Γεια σας, με λένε Alexander Azimov. Στο Yandex, αναπτύσσω διάφορα συστήματα παρακολούθησης, καθώς και αρχιτεκτονική δικτύου μεταφορών. Αλλά σήμερα θα μιλήσουμε για το πρωτόκολλο BGP.
Πριν από μια εβδομάδα, η Yandex ενεργοποίησε το ROV (Επικύρωση προέλευσης διαδρομής) στις διεπαφές με όλους τους ομότιμους συνεργάτες, καθώς και στα σημεία ανταλλαγής κίνησης. Διαβάστε παρακάτω γιατί έγινε αυτό και πώς θα επηρεάσει την αλληλεπίδραση με τους τηλεπικοινωνιακούς φορείς.
BGP και τι φταίει
Πιθανότατα γνωρίζετε ότι το BGP σχεδιάστηκε ως πρωτόκολλο δρομολόγησης interdomain. Ωστόσο, στην πορεία, ο αριθμός των περιπτώσεων χρήσης κατάφερε να αυξηθεί: σήμερα, το BGP, χάρη σε πολυάριθμες επεκτάσεις, έχει μετατραπεί σε ένα δίαυλο μηνυμάτων, που καλύπτει εργασίες από τον πάροχο VPN έως το μοντέρνο πλέον SD-WAN, και έχει ακόμη και εφαρμογή ως μια μεταφορά για έναν ελεγκτή που μοιάζει με SDN, που μετατρέπει το διάνυσμα απόστασης BGP σε κάτι παρόμοιο με το πρωτόκολλο συνδέσμων sat.
Σχήμα. 1.
Γιατί το BGP έχει λάβει (και συνεχίζει να λαμβάνει) τόσες πολλές χρήσεις; Υπάρχουν δύο βασικοί λόγοι:
- Το BGP είναι το μόνο πρωτόκολλο που λειτουργεί μεταξύ αυτόνομων συστημάτων (AS).
- Το BGP υποστηρίζει χαρακτηριστικά σε μορφή TLV (τύπος-μήκος-τιμή). Ναι, το πρωτόκολλο δεν είναι μόνο σε αυτό, αλλά δεδομένου ότι δεν υπάρχει τίποτα που να το αντικαθιστά στις διασταυρώσεις μεταξύ τηλεπικοινωνιακών φορέων, αποδεικνύεται πάντα πιο κερδοφόρο να προσαρτήσετε ένα άλλο λειτουργικό στοιχείο σε αυτό παρά να υποστηρίξετε ένα πρόσθετο πρωτόκολλο δρομολόγησης.
Τι του συμβαίνει; Εν ολίγοις, το πρωτόκολλο δεν έχει ενσωματωμένους μηχανισμούς για τον έλεγχο της ορθότητας των πληροφοριών που λαμβάνονται. Δηλαδή, το BGP είναι ένα a priori πρωτόκολλο εμπιστοσύνης: αν θέλετε να πείτε στον κόσμο ότι τώρα έχετε το δίκτυο της Rostelecom, του MTS ή της Yandex, παρακαλώ!
Φίλτρο με βάση το IRRDB - το καλύτερο από τα χειρότερα
Τίθεται το ερώτημα: γιατί το Διαδίκτυο εξακολουθεί να λειτουργεί σε μια τέτοια κατάσταση; Ναι, λειτουργεί τις περισσότερες φορές, αλλά ταυτόχρονα εκρήγνυται περιοδικά, καθιστώντας ολόκληρα εθνικά τμήματα απρόσιτα. Αν και η δραστηριότητα των χάκερ στο BGP είναι επίσης σε άνοδο, οι περισσότερες ανωμαλίες εξακολουθούν να προκαλούνται από σφάλματα. Το φετινό παράδειγμα είναι στη Λευκορωσία, γεγονός που έκανε σημαντικό μέρος του Διαδικτύου απρόσιτο στους χρήστες του MegaFon για μισή ώρα. Ενα άλλο παράδειγμα - έσπασε ένα από τα μεγαλύτερα δίκτυα CDN στον κόσμο.
Ρύζι. 2. Παρακολούθηση κυκλοφορίας Cloudflare
Ωστόσο, γιατί τέτοιες ανωμαλίες συμβαίνουν μία φορά κάθε έξι μήνες και όχι κάθε μέρα; Επειδή οι πάροχοι χρησιμοποιούν εξωτερικές βάσεις δεδομένων πληροφοριών δρομολόγησης για να επαληθεύσουν τι λαμβάνουν από τους γείτονες BGP. Υπάρχουν πολλές τέτοιες βάσεις δεδομένων, μερικές από αυτές διαχειρίζονται καταχωρητές (RIPE, APNIC, ARIN, AFRINIC), ορισμένες είναι ανεξάρτητοι παίκτες (το πιο διάσημο είναι το RADB) και υπάρχει επίσης ένα ολόκληρο σύνολο καταχωρητών που ανήκουν σε μεγάλες εταιρείες (Επίπεδο 3 , NTT, κ.λπ.). Χάρη σε αυτές τις βάσεις δεδομένων, η δρομολόγηση μεταξύ τομέων διατηρεί τη σχετική σταθερότητα της λειτουργίας της.
Ωστόσο, υπάρχουν αποχρώσεις. Οι πληροφορίες δρομολόγησης ελέγχονται με βάση τα αντικείμενα ROUTE-OBJECTS και AS-SET. Και αν το πρώτο συνεπάγεται εξουσιοδότηση για μέρος του IRRDB, τότε για τη δεύτερη κατηγορία δεν υπάρχει εξουσιοδότηση ως κατηγορία. Δηλαδή, ο καθένας μπορεί να προσθέσει οποιονδήποτε στα σετ του και έτσι να παρακάμψει τα φίλτρα των παρόχων ανάντη. Επιπλέον, η μοναδικότητα της ονομασίας AS-SET μεταξύ διαφορετικών βάσεων IRR δεν είναι εγγυημένη, γεγονός που μπορεί να οδηγήσει σε εκπληκτικά αποτελέσματα με ξαφνική απώλεια συνδεσιμότητας για τον τηλεπικοινωνιακό πάροχο, ο οποίος, από την πλευρά του, δεν άλλαξε τίποτα.
Μια επιπλέον πρόκληση είναι το μοτίβο χρήσης του AS-SET. Υπάρχουν δύο σημεία εδώ:
- Όταν ένας χειριστής λαμβάνει έναν νέο πελάτη, τον προσθέτει στο AS-SET του, αλλά σχεδόν ποτέ δεν τον αφαιρεί.
- Τα ίδια τα φίλτρα διαμορφώνονται μόνο στις διεπαφές με τους πελάτες.
Ως αποτέλεσμα, η σύγχρονη μορφή των φίλτρων BGP αποτελείται από σταδιακά υποβαθμισμένα φίλτρα στις διεπαφές με τους πελάτες και a priori εμπιστοσύνη σε ό,τι προέρχεται από ομότιμους συνεργάτες και παρόχους διαμετακόμισης IP.
Τι είναι η αντικατάσταση των φίλτρων προθέματος που βασίζονται στο AS-SET; Το πιο ενδιαφέρον είναι ότι βραχυπρόθεσμα - τίποτα. Αλλά εμφανίζονται πρόσθετοι μηχανισμοί που συμπληρώνουν το έργο των φίλτρων που βασίζονται σε IRRDB, και πρώτα απ 'όλα, αυτό είναι, φυσικά, το RPKI.
RPKI
Με απλοποιημένο τρόπο, η αρχιτεκτονική RPKI μπορεί να θεωρηθεί ως μια κατανεμημένη βάση δεδομένων της οποίας οι εγγραφές μπορούν να επαληθευτούν κρυπτογραφικά. Στην περίπτωση του ROA (Εξουσιοδότηση αντικειμένου διαδρομής), ο υπογράφων είναι ο κάτοχος του χώρου διευθύνσεων και η ίδια η εγγραφή είναι τριπλή (πρόθεμα, asn, max_length). Ουσιαστικά, αυτή η καταχώρηση προϋποθέτει το εξής: ο κάτοχος του χώρου διευθύνσεων $πρόθεμα έχει εξουσιοδοτήσει τον αριθμό AS $asn να διαφημίζει προθέματα με μήκος όχι μεγαλύτερο από $max_length. Και οι δρομολογητές, χρησιμοποιώντας την κρυφή μνήμη RPKI, μπορούν να ελέγξουν το ζεύγος για συμμόρφωση πρόθεμα - πρώτος ομιλητής καθ' οδόν.
Εικόνα 3. Αρχιτεκτονική RPKI
Τα αντικείμενα ROA έχουν τυποποιηθεί εδώ και πολύ καιρό, αλλά μέχρι πρόσφατα παρέμεναν μόνο στα χαρτιά στο περιοδικό IETF. Κατά τη γνώμη μου, ο λόγος για αυτό ακούγεται τρομακτικό - κακό μάρκετινγκ. Μετά την ολοκλήρωση της τυποποίησης, το κίνητρο ήταν ότι η ROA προστατεύει από την αεροπειρατεία BGP - κάτι που δεν ήταν αλήθεια. Οι εισβολείς μπορούν εύκολα να παρακάμψουν τα φίλτρα που βασίζονται σε ROA εισάγοντας τον σωστό αριθμό AC στην αρχή της διαδρομής. Και μόλις ήρθε αυτή η συνειδητοποίηση, το επόμενο λογικό βήμα ήταν να εγκαταλείψουμε τη χρήση του ROA. Και αλήθεια, γιατί χρειαζόμαστε την τεχνολογία αν δεν λειτουργεί;
Γιατί ήρθε η ώρα να αλλάξετε γνώμη; Γιατί αυτή δεν είναι όλη η αλήθεια. Το ROA δεν προστατεύει από τη δραστηριότητα χάκερ στο BGP, αλλά προστατεύει από τυχαία αεροπειρατεία, για παράδειγμα από στατικές διαρροές στο BGP, που γίνεται όλο και πιο συνηθισμένο. Επίσης, σε αντίθεση με τα φίλτρα που βασίζονται σε IRR, το ROV μπορεί να χρησιμοποιηθεί όχι μόνο στις διεπαφές με τους πελάτες, αλλά και στις διεπαφές με ομότιμους και ανοδικούς παρόχους. Δηλαδή, μαζί με την εισαγωγή του RPKI, η a priori εμπιστοσύνη σταδιακά εξαφανίζεται από το BGP.
Τώρα, ο έλεγχος διαδρομών που βασίζονται σε ROA εφαρμόζεται σταδιακά από βασικούς παίκτες: το μεγαλύτερο ευρωπαϊκό IX απορρίπτει ήδη εσφαλμένες διαδρομές μεταξύ των χειριστών Tier-1, αξίζει να τονιστεί η AT&T, η οποία έχει ενεργοποιήσει τα φίλτρα στις διεπαφές με τους ομοτίμους εταίρους της. Οι μεγαλύτεροι πάροχοι περιεχομένου προσεγγίζουν επίσης το έργο. Και δεκάδες μεσαίου μεγέθους φορείς διαμετακόμισης το έχουν ήδη εφαρμόσει αθόρυβα, χωρίς να το πουν σε κανέναν. Γιατί όλοι αυτοί οι χειριστές εφαρμόζουν το RPKI; Η απάντηση είναι απλή: να προστατεύσετε την εξερχόμενη επισκεψιμότητά σας από τα λάθη άλλων ανθρώπων. Αυτός είναι ο λόγος για τον οποίο η Yandex είναι από τις πρώτες στη Ρωσική Ομοσπονδία που συμπεριέλαβε το ROV στην άκρη του δικτύου της.
Τι θα συμβεί στη συνέχεια;
Έχουμε πλέον ενεργοποιήσει τον έλεγχο των πληροφοριών δρομολόγησης στις διεπαφές με σημεία ανταλλαγής κίνησης και ιδιωτικές ομότιμες. Στο εγγύς μέλλον, η επαλήθευση θα ενεργοποιηθεί επίσης με παρόχους κυκλοφορίας ανάντη.
Τι διαφορά έχει αυτό για εσάς; Εάν θέλετε να αυξήσετε την ασφάλεια της δρομολόγησης της κυκλοφορίας μεταξύ του δικτύου σας και του Yandex, συνιστούμε:
- Υπογράψτε τον χώρο διεύθυνσής σας - είναι απλό, διαρκεί 5-10 λεπτά κατά μέσο όρο. Αυτό θα προστατεύσει τη συνδεσιμότητα μας σε περίπτωση που κάποιος κλέψει άθελά σας τον χώρο διευθύνσεών σας (και αυτό θα συμβεί σίγουρα αργά ή γρήγορα).
- Εγκαταστήστε μία από τις κρυφές μνήμες ανοιχτού κώδικα RPKI (, ) και ενεργοποιήστε τον έλεγχο διαδρομής στα σύνορα του δικτύου - αυτό θα πάρει περισσότερο χρόνο, αλλά και πάλι, δεν θα προκαλέσει τεχνικές δυσκολίες.
Το Yandex υποστηρίζει επίσης την ανάπτυξη ενός συστήματος φιλτραρίσματος που βασίζεται στο νέο αντικείμενο RPKI - (Autonomous System Provider Authorization). Τα φίλτρα που βασίζονται σε αντικείμενα ASPA και ROA μπορούν όχι μόνο να αντικαταστήσουν τα "διαρροή" AS-SET, αλλά και να κλείσουν τα ζητήματα των επιθέσεων MiTM χρησιμοποιώντας BGP.
Θα μιλήσω αναλυτικά για το ASPA σε ένα μήνα στο συνέδριο Next Hop. Εκεί θα μιλήσουν και συνάδελφοι από τα Netflix, Facebook, Dropbox, Juniper, Mellanox και Yandex. Εάν ενδιαφέρεστε για τη στοίβα δικτύου και την ανάπτυξή της στο μέλλον, ελάτε .
Πηγή: www.habr.com