Ну и традиционное замечание по форме: организации RIPE на свете не существует. RIPE — это форум и сообщество, а организация, обеспечивающая административную поддержку форума, называется RIPE NCC. Разница на первый взгляд не очень ясна, но по мере погружения в вопрос становится принципиальной.
Всё-таки перед тем, как молча репостить Медузоньку, стоило самим разобраться в вопросе.
Что касается физических лиц, всё в принципе верно, а вот с юридическими лицами у Медузы очень много косяков в статье. Читаем соответствующую политику ripe-708, глава 6 «Policies and Guidelines for Assignments», пункт 6.2 «Network Infrastructure and End User Networks»:
«IP addresses used solely for the connection of an End User to a service provider (e.g. point-to-point links) are considered part of the service provider’s infrastructure. These addresses do not have to be registered with the End User’s contact details but can be registered as part of the service provider’s internal infrastructure.
When an End User has a network using public address space this must be registered separately with the contact details of the End User. Where the End User is an individual rather than an organisation, the contact information of the service provider may be substituted for the End Users».
Так что, скажем, Госнаркоконтроль РФ в RIPE DB регистрировать надо обязательно. А вот физическое лицо, по политике, можно, но не обязательно, а, исходя из здравого смысла, не следует (и последнее, говорят, обычно упоминается на тренингах RIPE).
При этом упоминаемое Медузой понятие «крупный блок адресов » (или его возможные англоязычные аналоги) нигде в политиках RIPE не определено и не используется; требования ripe-708 распространяются даже на assignment одного-единственного адреса. Подход «не будем соблюдать политику, пока нет санкций» весьма недальновиден: можно легко, например, прозевать момент, когда санкции появятся, ну и вообще это не очень ответственное отношение.
Пункт про «узнать IP-адрес и забить канал трафиком» тоже очень странный. Вообще-то, если у организации есть DDoS-атаки в модели угроз, но нет работающей защиты от них — это проблема самой организации, а не её Интернет-провайдера (за исключением случая, когда провайдер обязался такую защиту предоставить).
Защита от атак методом скрытия IP-адреса, во-первых, очевидным образом представляет собой реализацию подхода «security by obscurity», который в ИБ обычно принято избегать; во-вторых, не работает против любого более-менее подкованного атакующего, поскольку IP-адрес офиса или филиала узнать, как правило, достаточно просто множеством разнообразных способов. В частности, этот адрес «утекает» в заголовках отсылаемой почты; остаётся в логах Web-ресурсов, которые посещают сотрудники компании; в ряде случаев добывается реверс-инжинирингом (методом пристального взгляда) PTR-записи оператора связи и т.д. Рекомендовать такой подход к «защите» сложно вне зависимости от поведения поставщика услуг связи.
Дискуссии пользователя
Как я и писал выше, частные лица — это случай, который в ripe-708 оговорен отдельно. Юридические лица — это иная ситуация.
Ну и традиционное замечание по форме: организации RIPE на свете не существует. RIPE — это форум и сообщество, а организация, обеспечивающая административную поддержку форума, называется RIPE NCC. Разница на первый взгляд не очень ясна, но по мере погружения в вопрос становится принципиальной.
Всё-таки перед тем, как молча репостить Медузоньку, стоило самим разобраться в вопросе.
Что касается физических лиц, всё в принципе верно, а вот с юридическими лицами у Медузы очень много косяков в статье. Читаем соответствующую политику ripe-708, глава 6 «Policies and Guidelines for Assignments», пункт 6.2 «Network Infrastructure and End User Networks»:
«IP addresses used solely for the connection of an End User to a service provider (e.g. point-to-point links) are considered part of the service provider’s infrastructure. These addresses do not have to be registered with the End User’s contact details but can be registered as part of the service provider’s internal infrastructure.
When an End User has a network using public address space this must be registered separately with the contact details of the End User. Where the End User is an individual rather than an organisation, the contact information of the service provider may be substituted for the End Users».
Так что, скажем, Госнаркоконтроль РФ в RIPE DB регистрировать надо обязательно. А вот физическое лицо, по политике, можно, но не обязательно, а, исходя из здравого смысла, не следует (и последнее, говорят, обычно упоминается на тренингах RIPE).
При этом упоминаемое Медузой понятие «крупный блок адресов » (или его возможные англоязычные аналоги) нигде в политиках RIPE не определено и не используется; требования ripe-708 распространяются даже на assignment одного-единственного адреса. Подход «не будем соблюдать политику, пока нет санкций» весьма недальновиден: можно легко, например, прозевать момент, когда санкции появятся, ну и вообще это не очень ответственное отношение.
Пункт про «узнать IP-адрес и забить канал трафиком» тоже очень странный. Вообще-то, если у организации есть DDoS-атаки в модели угроз, но нет работающей защиты от них — это проблема самой организации, а не её Интернет-провайдера (за исключением случая, когда провайдер обязался такую защиту предоставить).
Защита от атак методом скрытия IP-адреса, во-первых, очевидным образом представляет собой реализацию подхода «security by obscurity», который в ИБ обычно принято избегать; во-вторых, не работает против любого более-менее подкованного атакующего, поскольку IP-адрес офиса или филиала узнать, как правило, достаточно просто множеством разнообразных способов. В частности, этот адрес «утекает» в заголовках отсылаемой почты; остаётся в логах Web-ресурсов, которые посещают сотрудники компании; в ряде случаев добывается реверс-инжинирингом (методом пристального взгляда) PTR-записи оператора связи и т.д. Рекомендовать такой подход к «защите» сложно вне зависимости от поведения поставщика услуг связи.
А какой смысл такого закона «О персональных данных»? Либо Ведомости что-то не так поняли, либо это несусветная глупость.