Kaixo, nire izena Alexander Azimov da. Yandex-en hainbat monitorizazio sistema garatzen ditut, baita garraio sarearen arkitektura ere. Baina gaur BGP protokoloari buruz hitz egingo dugu.
Duela astebete, Yandex-ek ROV (Route Origin Validation) gaitu zuen pareko bazkide guztiekin interfazeetan, baita trafikoa trukatzeko puntuetan ere. Irakurri behean zergatik egin zen hori eta nola eragingo duen telekomunikazio-operadoreekin elkarrekintzan.
BGP eta zer daukan gaizki
Seguruenik badakizu BGP domeinuen arteko bideratze protokolo gisa diseinatu zela. Hala ere, bide horretan, erabilera-kasu kopuruak haztea lortu zuen: gaur egun, BGP, luzapen ugariri esker, mezu-bus bihurtu da, operadorearen VPNtik gaur egun modan dagoen SD-WANrainoko zereginak estaltzen dituena, eta aplikazio gisa aurkitu du. SDN antzeko kontrolagailu baten garraioa, distantzia bektorea BGP loturak sat protokoloaren antzeko zerbait bihurtuz.
Fig. 1.
Zergatik jaso ditu BGPk (eta jasotzen jarraitzen du) hainbeste erabilera? Bi arrazoi nagusi daude:
- BGP da sistema autonomoen (AS) artean lan egiten duen protokolo bakarra;
- BGP-k TLV (mota-luzera-balioa) formatuko atributuak onartzen ditu. Bai, protokoloa ez dago horretan bakarrik, baina telekomunikazio-operadoreen arteko bidegurutzeetan hura ordezkatzeko ezer ez dagoenez, beti errentagarriagoa izaten da hari beste elementu funtzional bat eranstea bideratze-protokolo gehigarri bat onartzea baino.
Zer gertatzen zaio? Laburbilduz, protokoloak ez du jasotako informazioaren zuzentasuna egiaztatzeko mekanismorik barneratuta. Hau da, BGP a priori konfiantzazko protokoloa da: munduari esan nahi badiozu orain Rostelecom, MTS edo Yandex sarearen jabe zarela, mesedez!
IRRDB oinarritutako iragazkia - txarrenetik onena
Galdera sortzen da: zergatik funtzionatzen du oraindik Internetek halako egoera batean? Bai, gehienetan funtzionatzen du, baina, aldi berean, aldian-aldian lehertzen da, nazio-segmentu osoak eskuraezinak bihurtuz. BGPn hackerren jarduera ere hazten ari den arren, anomalia gehienak akatsek eragiten dituzte oraindik. Aurtengo adibidea da Bielorrusian, ordu erdiz Interneten zati esanguratsu bat eskuraezin bihurtu baitzuen MegaFon-eko erabiltzaileentzat. Beste adibide bat - munduko CDN sare handienetako bat hautsi zuen.
Arroza. 2. Cloudflare trafikoa atzematea
Baina hala ere, zergatik gertatzen dira halako anomaliak sei hilabetean behin, eta ez egunero? Eramaileek bideratze-informazioaren kanpoko datu-baseak erabiltzen dituztelako BGP auzokideengandik jasotzen dutena egiaztatzeko. Horrelako datu-base asko daude, horietako batzuk erregistratzaileek kudeatzen dituzte (RIPE, APNIC, ARIN, AFRINIC), beste batzuk jokalari independenteak dira (ospetsuena RADB da), eta enpresa handien jabetzako erregistratzaile multzo oso bat ere badago (Level3. , NTT, etab.). Datu-base horiei esker domeinuen arteko bideratzeak bere funtzionamenduaren egonkortasun erlatiboa mantentzen du.
Hala ere, badira Γ±abardurak. Bideratze-informazioa ROUTE-OBJECTS eta AS-SET objektuetan oinarrituta egiaztatzen da. Eta lehenengoak IRRDBren zati baterako baimena badakar, bigarren klaserako ez dago baimenik klase gisa. Hau da, edonork edonor gehi dezake bere multzoetan eta, horrela, gorako hornitzaileen iragazkiak saihestu. Gainera, IRR oinarri ezberdinen arteko AS-SET izendapenaren berezitasuna ez dago bermatuta, eta horrek efektu harrigarriak ekar ditzake telekomunikazio-operadorearentzat konektagarritasun-galera bat-batean, bere aldetik ez baitu ezer aldatu.
Erronka gehigarri bat AS-SET-en erabilera eredua da. Hemen bi puntu daude:
- Operadore batek bezero berri bat lortzen duenean, bere AS-SET-era gehitzen du, baina ia inoiz ez du kentzen;
- Iragazkiak berak bezeroekiko interfazeetan soilik konfiguratzen dira.
Ondorioz, BGP iragazkien formatu modernoa bezeroekiko interfazeetan iragazkiak pixkanaka hondatzean eta a priori peering bazkideetatik eta IP garraio-hornitzaileetatik datorrenarekin konfiantza izatean datza.
Zer da AS-SET-en oinarritutako aurrizki-iragazkiak ordezkatzea? Interesgarriena da epe laburrean - ezer ez. Baina IRRDBn oinarritutako iragazkien lana osatzen duten mekanismo osagarriak sortzen ari dira, eta lehenik eta behin, hau da, noski, RPKI.
RPKI
Modu sinplifikatuan, RPKI arkitektura datu-base banatu gisa pentsa daiteke, zeinaren erregistroak kriptografikoki egiazta daitezkeen. ROA (Route Object Authorization) kasuan, sinatzailea helbide-espazioaren jabea da, eta erregistroa bera hirukoitza da (aurrizkia, asn, max_length). Funtsean, sarrera honek honako hau postulatzen du: $aurrizkiaren helbide-espazioaren jabeak $asn AS zenbakiari $max_length baino luzera handiagoa ez duten aurrizkiak iragartzeko baimena eman dio. Eta bideratzaileak, RPKI cachea erabiliz, bikotea betetzen den egiaztatzeko gai dira aurrizkia - bidean dagoen lehen hiztuna.
3. irudia. RPKI arkitektura
ROA objektuak denbora luzez estandarizatu dira, baina duela gutxi arte IETF aldizkarian paperean bakarrik geratzen ziren. Nire ustez, horren arrazoia beldurgarria dirudi - marketin txarra. Normalizazioa amaitu ondoren, pizgarria ROA BGP bahiketaren aurka babestea izan zen, hori ez zen egia. Erasotzaileek ROAn oinarritutako iragazkiak erraz saihes ditzakete bidearen hasieran AC zenbaki zuzena sartuz. Eta konturatu bezain laster, hurrengo urrats logikoa ROA erabiltzeari uztea izan zen. Eta benetan, zergatik behar dugu teknologia funtzionatzen ez badu?
Zergatik da iritzia aldatzeko garaia? Hau ez baita egia osoa. ROA-k ez du babesten BGP-n hackerren jardueren aurka, baina ustekabeko trafiko-bahiketen aurka babesten du, adibidez, BGPn filtrazio estatikoetatik, gero eta ohikoagoa dena. Gainera, IRRn oinarritutako iragazkiak ez bezala, ROV bezeroekiko interfazeetan ez ezik, parekoekin eta upstream hornitzaileekin ere erabil daiteke. Hau da, RPKI sartzearekin batera, a priori konfiantza desagertzen ari da pixkanaka BGPtik.
Orain, ROAn oinarritutako ibilbideak egiaztatzea apurka-apurka eragile nagusiek ezartzen ari dira: Europako IX handienak Tier-1eko operadoreen artean ibilbide okerrak baztertzen ari dira, azpimarratzekoa da AT&T, bere pareko bazkideekin iragazkiak gaitu dituena; Eduki hornitzaile handienak ere proiektura hurbiltzen ari dira. Eta garraiobide ertaineko dozenaka operadorek isil-isilik ezarri dute dagoeneko, inori ezer esan gabe. Zergatik inplementatzen dute operadore hauek guztiak RPKI? Erantzuna erraza da: zure irteerako trafikoa besteen akatsetatik babestea. Horregatik, Yandex Errusiar Federazioko lehenetariko bat da ROV sarearen ertzean sartzen.
Zer gertatuko da gero?
Orain bideratze-informazioa egiaztatzea gaitu dugu trafiko-truke-puntuekin eta peering pribatuekin interfazeetan. Etorkizun hurbilean, egiaztapena ere gaituko da gorako trafiko-hornitzaileekin.
Zer diferentzia egiten dizu horrek? Zure sarearen eta Yandex arteko trafikoaren bideraketaren segurtasuna areagotu nahi baduzu, gomendatzen dizugu:
- Sinatu zure helbide-espazioa - erraza da, 5-10 minutu behar dira batez beste. Honek gure konektibitatea babestuko du norbaitek nahi gabe zure helbide-espazioa lapurtzen badu (eta hori, zalantzarik gabe, lehenago edo beranduago gertatuko da);
- Instalatu kode irekiko RPKI cacheetako bat (, ) eta gaitu ibilbideak egiaztatzea sareko mugan - honek denbora gehiago beharko du, baina berriro ere ez du zailtasun teknikorik sortuko.
Yandex-ek RPKI objektu berrian oinarritutako iragazketa sistema bat garatzen ere onartzen du - (Sistema Autonomo Hornitzaileen Baimena). ASPA eta ROA objektuetan oinarritutako iragazkiak AS-SET "filtratuak" ordezkatu ez ezik, MiTM erasoen arazoak ere itxi ditzakete BGP erabiliz.
Hilabete barru ASPAri buruz zehatz-mehatz hitz egingo dut Next Hop jardunaldian. Netflix, Facebook, Dropbox, Juniper, Mellanox eta Yandex-eko lankideek ere hitz egingo dute bertan. Sareko pila eta etorkizuneko garapena interesatzen bazaizu, etorri .
Iturria: www.habr.com