Internet Registry

Přidělování IP-adres, domén a čísel AS

V síti Internet je potřeba jednoznačně přidělovat IP adresy, čísla autonomních systémů a jména domén. Žádná centrální autorita, která by řídila Internet, však neexistuje. Proto bylo založeno několik mezinárodních organizací, které mají za úkol bdít nad celosvětově jednoznačným přídělováním IP adres, čísel autonomních systémů a doménových jmen.

Mezinárodní organizace

Mezinárodní organizace jsou z hlediska rozsahu své působnosti uspořádány do stromové struktury. Názorně je struktura organizací patrná z obrázku:

Obr. 17.1 Hierarchie organizací

Nejvyšší autoritou v Internetu je The Internet Assigned Numbers Authority (IANA). IANA jednoznačně rozděluje intervaly čísel pro IP-adresy, AS atd. a přiděluje tyto intervaly jednotlivým regionálním IR (Internet Registries). Regionální IR spravují větší oblast (např. kontinent).

Svět je tak geograficky rozdělen mezi regionální IR. Území pokrývané jedním regionálním IR je rozděleno mezi lokální IR. Lokální IR jsou zpravidla poskytovatelé Interentu (ISP).

Jednotlivé regionální IR přidělují IP adresy, doménová jména a čísla autonomních systémů a vedou záznamy o přidělených číslech a subjektech ve svých databázích. Regionální IR komunikují pouze s tzv. lokálními IR (nejčastěji poskytovatelé Internetu), kteří se také finančně podílejí na činnosti regionální IR.

Lokální IR pak obsluhují koncové uživatele. Koncovým uživatelem se nerozumí uživatel PC, ale centrální síťový manager podnikové sítě, který prostřednictvím lokálního IR, žádá o přidělení čísel IP-adres, subdomén nebo čísel AS.

Koncový uživatel (tj. správce podnikové sítě) se obrací na lokálního IR (tj. poskytovatele Internetu), ten přesně zformuluje jeho požadavky a zašle je regionální IR. Požadavky se zasílají elektronickou poštou a v regionálním IR je často automaticky zpracovává robot (tj. program).

Regionální IR jsou:

ARIN - Amerika Blíže viz http://www.arin.net
RIPE NCC(Reseaux IP Europeens Network Coordination Centre) - Evropa. Blíže viz http://www.ripe.net
APNIC - Asijsko-Pacifická oblast. Blíže viz http://www.apnic.net

Uvažovalo se i o vytvoření samostatného regionálního IR pro Afriku (AfriNIC), bývalý Sovětský Svaz (RusNIC) a Jižní Ameriku.

RIPE pro uživatele z Evropy přidělije na základě žádosti např. IP adresy. Přidělené IP adresy a další informace eviduje v databázi. Jednotlivá přidělená čísla tvoří tzv. objekty v databázi regionálního IR. Kromě objektů jako je číslo IP-adresy či číslo AS, jsou v databázi RIPE i objekty popisující osoby zodpovědné za administrativní a technický kontakt, tj. správci sítí. Dále tzv. route objekty popisující směrování mezi AS a např. také mntner objekty autorizující přístup k změně popisu objektů.

Databáze RIPE je veřejně přístupná. Pro čtení informací z databází regionálních IR slouží příkaz whois. Informace je ale možné získat pomocí brýny do www, kterou má každý IR zpravidla na svém www-serveru. Přímo na www serveru www.ripe.net organizace RIPE je také brána do databáze. Dále zpravidla existují i možnosti pomocí ftp, gopheru atp.

Regionální IR vytvářejí normy, kterým se musí lokální IR (poskytovatelé) s koncovými uživateli podřídit. RIPE vytváří normy nazývající se RIPE-číslo (např. RIPE-159). Všechny normy RIPE jsou veřejně dostupné na ftp://ftp.ripe.net/ripe/docs/. Obdobně APNIC má např. normu APNIC-19, která je opět veřejně dostupná na příslušném serveru APNIC.

RFC1466 - bloky adres třídy C

Rozdělování IP-adres mezi regióny řeší RFC1466. Novější informace o rozdělení IP adres mezi jednotlivé regionální IR, tj. mezi jednotlivé části světa můžeme najít na ftp://ftp.isi.edu/in-notes/iana/assignments/ipv4-address-space (resp. přes http://www.iana.org). První blok byl prakticky vyčerpán. Ostatní bloky pak přiděluje IANA jednotlivým regiónům, aby bylo mj. možné agregovat IP-adresy i z hlediska směrování následovně:

   Multi-regional          192.0.0.0 - 193.255.255.255
   Europe                  194.0.0.0 - 195.255.255.255
   Others                  196.0.0.0 - 197.255.255.255
   Various Registgries     198.0.0.0 - 198.255.255.255  
   North America           199.0.0.0 - 199.255.255.255
   Central/South America   200.0.0.0 - 201.255.255.255
   Pacific Rim             202.0.0.0 - 203.255.255.255
   North America           204.0.0.0 - 209.255.255.255
   Pacific Rim             210.0.0.0 - 211.255.255.255
   Europe                  212.0.0.0 - 213.255.255.255  
   US-DOD                  214.0.0.0 - 215.255.255.255 
   North America           216.0.0.0 - 216.255.255.255 
   Reserved                217.0.0.0 - 223.255.255.255

IP-adresy určené pro uzavřené sítě (Intranet)

10.0.0.0        -       10.255.255.255
172.16.0.0      -       172.31.255.255
192.168.0.0     -       192.168.255.255

Autonomní systémý

Pro uzavřené sítě jsou rezervovány podle RFC-1930 čísla AS v intervalu 64512 až 65535.

RIPE

RIPE přiděluje v Evropě čísla AS a IP-adresy, spravuje reverzní domény k přiděleným IP-adresám a v neposlední řadě vede příslušné databáze. Formuláře, normy a další užitečné informace pro komunikaci s RIPE je možné stáhnout z anonymního ftp-serveru ftp.ripe.net.

Poskytovatel Internetu se nejprve musí stát lokálním IR, pak může žádat RIPE o přidělování pro sebe a své zákazníky IP-adres, čísel AS, registraci svých reverzních domén na name serveru RIPE. Je povinen udržovat aktuální data v databázích RIPE. Norma RIPE-185 tvoří příručku popisující spolupráci s RIPE.

Abyste se mohli stát poskytovatelem Internetu, budete potřebovat mít možnost komunikovat s RIPE. RIPE však přijímá požadavky pouze od lokálních IR. Je třeba se tedy stát lokálním IR (vše pochopitelně až po získání licence pro podnikání v příslušném oboru v České Republice).

Jak se stát lokálním IR popisuje tč. dokument RIPE-160. Ustavení nového lokálního IR sestáva ze tří kroků:

Založení položky o lokálním IR v seznamu lokálních IR v RIPE.
Seznámení se s registračními procedurami.
Uzavření hospodářské smlouvy, aby RIPE začalo zasílat faktury.

Komunikace s RIPE spojená s ustavením nového lokálního IR probíhá pomocí e-mailu.

Nejprve musíte shromáždit informace o své firmě, která se chce stál lokálním IR, vyplnit formulář a odeslat ho na adresu new-lir@ripe.net.

Uzavření hospodářské smlouvy

Aktuální vzor hospodářské smlouvy je uveřejněn v normě RIPE. Tč. je aktuální normou RIPE-191 pod názvem “The Standard RIPE NCC Service Agreement”. Tento vzor si stahněte z ftp://ftp.ripe.net/ripe/docs/ripe-191.ps a vytiskněte.

Hospodářská smlouva se musí vyhotovit dvakrát a poslat běžnou poštou do Amsterodamu. Jeden podepsaný exemplář vám RIPE stejným způsobem vrátí. Po obdržení podepsané hospodářské smlouvy vám RIPE zašle fakturu. Jakmile ji zaplatíte, můžete začít fungovat jako lokální IR.

Jako nový poskytovatel Internetu se seznamte zejména s normou popisující jednotlivé pracovní postupy, tč. je aktuální normou norma RIPE-185.

Jako nový lokální IR potřebujete nejprve:

Získat (alokovat) interval IP, pro svou vlastní síť a své zákazníky.
Dostat přiděleno číslo autonomního systému.
Registrovat objekt Route, který popisuje routing mezi jednotlivými AS a sítí.

Přidělení (alokace) adresního prostoru

Před napsáním žádosti o přidělení adresního prostoru je třeba zvážit, o kolik adres třídy C žádat. Protože je výhodné si nechat přidělit adresy tak, aby mohly být agregovatelné do jedné supersítě (CIDR). Ve směrovacích tabulkách ostatních poskytovatelů, pak celý prostor vystupuje jako jedna položka - jedna supersíť.

Otázkou je, zda-li se mají agregovat adresy zákazníků s adresami poskytovatele. V drtivé většině tato strategie vyhovuje. Tyto adresy se označují jako PA. Naopak ve výjimečných případech je možné žádat o adresy PI (Povider Independent). V takovém případě se agregují pouze sítě konkrétního zákazníka do jedné supersítě. Tato strategie je zdůvodnitelná zejména v případě, že se jedná o velmi velkého zákazníka, který chce být připojen k několika poskytovatelům současně. Zejména je-li zákazník připojen k poskytovatelům kteří patří do různých regionálních IR, tj. je-li připojen k Internetu současně např. v Evropě a v Austrálii.

Rozlišujeme tři druhy adresních prostorů:

Privátní adresní prostor, kde se přidělují IP-adresy podle RFC-1918, o takové adresy netřeba žádat.
PA
PI

O přidělení IP-adres se žádá na formuláři podle RIPE-141 (komenář k formuláři obsahuje RIPE-142). Formulář může odeslat pouze lokální IR a to v ASCII-tvaru na adresu hostmaster@ripe.net.

Poskytovatel musí se svými zákazníky vyplňovat stejné formuláře a odesílat je do RIPE ke scháválení. Po schválení žádosti RIPE může teprve poskytovatel oficiálně přidělit IP-adrersy zákazníkovi a zanést příslušný oběkt do databáze RIPE.

Tento postup je velice zdlouhavý, proto po čase, kdy je RIPE s kvalitou práce poskytovatele spokojeno, tak může poskytovateli přidělit tzv. okno. Okno je počet adres, které může být celkově přiděleno zákazníkovi bez předběžnoho souhlasu RIPE. Vyjadřuje se většinou ve tvaru prefixu, tj. pokud poskytovatel může přidělit bez předchozího posvěcení až 256 adres, pak je přiděleno okon /24.

Je třeba zdůraznit, že se jedná o celkový počet přidělených adres. Má-li zákazník již přiděleno 128 adres a požaduje po poskytovateli přidělit daších 192 adres, pak pokud má poskytovatel přiděleno okno /24, tak musí o těchto dalších 192 adres žádat RIPE, protože 128+192>256.

Rozeznáváme tak dvojí adresní prostor:

Alokované adresy, které jsou poskytovateli rezervovány pro jeho další přidělování zákazníkům.
Přidělené adresy, které jsou již z alokovaného prostoru přiděleny konktrétním zákazníkům poskytovatele.

Přidělení IP-adresy zákazníkovi

Zákazníkovi zpravidla přiděluje poskytovatel IP-adresy z intervalu, který má od RIPE alokován. Zvlášť provider žádá o přidělení jen v případě, že zákazník vyžaduje PI adresy nebo množství adres, které přesahuje aktuální Assignements Windows providera.

Po přidělení adres je nutné o zákazníkovi udržovat informace v databázi RIPE. Objekt prostor IP-adres přidělených zákazníkovi se spravuje ve dvou fázích. Nejprve ze takový objekt vytvoří při přidělování adres. Pak se "odladí" name server pro reverzní domény a informace o tomto name serveru se doplní do databáze RIPE.

inetnum:        Interval IP adres
netname:        Název adresního prostoru přidělovaného zákazníkovi.
descr:  Název a popis organizace, které je prostor přidělován.
admin-c:
tech-c:
rev-srv:        Doplní se až při registraci reverzní domény.
remarks:
changed:
source: RIPE

Je-li jako admin-c nebo tech-c uvedeno osoba, která ještě nemá registrovaný RIPE-handle, použije se se pro tuto osobu dočasný identifikátor ve tvaru AUTO-nXX (a – je pořadové číslo, XX jsou iniciály osoby). Pro každou takovouto osobu pak následuje popis objektu této osoby.

Při registraci objektu do RIPE databáze je automaticky dočasný RIPE-handle nahrazen jednoznačným vygenerovaným identifikátorem.

Příklad:

inetnum:        194.149.100.0 - 194.149.100.15
netname:        MOJE
descr:  Soukromy podnikatel Krvavy Pepa
admin-c:        AB23-RIPE
tech-c: CD98-RIPE
changed:        hostmaster@pepa.cz
source: RIPE

Notifikace a autorizace objektů

Asi vás napadlo, že měnit objekty v databázi by mohl každý, takže by někdo mohl snadno jiného uživatele poškozovat. Norma RIPE-120 popisuje zabezpečení proti takovýmto situacím, takže objekty mohou měnit jen oprávněné osoby.

Notifikace je velice jednoduchá metoda. Libovolnému objektu můžeme přidat položku:

notify: e-mailová adresa, na kterou je posílána zpráva o aktualizaci objektu

Když kdokoliv aktualizuje příslušný objekt, je na uvedou adresu je posláno upozornění.

Složitější metodou je autorizace. Nejprve je nutné definovat objekt mntner (zavést jej může pouze personál RIPE). Libovolnému objektu je pak možné přidat položku mnt-by, která odkazuje na objekt mntner. Aktualizovat objekt pak může pouze osoba splňující podmínky v objektu mntner.

Položky objektu mntner:

mntner:         Název objektu (velká písmena a pomlčka).
descr:
admin-c:
tech-c:
upd-to:         Mailová adresa, na kterou se posílá zpráva v případě, že
                se pokusil objekt aktualizovat neautorizovaný uživatel.
mnt-ntf:        Obdoba notify.
auth:           Typ autorizace, jsou zde tři možnosti:
                NONE    (žádná autorizace)
                CRYPT-PW zašifrované-heslo
                MAIL-FROM .*@pvtnet.cz
remarks:
changed:
source: RIPE

Máme tedy tři typy autorizace:

NONE – bez autorizace
CRYPT-PW – pomocí hesla, které je v zašifrované formě uloženo v oběktu mnter.
MAIL-FROM – pomocí jména počítače ze kterého je požadavek odeslán.

Autorizace CRYPT-PW umožnuje aktualizaci jen v případě, že na začátek aktualizačního mailu napíšete položku:

password: heslo

Zatímco do položky passwd se heslo zadává nešifrované, tak do položky auth musíte zašifrovat heslo příkazem crypt (zašifrované heslo je např. v druhém poli souboru /etc/passwd v UNIXu).

Autorizace MAIL-FROM umožňuje aktualizovat objekty pomocí mailů, které mají v hlavičce v položce FROM uvedenou specifikovanou doménu jako druhý parametr (v našem případě doménu pvtnet.cz).

Registrace domén v InterNICu

InterNIC registruje domény:

.COM - komerční organizace (podniky, společnosti)
.NET - síťové zdroje
.EDU - vzdělávací organizace (školy, knihovny, muzea)
.GOV - vládní organizace
.ORG - různé nekomerční organizace

Příprava pro registraci domény

Žadatel o doménu by si měl zjistit, zda je požadovaná doména volná. To zjistí v Whois databázi InterNICu, kde jsou záznamy o všech registrovaných doménách. K výpisu z databáze je výhodné použít interface do Whois databáze http://rs.internic.net/cgi-bin/whois. Pokud je požadovaná doména v databázi, musí žadatel zvolit jiné jméno domény.

Požadovaná doména musí mít funkční alespoň dva autoritativní DNS servery. DNS server může žadatel umístit u svého poskytovatele nebo mít DNS server vlastní. Bez fungujícího DNS serveru InterNIC neprovede registraci.

Vyplnění žádosti

Žádost o registraci domény je připravena ve tvaru formuláře, který je potřeba vyplnit. Do formuláře je potřeba vypsat informace potřebné pro provedení registrace a pro vytvoření záznamu v Whois databázi. Formulář je k dispozici v textové podobě na ftp://rs.internic.net/templates/domain-template.txt nebo ve formě www stránky na http://rs.internic.net/cgi-bin/domain. Vyplněnou žádost odešle žadatel pomocí e-mailu na adresu hostmaster@internic.net.

Zpracování žádosti

Každá žádost dostane po přijetí přiděleno identifikační číslo "tracking number". Po přijetí žádosti dostane odesilatel informační zprávu potvrzující přijetí žádosti. Subjekt odpovědi obsahuje tracking number přiřazený žádosti. Tracking number má následující formát:
NIC-RRMMDD.#
kde:
RRMMDD je rok, měsíc, den, kdy byla odpověď poslána,
# je jednoznačné číslo přiřazené žádosti.
Identifikátor tracking number je vhodné si poznamenat pro další použití. Veškerá komunikace s InterNICem ohledně registrace domény je potřeba označovat tímto identifikátorem. InterNIC nabízí interface do svého tracking systému na http://rs.internic.net/cgi-bin/finger.

Žádost je po doručení do InterNICu kontrolována robotem na úplnost a správnost údajů.

V žádosti jsou chyby

Pokud se ve vaší žádosti vyskytnou chyby, vrátí se vám e-mailem žádost s objasněním chyby. Je potřeba chybu opravit a žádost poslat znovu na adresu hostmaster@internic.net. Nadále platí původně přidělené tracking number.

Pokud vaše žádost obsahuje neobvyklou chybu, bude žádost zařazena do fronty a analyzována zaměstnancem InterNICu, který se pokusí chybu odstranit. Pokud nemůže problém vyřešit sám, bude vás zaměstnanec InterNICu kontaktovat.

Vyřízení žádosti

Pokud jste poslali správně a úplně vyplněnou žádost, bude vaše žádost vyřízena. Prostřednictvím e-mailu budete informováni o jejím vyřízení. Informace o vaší nově vytvořené doméně budou zapsány do Whois databáze a do "zone" souboru.

Poplatky za registraci domény

Registrace domény druhé úrovně pod doménou .com, .org, .net, .edu a .gov stojí $70 (USD). Tento poplatek pokrývá registraci domény a udržování domény po dobu dvou let. Udržování v sobě zahrnuje i možné opravy záznamů pro doménu např. změna vašeho telefonního čísla, kontaktního jména pro poplatky. Některé změny však v udržování zahrnuty nejsou a představují vlastně nový požadavek na registraci, např. změna jména organizace, která žádala o registraci, převod domény nebo změna vlastní domény. InterNIC automaticky posílá účet za doménu do 10 dnů na adresu kontaktní osoby pro placení (billing contact). Žadatel si může vybrat způsob poslání účtu (e-mail/poštou).

Zaplatit poplatky je možné několika způsoby: kreditní kartou, VirtualPINtm metodou a pro poskytovatele, kteří registrovali větší počet domén prostřednictvím debetního účtu. Poplatky je potřeba platit v US$. Podrobnosti o placení jsou k dispozici na http://rs.internic.net/help/index.html.

Co stane, když nezaplatíte?

Pokud nedostane InterNIc zaplaceno do 12:00 dne splatnosti, posílá InterNIC prostřednictním e-mailu na kontaktní osoby 15 denní oznámení o deaktivaci domény. Pokud nezaplatíte ani během těchto 15 dnů, bude vaše doména deaktivována (zrušena v DNS). Máte ještě šanci zaplatit dalších 60 dní, pokud zaplatíte, bude vaše platba akceptována a doména obnovena. Stav účtu u InterNICu je možné prohlédnout pomocí tracking systému, který má www interface na http://rs.internic.net/cgi-bin/finger.

Prodloužení platnosti domény

Po uplynutí dvou let se fungování domény prodlužuje vždy o 1 rok. Za každý rok se platí poplatek $35 (USD). Doba se počítá od datumu provedení původní registrace. Tento poplatek zahrnuje prodloužení platnosti domény a udržování domény po dobu jednoho roku.

Osoba uvedená jako billing kontakt obdrží účet za obnovení domény 30 dní před vypršením původní platnosti. Podobně jako při původní registraci, pokud nedostane InterNIc zaplaceno do 12:00 dne kdy skončí platnost předchozí registrace, posílá InterNIC prostřednictním e-mailu na kontaktní osoby 15 denní oznámení o deaktivaci. Pokud nezaplatíte ani během těchto 15 dnů bude vaše doména deaktivována (zrušena v DNS). Máte ještě šanci zaplatit dalších 60 dní, vaše platba bude akceptována a doména obnovena. Pokud nezaplatíte ani během dalších 60 dnů bude doména zrušena a jméno domény uvolněno pro další použití jiným žadatelem.

Registrační formuláře

Pro každou doménu je třeba v Internicu registrovat:

Name servery
Kontaktní osobu pro administrativní kontakt
Kontaktní osobu pro technický kontakt
Kontaktní osobu pro paltební kontakt
Vlastní doménu

Kontaktní osoby je možné regsitrovat spolu s doménou. Není potřeba je registrovat samostatným formulářem. Name servery se regsitrují samostatně, před registrací domény. Všechny informace o doménách, kontaktních osobách a name serverech jsou uloženy v databázi InterNICu. Jednotlivé objekty v databázi mají přídělený jednoznačný identifikátor - NIC handle. Informace z databáze je možné vypsat pomocí interface http://rs.internic.net/cgi-bin/whois.

Dále uvádím formuláře používané k registraci jednotlivých objektů do databáze. Tyto formuláže jsou vždy označeny číslem verze dochází k jejich změnám. Doporučuji proto si pro vlastní registraci stáhnout aktuální fomulář z ftp://rs.internic.net/templates/