Salam, mənim adım Aleksandr Əzimovdur. Yandex-də müxtəlif monitorinq sistemləri, eləcə də nəqliyyat şəbəkəsi arxitekturasını inkişaf etdirirəm. Ancaq bu gün BGP protokolu haqqında danışacağıq.
Bir həftə əvvəl Yandex, bütün peering tərəfdaşları, eləcə də trafik mübadiləsi nöqtələri ilə interfeyslərdə ROV (Marşrutun Mənşəyi Təsdiqlənməsi) funksiyasını işə saldı. Bunun niyə edildiyi və telekommunikasiya operatorları ilə qarşılıqlı əlaqəyə necə təsir edəcəyi haqqında aşağıda oxuyun.
BGP və onunla nə səhvdir
Yəqin ki, BGP-nin domenlərarası marşrutlaşdırma protokolu kimi tərtib edildiyini bilirsiniz. Bununla birlikdə, bu yolda istifadə hallarının sayı artmağa müvəffəq oldu: bu gün BGP, çoxsaylı genişləndirmələr sayəsində VPN operatorundan indi dəbdə olan SD-WAN-a qədər tapşırıqları əhatə edən mesaj avtobusuna çevrildi və hətta belə bir tətbiq tapdı. məsafə vektoru BGP-ni keçid protokoluna bənzər bir şeyə çevirən SDN kimi nəzarətçi üçün nəqliyyat.
Fig. 1.
BGP niyə bu qədər çox istifadəni aldı (və almağa davam edir)? İki əsas səbəb var:
- BGP avtonom sistemlər (AS) arasında işləyən yeganə protokoldur;
- BGP TLV (tip-uzunluq-dəyər) formatında atributları dəstəkləyir. Bəli, protokol bu məsələdə tək deyil, lakin telekommunikasiya operatorları arasındakı qovşaqlarda onu əvəz edəcək heç bir şey olmadığı üçün əlavə marşrutlaşdırma protokolunu dəstəkləməkdənsə, ona başqa funksional element əlavə etmək həmişə daha sərfəli olur.
Onun nə günahı var? Bir sözlə, protokolda alınan məlumatların düzgünlüyünü yoxlamaq üçün daxili mexanizmlər yoxdur. Yəni, BGP a priori etibar protokoludur: əgər siz dünyaya indi Rostelecom, MTS və ya Yandex şəbəkəsinin sahibi olduğunuzu söyləmək istəyirsinizsə, zəhmət olmasa!
IRRDB əsaslı filtr - ən pisin ən yaxşısı
Sual yaranır: niyə belə bir vəziyyətdə İnternet hələ də işləyir? Bəli, çox vaxt işləyir, lakin eyni zamanda vaxtaşırı partlayır və bütün milli seqmentləri əlçatmaz edir. BGP-də haker aktivliyi də artsa da, anomaliyaların əksəriyyəti hələ də səhvlərdən qaynaqlanır. Bu ilki nümunədir Belarusiyada, İnternetin əhəmiyyətli bir hissəsini MegaFon istifadəçiləri üçün yarım saat ərzində əlçatmaz etdi. Başqa bir misal - dünyanın ən böyük CDN şəbəkələrindən birini qırdı.
düyü. 2. Cloudflare trafikin qarşısının alınması
Bəs yenə də niyə belə anomaliyalar hər gün yox, altı ayda bir dəfə baş verir? Çünki daşıyıcılar BGP qonşularından aldıqları məlumatları yoxlamaq üçün marşrut məlumatlarının xarici verilənlər bazalarından istifadə edirlər. Bu cür verilənlər bazası çoxdur, onlardan bəziləri qeydiyyatçılar tərəfindən idarə olunur (RIPE, APNIC, ARIN, AFRINIC), bəziləri müstəqil oyunçulardır (ən məşhuru RADB-dir) və həmçinin böyük şirkətlərə məxsus bir sıra registratorlar dəsti var (Level3) , NTT və s.). Məhz bu verilənlər bazaları sayəsində domenlərarası marşrutlaşdırma öz fəaliyyətinin nisbi sabitliyini qoruyur.
Bununla belə, nüanslar var. Marşrutlaşdırma məlumatı ROUTE-OBJECTS və AS-SET obyektləri əsasında yoxlanılır. Əgər birincisi IRRDB-nin bir hissəsi üçün icazəni nəzərdə tutursa, ikinci sinif üçün sinif olaraq icazə yoxdur. Yəni hər kəs öz dəstlərinə hər kəsi əlavə edə və bununla da yuxarı provayderlərin filtrlərindən yan keçə bilər. Üstəlik, müxtəlif IRR bazaları arasında AS-SET adlandırılmasının unikallığına zəmanət verilmir, bu da öz növbəsində heç nəyi dəyişdirməyən telekommunikasiya operatoru üçün qəfil əlaqə itkisi ilə təəccüblü təsirlərə səbəb ola bilər.
Əlavə problem AS-SET-in istifadə nümunəsidir. Burada iki məqam var:
- Operator yeni müştəri əldə etdikdə onu AS-SET-ə əlavə edir, lakin onu demək olar ki, heç vaxt çıxarmır;
- Filtrlərin özləri yalnız müştərilərlə interfeyslərdə konfiqurasiya edilir.
Nəticədə, BGP filtrlərinin müasir formatı müştərilərlə interfeyslərdə tədricən pisləşən filtrlərdən və həmyaşıd tərəfdaşlardan və İP tranzit provayderlərindən gələnlərə apriori etibardan ibarətdir.
AS-SET-ə əsaslanan prefiks filtrlərini nə əvəz edir? Ən maraqlısı odur ki, qısa müddətdə - heç nə. Ancaq IRRDB əsaslı filtrlərin işini tamamlayan əlavə mexanizmlər yaranır və ilk növbədə, bu, əlbəttə ki, RPKI-dir.
RPKI
Sadələşdirilmiş şəkildə, RPKI arxitekturasını qeydləri kriptoqrafik olaraq təsdiqlənə bilən paylanmış verilənlər bazası kimi düşünmək olar. ROA (Route Object Authorization) vəziyyətində, imzalayan ünvan sahəsinin sahibidir və qeydin özü üçlüdür (prefiks, asn, max_length). Əsasən, bu giriş aşağıdakıları nəzərdə tutur: $prefiks ünvan sahəsinin sahibi $max_length-dən çox olmayan prefiksləri reklam etmək üçün $asn AS nömrəsinə icazə verib. Və marşrutlaşdırıcılar RPKI keşindən istifadə edərək cütlüyün uyğunluğunu yoxlaya bilirlər prefiks - yolda ilk danışan.
Şəkil 3. RPKI arxitekturası
ROA obyektləri kifayət qədər uzun müddətdir standartlaşdırılıb, lakin son vaxtlara qədər onlar IETF jurnalında yalnız kağız üzərində qalıblar. Məncə, bunun səbəbi qorxulu səslənir - pis marketinq. Standartlaşdırma başa çatdıqdan sonra, təşviq ROA-nın BGP qaçırılmasından qorunması idi - bu doğru deyildi. Hücumçular yolun əvvəlinə düzgün AC nömrəsini daxil etməklə ROA əsaslı filtrləri asanlıqla keçə bilərlər. Və bu reallaşma gələn kimi növbəti məntiqi addım ROA-nın istifadəsindən imtina etmək oldu. Həqiqətən, əgər texnologiya işləmirsə, bizə niyə lazımdır?
Niyə fikrinizi dəyişməyin vaxtıdır? Çünki bu, bütün həqiqət deyil. ROA BGP-də haker fəaliyyətindən qorunmur, lakin təsadüfi yol qaçırmalarından qoruyur, məsələn, daha çox yayılmış BGP-də statik sızmalardan. Həmçinin, IRR əsaslı filtrlərdən fərqli olaraq, ROV yalnız müştərilərlə interfeyslərdə deyil, həm də həmyaşıdları və yuxarı axın provayderləri ilə interfeyslərdə istifadə edilə bilər. Yəni, RPKI-nin tətbiqi ilə yanaşı, BGP-dən apriori etibar tədricən yox olur.
İndi ROA-ya əsaslanan marşrutların yoxlanılması tədricən əsas oyunçular tərəfindən həyata keçirilir: ən böyük Avropa IX artıq yanlış marşrutları ləğv edir; Tier-1 operatorları arasında öz tərəfdaşları ilə interfeyslərdə filtrləri aktivləşdirən AT&T-ni vurğulamağa dəyər. Ən böyük məzmun təminatçıları da layihəyə yaxınlaşır. Onlarla orta ölçülü tranzit operatorları isə bu barədə heç kimə demədən artıq sakitcə həyata keçiriblər. Niyə bütün bu operatorlar RPKI tətbiq edir? Cavab sadədir: gedən trafikinizi başqalarının səhvlərindən qorumaq. Buna görə Yandex Rusiya Federasiyasında ROV-ni şəbəkəsinin kənarına daxil edən ilk şirkətlərdən biridir.
Bundan sonra nə olacaq?
İndi biz trafik mübadilə nöqtələri və şəxsi peerings ilə interfeyslərdə marşrut məlumatlarının yoxlanılmasını aktiv etdik. Yaxın gələcəkdə doğrulama yuxarı axın trafik provayderləri ilə də aktivləşdiriləcək.
Bunun sizin üçün nə fərqi var? Şəbəkəniz və Yandex arasında trafik marşrutunun təhlükəsizliyini artırmaq istəyirsinizsə, tövsiyə edirik:
- Ünvan sahəsini imzalayın - sadədir, orta hesabla 5-10 dəqiqə çəkir. Bu, kimsə istəmədən ünvan məkanınızı oğurladığı halda əlaqəmizi qoruyacaq (və bu mütləq gec-tez baş verəcək);
- Açıq mənbəli RPKI keşlərindən birini quraşdırın (, ) və şəbəkə sərhədində marşrutun yoxlanılmasını aktivləşdirin - bu, daha çox vaxt aparacaq, lakin yenə də heç bir texniki çətinlik yaratmayacaq.
Yandex həmçinin yeni RPKI obyekti əsasında filtrasiya sisteminin işlənib hazırlanmasını dəstəkləyir - (Avtonom Sistem Provayderinin Avtorizasiyası). ASPA və ROA obyektlərinə əsaslanan filtrlər nəinki “sızan” AS-SET-ləri əvəz edə bilər, həm də BGP-dən istifadə edərək MiTM hücumları məsələlərini bağlaya bilər.
Bir ay sonra Next Hop konfransında ASPA haqqında ətraflı danışacağam. Netflix, Facebook, Dropbox, Juniper, Mellanox və Yandex-dən olan həmkarları da orada çıxış edəcəklər. Şəbəkə yığını və gələcəkdə onun inkişafı ilə maraqlanırsınızsa, buyurun .
Mənbə: www.habr.com