Sannu, sunana Alexander Azimov. A Yandex, Ina haɓaka tsarin sa ido daban-daban, da kuma gine-ginen hanyoyin sadarwar sufuri. Amma a yau za mu yi magana game da yarjejeniyar BGP.
Makon da ya gabata, Yandex ya kunna ROV (Hanyar Tabbatar da Hanya) a cikin mu'amala tare da duk abokan haɗin gwiwa, da wuraren musayar zirga-zirga. Karanta ƙasa game da dalilin da yasa aka yi hakan da kuma yadda zai shafi hulɗar da masu gudanar da sadarwa.
BGP kuma me ke damunsa
Wataƙila kun san cewa an ƙirƙira BGP azaman ƙa'idar kewayawa tsakanin yanki. Duk da haka, tare da hanya, yawan amfani da lokuta gudanar da girma: a yau, BGP, godiya ga yawa kari, ya juya a cikin wani sakon bas, rufe ayyuka daga VPN m zuwa yanzu gaye SD-WAN, kuma ya ko da samu aikace-aikace kamar yadda. jigilar kaya don mai sarrafa SDN-kamar SDN, yana jujjuya vector BGP mai nisa zuwa wani abu mai kama da haɗin kai ya zauna yarjejeniya.
Hoto 1.
Me yasa BGP ya karɓi (kuma yana ci gaba da karɓa) amfani da yawa? Akwai manyan dalilai guda biyu:
- BGP ita ce kawai yarjejeniya da ke aiki tsakanin tsarin masu cin gashin kansu (AS);
- BGP yana goyan bayan sifofi a tsarin TLV (nau'in-tsawon-daraja). Ee, ka'idar ba ita kaɗai ba ce a cikin wannan, amma tunda babu wani abin da zai maye gurbinta a mahaɗin tsakanin masu aikin sadarwa, koyaushe yana zama mafi fa'ida don haɗawa da wani nau'in aiki fiye da goyan bayan ƙarin ka'idar.
Me ke damunsa? A taƙaice, ƙa'idar ba ta da ingantattun ingantattun hanyoyin duba ingantattun bayanan da aka karɓa. Wato, BGP yarjejeniya ce ta amintaccen fifiko: idan kuna son gaya wa duniya cewa yanzu kun mallaki hanyar sadarwar Rostelecom, MTS ko Yandex, don Allah!
IRRDB tushen tace - mafi kyawun mafi munin
Tambayar ta taso: me yasa Intanet har yanzu ke aiki a irin wannan yanayin? Haka ne, yana aiki mafi yawan lokaci, amma a lokaci guda yana fashewa lokaci-lokaci, yana sa dukkanin sassan ƙasa ba su isa ba. Duk da cewa ayyukan dan gwanin kwamfuta a cikin BGP shima yana kan hauhawa, yawancin abubuwan da ba su dace ba har yanzu kwari ne ke haifar da su. Misalin wannan shekara shine a Belarus, wanda ya sanya wani muhimmin sashi na Intanet bai isa ga masu amfani da MegaFon na rabin sa'a ba. Wani misali - ya karya ɗayan manyan cibiyoyin sadarwa na CDN a duniya.
Shinkafa 2. Cloudflare zirga-zirga interception
Amma duk da haka, me ya sa irin waɗannan matsalolin ke faruwa sau ɗaya a kowane wata shida, ba kowace rana ba? Domin masu ɗaukar kaya suna amfani da bayanan bayanan waje na bayanan daƙiƙa don tabbatar da abin da suke karɓa daga maƙwabtan BGP. Akwai irin wadannan ma’ajin bayanai da yawa, wasu daga cikin masu rijista (RIPE, APNIC, ARIN, AFRINIC), wasu ‘yan wasa ne masu zaman kansu (wanda ya fi shahara shi ne RADB), akwai kuma jerin sunayen masu rajista na manyan kamfanoni (Level3). , NTT, da dai sauransu). Godiya ga waɗannan ma'ajin bayanai ne cewa hanyar zirga-zirgar tsakanin yanki tana kiyaye daidaiton aikin sa.
Duk da haka, akwai nuances. Ana duba bayanan da ke tafiya bisa HANYA-OBJECTS da AS-SET abubuwa. Kuma idan na farko yana nuna izini ga wani ɓangare na IRRDB, to ga aji na biyu babu izini a matsayin aji. Wato, kowa na iya ƙara kowa a cikin saitinsa kuma ta haka ya ketare matattar masu samar da sama. Bugu da ƙari, bambancin sunan AS-SET tsakanin nau'o'in IRR daban-daban ba a tabbatar da shi ba, wanda zai iya haifar da sakamako mai ban mamaki tare da asarar haɗin kai kwatsam ga ma'aikacin sadarwa, wanda, a nasa bangaren, bai canza komai ba.
Ƙarin ƙalubale shine tsarin amfani na AS-SET. Akwai maki biyu a nan:
- Lokacin da ma'aikaci ya sami sabon abokin ciniki, yana ƙara shi zuwa AS-SET, amma kusan baya cire shi;
- Ana saita masu tacewa da kansu kawai a musaya tare da abokan ciniki.
Sakamakon haka, tsarin zamani na matattarar BGP ya ƙunshi matattara a hankali a hankali a cikin mu'amala tare da abokan ciniki da fifikon dogaro ga abin da ya zo daga abokan hulɗa da masu samar da hanyar wucewa ta IP.
Menene maye gurbin tacewa prefix dangane da AS-SET? Abu mafi ban sha'awa shi ne cewa a cikin gajeren lokaci - ba kome ba. Amma ƙarin hanyoyin suna tasowa waɗanda suka dace da aikin matattarar tushen IRRDB, kuma da farko, wannan shine, ba shakka, RPKI.
RPKI
A cikin sauƙi, ana iya tunanin gine-ginen RPKI azaman bayanan da aka rarraba wanda za'a iya tantance bayanansa ta hanyar ɓoye. A cikin yanayin ROA (Izinin Abun Hanya), mai sa hannu shine mamallakin sararin adireshin, kuma rikodin kanta sau uku (prefix, asn, max_length). Mahimmanci, wannan shigarwar tana ƙaddamar da abubuwan da ke biyowa: wanda ya mallaki sararin adireshin prefix $ ya ba da izinin lambar AS $asn don tallata prefixes tare da tsayin da bai wuce $max_length ba. Kuma masu amfani da hanyar sadarwa, ta amfani da cache na RPKI, suna iya duba ma'auratan don yarda prefix - mai magana na farko akan hanya.
Hoto 3. RPKI gine
An daidaita abubuwan ROA na dogon lokaci, amma har zuwa kwanan nan sun kasance a kan takarda kawai a cikin mujallar IETF. A ganina, dalilin wannan yana jin tsoro - tallace-tallace mara kyau. Bayan an kammala daidaitawa, abin ƙarfafawa shine cewa ROA ta sami kariya daga garkuwar BGP - wanda ba gaskiya bane. Mahara suna iya ketare matattara na tushen ROA cikin sauƙi ta hanyar saka madaidaicin lambar AC a farkon hanyar. Kuma da zaran wannan fahimtar ta zo, mataki na gaba na hankali shine watsi da amfani da ROA. Kuma da gaske, me yasa muke buƙatar fasaha idan ba ta aiki ba?
Me yasa lokaci yayi da za ku canza ra'ayi? Domin wannan ba ita ce cikakkiyar gaskiyar ba. ROA baya karewa daga ayyukan hacker a BGP, amma yana ba da kariya daga sace-sacen motoci na bazata, misali daga leaks a tsaye a cikin BGP, wanda ke zama ruwan dare gama gari. Hakanan, ba kamar matattara na tushen IRR ba, ana iya amfani da ROV ba kawai a cikin musaya tare da abokan ciniki ba, har ma a cikin musaya tare da takwarorina da masu samarwa na sama. Wato, tare da gabatarwar RPKI, amintaccen fifiko yana ɓacewa a hankali daga BGP.
Yanzu ana aiwatar da binciken hanyar ROA a hankali ta hanyar manyan 'yan wasa: IX mafi girma na Turai sun riga sun watsar da hanyoyin da ba daidai ba; tsakanin masu aiki na Tier-1, yana da daraja a nuna alamar AT&T, wanda ya ba da damar tacewa a cikin musaya tare da abokan aikin sa. Manyan masu samar da abun ciki kuma suna gabatowa aikin. Kuma da yawa daga cikin manyan masu aikin jigilar kayayyaki sun riga sun aiwatar da shi cikin nutsuwa ba tare da sun gaya wa kowa ba. Me yasa duk waɗannan masu aiki suna aiwatar da RPKI? Amsar mai sauƙi ce: don kare zirga-zirgar zirga-zirgar ku daga kurakuran wasu. Abin da ya sa Yandex yana ɗaya daga cikin na farko a cikin Tarayyar Rasha don haɗawa da ROV a gefen hanyar sadarwarsa.
Me zai faru a gaba?
Yanzu mun ba da damar bincika bayanan kwatance a wuraren mu'amala tare da wuraren musayar ababen hawa da masu zaman kansu. Nan gaba kadan, za a kuma kunna tabbatarwa tare da masu samar da ababen hawa.
Wane bambanci wannan ya yi muku? Idan kuna son haɓaka amincin zirga-zirgar ababen hawa tsakanin hanyar sadarwar ku da Yandex, muna ba da shawarar:
- Shiga sararin adireshin ku - yana da sauƙi, yana ɗaukar mintuna 5-10 akan matsakaici. Wannan zai kare haɗin gwiwarmu idan wani ya sace sararin adireshinku ba da gangan ba (kuma wannan zai faru ba dade ko ba dade);
- Sanya ɗaya daga cikin buɗaɗɗen tushen RPKI caches (, ) da kuma ba da damar bincika hanya a iyakar hanyar sadarwa - wannan zai ɗauki ƙarin lokaci, amma kuma, ba zai haifar da matsalolin fasaha ba.
Yandex kuma yana goyan bayan haɓaka tsarin tacewa dangane da sabon abu na RPKI - (Izinin Mai Ba da Tsari Mai Zaman Kanta). Tace akan abubuwan ASPA da ROA ba za su iya maye gurbin “leaky” AS-SETs kawai ba, har ma suna rufe batutuwan harin MiTM ta amfani da BGP.
Zan yi magana dalla-dalla game da ASPA a cikin wata guda a taron Hop na gaba. Abokan aiki daga Netflix, Facebook, Dropbox, Juniper, Mellanox da Yandex kuma za su yi magana a can. Idan kuna sha'awar tarin cibiyar sadarwa da ci gabanta a nan gaba, ku zo .
source: www.habr.com