مرحبا، اسمي الكسندر عظيموف. في Yandex، أقوم بتطوير أنظمة مراقبة مختلفة، بالإضافة إلى بنية شبكة النقل. ولكن اليوم سنتحدث عن بروتوكول BGP.
قبل أسبوع، قامت Yandex بتمكين ROV (التحقق من صحة أصل الطريق) في الواجهات مع جميع شركاء الأقران، بالإضافة إلى نقاط تبادل حركة المرور. اقرأ أدناه حول سبب القيام بذلك وكيف سيؤثر على التفاعل مع مشغلي الاتصالات.
BGP وما هو الخطأ في ذلك
ربما تعلم أن BGP تم تصميمه كبروتوكول توجيه بين النطاقات. ومع ذلك، على طول الطريق، تمكن عدد حالات الاستخدام من النمو: اليوم، تحول BGP، بفضل العديد من الامتدادات، إلى ناقل رسائل، يغطي المهام من مشغل VPN إلى SD-WAN المألوف الآن، وقد وجد تطبيقًا مثل نقل لوحدة تحكم تشبه SDN، مما يحول ناقل المسافة BGP إلى شيء مشابه لبروتوكول الارتباطات الفضائية.
التين. 1.
لماذا تلقى BGP (ولا يزال يتلقى) الكثير من الاستخدامات؟ هناك سببان رئيسيان:
- BGP هو البروتوكول الوحيد الذي يعمل بين الأنظمة المستقلة (AS)؛
- يدعم BGP السمات بتنسيق TLV (نوع طول القيمة). نعم، البروتوكول ليس وحده في هذا، ولكن بما أنه لا يوجد شيء يحل محله عند التقاطعات بين مشغلي الاتصالات، فإنه دائمًا ما يكون من المربح إرفاق عنصر وظيفي آخر به بدلاً من دعم بروتوكول توجيه إضافي.
ماذا حل به؟ باختصار، لا يحتوي البروتوكول على آليات مدمجة للتحقق من صحة المعلومات الواردة. أي أن BGP هو بروتوكول ثقة مسبق: إذا كنت تريد أن تخبر العالم أنك تمتلك الآن شبكة Rostelecom أو MTS أو Yandex، من فضلك!
مرشح قائم على IRRDB - الأفضل على الإطلاق
السؤال الذي يطرح نفسه: لماذا لا يزال الإنترنت يعمل في مثل هذه الحالة؟ نعم، إنه يعمل في معظم الأوقات، لكنه في الوقت نفسه ينفجر بشكل دوري، مما يجعل الوصول إلى شرائح وطنية بأكملها غير ممكن. على الرغم من أن نشاط القراصنة في BGP آخذ في الارتفاع أيضًا، إلا أن معظم الحالات الشاذة لا تزال ناجمة عن الأخطاء. مثال هذا العام هو في بيلاروسيا، مما جعل جزءًا كبيرًا من الإنترنت غير متاح لمستخدمي MegaFon لمدة نصف ساعة. مثال آخر - كسر واحدة من أكبر شبكات CDN في العالم.
أرز. 2. اعتراض حركة المرور Cloudflare
ولكن مع ذلك، لماذا تحدث مثل هذه الحالات الشاذة مرة كل ستة أشهر، وليس كل يوم؟ لأن شركات النقل تستخدم قواعد بيانات خارجية لمعلومات التوجيه للتحقق مما يتلقونه من جيران BGP. هناك العديد من قواعد البيانات هذه، بعضها تتم إدارته بواسطة المسجلين (RIPE، APNIC، ARIN، AFRINIC)، وبعضها لاعبين مستقلين (الأكثر شهرة هو RADB)، وهناك أيضًا مجموعة كاملة من المسجلين مملوكين لشركات كبيرة (المستوى 3 ، إن تي تي، وما إلى ذلك). وبفضل قواعد البيانات هذه، يحافظ التوجيه بين النطاقات على الاستقرار النسبي لعمله.
ومع ذلك، هناك الفروق الدقيقة. يتم التحقق من معلومات التوجيه بناءً على كائنات ROUTE-OBJECTS وكائنات AS-SET. وإذا كان الأول يعني ترخيصًا لجزء من IRRDB، فبالنسبة للفئة الثانية لا يوجد ترخيص كفئة. وهذا يعني أنه يمكن لأي شخص إضافة أي شخص إلى مجموعاته وبالتالي تجاوز مرشحات موفري الخدمات الأولية. علاوة على ذلك، فإن تفرد تسمية AS-SET بين قواعد IRR المختلفة ليس مضمونًا، مما قد يؤدي إلى تأثيرات مفاجئة مع فقدان مفاجئ للاتصال لمشغل الاتصالات، الذي من جانبه لم يغير أي شيء.
التحدي الإضافي هو نمط استخدام AS-SET. هناك نقطتان هنا:
- عندما يحصل المشغل على عميل جديد، فإنه يضيفه إلى AS-SET الخاص به، لكنه لا يزيله أبدًا؛
- يتم تكوين عوامل التصفية نفسها فقط على الواجهات مع العملاء.
ونتيجة لذلك، يتكون التنسيق الحديث لمرشحات BGP من مرشحات متدهورة تدريجيًا في الواجهات مع العملاء وثقة مسبقة بما يأتي من الشركاء النظيرين ومقدمي خدمات نقل IP.
ما هو استبدال مرشحات البادئة بناءً على AS-SET؟ الشيء الأكثر إثارة للاهتمام هو أنه على المدى القصير - لا شيء. لكن هناك آليات إضافية تكمل عمل المرشحات المستندة إلى IRRDB، وقبل كل شيء، هذا بالطبع RPKI.
RPKI
بطريقة مبسطة، يمكن اعتبار بنية RPKI بمثابة قاعدة بيانات موزعة يمكن التحقق من سجلاتها تشفيرًا. في حالة ROA (تفويض كائن المسار)، يكون الموقع هو مالك مساحة العنوان، والسجل نفسه ثلاثي (بادئة، asn، max_length). بشكل أساسي، يفترض هذا الإدخال ما يلي: قام مالك مساحة عنوان $prefix بتفويض رقم AS $asn للإعلان عن بادئات بطول لا يزيد عن $max_length. وتستطيع أجهزة التوجيه، التي تستخدم ذاكرة التخزين المؤقت RPKI، التحقق من توافق الزوج البادئة - المتحدث الأول في الطريق.
الشكل 3. بنية RPKI
لقد تم توحيد كائنات ROA لفترة طويلة، ولكن حتى وقت قريب ظلت فقط على الورق في مجلة IETF. في رأيي، السبب وراء ذلك يبدو مخيفا - التسويق السيئ. بعد الانتهاء من التوحيد القياسي، كان الحافز هو أن ROA محمي ضد اختطاف BGP - وهو ما لم يكن صحيحًا. يمكن للمهاجمين تجاوز المرشحات المستندة إلى ROA بسهولة عن طريق إدخال رقم AC الصحيح في بداية المسار. وبمجرد أن تحقق هذا الإدراك، كانت الخطوة المنطقية التالية هي التخلي عن استخدام العائد على الأصول. وحقاً، لماذا نحتاج إلى التكنولوجيا إذا كانت لا تعمل؟
لماذا حان الوقت لتغيير رأيك؟ لأن هذه ليست الحقيقة كاملة. ROA لا يحمي من نشاط المتسللين في BGP، ولكن يحمي من الاختطاف العرضي لحركة المرورعلى سبيل المثال من التسريبات الثابتة في BGP، والتي أصبحت أكثر شيوعًا. أيضًا، على عكس المرشحات المستندة إلى IRR، يمكن استخدام ROV ليس فقط في الواجهات مع العملاء، ولكن أيضًا في الواجهات مع الأقران ومقدمي الخدمات الأولية. وهذا هو، إلى جانب إدخال RPKI، تختفي الثقة المسبقة تدريجياً من BGP.
الآن، يتم تنفيذ التحقق من المسارات على أساس العائد على الأصول تدريجيا من قبل اللاعبين الرئيسيين: تتخلص أكبر شبكة IX أوروبية بالفعل من المسارات غير الصحيحة؛ ومن بين مشغلي المستوى الأول، يجدر تسليط الضوء على شركة AT&T، التي قامت بتمكين المرشحات في الواجهات مع شركائها النظيرين. يقترب أكبر مزودي المحتوى أيضًا من المشروع. وقد قامت العشرات من شركات النقل المتوسطة الحجم بتنفيذ هذه الخطة بهدوء، دون إخبار أحد عنها. لماذا يقوم كل هؤلاء المشغلين بتنفيذ RPKI؟ الجواب بسيط: لحماية حركة المرور الصادرة لديك من أخطاء الآخرين. ولهذا السبب تعد Yandex من أوائل الشركات في الاتحاد الروسي التي قامت بتضمين ROV على حافة شبكتها.
ماذا سيحدث بعد ذلك؟
لقد قمنا الآن بتمكين التحقق من معلومات التوجيه على الواجهات مع نقاط تبادل حركة المرور والنظيرات الخاصة. وفي المستقبل القريب، سيتم أيضًا تمكين التحقق مع موفري حركة المرور الأولية.
ما الفرق الذي يحدثه هذا بالنسبة لك؟ إذا كنت ترغب في زيادة أمان توجيه حركة المرور بين شبكتك وYandex، نوصي بما يلي:
- قم بالتوقيع على مساحة العنوان الخاصة بك - الأمر بسيط، ويستغرق من 5 إلى 10 دقائق في المتوسط. سيؤدي هذا إلى حماية اتصالنا في حالة قيام شخص ما بسرقة مساحة العنوان الخاصة بك عن غير قصد (وسوف يحدث هذا بالتأكيد عاجلاً أم آجلاً)؛
- قم بتثبيت إحدى ذاكرات التخزين المؤقت RPKI مفتوحة المصدر (, ) وقم بتمكين التحقق من المسار على حدود الشبكة - سيستغرق هذا وقتًا أطول، ولكن مرة أخرى، لن يسبب أي صعوبات فنية.
يدعم Yandex أيضًا تطوير نظام تصفية يعتمد على كائن RPKI الجديد - (ترخيص موفر النظام المستقل). لا يمكن للمرشحات المستندة إلى كائنات ASPA وROA أن تحل محل AS-SETs "المتسربة" فحسب، بل يمكنها أيضًا إغلاق مشكلات هجمات MiTM باستخدام BGP.
سأتحدث بالتفصيل عن ASPA خلال شهر في مؤتمر Next Hop. وسيتحدث هناك أيضًا زملاء من Netflix وFacebook وDropbox وJuniper وMellanox وYandex. إذا كنت مهتمًا بمكدس الشبكة وتطويره في المستقبل، فتعال .
المصدر: www.habr.com