, на случай проигрыша арбитража Netup-ом, владельцам ресурсов (IP-адреса, AS) рекомендуется уже сейчас подыскивать нового LIR.
Теперь попробуем понять кто же является потенциально пострадавшими. Для этого, аналитиками lor и opennet были пропарсены файлы inet-num и aut-num, в которых были найдены объекты, изменённые 1 марта 2019, именно в этот день RIPE удалял атрибут sponsoring-org с PI-блоков и автономных систем. Результаты выложены на pastebin: AS, PI-блоки (записи относящиеся к Netup начинаются 2019-03-01T11:56:27Z и заканчиваются 2019-03-01T12:28:39Z, несколько записей в начале и в конце попали туда из-за отсутствия точного критерия поиска сетей, которые раньше были у Netup, т.к. с сайта RIPE нельзя скачать архивный файл ripe.db.inetnum). Анализ этих файлов (в первую очередь, по AS) говорит о том, что клиентами Netup были:
- Коммерческие операторы связи (телекомы, в основном небольшие, количество абонентов Вайнах-Телеком найти не удалось в публичных источниках)
- Коммерческие предприятия (например, X5 Retail Group (AS44704))
- Государственные компании (или с участием государства), начиная с филиалов Сбербанк (AS47457, AS58112) и заканчивая больницей в Кемерово (AS35835)
Собственно, у первых двух категорий проблем с переходом к другому LIR быть не должно, если они вообще знают про эту проблему (не факт, что все адресаты в базах рассылки RIPE NCC и Netup актуальны), а вот с государственными компаниями всё не так просто. Как правило, они должны провести тендер чтобы перезаключить договор с другим юр. лицом, что может быть значительно больше 30 дней. Если Netup проиграет арбитраж, то они предлагают такой вариант в своём письме:
В случае, если нам не удастся доказать неправомерность применения санкций в ходе арбитражного разбирательства, мы предложим всем клиентам заключить договора с новой организацией LIR на прежних условиях.С учётом того, что новая организация LIR это должно быть другое юр. лицо, то с перезаключением этого договора, у гос. компаний могут возникнуть значительные сложности из-за бюрократизации процесса закупок товаров и услуг.
Небольшое дополнение относительно LIR gcxc.net. К сожалению, нет информации когда RIPE NCC у них удалял объекты, поэтому пока не понятно как пропарсить БД RIPE и найти потенциально пострадавшие сети и AS. Имеется лишь комментарий(архив) от самой компании на форуме nag.ru, в котором описывается суть ситуации из-за которой они тоже были исключены из RIPE NCC.
Компаниям Netup и gcxc.net желаю удачи на арбитраже, а их клиентам сохранить за собой ценные ресурсы.
UPD 2019-03-07: Появились уточнённые списки AS и сетей (по архивам за конец февраля)
Автономные системы, находившиеся на поддержке Netup
IP-адреса PI, находившиеся на поддержке NetUP
Автономные системы, находившиеся на поддержке GCXC
IP-адреса PI, находившиеся на поддержке GCXC
