Hello, ang akong ngalan mao si Alexander Azimov. Sa Yandex, nagpalambo ako og lainlaing mga sistema sa pagmonitor, ingon man ang arkitektura sa network sa transportasyon. Apan karon maghisgot kita bahin sa BGP protocol.
Usa ka semana ang milabay, gipalihok sa Yandex ang ROV (Route Origin Validation) sa mga interface sa tanan nga mga kauban nga kauban, ingon man mga punto sa pagbinayloay sa trapiko. Basaha sa ubos kung nganong nahimo kini ug kung giunsa kini makaapekto sa interaksyon sa mga operator sa telecom.
BGP ug unsa ang sayup niini
Tingali nahibal-an nimo nga ang BGP gidesinyo isip interdomain routing protocol. Bisan pa, sa kadugayan, ang gidaghanon sa mga kaso sa paggamit nakahimo sa pag-uswag: karon, ang BGP, salamat sa daghang mga extension, nahimo nga usa ka bus sa mensahe, nga naglangkob sa mga buluhaton gikan sa operator VPN hangtod sa karon nga uso nga SD-WAN, ug nakit-an pa ang aplikasyon ingon usa ka transportasyon alang sa usa ka controller nga sama sa SDN, nga gihimo ang distansya nga vector BGP ngadto sa usa ka butang nga susama sa mga link sat protocol.
Hulagway: kinse.
Ngano nga ang BGP nakadawat (ug nagpadayon sa pagdawat) daghang mga gamit? Adunay duha ka pangunang rason:
- Ang BGP mao lamang ang protocol nga naglihok tali sa mga autonomous system (AS);
- Ang BGP nagsuporta sa mga hiyas sa TLV (type-length-value) nga format. Oo, ang protocol dili nag-inusara niini, apan tungod kay walaβy makapuli niini sa mga junction tali sa mga operator sa telecom, kanunay nga labi ka mapuslanon ang pag-attach sa lain nga elemento sa pag-andar niini kaysa pagsuporta sa usa ka dugang nga protocol sa ruta.
Unsa may problema niya? Sa laktod nga pagkasulti, ang protocol walay mga built-in nga mekanismo sa pagsusi sa pagkahusto sa impormasyon nga nadawat. Sa ato pa, ang BGP usa ka priori trust protocol: kung gusto nimo isulti sa kalibutan nga ikaw karon ang tag-iya sa network sa Rostelecom, MTS o Yandex, palihug!
IRRDB based filter - ang pinakamaayo sa pinakagrabe
Ang pangutana mitungha: nganong ang Internet nagtrabaho gihapon sa ingon nga sitwasyon? Oo, kini nagtrabaho sa kadaghanan sa mga panahon, apan sa samang higayon kini matag karon ug unya mobuto, nga naghimo sa tibuok nasudnong mga bahin nga dili ma-access. Bisan kung ang kalihokan sa hacker sa BGP nagkadako usab, kadaghanan sa mga anomaliya gipahinabo gihapon sa mga bug. Ang pananglitan karong tuiga mao sa Belarus, nga naghimo sa usa ka mahinungdanong bahin sa Internet nga dili ma-access sa mga tiggamit sa MegaFon sulod sa tunga sa oras. Laing pananglitan - gibuak ang usa sa pinakadako nga network sa CDN sa kalibutan.
bugas. 2. Cloudflare traffic interception
Apan sa gihapon, nganong ang maong mga anomaliya mahitabo kausa sa matag unom ka bulan, ug dili kada adlaw? Tungod kay ang mga tagdala naggamit sa gawas nga mga database sa impormasyon sa ruta aron masusi kung unsa ang ilang nadawat gikan sa mga silingan sa BGP. Adunay daghang ingon nga mga database, ang uban niini gidumala sa mga rehistro (RIPE, APNIC, ARIN, AFRINIC), ang uban independente nga mga magdudula (ang labing inila mao ang RADB), ug adunay usa usab ka tibuuk nga set sa mga rehistro nga gipanag-iya sa mga dagkong kompanya (Level3 , NTT, ug uban pa). Salamat sa kini nga mga database nga ang inter-domain routing nagmintinar sa relatibong kalig-on sa operasyon niini.
Bisan pa, adunay mga nuances. Ang impormasyon sa ruta gisusi base sa ROUTE-OBJECTS ug AS-SET nga mga butang. Ug kung ang una nagpasabut nga pagtugot alang sa bahin sa IRRDB, nan alang sa ikaduha nga klase walaβy pagtugot ingon usa ka klase. Kana mao, bisan kinsa makadugang bisan kinsa sa ilang mga set ug sa ingon makalikay sa mga pagsala sa mga tighatag sa agos. Dugang pa, ang pagkatalagsaon sa pagngalan sa AS-SET tali sa lainlaing mga base sa IRR dili garantiya, nga mahimong mosangpot sa makapakurat nga mga epekto sa kalit nga pagkawala sa koneksyon alang sa telecom operator, kinsa, sa iyang bahin, wala mag-usab sa bisan unsa.
Ang dugang nga hagit mao ang sumbanan sa paggamit sa AS-SET. Adunay duha ka punto dinhi:
- Kung ang usa ka operator makakuha usa ka bag-ong kliyente, kini idugang sa iyang AS-SET, apan hapit dili kini makuha;
- Ang mga filter mismo gi-configure lamang sa mga interface sa mga kliyente.
Ingon usa ka sangputanan, ang modernong format sa mga filter sa BGP naglangkob sa anam-anam nga pagpaubos sa mga pagsala sa mga interface sa mga kliyente ug usa ka priori nga pagsalig sa kung unsa ang gikan sa mga kauban nga kauban ug mga taghatag sa transit sa IP.
Unsa ang pag-ilis sa mga prefix filter base sa AS-SET? Ang labing makapaikag nga butang mao nga sa mubo nga termino - wala. Apan mitumaw ang dugang nga mga mekanismo nga nagsangkap sa buhat sa IRRDB-based filters, ug una sa tanan, kini, siyempre, RPKI.
RPKI
Sa pinasimple nga paagi, ang arkitektura sa RPKI mahimong isipon nga usa ka gipang-apod-apod nga database kansang mga rekord mahimong mapamatud-an sa cryptographically. Sa kaso sa ROA (Route Object Authorization), ang nagpirma mao ang tag-iya sa address space, ug ang record mismo usa ka triple (prefix, asn, max_length). Sa kinatibuk-an, kini nga entry nag-postulate sa mosunod: ang tag-iya sa $prefix address space mitugot sa AS number $asn sa pag-advertise sa mga prefix nga adunay gitas-on nga dili molapas sa $max_length. Ug ang mga router, gamit ang RPKI cache, makahimo sa pagsusi sa pares alang sa pagsunod prefix - unang mamumulong sa dalan.
Hulagway 3. Arkitektura sa RPKI
Ang mga butang sa ROA dugay na nga gi-standardize, apan hangtod karon nagpabilin ra sila sa papel sa journal sa IETF. Sa akong opinyon, ang hinungdan niini daw makahadlok - dili maayo nga pagpamaligya. Human makompleto ang standardisasyon, ang insentibo mao nga ang ROA nanalipod batok sa BGP hijacking - nga dili tinuod. Ang mga tig-atake dali nga makalikay sa mga filter nga nakabase sa ROA pinaagi sa pagsulud sa husto nga numero sa AC sa sinugdanan sa agianan. Ug sa diha nga kini nga pagkaamgo miabut, ang sunod nga lohikal nga lakang mao ang pagbiya sa paggamit sa ROA. Ug sa tinuud, ngano nga kinahanglan naton ang teknolohiya kung dili kini molihok?
Nganong panahon na nga magbag-o ang imong hunahuna? Tungod kay dili kini ang tibuok kamatuoran. Ang ROA wala manalipod batok sa kalihokan sa hacker sa BGP, apan nanalipod batok sa aksidenteng pag-hijack sa trapiko, pananglitan gikan sa static leaks sa BGP, nga nahimong mas komon. Usab, dili sama sa mga filter nga nakabase sa IRR, ang ROV mahimong magamit dili lamang sa mga interface sa mga kliyente, apan usab sa mga interface sa mga kaedad ug mga upstream providers. Sa ato pa, uban sa pagpaila sa RPKI, ang usa ka priori nga pagsalig anam-anam nga nawala gikan sa BGP.
Karon, ang pagsusi sa mga ruta nga gibase sa ROA anam-anam nga gipatuman sa mga nag-unang magdudula: ang pinakadako nga European IX nagsalikway na sa dili husto nga mga ruta taliwala sa mga Tier-1 nga mga operator, angay nga ipasiugda ang AT&T, nga nakapahimo sa mga pagsala sa mga interface sa mga kauban niini. Ang pinakadako nga taghatag sa sulud nagkaduol usab sa proyekto. Ug daghang mga medium-sized nga mga operator sa transit ang hilom nga nagpatuman niini, nga wala gisultihan bisan kinsa bahin niini. Ngano nga kining tanan nga mga operator nagpatuman sa RPKI? Ang tubag yano ra: aron mapanalipdan ang imong paggawas nga trapiko gikan sa mga sayup sa ubang mga tawo. Mao nga ang Yandex usa sa una sa Russian Federation nga naglakip sa ROV sa ngilit sa network niini.
Unsay sunod nga mahitabo?
Nahimo na namon karon ang pagsusi sa impormasyon sa ruta sa mga interface nga adunay mga punto sa pagbinayloay sa trapiko ug mga pribado nga pagtan-aw. Sa umaabot nga umaabot, ang pag-verify mahimo usab nga magamit sa mga tighatag sa trapiko sa taas.
Unsang kalainan ang nahimo niini alang kanimo? Kung gusto nimong madugangan ang seguridad sa pag-ruta sa trapiko tali sa imong network ug Yandex, among girekomenda:
- Pirma ang imong address space - kini yano, nagkinahanglan og 5-10 ka minuto sa kasagaran. Manalipod kini sa among koneksyon kung adunay usa nga wala tuyoa nga mangawat sa imong address space (ug kini mahitabo sa madugay o sa madali);
- I-install ang usa sa open source RPKI caches (, ) ug i-enable ang pagsusi sa ruta sa utlanan sa network - magkinahanglan kini og dugang nga panahon, apan pag-usab, dili kini hinungdan sa bisan unsang teknikal nga kalisud.
Gisuportahan usab sa Yandex ang pag-uswag sa usa ka sistema sa pagsala base sa bag-ong butang nga RPKI - (Autonomous System Provider Authorization). Ang mga filter nga gibase sa ASPA ug ROA nga mga butang dili lamang makapuli sa "leaky" nga mga AS-SET, apan makasira usab sa mga isyu sa mga pag-atake sa MiTM gamit ang BGP.
Maghisgot ako sa detalye bahin sa ASPA sa usa ka bulan sa komperensya sa Next Hop. Ang mga kauban gikan sa Netflix, Facebook, Dropbox, Juniper, Mellanox ug Yandex mosulti usab didto. Kung interesado ka sa network stack ug ang pag-uswag niini sa umaabot, umari ka .
Source: www.habr.com