ProHoster > Blog > Rianachd > Bidh Yandex a’ cur an gnìomh RPKI

Bidh Yandex a’ cur an gnìomh RPKI

Halo, is e m ’ainm Alexander Azimov. Aig Yandex, bidh mi a 'leasachadh diofar shiostaman sgrùdaidh, a bharrachd air ailtireachd lìonra còmhdhail. Ach an-diugh bruidhnidh sinn mu phròtacal BGP.

Bidh Yandex a’ cur an gnìomh RPKI

O chionn seachdain, thug Yandex comas do ROV (Route Origin Validation) aig an eadar-aghaidh leis a h-uile com-pàirtiche co-aoisean, a bharrachd air puingean iomlaid trafaic. Leugh gu h-ìosal mu carson a chaidh seo a dhèanamh agus mar a bheir e buaidh air eadar-obrachadh le gnìomhaichean cian-chonaltraidh.

BGP agus dè tha ceàrr air

Is dòcha gu bheil fios agad gun deach BGP a dhealbhadh mar phròtacal slighe eadar-roinneil. Ach, air an t-slighe, chaidh an àireamh de chùisean cleachdaidh air fàs: an-diugh, tha BGP, le taing dha iomadach leudachadh, air tionndadh gu bhith na bhus teachdaireachd, a’ còmhdach gnìomhan bhon ghnìomhaiche VPN chun an SD-WAN a tha a-nis fasanta, agus tha e eadhon air tagradh a lorg mar còmhdhail airson rianadair coltach ri SDN, a’ tionndadh vector astar BGP gu rudeigin coltach ris a’ phròtacal ceanglaichean sat.

Bidh Yandex a’ cur an gnìomh RPKI

Fig. 1. BGP SAFI

Carson a tha BGP air uimhir de chleachdaidhean fhaighinn (agus fhathast a’ faighinn)? Tha dà phrìomh adhbhar ann:

  • Is e BGP an aon phròtacal a tha ag obair eadar siostaman fèin-riaghailteach (AS);
  • Bidh BGP a’ toirt taic do bhuadhan ann an cruth TLV (seòrsa-fad-luach). Tha, chan eil am protocol leis fhèin ann an seo, ach leis nach eil dad ri chuir na àite aig na cinn-rathaid eadar luchd-obrachaidh telecom, bidh e an-còmhnaidh nas prothaidiche eileamaid gnìomh eile a cheangal ris na bhith a’ toirt taic do phròtacal slighe a bharrachd.

Dè tha ceàrr air? Ann an ùine ghoirid, chan eil uidheamachdan stèidhichte anns a’ phròtacal airson a bhith a’ sgrùdadh ceartachd an fhiosrachaidh a gheibhear. Is e sin, tha BGP na phròtacal earbsa priori: ma tha thu airson innse don t-saoghal gu bheil sealbh agad a-nis air lìonra Rostelecom, MTS no Yandex, feuch!

Criathrag stèidhichte air IRRDB - am fear as fheàrr den fheadhainn as miosa

Tha a 'cheist ag èirigh: carson a tha an eadar-lìon fhathast ag obair ann an suidheachadh mar sin? Tha, bidh e ag obair a ’mhòr-chuid den ùine, ach aig an aon àm bidh e a’ spreadhadh bho àm gu àm, a ’dèanamh earrannan nàiseanta gu lèir do-ruigsinneach. Ged a tha gnìomhachd luchd-tarraing ann am BGP cuideachd a’ sìor fhàs, tha a’ mhòr-chuid de neo-riaghailteachdan fhathast air adhbhrachadh le mialan. Is e eisimpleir na bliadhna seo mearachd gnìomhaiche beag ann am Belarus, a rinn pàirt chudromach den eadar-lìn do-ruigsinneach do luchd-cleachdaidh MegaFon airson leth uair a thìde. Eisimpleir eile - Optimizer BGP crazy bhris e aon de na lìonraidhean CDN as motha san t-saoghal.

Bidh Yandex a’ cur an gnìomh RPKI

Reis. 2. Eadar-ghabhail trafaig Cloudflare

Ach fhathast, carson a tha neo-riaghailteachdan mar sin a 'tachairt aon uair gach sia mìosan, agus chan ann a h-uile latha? Leis gu bheil luchd-còmhdhail a’ cleachdadh stòran-dàta bhon taobh a-muigh de fhiosrachadh slighe gus dearbhadh na gheibh iad bho nàbaidhean BGP. Tha mòran de na stòran-dàta sin ann, cuid dhiubh air an riaghladh le luchd-clàraidh (RIPE, APNIC, ARIN, AFRINIC), tha cuid dhiubh nan cluicheadairean neo-eisimeileach (is e RADB am fear as ainmeil), agus tha seata iomlan de luchd-clàraidh ann le companaidhean mòra (Ìre 3). , NTT, msaa). Is ann mar thoradh air na stòran-dàta sin a tha slighe eadar-fearainn a’ cumail seasmhachd coimeasach an obrachaidh aige.

Ach, tha nuances ann. Bithear a’ sgrùdadh fiosrachadh slighe stèidhichte air nithean ROUTE-OBJECTS agus AS-SET. Agus ma tha a’ chiad fhear a’ ciallachadh cead airson pàirt den IRRDB, chan eil cead aig an dàrna clas mar chlas. Is e sin, faodaidh duine duine sam bith a chuir ris na seataichean aca agus mar sin a dhol seachad air sìoltachain solaraichean shuas an abhainn. A bharrachd air an sin, chan eilear a ’gealltainn cho sònraichte sa tha an ainmeachadh AS-SET eadar diofar bhunaitean IRR, a dh’ fhaodadh buaidhean iongantach adhbhrachadh le call obann de cheangal airson a ’ghnìomhaiche cian-conaltraidh, nach do dh’ atharraich dad airson a chuid.

Is e dùbhlan a bharrachd am pàtran cleachdaidh AS-SET. Tha dà phuing an seo:

  • Nuair a gheibh gnìomhaiche teachdaiche ùr, bidh e ga chur ris an AS-SET aige, ach cha mhòr nach toir e air falbh e;
  • Tha na sìoltachain fhèin air an rèiteachadh a-mhàin aig an eadar-aghaidh le teachdaichean.

Mar thoradh air an sin, tha cruth ùr-nodha sìoltachain BGP a’ toirt a-steach sìoltachain a tha ag atharrachadh mean air mhean aig an eadar-aghaidh le teachdaichean agus earbsa priori anns na thig bho chom-pàirtichean seallaidh agus solaraichean gluasaid IP.

Dè a th’ ann an àite sìoltachain ro-leasachan stèidhichte air AS-SET? Is e an rud as inntinniche gur ann sa gheàrr-ùine - gun dad. Ach tha uidheamachdan a bharrachd a’ nochdadh a chuireas ri obair sìoltachain stèidhichte air IRRDB, agus an toiseach, is e seo, gu dearbh, RPKI.

RPKI

Ann an dòigh nas sìmplidhe, faodar smaoineachadh air ailtireachd RPKI mar stòr-dàta sgaoilte agus faodar na clàran aca a dhearbhadh gu criptografach. A thaobh ROA (Ùghdarrachadh Rud Slighe), is e an neach-soidhnidh sealbhadair an àite seòlaidh, agus tha an clàr fhèin trì-fhillte (ro-leasachan, asn, max_length). Gu bunaiteach, tha an inntrig seo a’ postadh na leanas: tha sealbhadair an àite seòlaidh $ ro-leasachan air an àireamh AS $asn a cheadachadh gus ro-leasanan a shanasachadh le fad nach eil nas motha na $max_length. Agus bidh e comasach dha routers, a’ cleachdadh tasgadan RPKI, sùil a thoirt air a’ chàraid airson gèilleadh ro-leasachan - a’ chiad neach-labhairt air an t-slighe.

Bidh Yandex a’ cur an gnìomh RPKI

Figear 3. Ailtireachd RPKI

Tha stuthan ROA air a bhith àbhaisteach airson ùine mhòr, ach gu o chionn ghoirid cha do dh'fhuirich iad ach air pàipear anns an iris IETF. Nam bheachd-sa, tha an t-adhbhar airson seo a’ faireachdainn eagallach - droch mhargaidheachd. Às deidh àbhaisteachadh a chrìochnachadh, b’ e am brosnachadh gun robh ROA a’ dìon an aghaidh fuadach BGP - rud nach robh fìor. Faodaidh luchd-ionnsaigh a dhol seachad air sìoltachain stèidhichte air ROA le bhith a’ cur a-steach an àireamh AC ceart aig toiseach na slighe. Agus cho luath ‘s a thàinig an coileanadh seo, b’ e an ath cheum loidsigeach cleachdadh ROA a leigeil seachad. Agus dha-rìribh, carson a tha feum againn air teicneòlas mura h-obraich e?

Carson a tha an t-àm ann d’ inntinn atharrachadh? Leis nach e seo an fhìrinn gu lèir. Chan eil ROA a’ dìon an aghaidh gnìomhachd hacker ann am BGP, ach dìon an aghaidh fuadach trafaic gun fhiosta, mar eisimpleir bho aoidion statach ann am BGP, a tha a’ fàs nas cumanta. Cuideachd, eu-coltach ri sìoltachain stèidhichte air IRR, faodar ROV a chleachdadh chan ann a-mhàin aig an eadar-aghaidh le teachdaichean, ach cuideachd aig an eadar-aghaidh le co-aoisean agus solaraichean shuas an abhainn. Is e sin, còmhla ri toirt a-steach RPKI, tha earbsa priori a’ dol à bith mean air mhean bho BGP.

A-nis, mean air mhean tha prìomh chluicheadairean a’ toirt sùil air slighean stèidhichte air ROA: tha an IX Eòrpach as motha mu thràth a’ tilgeil air falbh slighean ceàrr; am measg luchd-obrachaidh Tier-1, is fhiach cuideam a chuir air AT&T, a tha air sìoltachain a chomasachadh aig an eadar-aghaidh leis na com-pàirtichean co-aoisean aige. Tha na solaraichean susbaint as motha a’ tighinn faisg air a’ phròiseact cuideachd. Agus tha dusanan de ghnìomhaichean gluasaid meadhanach air a chuir an gnìomh gu sàmhach mu thràth, gun a bhith ag innse do neach sam bith mu dheidhinn. Carson a tha na gnìomhaichean sin uile a’ cur an gnìomh RPKI? Tha am freagairt sìmplidh: gus do thrafaig a-mach a dhìon bho mhearachdan dhaoine eile. Sin as coireach gur e Yandex aon den chiad fheadhainn ann an Caidreachas na Ruis a thug a-steach ROV aig oir an lìonra aige.

Dè thachras a-nis?

Tha sinn a-nis air cothrom a thoirt dhuinn fiosrachadh slighe a sgrùdadh aig an eadar-aghaidh le puingean iomlaid trafaic agus seallaidhean prìobhaideach. A dh’ aithghearr, bidh dearbhadh air a chomasachadh le solaraichean trafaic shuas an abhainn.

Bidh Yandex a’ cur an gnìomh RPKI

Dè an diofar a nì seo dhut? Ma tha thu airson tèarainteachd slighe trafaic àrdachadh eadar an lìonra agad agus Yandex, tha sinn a’ moladh:

  • Cuir d’ ainm ri àite an t-seòlaidh agad ann am portal RIPE - tha e sìmplidh, a 'toirt 5-10 mionaidean gu cuibheasach. Dìonaidh seo ar ceangal ma bhios cuideigin a’ goid d’ àite seòlaidh gun fhiosta (agus gu cinnteach tachraidh seo luath no mall);
  • Stàlaich aon de na caches RPKI le còd fosgailte (abaich-dearbhaidh, rianadair) agus comas a thoirt do sgrùdadh slighe aig crìoch an lìonraidh - bheir seo barrachd ùine, ach a-rithist, cha toir e duilgheadasan teicnigeach sam bith.

Bidh Yandex cuideachd a’ toirt taic do leasachadh siostam sìoltachaidh stèidhichte air an nì RPKI ùr - ASPA (Ceadachadh Solaraiche Siostam Fèin-riaghlaidh). Faodaidh sìoltachain stèidhichte air stuthan ASPA agus ROA chan e a-mhàin AS-SETs “leaky” a chuir an àite, ach cuideachd cùisean ionnsaighean MiTM a dhùnadh a ’cleachdadh BGP.

Bruidhnidh mi gu mionaideach mu ASPA ann am mìos aig co-labhairt Next Hop. Bidh co-obraichean bho Netflix, Facebook, Dropbox, Juniper, Mellanox agus Yandex a’ bruidhinn an sin cuideachd. Ma tha ùidh agad ann an stac an lìonraidh agus a leasachadh san àm ri teachd, thig tha clàradh fosgailte.

Source: www.habr.com

Cuir beachd ann