В связи с устойчивостью функционирования Рунета много пишут о необходимости создания замкнутых сетей и использования DNS-серверов, размещенных на территории России. Но, как оказывается, список угроз – не такой уж и короткий.
RIPE лишил статуса LIR (Local Internet Registry) двух российских регистраторов.
Это означает, что если RIPE не отменит своё решение, а клиенты проблемных LIR не перенесут независимые от провайдера (PI, Provider Independent) блоки IP-адресов, они потеряют эти IP-адреса.
Примечательно, что процедура трансфера IP-адресов от LIR'а к LIR'у нетривиальная, и некоторые пользователи могут не успеть её выполнить. Также ситуация осложняется тем, что эта новость не освещается в СМИ, и те операторы, которые получили IP-адреса очень давно, могут не получить email'ы от RIPE'а, в которых сказано о том, что их адреса будут отобраны в случае их бездействия. По приблизительной оценке проблема может коснуться 490 подсетей, принадлежащих, как правило, небольшим провайдерам и хостинг-операторам, не имеющим своего статуса LIR.
Кроме того, стоит отметить, что лишение статуса LIR было произведено незамедлительно, без каких-либо предупреждений.
В настоящее время компании Netup и gcxc.net удалены из списка российских LIR, и убрана привязка зарегистрированных ими блоков адресов (очищено поле sponsoring-org), а владельцам блоков направлено письмо с информацией об исключении регистрирующего LIR из членов RIPE и предложением перезаключить договор с другим LIR или зарегистрировать собственный LIR.
Кто такие LIR и что это за регулятор – RIPE?
RIPE NCC (фр. Réseaux IP Européens + англ. Network Coordination Centre) — один из пяти региональных интернет-регистраторов (англ. Regional Internet Registries, RIRs), выполняющих распределение интернет-ресурсов, а также связанную с этим регистрацию и координацию деятельности, направленную на глобальную поддержку функционирования Интернета.
LIR – Local Internet Registry – организация, заключившая договор с RIPE NCC. Членство в ассоциации RIPE NCC дает право на получение блока IP адресов /22 (1024 IP адреса).
Всем понятно, что IP-адреса не должны выбираться бесконтрольно: нужен координатор, который будет предотвращать, скажем, двойное использование блоков адресов. Этим и занимается RIPE, но это слишком высокоуровневая организация, чтобы с ней напрямую работали конечные заказчики. Непосредственно адреса выдают LIR'ы. И эти LIR'ы должны соблюдать определенные правила, в противном случае их могут лишить членства в RIPE и права выдавать адреса.
Насколько серьезны были нарушения?
Собственно проблема в том, что нас вообще не предупреждали.
Хронология событий примерно такая:
2017 год — мы регистрируем AS для клиента. Все как обычно, скан договора, скан рег. документа, отправляем заявку. Все ок, клиент получает AS, все довольны.
2019 год от NCC приходит письмо о том что мы предоставили фальшивый контракт, и что данное юр. лицо вообще не в курсе и никакого отношения к данной AS не имеет. Мы отвечаем, что свяжемся с клиентом для уточнения информации. Клиент пропадает, все контакты протухли.
Копаемся в документах, находим свой косяк.
Мы выяснили, что печать на нашем договоре с клиентом, от одной организации:
COMPANY NAME UK LIMITED
а директор, подписавший договор, от другой организации:
COMPANY NAME LTD
Когда проверяли в реестре Директора и компанию, не обратили внимания на то, что это разные организации, но с одинаковым COMPANY NAME…
Прошло пару недель и мы получаем письмо с фразой:
«we will terminate your RIPE NCC Standard Service Agreement, with immediate effect.»
Вот как-то так…
Повторюсь, других косяков или предупреждений у нас никогда не было.
На наш взгляд, за такое расстреливать как-то неверно.
И, как обычно, под ударом оказывается в основном конечный потребитель.
Наши блоки попали под удар (LIR – NetUP), LIR шлет письма с тысячью извинений и обещаниями все исправить.
Что делать теперь – не очень понятно. С одной стороны, инициировать процедуру перехода к другому LIR. Процесс не очень тривиальный. С другой стороны – ждать и надеяться, что NetUP все уладят...
Более того:
Наши блоки попали под удар (LIR – NetUP), LIR шлет письма с тысячью извинений и обещаниями все исправить.
Что делать теперь – не очень понятно. С одной стороны, инициировать процедуру перехода к другому LIR. Процесс не очень тривиальный. С другой стороны – ждать и надеяться, что NetUP все уладят...
Вот так можно остаться всем тем, кто обязан закупаться только через тендеры без Интернета.
Вполне естественно, что в комментариях сразу появились мысли о «монетизации» подобных действий.
Анализ говорит о том, что клиентами Netup были:
... Государственные компании (или с участием государства), начиная с филиалов Сбербанка (AS47457, AS58112) и заканчивая больницей в Кемерово (AS35835).
... с государственными компаниями всё не так просто. Как правило, они должны провести тендер, чтобы перезаключить договор с другим юр. лицом, что может быть значительно больше 30 дней.
Автор этого выпуска имел опыт смены IP-адресов компании. Это перерыв в работе ресурсов, а значит – потери бизнеса.
Но, по нашему мнению, коммерческая составляющая конфликта в данном случае крайне маловероятна, и действие регулятора в отношении российских регистраторов могло быть и оправданным.
В соглашении с RIPE явно описана возможность отзыва статуса LIR в случае предоставления фальсифицированных или вводящих в заблуждение данных, а также в случае многократной передачи некорректных сведений. На случай несогласия с вынесенным решением предусмотрена процедура арбитража.
В феврале RIPE NCC также инициировал проверку активности abuse-адресов, которые будут проверены на предмет доступности.
Страшно другое. Мы уже писали о санкциях. В них неприятно то, что они касаются не только тех, кто непосредственно попал в санкционные списки, – могут пострадать и те, кто работает с теми, кто попал под санкции. Например, выдал им IP-адреса. Есть вероятность того, что действия в случае чего окажутся преднамеренными, а доказательства – неубедительными.