Hei, nimeni on Alexander Azimov. Yandexillä kehitän erilaisia valvontajärjestelmiä sekä liikenneverkkoarkkitehtuuria. Mutta tänään puhumme BGP-protokollasta.
Yandex otti viikko sitten käyttöön ROV:n (Route Origin Validation) kaikkien peering-kumppaneiden rajapinnoissa sekä liikenteen vaihtopisteissä. Lue alta, miksi näin tehtiin ja miten se vaikuttaa vuorovaikutukseen teleoperaattoreiden kanssa.
BGP ja mikä siinä on vikana
Tiedät luultavasti, että BGP on suunniteltu toimialueiden väliseksi reititysprotokollaksi. Matkan varrella käyttötapausten määrä kuitenkin onnistui kasvamaan: nykyään BGP on lukuisten laajennusten ansiosta muuttunut viestiväyläksi, joka kattaa tehtävät operaattorin VPN:stä nyt muodikkaan SD-WAN:iin ja on löytänyt sovelluksen jopa mm. siirto SDN-tyyppiselle ohjaimelle, joka muuttaa etäisyysvektorin BGP joksikin samanlaiseksi kuin links sat -protokolla.
Kuva 1.
Miksi BGP on saanut (ja saa edelleen) niin monta käyttöä? Syitä on kaksi:
- BGP on ainoa protokolla, joka toimii autonomisten järjestelmien (AS) välillä;
- BGP tukee attribuutteja TLV-muodossa (type-length-value). Kyllä, protokolla ei ole tässä yksin, mutta koska sitä ei ole millään korvattavalla teleoperaattoreiden välisissä risteyksissä, on aina kannattavampaa liittää siihen toinen toiminnallinen elementti kuin tukea ylimääräistä reititysprotokollaa.
Mikä häntä vaivaa? Lyhyesti sanottuna protokollassa ei ole sisäänrakennettuja mekanismeja vastaanotettujen tietojen oikeellisuuden tarkistamiseksi. Eli BGP on a priori luottamusprotokolla: jos haluat kertoa maailmalle, että omistat nyt Rostelecomin, MTS:n tai Yandexin verkon, ole hyvä!
IRRDB-pohjainen suodatin - paras pahimmista
Herää kysymys: miksi Internet edelleen toimii tällaisessa tilanteessa? Kyllä, se toimii suurimman osan ajasta, mutta samalla se räjähtää ajoittain tehden kokonaisia kansallisia segmenttejä saavuttamattomiksi. Vaikka hakkeritoiminta BGP:ssä on myös kasvussa, useimmat poikkeavuudet johtuvat edelleen bugeista. Tämän vuoden esimerkki on Valko-Venäjällä, mikä teki merkittävän osan Internetistä MegaFonin käyttäjien ulottumattomiin puoleksi tunniksi. Toinen esimerkki - rikkoi yhden maailman suurimmista CDN-verkoista.
Riisi. 2. Cloudflare-liikenteen sieppaus
Mutta silti, miksi tällaisia poikkeavuuksia esiintyy kerran kuudessa kuukaudessa, eikä joka päivä? Koska operaattorit käyttävät ulkoisia reititystietojen tietokantoja tarkistaakseen, mitä he saavat BGP-naapureista. Tällaisia tietokantoja on monia, joista osa on rekisterinpitäjien hallinnoimia (RIPE, APNIC, ARIN, AFRINIC), osa on itsenäisiä toimijoita (kuuluisin on RADB), ja siellä on myös koko joukko suuryritysten omistamia rekisterinpitäjiä (Taso3 , NTT jne.). Näiden tietokantojen ansiosta toimialueiden välinen reititys ylläpitää toimintansa suhteellisen vakauden.
On kuitenkin vivahteita. Reititystiedot tarkistetaan ROUTE-OBJECTS- ja AS-SET-objektien perusteella. Ja jos ensimmäinen merkitsee valtuutusta osalle IRRDB:tä, niin toiselle luokalle ei ole valtuutusta luokkana. Toisin sanoen kuka tahansa voi lisätä kenet tahansa sarjoihinsa ja siten ohittaa ylävirran tarjoajien suodattimet. Lisäksi AS-SET-nimeämisen ainutlaatuisuus eri IRR-kantojen välillä ei ole taattua, mikä voi johtaa yllättäviin vaikutuksiin, joissa yhteys katkeaa äkillisesti teleoperaattorille, joka ei omalta osaltaan muuttanut mitään.
Lisähaaste on AS-SETin käyttötapa. Tässä on kaksi kohtaa:
- Kun operaattori saa uuden asiakkaan, se lisää sen AS-SETiin, mutta tuskin koskaan poista sitä;
- Itse suodattimet konfiguroidaan vain rajapinnoissa asiakkaiden kanssa.
Tämän seurauksena nykyaikainen BGP-suodattimien muoto koostuu vähitellen huononevista suodattimista rajapinnoissa asiakkaiden kanssa ja a priori luottamuksesta peering-kumppaneilta ja IP-siirtopalveluntarjoajilta tulevaan.
Mikä korvaa AS-SETiin perustuvat etuliitesuodattimet? Mielenkiintoisin asia on, että lyhyellä aikavälillä - ei mitään. Mutta uusia mekanismeja on tulossa, jotka täydentävät IRRDB-pohjaisten suodattimien työtä, ja ensinnäkin tämä on tietysti RPKI.
RPKI
Yksinkertaistetusti RPKI-arkkitehtuuria voidaan pitää hajautettuna tietokantana, jonka tietueet voidaan varmentaa kryptografisesti. ROA:n (Route Object Authorization) tapauksessa allekirjoittaja on osoiteavaruuden omistaja, ja itse tietue on kolmiosainen (etuliite, asn, max_length). Pohjimmiltaan tämä merkintä olettaa seuraavaa: $prefix-osoiteavaruuden omistaja on valtuuttanut AS-numeron $asn mainostamaan etuliitteitä, joiden pituus on enintään $max_length. Ja reitittimet, jotka käyttävät RPKI-välimuistia, voivat tarkistaa parin yhteensopivuuden etuliite - ensimmäinen puhuja matkalla.
Kuva 3. RPKI-arkkitehtuuri
ROA-objektit ovat olleet standardoituja melko pitkään, mutta viime aikoihin asti ne itse asiassa jäivät vain paperille IETF-lehdissä. Minusta syy tähän kuulostaa pelottavalta - huono markkinointi. Kun standardointi oli saatu päätökseen, kannustin oli se, että ROA suojasi BGP-kaappausta vastaan - mikä ei ollut totta. Hyökkääjät voivat helposti ohittaa ROA-pohjaiset suodattimet lisäämällä oikean AC-numeron polun alkuun. Ja heti kun tämä oivallus tuli, seuraava looginen askel oli luopua ROA:n käytöstä. Ja todella, miksi tarvitsemme tekniikkaa, jos se ei toimi?
Miksi on aika muuttaa mieltäsi? Koska tämä ei ole koko totuus. ROA ei suojaa hakkereilta BGP:ssä, mutta suojaa vahingossa tapahtuvilta liikennekaappauksiltastaattisista vuodoista BGP:ssä, mikä on yleistymässä. Lisäksi toisin kuin IRR-pohjaisia suodattimia, ROV:ta voidaan käyttää paitsi rajapinnoissa asiakkaiden kanssa, myös rajapinnoissa vertais- ja ylävirran tarjoajien kanssa. Eli RPKI:n käyttöönoton myötä a priori luottamus on vähitellen katoamassa BGP:stä.
Nyt ROA-pohjaista reittien tarkistamista ottavat vähitellen käyttöön avaintoimijat: Euroopan suurin IX hylkää jo väärät reitit, Tier-1-operaattoreista kannattaa nostaa esiin AT&T, joka on ottanut käyttöön suodattimet rajapinnoissaan peering-kumppaneidensa kanssa. Myös suurimmat sisällöntuottajat lähestyvät hanketta. Ja kymmenet keskisuuret transit-operaattorit ovat jo hiljaa ottaneet sen käyttöön kertomatta siitä kenellekään. Miksi kaikki nämä operaattorit ottavat käyttöön RPKI:n? Vastaus on yksinkertainen: suojella lähtevää liikennettäsi muiden ihmisten virheiltä. Siksi Yandex on yksi ensimmäisistä Venäjän federaatiossa, joka sisällyttää ROV:n verkkonsa reunaan.
Mitä seuraavaksi tapahtuu?
Olemme nyt mahdollistaneet reititystietojen tarkistamisen rajapinnoissa liikenteen vaihtopisteiden ja yksityisten peeringien kanssa. Lähitulevaisuudessa vahvistus otetaan käyttöön myös ylävirran liikenteen tarjoajien kanssa.
Mitä eroa tällä on sinulle? Jos haluat parantaa verkkosi ja Yandexin välisen liikenteen reitityksen turvallisuutta, suosittelemme:
- Allekirjoita osoiteavaruutesi - Se on yksinkertainen, kestää keskimäärin 5-10 minuuttia. Tämä suojaa yhteyksiämme siinä tapauksessa, että joku varastaa vahingossa osoiteavaruutsi (ja tämä tapahtuu varmasti ennemmin tai myöhemmin);
- Asenna yksi avoimen lähdekoodin RPKI-välimuistista (, ) ja ota käyttöön reitin tarkistus verkon rajalla - tämä vie enemmän aikaa, mutta jälleen kerran, se ei aiheuta teknisiä vaikeuksia.
Yandex tukee myös uuteen RPKI-objektiin perustuvan suodatusjärjestelmän kehittämistä - (Autonomous System Provider Authorization). ASPA- ja ROA-objekteihin perustuvat suodattimet eivät vain voi korvata "vuotavia" AS-SETtejä, vaan myös sulkea BGP:tä käyttävien MiTM-hyökkäysten ongelmat.
Puhun ASPAsta yksityiskohtaisesti kuukauden kuluttua Next Hop -konferenssissa. Siellä puhuvat myös kollegat Netflixistä, Facebookista, Dropboxista, Juniperista, Mellanoxista ja Yandexistä. Jos olet kiinnostunut verkkopinosta ja sen kehittämisestä tulevaisuudessa, tule .
Lähde: will.com