Ответы на часто задаваемые вопросы о maintainer

1. Зачем нужен maintainer (m.)?
    
2. В каких объектах БД RIPE обязательно использовать ссылку на m.?
    
3. Могу я обойтись без своего m. в БД RIPE?
   
   
4. Как зарегистрировать m.?
    
5. Что такое схема аутентификации m.?
    
6. Почему в предыдущем ответе Вы не указали схему аутентификации NONE?
    
7. Что такое условия авторизации m.?
    
8. Можно ли использовать в одном m. несколько несколько схем аутентификации?
    
9. Можно ли защитить один объект с помощью нескольких m.?
    
10. Какие есть способы совместной с RU-CENTER защиты объектов вБД RIPE?
     
11. Зачем нужна ссылка mnt-lower?
     
12. Как осуществляется авторизация по MAIL FROM?
     
13. Как осуществляется авторизация по CRYPT-PW?
     
14. Как получить криптованный пароль для схемы аутентификации CRYPT-PW?
     
15. Что проверяет тест-БД RIPE при попытке создания m. c аутентификацией по схеме CRYPT-PW?
     
16. Что делать, если пароль забыт?
     
17. В новой версии объекта maintainer появилось поле   refferal-by, поясните для чего оно предназначено
     
18. Что такое PGPKEY?
     
19. Как осуществляется авторизация по PGPKEY?
     
20. Зачем нужен объект key-cert в БД RIPE?
     
21. Отличается ли чем-нибудь заведение route объектов в БД RIPE от остальных?
     
22. Защищен ли объект, если в нем указана ссылка notify?
     
23. Почему я получаю письма-уведомления от БД RIPE, когда объектов не создавал?
     
24. Можем ли мы использовать для защиты объектов поля cross-nfy, cross-mnt?
     
25. Нам не удаётся создать route объект, хотя мы являемся владельцами автономной системы, в чём причина?
     
26. Зачем нужна ссылка mnt-routes?
     
27. Как реализована защита от несанкционированного создания route объектов?
     

1. Зачем нужен maintainer (m.)?

   m. необходим для защиты объектов в базе данных RIPE (БД RIPE) и представляет из себя объект БД, основным признаком которого является схема аутентификации;
   при использовании ссылки на m. в каком-либо объекте БД RIPE (включая сам m.) объект считается защищенным от несанкционированного изменения|удаления, при этом степень защищенности определяется схемой аутентификации.
   Применительно к регистрации доменов *RU "maintainer" - это служба технической поддержки, что не противоречит вышеприведённому определению и подчёркивает сущность защиты - кому доверена техническая поддержка домена, тот и распоряжается соответствующими объектами в базе данных домена RU.

2. В каких объектах БД RIPE обязательно использовать ссылку на m.?

   Обязательно должны быть защищены следующие объекты: inetnum, route, aut-num, as-set, route-set и др. (все -set объекты).

3. Могу я обойтись без своего m. в БД RIPE?

   Вы можете ставить ссылку на m., созданный RIPE, вот как она будет выглядеть:
   

   mnt-by: RIPE-NCC-NONE-MNT

   Внимание! Ваш объект с такой ссылкой остаётся незащищённым. Как только создадите свой m. - замените ссылки на RIPE-NCC-NONE-MNT

4. Как зарегистрировать m.?

   Процедура регистрации для клиентов RU-CENTER описана здесь здесь

   Большинство maintainer'ов регистрируется службой поддержки базы данных RIPE при подаче LIR'ом первой заявки на IP-адреса, поскольку теперь ссылка на maintainer ОБЯЗАТЕЛЬНА в объекте *inetnum*.
   Возможна регистрация maintainer'а при подаче заявки на Автономную Систему, а также отдельно, при условии, что maintainer будет использован для защиты существующих объектов *inetnum*, *autnum*

   В названии maintainer'а (поле mntner) не следует использовать обозначения NEW-MNT.
   Вместо этого выберите любое другое название, например, включающее имя Вашей сети: NETNAME-MNT.

   Таким образом, для регистрации maintainer'а включите объект maintainer в раздел IV. Additional Information ПЕРВОЙ заявки от Вашей LIR на IP-адреса.

5. Что такое схема аутентификации m.?

   аутентификация - идентификация, опознание.
   Схема аутентификации m. - это способ проверки подлинности запроса на изменение|удаление объекта БД RIPE, защищенного данным m. Сейчас в БД RIPE используются следующие схемы аутентификации (в порядке возрастания сложности):
   - MAIL FROM
   - CRYPT-PW
   - PGPKEY
   Cхема аутентификации устанавливается в поле auth объекта m.

6. Почему в предыдущем ответе Вы не указали схему аутентификации NONE?

   Строго говоря, NONE не является схемой аутентификации, поскольку при изменении|удалении объекта БД RIPE, защищенного m. с такой схемой не происходит проверки подлинности запроса, все запросы выполняются.
   Если в таком m. ещё и отсутствует поле mnt-nfy (см. вопрос о письмах-уведомлениях БД RIPE) - владелец m. не узнает о том, что защищённый им объект был изменён или удалён.

7. Что такое условия авторизации m.?

   Авторизация - разрешение, утверждение.
   Условия авторизации - условия, при которых происходит запрошенное изменение|удаление объекта БД RIPE.
   Например, при использовании схемы аутентификации MAIL FROM проверяется совпадение e-mail адреса отправителя запроса (берется из поля From:) и e-mail адреса, указанного в поле auth объекта m. после MAIL FROM.

8. Можно ли использовать в одном m. несколько схем аутентификации?

   Можно, в этом случае достаточно, чтобы запрос на изменение|удаление удовлетворял ЛЮБОМУ условию авторизации из числа допустимых в данном m.
   Обратите внимание на то, что использовать различные схемы аутентификации в одном m. НЕ рекомендуется, поскольку степень защищенности объекта будет определяться наиболее простой схемой аутентификации m. Явно не стоит совместно использовать схему MAIL-FROM со схемой PGPKEY

9. Можно ли защитить один объект с помощью нескольких m.?

   Можно, однако, так же как и при использовании нескольких схем аутентификации в одном m., степень защищенности объекта будет определяться наименее сложной схемой аутентификации m.
   Если есть необходимость включить в существующий (уже защищенный чужим m.) объект ссылку на наш m., это надо попросить сделать владельца чужого m.

10. Какие есть способы совместной с RU-CENTER защиты объектов в БД RIPE?

    Наиболее оптимальным является такой способ: к Вашему m. добавляется наша схема аутентификации:

    auth: PGPKEY-C396EEA0

    Из ответа 8 следует, что мы на равных можем пользоваться Вашим m.
    Как только Вы прекращаете сотрудничество с нами, Вы сами или мы (по Вашей просьбе) убираем из объекта mntner вышеприведённое поле auth:

11. Зачем нужна ссылка mnt-lower?

    Если в объектах inetnum|domain использована ссылка mnt-lower на некоторый m. - это означает, что при СОЗДАНИИ объектов нижнего уровня (вложенности) по отношению к данному потребуется, чтобы удовлетворялись условия авторизации m., на который стоит ссылка. На объекты следующего (вниз) уровня это правило уже не распространяется. Например:

    inetnum: 195.19.0.0 - 195.19.255.255
    mnt-lower: ROSNIIROS-MNT

    Объект
    inetnum: 195.19.0.0 - 195.19.0.255
    может завести только владелец ROSNIIROS-MNT

    Но при наличии объекта
    inetnum: 195.19.0.128 - 195.19.0.255
    может завести каждый.

12. Как осуществляется авторизация по MAIL FROM?

    Проверяется совпадение e-mail адреса отправителя запроса (берется из поля From:) и e-mail адреса, указанного в поле auth объекта m. после MAIL FROM. Допускаются символы расширения, например:

    auth: MAIL FROM .*@nic.ru

    означает, что условиям авторизации должны удовлетворять любые запросы, отправленные с адресов домена nic.ru

13. Как осуществляется авторизация по CRYPT-PW?

    Проверяется совпадение пароля, указанного отдельной строкой:
    password: your_clear_text_password
    в начале заявки и криптованного пароля, указанного в поле auth объекта m. Над присланным паролем проводится операция криптования с использованием алгоритма криптования по секретному ключу (алгоритм DES, реализуемый функцией crypt)
    Известно, что частью ключа являются два первых символа закриптованного пароля (salt-последовательность).
    Таким образом, получается искомый криптованный пароль и если он совпадает с хранящимся в БД RIPE, то запрос удовлетворяет условиям авторизации.

14. Как получить криптованный пароль для схемы аутентификации CRYPT-PW?

    У Вас есть несколько путей:

    1. Если ваша версия perl поддерживает функцию crypt() с алгоритмом DES, выполните следующую команду:
       perl -e 'print crypt "password","salt", "\n"'

       где "salt" - это последовательность из двух произвольно выбранных символов

    2. Если у Вас есть доступ к файлу паролей на машине под управлением ОС UNIX, Вы можете использовать какую-либо из программ (passwd, htpasswd), получающую пароли по алгоритму DES, реализуемому функцией crypt(3)
       Например, криптование слова "password" с salt-последовательностью "sa" вышеописанными способами приведет к такому результату:
       sa3tHJ3/KuYvI
    3. Если perl не установлен на Вашей машине, воспользуйтесь программой получения паролей (входит в пакет клиента-whois предлагаемой RIPE).  
       
    4. Можно, наконец, выслать в RIPE заявку с незакриптованным паролем.
       При создании m. пароль будет закриптован; имейте ввиду то, что обращения в службы RIPE hostmaster|ripe-dbm архивируются и Ваш пароль будет доступен работникам RIPE;
       к незащищённым способам получения пароля также относится формирование пароля на сервере RIPE: Crypt CGI Interface.
15. Что проверяет тест-БД RIPE при попытке создания m. c аутентификацией по схеме CRYPT-PW?

    Проверяется, правильно ли Вы выполнили операцию криптования, поскольку при криптовании по алгоритму DES, реализуемому функцией crypt, длина закриптованного пароля составляет 13 байт. Заявка должна быть отправлена по адресу: test-dbm@ripe.net

16. Что делать, если пароль забыт?

    Отправить письмо-объяснение по адресу: ripe-dbm@ripe.net
    Вас скорее всего попросят продублировать письмо по факсу:
    +31 20 535 4445
    "For the attention of ripe-dbm"
    На официальном бланке организации, с подписью администратора сети (разборчивой), который зарегистрирован как admin-c или tech-c объекта m., Вы просите заменить утерянный пароль на другой, указывая причину замены пароля и приводя в письме оба объекта m. (существующий и новый).
    Постарайтесь не терять пароль; в качестве защитной меры можно использовать две однотипных схемы аутентификации (в данном случае CRYPT-PW).

17. В новой версии объекта maintainer появилось поле refferal-by, поясните для чего оно предназначено

    В поле refferal-by ставится ссылка на m. создателя данного m. и никогда не меняется
    Создатель может внести необходимые изменения в m. в случае потери контроля над m. его владельца, например, при утере владельцем пароля. К сожалению, единственным создателем всех m. пока является служба RIPE, что не вносит никакой новизны в Ваши действия при утере пароля (см. предыдущий ответ).

18. Что такое PGPKEY?

    PGPKEY в данном случае - это public ключ, один из пары ключей, используемых алгоритмом криптования PGP. PGP криптование предполагает использование двух ключей - public и private.
    БД RIPE в схеме аутентификации PGPKEY используется электронная подпись запроса, которая формируется с помощью private ключа отправителя запроса.
    Подпись будет содержать контрольные параметры письма (размер, дату, адрес отправителя) и идентификатор public ключа (PGP public key ID).

19. Как осуществляется авторизация по PGPKEY?

    Проверяется совпадение присланного (содержится в электронной подписи запроса) идентификатора public ключа с идентификатором, указанным в объекте m., в поле auth, после PGPKEY-
    Например, в m. ROSNIIROS-MNT:

    mntner: ROSNIIROS-MNT
    auth: PGPKEY-C396EEA0
    используются идентификатор public ключа: C396EEA0
    Извлечение идентификатора public ключа из подписи происходит путем ее декодирования PGP-программой с помощью public ключа, указанного в объекте key-cert
20. Зачем нужен объект key-cert в БД RIPE?

    Данный объект RIPE БД хранит информацию о public ключе и его идентификаторе и используется при проверке подлинности запроса при авторизации PGPKEY
    Например, для идентификатора public ключа C396EEA0 в БД RIPE заведен объект:

    key-cert: PGPKEY-C396EEA0

21. Отличается ли чем-нибудь заведение route объектов (объектов маршрутизации) в БД RIPE от остальных?

    Ключом route объекта являются одновременно два поля: route и origin. В поле route указывается диапазон адресов, за маршрутизацию которых в Интернет будет отвечать автономная система, номер которой указан в поле origin.
    Использование ссылки на объект autnum (автономная система), а значит и создание route объекта невозможно, если заявка не удовлетворяет условиям авторизации m., защищающего объект aut-num. Так реализована первичная защита от несанкционированного создания route объекта.
    Например, для создания такого объекта:
    

    route: 195.19.0.0/19
    origin: AS3316-MNT

    должны удовлетворятся условия авторизации m., защищающего объект AS3316-MNT:

    auth: MAIL-FROM .*@Relarn\.ru
22. Защищен ли объект, если в нем указана ссылка notify?

    Нет, не защищен. Такой объект может быть изменен|удален каждым; при этом по e-mail адресу, указанному в поле notify, придет уведомление от БД RIPE о том, кто и когда работал с объектом.

23. Почему я получаю письма-уведомления от БД RIPE, когда объектов не создавал?

    Уведомление отправляется по e-mail адресам, указанным в поле notify созданного объекта и в поле mnt-nfy m., если на m. поставлена ссылка в объекте. Например:

    mntner: ROSNIIROS-MNT
    upd-to: ip-reg@nic.ru
    mnt-nfy: ip-reg@nic.ru

    Таким образом, при указании ссылки на ROSNIIROS-MNT уведомление о созданном объекте отправится по адресу:
    ip-reg@nic.ru
    По адресу, указанному в поле upd-to, уходят уведомления о том, что запрос на изменение|удаление объекта, защищенного m. не удовлетворил условиям авторизации m.

24. Можем ли мы использовать для защиты объектов поля cross-nfy, cross-mnt?

    Эти поля предназначены только для объектов routing registry: autnum, route
    cross-nfy ссылается на person|role объект (по nic-handl'у), а cross-mnt ссылается на объект m.
    Смысл ссылки в route объекте - высылать уведомления по e-mail адресу данного person'а (role) или по e-mail адресу, указанному в поле mnt-nfy объекта m. в случае создания в БД RIPE пересекающихся route объектов.
    Если ссылка установлена на некотором объекте autnum, уведомления будут высылаться при создании route пересекающегося с route, в поле orgigin которого и стоит ссылка на данный объект autnum

25. Нам не удаётся создать route объект, хотя мы являемся владельцами автономной системы, в чём причина?

    Наиболее вероятной причиной ошибки при создании route объекта, о которой RIPE база сообщает как "hierarchical authorisation failed" является отсутствие в объекте *inetnum*, описывающем Ваш блок адресов (allocation), ссылки на Ваш m.
    Вам необходимо добавить (при помощи службы hostmaster@ripe.net) к данному объекту поле mnt-lower или поле mnt-routes с указанием Вашего m. Скорее всего, Вы получали блок адресов довольно давно, когда в RIPE базе ещё не была реализована дополнительная защита от несанкционированного создания route объектов, а route объект не создавали, поэтому данная ошибка выявилась только сейчас.

26. Зачем нужна ссылка mnt-routes?

    При наличии в объекте *inetnum* ссылки mnt-routes на некоторый m., его владельцу разрешено создавать route объект, задействующий диапазон IP-адресов объекта *inetnum*. Если ссылка mnt-routes использована в объекте aut-num, владельцу данного m. разрешено создавать route объект с указанием в поле origin номера данной автономной системы.

27. Как реализована защита от несанкционированного создания route объектов?

    Допустим Вы получили блок адресов и номер автономной системы. Отправляете заявку для создания *route* объекта. База последовательно осуществляет следующие проверки:
     

    1. удовлетворяются ли условия авторизации m., указанного в поле mnt-routes существующего объекта *aut-num*, на который Вы ссылаетесь в поле origin
       
    2. если поле mnt-routes в вышеуказнном объекте *aut-num* отсутствует, проверка осуществляется для m., указанного в поле mnt-by
    3. удовлетворяются ли условия авторизации m., указанного в поле mnt-routes, в существующем объекте *route*, совпадающим по диапазону адресов с диапазоном создаваемого объекта *route*
    4. если поле mnt-routes в вышеуказнном объекте *route* отсутствует, проверка осуществляется для m., указанного в поле mnt-by
    5. удовлетворяются ли условия авторизации m., указанного в поле mnt-routes, в существующем объекте *route*, диапазон адресов которого, перекрывает диапазон создаваемого объекта *route* (less specific route)
    6. если поле mnt-routes в вышеуказнном объекте *route* отсутствует, проверка осуществляется для m., указанного в поле mnt-lower
    7. если поле mnt-lower в вышеуказнном объекте *route* отсутствует, проверка осуществляется для m., указанного в поле mnt-by
     
    Проверки 3,4,5,6,7 осуществляются и для двух объектов *inetnum* (с совпадающим и перекрывающим диапазонами).
    Если при любой из проверок условия авторизации не удовлетворяются, заявка на создание *route* объекта отклоняется.