Hola, mi chjamu Alexander Azimov. In Yandex, aghju sviluppatu diversi sistemi di monitoraghju, è ancu l'architettura di a rete di trasportu. Ma oghje parlemu di u protocolu BGP.
Una settimana fà, Yandex hà attivatu ROV (Route Origin Validation) in l'interfacce cù tutti i partenarii di peering, è ancu i punti di scambiu di trafficu. Leghjite quì sottu perchè questu hè statu fattu è cumu affetterà l'interazzione cù l'operatori di telecomunicazioni.
BGP è ciò chì ci hè di male
Probabilmente sapete chì BGP hè statu cuncepitu cum'è un protocolu di routing interdomain. In ogni modu, in u caminu, u numeru di casi d'usu hà sappiutu cresce: oghje, BGP, grazia à numerosi estensioni, hè diventatu in un bus di messagiu, chì copre i travaglii da l'operatore VPN à u SD-WAN, avà di moda, è hà ancu trovu applicazione cum'è un trasportu per un controller simile à SDN, trasfurmendu u vettore di distanza BGP in qualcosa di simile à u protocolu sat di ligami.
Fig. 1.
Perchè BGP hà ricevutu (è cuntinueghja à riceve) tanti usi ? Ci sò dui mutivi principali:
- BGP hè u solu protokollu chì travaglia trà sistemi autonomi (AS);
- BGP supporta attributi in u formatu TLV (type-length-value). Iè, u protokollu ùn hè micca solu in questu, ma postu chì ùn ci hè nunda di rimpiazzà à i junctions trà l'operatori di telecomunicazioni, sempre risulta più prufittuamente per attaccà un altru elementu funziunale à ellu chì sustene un protocolu di routing supplementu.
Chì ci hè di male ? In corta, u protokollu ùn hà micca meccanismi integrati per verificà a correzione di l'infurmazioni ricevuti. Questu hè, BGP hè un protokollu di fiducia a priori: se vulete dì à u mondu chì avà pussede a reta di Rostelecom, MTS o Yandex, per piacè!
Filtru basatu IRRDB - u megliu di u peghju
A quistione hè: perchè l'Internet travaglia sempre in una tale situazione? Iè, funziona a maiò parte di u tempu, ma à u stessu tempu esplode periodicamente, rendendu segmenti naziunali interi inaccessibili. Ancu l'attività di pirate in BGP hè ancu in crescita, a maiò parte di l'anomali sò sempre causati da bug. L'esempiu di questu annu hè in Bielorussia, chì hà fattu una parte significativa di l'Internet inaccessibile à l'utilizatori di MegaFon per una meza ora. Un altru esempiu - rompe una di e più grande rete CDN in u mondu.
Risu. 2. Cloudflare interception trafficu
Ma sempre, perchè tali anomalii si sò una volta ogni sei mesi, è micca ogni ghjornu? Perchè i trasportatori utilizanu basa di dati esterni di l'infurmazioni di routing per verificà ciò chì ricevenu da i vicini BGP. Ci hè parechje tali basa di dati, alcuni di elli sò amministrati da i registratori (RIPE, APNIC, ARIN, AFRINIC), alcuni sò attori indipendenti (u più famosu hè RADB), è ci hè ancu un inseme tutale di registratori di grande cumpagnie (Level3). , NTT, etc.). Hè grazia à queste basa di dati chì u routing inter-domain mantene a stabilità relativa di u so funziunamentu.
Tuttavia, ci sò sfumature. L'infurmazione di u routing hè verificatu basatu annantu à l'uggetti ROUTE-OBJECTS è AS-SET. È se u primu implica l'autorizazione per una parte di l'IRRDB, allora per a seconda classe ùn ci hè micca autorizazione cum'è classe. Vale à dì, qualcunu pò aghjunghje qualcunu à i so setti è cusì sguassate i filtri di i fornitori upstream. Inoltre, l'unicità di a denominazione AS-SET trà e diverse basi IRR ùn hè micca garantita, chì pò purtà à effetti sorprendenti cù una perdita brusca di cunnessione per l'operatore di telecomunicazione, chì, per a so parte, ùn hà micca cambiatu nunda.
Una sfida addiziale hè u mudellu di usu di AS-SET. Ci sò dui punti quì:
- Quandu un operatore riceve un novu cliente, l'aghjunghje à u so AS-SET, ma quasi mai l'elimina;
- I filtri stessi sò cunfigurati solu in l'interfaccia cù i clienti.
In u risultatu, u formatu mudernu di filtri BGP hè custituitu di filtri degradanti gradualmente à l'interfacce cù i clienti è a fiducia a priori in ciò chì vene da i partenarii di peering è i fornituri di transitu IP.
Cosa hè a rimpiazzà i filtri di prefissu basatu annantu à AS-SET? A cosa più interessante hè chì in u cortu termini - nunda. Ma i miccanismi supplementari sò emergenti chì cumplementanu u travagliu di filtri basati in IRRDB, è prima di tuttu, questu hè, sicuru, RPKI.
RPKI
In modu simplificatu, l'architettura RPKI pò esse pensata cum'è una basa di dati distribuita chì i registri ponu esse verificati criptograficamente. In u casu di ROA (Route Object Authorization), u firmante hè u pruprietariu di u spaziu di l'indirizzu, è u registru stessu hè un triplu (prefissu, asn, max_length). Essenzialmente, sta entrata postula i seguenti: u pruprietariu di u spaziu di indirizzu $ prefissu hà autorizatu u numeru AS $ asn per publicità prefissi cù una lunghezza micca più grande di $ max_length. È i routers, chì utilizanu a cache RPKI, sò capaci di verificà a coppia per a conformità prefissu - primu parlante in strada.
Figura 3. Architettura RPKI
L'oggetti ROA sò stati standardizati per un bellu pezzu, ma finu à pocu tempu sò in realtà solu in carta in u ghjurnale IETF. In u mo parè, u mutivu di questu sona spaventoso - marketing cattivu. Dopu chì a standardizazione hè stata cumpleta, l'incentive era chì ROA pruteghja contra u distrattu BGP - chì ùn era micca veru. L'attaccanti ponu facilmente bypassà i filtri basati in ROA inserendu u numeru AC currettu à u principiu di a strada. E appena sta realizazione hè ghjunta, u prossimu passu logicu era di abbandunà l'usu di ROA. È veramente, perchè avemu bisognu di tecnulugia s'ellu ùn funziona micca?
Perchè hè u tempu di cambià a vostra mente? Perchè questu ùn hè micca tutta a verità. ROA ùn pruteghja micca l'attività di pirate in BGP, ma prutege contr'à i dirottamenti accidentali di u trafficu, per esempiu da fughe statiche in BGP, chì hè diventatu più cumuni. Inoltre, à u cuntrariu di i filtri basati in IRR, ROV pò esse usatu micca solu in l'interfacce cù i clienti, ma ancu in l'interfacce cù i pari è i fornituri upstream. Vale à dì, cù l'intruduzioni di RPKI, a fiducia a priori hè gradualmente sparita da BGP.
Avà, a verificazione di e rotte basate nantu à ROA hè stata implementata gradualmente da i principali attori: u più grande IX Europeu hè digià scartà rotte sbagliate trà l'operatori di Tier-1, vale a pena mette in risaltu AT&T, chì hà attivatu i filtri à l'interfaccia cù i so cumpagni di peering. I più grandi fornitori di cuntenutu si avvicinanu ancu à u prugettu. E decine d'operatori di transitu di medie dimensioni l'anu digià implementatu in silenziu, senza dì à nimu. Perchè tutti questi operatori implementanu RPKI? A risposta hè simplice: per prutege u vostru trafficu in uscita da i sbagli di l'altri. Hè per quessa Yandex hè unu di i primi in a Federazione Russa chì include ROV à a riva di a so reta.
Chì succede dopu ?
Avemu avà attivatu a verificazione di l'infurmazioni di routing à l'interfacce cù punti di scambiu di trafficu è peerings privati. In un futuru vicinu, a verificazione serà ancu attivata cù i fornituri di trafficu upstream.
Chì differenza fa questu per voi? Se vulete aumentà a sicurità di l'instradamentu di u trafficu trà a vostra reta è Yandex, ricumandemu:
- Firmate u vostru spaziu di indirizzu - hè simplice, dura 5-10 minuti in media. Questu prutege a nostra cunnessione in l'eventuali chì qualcunu involontariamente arrubba u vostru spaziu di indirizzu (è questu succederà di sicuru prima o dopu);
- Installa unu di i cache RPKI open source (, ) è attivà a verificazione di a strada à a fruntiera di a rete - questu duverà più tempu, ma dinò, ùn pruvucarà micca difficultà tecniche.
Yandex sustene ancu u sviluppu di un sistema di filtrazione basatu annantu à u novu ughjettu RPKI - (Autorizazione di u Fornitore di u Sistema Autònumu). I filtri basati nantu à l'uggetti ASPA è ROA ùn ponu micca solu rimpiazzà AS-SET "leaky", ma ancu chjude i prublemi di attacchi MiTM cù BGP.
Parlaraghju in dettagliu di ASPA in un mese à a cunferenza Next Hop. I culleghi di Netflix, Facebook, Dropbox, Juniper, Mellanox è Yandex anu da parlà ancu quì. Sè site interessatu in a pila di rete è u so sviluppu in u futuru, venite .
Source: www.habr.com