Hallo, myn namme is Alexander Azimov. By Yandex ûntwikkelje ik ferskate tafersjochsystemen, lykas ek arsjitektuer foar ferfiernetwurk. Mar hjoed sille wy prate oer it BGP-protokol.
In wike lyn hat Yandex ROV (Route Origin Validation) ynskeakele by de ynterfaces mei alle peeringpartners, lykas ek ferkearswikselpunten. Lês hjirûnder oer wêrom dit dien is en hoe't it ynteraksje mei telekomoperators sil beynfloedzje.
BGP en wat is der mis mei
Jo witte wierskynlik dat BGP is ûntworpen as in interdomain-routingprotokol. Underweis slagge it oantal gebrûksgefallen lykwols te groeien: hjoed is BGP, tanksij in protte útwreidingen, feroare yn in berjochtbus, dy't taken fan operator VPN oant it no modieuze SD-WAN beslacht, en hat sels applikaasje fûn as in ferfier foar in SDN-lykas controller, turning ôfstân vector BGP yn wat ferlykber mei de keppelings sat protokol.
Fig. 1.
Wêrom hat BGP safolle gebrûk ûntfongen (en bliuwt te ûntfangen)? D'r binne twa haadredenen:
- BGP is it ienige protokol dat wurket tusken autonome systemen (AS);
- BGP stipet attributen yn TLV (type-lingte-wearde) opmaak. Ja, it protokol is hjir net allinnich yn, mar om't d'r neat is om it te ferfangen op 'e krusingen tusken telekomoperators, blykt it altyd rendabeler te wêzen om der in oar funksjoneel elemint oan te heakjen dan in ekstra routingprotokol te stypjen.
Wat is der mis mei him? Koartsein, it protokol hat gjin ynboude meganismen foar it kontrolearjen fan de krektens fan 'e ûntfongen ynformaasje. Dat is, BGP is in a priori fertrouwensprotokol: as jo de wrâld fertelle wolle dat jo no it netwurk fan Rostelecom, MTS of Yandex hawwe, asjebleaft!
IRRDB basearre filter - it bêste fan it minste
De fraach ûntstiet: wêrom wurket it ynternet yn sa'n situaasje noch? Ja, it wurket meastentiids, mar tagelyk eksplodearret it periodyk, wêrtroch folsleine nasjonale segminten ûnberikber binne. Hoewol hackeraktiviteit yn BGP ek oan 'e opkomst is, wurde de measte anomalies noch feroarsake troch bugs. It foarbyld fan dit jier is yn Wyt-Ruslân, wat in wichtich part fan it ynternet foar in healoere ûnberikber makke foar MegaFon-brûkers. In oar foarbyld - bruts ien fan de grutste CDN netwurken yn 'e wrâld.
Rys. 2. Cloudflare ferkear ûnderskepping
Mar dochs, wêrom komme sokke anomalies ien kear yn 'e seis moanne foar, en net alle dagen? Om't dragers eksterne databases fan routing-ynformaasje brûke om te kontrolearjen wat se ûntfange fan BGP-buorlju. D'r binne in protte sokke databases, guon fan harren wurde beheard troch registrars (RIPE, APNIC, ARIN, AFRINIC), guon binne ûnôfhinklike spilers (de meast ferneamde is RADB), en d'r is ek in hiele set registrars yn eigendom fan grutte bedriuwen (Level3 , NTT, ensfh.). It is tank oan dizze databases dat inter-domein routing behâldt de relative stabiliteit fan syn wurking.
Lykwols, der binne nuânses. Routing ynformaasje wurdt kontrolearre basearre op ROUTE-OBJECTS en AS-SET objekten. En as de earste autorisaasje ymplisearret foar in diel fan 'e IRRDB, dan is d'r foar de twadde klasse gjin autorisaasje as klasse. Dat is, elkenien kin elkenien tafoegje oan har sets en dêrmei de filters fan streamop-oanbieders omgean. Boppedat is de eigenheid fan 'e AS-SET-namme tusken ferskate IRR-basen net garandearre, wat kin liede ta ferrassende effekten mei in hommelse ferlies fan ferbining foar de telekomoperator, dy't, foar syn part, neat feroare.
In ekstra útdaging is it gebrûkspatroan fan AS-SET. Hjir binne twa punten:
- As in operator in nije klant krijt, foeget it ta oan syn AS-SET, mar ferwideret it hast noait;
- De filters sels wurde allinich konfigureare by de ynterfaces mei kliïnten.
As resultaat bestiet it moderne formaat fan BGP-filters út stadichoan ferneatigjende filters by de ynterfaces mei kliïnten en a priori fertrouwen yn wat komt fan peeringpartners en IP-transitproviders.
Wat is it ferfangen fan prefix filters basearre op AS-SET? It meast nijsgjirrige is dat op 'e koarte termyn - neat. Mar ekstra meganismen komme op dy't it wurk fan IRRDB-basearre filters oanfolje, en earst fan alles is dit fansels RPKI.
RPKI
Op in ferienfâldige manier kin de RPKI-arsjitektuer wurde tocht as in ferspraat databank wêrfan de records kryptografysk kinne wurde ferifiearre. Yn it gefal fan ROA (Route Object Authorization) is de ûndertekener de eigner fan 'e adresromte, en it record sels is in trijefâld (foarheaksel, asn, max_length). Yn wêzen postuleart dizze yngong it folgjende: de eigner fan 'e $prefix-adresromte hat it AS-nûmer $asn autorisearre om foarheaksels te advertearjen mei in lingte net grutter dan $max_length. En routers, mei de RPKI-cache, kinne it pear kontrolearje op neilibjen prefix - earste sprekker op 'e wei.
figuer 3. RPKI arsjitektuer
ROA-objekten binne al hiel lang standerdisearre, mar oant koartlyn bleaune se eins allinnich op papier yn it IETF-sjoernaal. Yn myn miening klinkt de reden hjirfoar eng - minne marketing. Nei't de standerdisearring foltôge wie, wie de stimulâns dat ROA beskerme tsjin BGP-kaping - wat net wier wie. Oanfallers kinne ROA-basearre filters maklik omgean troch it juste AC-nûmer yn te foegjen oan it begjin fan it paad. En sa gau as dizze realisaasje kaam, wie de folgjende logyske stap om it gebrûk fan ROA te ferlitten. En echt, wêrom hawwe wy technology nedich as it net wurket?
Wêrom is it tiid om jo gedachten te feroarjen? Want dit is net de hiele wierheid. ROA net beskermje tsjin hacker aktiviteit yn BGP, mar beskermet tsjin tafallige ferkearskapings, Bygelyks fan statyske lekken yn BGP, dy't hieltyd faker wurdt. Ek, yn tsjinstelling ta IRR-basearre filters, kin ROV net allinich brûkt wurde by de ynterfaces mei kliïnten, mar ek by de ynterfaces mei peers en upstream providers. Dat is, tegearre mei de ynfiering fan RPKI, ferdwynt a priori fertrouwen stadichoan út BGP.
No wurdt it kontrolearjen fan rûtes basearre op ROA stadichoan ymplementearre troch wichtige spilers: de grutste Jeropeeske IX smyt al ferkearde rûtes ôf; ûnder Tier-1-operators is it de muoite wurdich om AT&T te markearjen, dy't filters ynskeakele hat by de ynterfaces mei syn peeringpartners. Ek de grutste ynhâldproviders komme it projekt oan. En tsientallen middelgrutte transitoperators hawwe it al rêstich ymplementearre, sûnder dat immen deroer te fertellen. Wêrom implementearje al dizze operators RPKI? It antwurd is ienfâldich: om jo útgeande ferkear te beskermjen tsjin de flaters fan oare minsken. Dêrom is Yandex ien fan 'e earsten yn' e Russyske Federaasje om ROV op te nimmen oan 'e râne fan har netwurk.
Wat sil d'rnei barre?
Wy hawwe no it kontrolearjen fan routing-ynformaasje ynskeakele by de ynterfaces mei ferkearsútwikselpunten en privee peerings. Yn 'e heine takomst sil ferifikaasje ek ynskeakele wurde mei streamopferkearproviders.
Hokker ferskil makket dit foar jo? As jo de feiligens fan ferkearsrouting tusken jo netwurk en Yandex wolle fergrutsje, riede wy oan:
- Undertekenje jo adresromte - it is ienfâldich, duorret gemiddeld 5-10 minuten. Dit sil ús ferbining beskermje yn it gefal dat immen ûnbewust jo adresromte stelle (en dit sil grif ier of let barre);
- Ynstallearje ien fan 'e iepen boarne RPKI-caches (, ) en skeakelje rûtekontrôle yn by de netwurkgrins - dit sil mear tiid nimme, mar wer, it sil gjin technyske swierrichheden feroarsaakje.
Yandex stipet ek de ûntwikkeling fan in filtersysteem basearre op it nije RPKI-objekt - (Autonome System Provider Autorisaasje). Filters basearre op ASPA- en ROA-objekten kinne net allinich "leaky" AS-SETs ferfange, mar ek de problemen fan MiTM-oanfallen slute mei BGP.
Ik sil yn in moanne yn detail oer ASPA prate op 'e Next Hop-konferinsje. Kollega's fan Netflix, Facebook, Dropbox, Juniper, Mellanox en Yandex sille dêr ek prate. As jo ynteressearre binne yn 'e netwurkstapel en syn ûntwikkeling yn' e takomst, kom dan .
Boarne: www.habr.com