Helo, fy enw i yw Alexander Azimov. Yn Yandex, rwy'n datblygu systemau monitro amrywiol, yn ogystal â phensaernïaeth rhwydwaith trafnidiaeth. Ond heddiw byddwn yn siarad am y protocol BGP.
Wythnos yn ôl, galluogodd Yandex ROV (Dilysiad Tarddiad Llwybr) ar y rhyngwynebau â'r holl bartneriaid sy'n edrych, yn ogystal â phwyntiau cyfnewid traffig. Darllenwch isod pam y gwnaed hyn a sut y bydd yn effeithio ar ryngweithio â gweithredwyr telathrebu.
BGP a beth sydd o'i le arno
Mae'n debyg eich bod yn gwybod bod BGP wedi'i gynllunio fel protocol llwybro rhwng parthau. Fodd bynnag, ar hyd y ffordd, llwyddodd nifer yr achosion defnydd i dyfu: heddiw, mae BGP, diolch i nifer o estyniadau, wedi troi'n fws neges, gan gwmpasu tasgau gan y gweithredwr VPN i'r SD-WAN sydd bellach yn ffasiynol, ac mae hyd yn oed wedi dod o hyd i gais fel cludiant ar gyfer rheolydd tebyg i SDN, gan droi fector pellter BGP yn rhywbeth tebyg i'r protocol links sat.
Ffigur: pymtheg.
Pam mae BGP wedi cael (ac yn parhau i dderbyn) cymaint o ddefnyddiau? Mae dau brif reswm:
- BGP yw'r unig brotocol sy'n gweithio rhwng systemau ymreolaethol (AS);
- Mae BGP yn cefnogi priodoleddau mewn fformat TLV (math-hyd-gwerth). Ydy, nid yw'r protocol ar ei ben ei hun yn hyn o beth, ond gan nad oes dim i'w ddisodli ar y cyffyrdd rhwng gweithredwyr telathrebu, mae bob amser yn fwy proffidiol atodi elfen swyddogaethol arall iddo na chefnogi protocol llwybro ychwanegol.
Beth sy'n bod arno? Yn fyr, nid oes gan y protocol fecanweithiau adeiledig ar gyfer gwirio cywirdeb y wybodaeth a dderbyniwyd. Hynny yw, mae BGP yn brotocol ymddiriedolaeth priori: os ydych chi am ddweud wrth y byd eich bod chi bellach yn berchen ar rwydwaith Rostelecom, MTS neu Yandex, os gwelwch yn dda!
Hidlydd seiliedig ar IRRDB - y gorau o'r gwaethaf
Mae'r cwestiwn yn codi: pam mae'r Rhyngrwyd yn dal i weithio mewn sefyllfa o'r fath? Ydy, mae'n gweithio'r rhan fwyaf o'r amser, ond ar yr un pryd mae'n ffrwydro o bryd i'w gilydd, gan wneud segmentau cenedlaethol cyfan yn anhygyrch. Er bod gweithgaredd haciwr yn BGP hefyd ar gynnydd, mae'r rhan fwyaf o anomaleddau yn dal i gael eu hachosi gan fygiau. Yr enghraifft eleni yw yn Belarus, a wnaeth ran sylweddol o'r Rhyngrwyd yn anhygyrch i ddefnyddwyr MegaFon am hanner awr. Enghraifft arall - torri un o'r rhwydweithiau CDN mwyaf yn y byd.
Reis. 2. Cloudflare rhyng-gipio traffig
Ond o hyd, pam mae anghysondebau o'r fath yn digwydd unwaith bob chwe mis, ac nid bob dydd? Oherwydd bod cludwyr yn defnyddio cronfeydd data allanol o wybodaeth llwybro i wirio'r hyn a gânt gan gymdogion BGP. Mae yna lawer o gronfeydd data o'r fath, mae rhai ohonynt yn cael eu rheoli gan gofrestryddion (RIPE, APNIC, ARIN, AFRINIC), mae rhai yn chwaraewyr annibynnol (yr enwocaf yw RADB), ac mae yna hefyd set gyfan o gofrestryddion sy'n eiddo i gwmnïau mawr (Lefel 3). , NTT, ac ati). Diolch i'r cronfeydd data hyn y mae llwybro rhwng parthau yn cynnal sefydlogrwydd cymharol ei weithrediad.
Fodd bynnag, mae yna arlliwiau. Mae gwybodaeth llwybro yn cael ei gwirio yn seiliedig ar wrthrychau LLWYBR a gwrthrychau AS-SET. Ac os yw'r cyntaf yn awgrymu awdurdodiad ar gyfer rhan o'r IRRDB, yna ar gyfer yr ail ddosbarth nid oes awdurdodiad fel dosbarth. Hynny yw, gall unrhyw un ychwanegu unrhyw un at eu setiau a thrwy hynny osgoi hidlwyr darparwyr i fyny'r afon. Ar ben hynny, nid yw unigrywiaeth yr enwi AS-SET rhwng gwahanol seiliau IRR wedi'i warantu, a all arwain at effeithiau rhyfeddol gyda cholli cysylltedd yn sydyn i'r gweithredwr telathrebu, na wnaeth, o'i ran ef, newid unrhyw beth.
Her ychwanegol yw patrwm defnydd AS-SET. Mae dau bwynt yma:
- Pan fydd gweithredwr yn cael cleient newydd, mae'n ei ychwanegu at ei AS-SET, ond nid yw bron byth yn ei ddileu;
- Mae'r hidlwyr eu hunain wedi'u ffurfweddu ar y rhyngwynebau â chleientiaid yn unig.
O ganlyniad, mae fformat modern hidlwyr BGP yn cynnwys hidlwyr sy'n diraddio'n raddol ar y rhyngwynebau â chleientiaid ac ymddiriedaeth priori yn yr hyn sy'n dod o bartneriaid sy'n edrych ymlaen a darparwyr tramwy IP.
Beth yw disodli hidlwyr rhagddodiad yn seiliedig ar AS-SET? Y peth mwyaf diddorol yw bod yn y tymor byr - dim byd. Ond mae mecanweithiau ychwanegol yn dod i'r amlwg sy'n ategu gwaith hidlwyr sy'n seiliedig ar IRRDB, ac yn gyntaf oll, dyma, wrth gwrs, RPKI.
RPKI
Mewn ffordd symlach, gellir meddwl am bensaernïaeth RPKI fel cronfa ddata ddosbarthedig y gellir dilysu ei chofnodion yn cryptograffig. Yn achos ROA (Awdurdodi Gwrthrychau Llwybr), yr arwyddwr yw perchennog y gofod cyfeiriad, ac mae'r cofnod ei hun yn driphlyg (rhagddodiad, asn, max_length). Yn y bôn, mae'r cofnod hwn yn rhagdybio'r canlynol: mae perchennog y gofod cyfeiriad $ prefix wedi awdurdodi'r rhif AS $asn i hysbysebu rhagddodiaid sydd â hyd heb fod yn fwy na $max_length. Ac mae llwybryddion, gan ddefnyddio storfa RPKI, yn gallu gwirio'r pâr am gydymffurfiad rhagddodiad - siaradwr cyntaf ar y ffordd.
Ffigur 3. Pensaernïaeth RPKI
Mae gwrthrychau ROA wedi'u safoni ers cryn amser, ond tan yn ddiweddar roeddent mewn gwirionedd yn aros ar bapur yn unig yng nghyfnodolyn IETF. Yn fy marn i, mae'r rheswm am hyn yn swnio'n frawychus - marchnata gwael. Ar ôl i safoni gael ei gwblhau, y cymhelliant oedd bod ROA yn diogelu rhag herwgipio BGP - nad oedd yn wir. Gall ymosodwyr osgoi hidlwyr ROA yn hawdd trwy fewnosod y rhif AC cywir ar ddechrau'r llwybr. A chyn gynted ag y daeth y sylweddoliad hwn, y cam rhesymegol nesaf oedd rhoi'r gorau i ddefnyddio ROA. Ac mewn gwirionedd, pam mae angen technoleg arnom os nad yw'n gweithio?
Pam ei bod hi'n bryd newid eich meddwl? Oherwydd nid dyma'r gwir i gyd. Nid yw ROA yn amddiffyn rhag gweithgaredd haciwr yn BGP, ond amddiffyn rhag herwgipio traffig damweiniol, er enghraifft o ollyngiadau statig yn BGP, sy'n dod yn fwy cyffredin. Hefyd, yn wahanol i hidlwyr sy'n seiliedig ar IRR, gellir defnyddio ROV nid yn unig ar y rhyngwynebau â chleientiaid, ond hefyd ar y rhyngwynebau â chyfoedion a darparwyr i fyny'r afon. Hynny yw, ynghyd â chyflwyno RPKI, mae ymddiriedolaeth priori yn diflannu'n raddol o BGP.
Nawr, mae gwirio llwybrau sy'n seiliedig ar ROA yn cael ei weithredu'n raddol gan chwaraewyr allweddol: mae'r IX Ewropeaidd mwyaf eisoes yn taflu llwybrau anghywir ymhlith gweithredwyr Haen-1, mae'n werth tynnu sylw at AT&T, sydd wedi galluogi hidlwyr yn y rhyngwynebau â'i bartneriaid sy'n edrych. Mae'r darparwyr cynnwys mwyaf hefyd yn agosáu at y prosiect. Ac mae dwsinau o weithredwyr trafnidiaeth canolig eisoes wedi ei weithredu'n dawel, heb ddweud wrth unrhyw un amdano. Pam mae'r holl weithredwyr hyn yn gweithredu RPKI? Mae'r ateb yn syml: i amddiffyn eich traffig sy'n mynd allan rhag camgymeriadau pobl eraill. Dyna pam mae Yandex yn un o'r rhai cyntaf yn Ffederasiwn Rwsia i gynnwys ROV ar ymyl ei rwydwaith.
Beth fydd yn digwydd nesaf?
Rydym bellach wedi galluogi gwirio gwybodaeth llwybro ar y rhyngwynebau â phwyntiau cyfnewid traffig ac arolygfeydd preifat. Yn y dyfodol agos, bydd dilysu hefyd yn cael ei alluogi gyda darparwyr traffig i fyny'r afon.
Pa wahaniaeth mae hyn yn ei wneud i chi? Os ydych chi am gynyddu diogelwch llwybrau traffig rhwng eich rhwydwaith a Yandex, rydym yn argymell:
- Llofnodwch eich gofod cyfeiriad - mae'n syml, yn cymryd 5-10 munud ar gyfartaledd. Bydd hyn yn diogelu ein cysylltedd os bydd rhywun yn ddiarwybod yn dwyn eich gofod cyfeiriad (a bydd hyn yn bendant yn digwydd yn hwyr neu'n hwyrach);
- Gosodwch un o'r caches RPKI ffynhonnell agored (, ) a galluogi gwirio llwybrau ar ffin y rhwydwaith - bydd hyn yn cymryd mwy o amser, ond eto, ni fydd yn achosi unrhyw anawsterau technegol.
Mae Yandex hefyd yn cefnogi datblygu system hidlo yn seiliedig ar y gwrthrych RPKI newydd - (Awtonomaidd Awdurdodiad Darparwr System). Gall hidlwyr sy'n seiliedig ar wrthrychau ASPA a ROA nid yn unig ddisodli AS-SETs “gollwng”, ond hefyd cau materion ymosodiadau MiTM gan ddefnyddio BGP.
Byddaf yn siarad yn fanwl am ASPA mewn mis yng nghynhadledd Next Hop. Bydd cydweithwyr o Netflix, Facebook, Dropbox, Juniper, Mellanox a Yandex hefyd yn siarad yno. Os oes gennych ddiddordeb yn y pentwr rhwydwaith a'i ddatblygiad yn y dyfodol, dewch .
Ffynhonnell: hab.com