[Nlnog] Can a Customer take their IP's with them? (Court saysyes!)

Boudewijn Visser bvisser-nlnog at xs4all.nl
Wed Jun 30 18:32:29 UTC 2004


>> Date: Tue, 29 Jun 2004 09:37:59 +0200 (CEST)
>> From: Arjan <arjan at inventionz.org>
>> Subject: Re: [Nlnog] Can a Customer take their IP's with them? (Court
>>     says yes!)
>
>> On Tue, 29 Jun 2004 at 09:32 +0200, Homme R. Bitter wrote:
>
>> [ ... ]
>> Je denkt nu alleen in colo oid, maar what about klanten die een /24
>> hebben en deze in hun kantoornetwerk gebruiken.
>
>> "Sorry, maar ik moet dan 250 machines omconfigureren, we maken
>> gebruik van trust-relaties op basis van IP adres, etc."
>


Dat is wat kort door de bocht. De keuze om IP adressen te gebruiken
in plaats van DNS namen kan weloverwogen een goed idee zijn, bijvoorbeeld
vanwege de toch wel wat betere security, of als de
bereikbaarheid/availability van de DNSen wat minder zeker is.
(DNS server in de colo, kantoor achter de verbinding).

Analoog is het vast configureren van de (ethernet) laag 2-laag 3 koppeling.
[ipv via arp].

En ja, als je dit soort dingen doet wordt omnummeren/wijzigingen in
devices wel veel lastiger.

Ik wil overigens ook niet zeggen dat PA space daarom maar toch portable
moet worden, alleen dat domheid niet de enige verklaring hoeft te zijn
voor IP adressen in configuraties.
De (extra) last van omnummeren is nog steeds het probleem van de eigenaar
van het statisch geconfigureerde netwerk, waar de rest van de wereld geen
last van moet hebben.



> <rant>
> Wat dacht je van domme uitgevers van wetenschappelijke publicaties...
>
> De CWI (cwi.nl, niet werk.nl!) Bibliotheek probeert al *jaren*
> uitgevers ervan te overtuigen dat zij authorisatie op basis van
> reverse-DNS moeten doen... Maar nog steeds accepteren zij enkel
> IP ranges...
> </rant>

En waarom is dat dom van die uitgevers ? Er zal best een aardige populatie
mensen zijn die *wel* controle hebben over hun reverse DNS, interesse in
de
publicatie, en geen interesse om de uitgever te betalen.
(en om 't leuk te maken, kun je alleen PTR queries van de uitgevers
beantwoorden met een terminal-123.lib.cwi.nl ).
De uitgever moet dan een forward/reverse check doen, waar de wat meer
gemotiveerde hacker dan weer met DNS cache poisoning aan de slag kan gaan.
Daarnaast zijn er zeker een hoop instituten waarbij de DNS absoluut niet
1:1 forward/reverse ingevuld is.
Dat geeft natuurlijk een hele berg klachten, die ook tot extra werk en
ergernis bij de gebruikers leiden.
[ook al is het probleem de schuld van hun instituut, de negatieve aandacht
valt (ook) op "die klote site van uitgever xyz" ]

Met al dat in het achterhoofd vindt ik de policy van de uitgevers zeker
verdedigbaar, en de kwalificatie "dom" meteen terecht.


Boudewijn
[geen uitgever, maar heeft zo af en toe wel gekozen voor ip adressen in
configs/trust relaties e.d. :-)  ]




More information about the NLNOG mailing list