Aloha ʻoe, ʻo Alexander Azimov koʻu inoa. Ma Yandex, hoʻomohala wau i nā ʻōnaehana nānā like ʻole, a me ka hoʻolālā ʻoihana ʻoihana. Akā i kēia lā e kamaʻilio mākou e pili ana i ka protocol BGP.
I hoʻokahi pule i hala aku nei, ua hoʻohana ʻo Yandex iā ROV (Route Origin Validation) ma nā pilina me nā hoa pili āpau, a me nā wahi hoʻololi kaʻa. E heluhelu ma lalo e pili ana i ke kumu i hana ʻia ai kēia a pehea e pili ai i ka pilina me nā mea lawelawe kelepona.
BGP a he aha ka hewa
Ua ʻike paha ʻoe ua hoʻolālā ʻia ʻo BGP ma ke ʻano he protocol routing interdomain. Eia naʻe, ma ke ala, ua ulu ka nui o nā hihia hoʻohana: i kēia lā, ʻo BGP, mahalo i nā hoʻonui nui, ua lilo i kaʻa leka uila, e uhi ana i nā hana mai ka mea lawelawe VPN i ka SD-WAN i kēia manawa, a ua loaʻa iā ia ka noi e like me he kaʻa no ka mea hoʻoponopono e like me SDN, e hoʻohuli ana i ka vector mamao BGP i mea like me ka protocol sat sat.
Kuhi. 1.
No ke aha i loaʻa ai iā BGP (a hoʻomau i ka loaʻa ʻana) he nui nā hoʻohana? ʻElua kumu nui:
- ʻO BGP wale nō ka protocol e hana ana ma waena o nā ʻōnaehana autonomous (AS);
- Kākoʻo ʻo BGP i nā ʻano ma ke ʻano TLV (type-longth-value). ʻAe, ʻaʻole wale ka protocol i kēia, akā no ka mea ʻaʻohe mea e hoʻololi iā ia ma nā junctions ma waena o nā mea lawelawe kelepona, ʻoi aku ka maikaʻi o ka hoʻopili ʻana i kahi mea hana ʻē aʻe ma mua o ke kākoʻo ʻana i kahi protocol routing hou.
He aha ka hewa iā ia? I ka pōkole, ʻaʻole i kūkulu ʻia ka protocol no ka nānā ʻana i ka pololei o ka ʻike i loaʻa. ʻO ia hoʻi, he protocol priori trust ka BGP: inā makemake ʻoe e haʻi i ka honua i kēia manawa iā ʻoe ka pūnaewele o Rostelecom, MTS a i ʻole Yandex, e ʻoluʻolu!
IRRDB hoʻokumu kānana - ʻo ka maikaʻi o nā mea ʻino loa
Ke kū nei ka nīnau: no ke aha e hana mau ai ka Pūnaewele ma ia ʻano? ʻAe, hana ʻo ia i ka hapa nui o ka manawa, akā i ka manawa like e pahū ana i kēlā me kēia manawa, ʻaʻole hiki ke ʻike ʻia nā ʻāpana āpau āpau. ʻOiai ke piʻi nei ka hana hacker ma BGP, ʻo ka hapa nui o nā anomalies ke kumu ʻia e nā pōpoki. ʻO ka laʻana o kēia makahiki ma Belarus, ka mea i hana i kahi hapa nui o ka Pūnaewele i hiki ʻole i nā mea hoʻohana MegaFon no ka hapalua hola. ʻO kekahi laʻana - ua haki kekahi o nā pūnaewele CDN nui loa ma ka honua.
Laiki. 2. Hoʻopili kaʻaahi Cloudflare
Akā naʻe, no ke aha e hana ʻia ai nā anomalies i kēlā me kēia mahina ʻeono, ʻaʻole i kēlā me kēia lā? No ka mea, hoʻohana nā mea lawe i nā ʻikepili waho o ka ʻike alahele e hōʻoia i ka mea i loaʻa iā lākou mai nā hoalauna BGP. Nui nā ʻikepili like ʻole, mālama ʻia kekahi o lākou e nā mea kākau inoa (RIPE, APNIC, ARIN, AFRINIC), kekahi mau mea pāʻani kūʻokoʻa (ʻo ka mea kaulana loa ʻo RADB), a aia pū kekahi pūʻulu holoʻokoʻa o nā hui nui (Level3). , NTT, etc.). Mahalo i kēia mau ʻikepili i hoʻopaʻa ʻia ke alahele inter-domain i ke kūpaʻa pili o kāna hana.
Eia naʻe, aia nā nuances. ʻIke ʻia ka ʻike alahele ma muli o nā mea ROUTE-OBJECTS a me AS-SET. A inā hōʻike ka mua i ka ʻae ʻana no kahi hapa o ka IRRDB, a laila no ka papa ʻelua ʻaʻohe ʻae ʻia ma ke ʻano he papa. ʻO ia hoʻi, hiki i kekahi ke hoʻohui i kekahi i kā lākou hoʻonohonoho a ma laila e kāpae i nā kānana o nā mea hoʻolako upstream. Eia kekahi, ʻaʻole i hōʻoia ʻia ka ʻokoʻa o ka inoa ʻo AS-SET ma waena o nā kumu IRR like ʻole, hiki ke alakaʻi i nā hopena kahaha me ka nalowale koke o ka hoʻopili ʻana no ka mea kelepona kelepona, ʻo ia hoʻi, ʻaʻole i hoʻololi i kekahi mea.
ʻO kahi paʻakikī ʻē aʻe ke ʻano hoʻohana o AS-SET. ʻElua mau wahi ma ʻaneʻi:
- Ke loaʻa ka mea hoʻohana i kahi mea kūʻai hou, hoʻohui ia i kāna AS-SET, akā ʻaneʻane ʻaʻole loa e wehe;
- Hoʻonohonoho ʻia nā kānana ponoʻī ma nā pilina me nā mea kūʻai aku.
ʻO ka hopena, ʻo ke ʻano hou o nā kānana BGP he mau kānana hoʻohaʻahaʻa haʻahaʻa i nā pilina me nā mea kūʻai aku a me ka hilinaʻi priori i nā mea i loaʻa mai nā hoa pili a me nā mea hoʻolako IP transit.
He aha ka mea e pani ai i nā kānana prefix ma muli o AS-SET? ʻO ka mea hoihoi loa i ka wā pōkole - ʻaʻohe mea. Akā ke puka mai nei nā hana hou e hoʻokō i ka hana o nā kānana e pili ana i ka IRRDB, a ʻo ka mea mua, ʻo ia nō, ʻo RPKI.
RPKI
Ma keʻano maʻalahi, hiki ke noʻonoʻoʻia ka hoʻolālā RPKI ma keʻano he waihona i hoʻokaʻawaleʻia nona nā moʻolelo e hiki ke hōʻoia i ka cryptographically. I ka hihia o ROA (Route Object Authorization), ʻo ka mea hōʻailona ka mea nona ka wahi helu wahi, a ʻo ka moʻolelo ponoʻī he triple (prefix, asn, max_length). ʻO ka mea nui, hoʻopuka kēia helu i kēia: ua ʻae ka mea nona ka $ prefix address space i ka helu AS $asn e hoʻolaha i nā prefix me ka lōʻihi ʻaʻole i ʻoi aku ma mua o $max_length. A hiki i nā mea hoʻokele, me ka hoʻohana ʻana i ka cache RPKI, hiki ke nānā i ka pālua no ka hoʻokō prefix - ʻōlelo mua ma ke ala.
Kiʻi 3. RPKI hoʻolālā
Ua hoʻopaʻa ʻia nā mea ROA no ka manawa lōʻihi, akā a hiki i kēia manawa ua noho maoli lākou ma ka pepa ma ka puke pai IETF. I koʻu manaʻo, weliweli ke kumu o kēia - kūʻai maikaʻi ʻole. Ma hope o ka pau ʻana o ka hana maʻamau, ʻo ka mea i hoʻoikaika ʻia ʻo ia ka pale ʻana o ROA mai ka hoʻopaʻa ʻana i ka BGP - ʻaʻole ʻoiaʻiʻo. Hiki i nā mea hoʻouka ke kāʻalo maʻalahi i nā kānana e pili ana i ka ROA ma ka hoʻokomo ʻana i ka helu AC pololei ma ka hoʻomaka o ke ala. A i ka hiki ʻana mai o kēia ʻike, ʻo ka hana kūpono e haʻalele i ka hoʻohana ʻana iā ROA. A ʻoiaʻiʻo, no ke aha mākou e pono ai i ka ʻenehana inā ʻaʻole hana?
No ke aha ka manawa e hoʻololi ai i kou manaʻo? No ka mea, ʻaʻole kēia ka ʻoiaʻiʻo holoʻokoʻa. ʻAʻole pale ʻo ROA i ka hana hacker ma BGP, akā pale aku i nā hijacking kaʻa ulia pōpilikia, no ka laʻana mai nā leaks static ma BGP, e lilo ana i mea maʻamau. Eia kekahi, ʻaʻole e like me nā kānana i hoʻokumu ʻia IRR, hiki ke hoʻohana ʻia ʻo ROV ʻaʻole wale ma nā pilina me nā mea kūʻai aku, akā ma nā pilina pū me nā hoa a me nā mea hoʻolako upstream. ʻO ia hoʻi, me ka hoʻokomo ʻia ʻana o RPKI, e nalowale ana kahi hilinaʻi priori mai BGP.
I kēia manawa, ke hoʻokō ʻia nei ka nānā ʻana i nā ala e pili ana i ka ROA e nā mea pāʻani koʻikoʻi: ʻo ka nui o ʻEulopa IX ke haʻalele nei i nā ala hewa; ma waena o nā mea hoʻohana Tier-1, pono ia e hōʻike i ka AT&T, ka mea i hiki ai i nā kānana ma nā pilina me kāna mau hoa pili. Ke hoʻokokoke nei nā mea hoʻolako maʻiʻo nui loa i ka papahana. A ua hoʻokō malū ka nui o nā mea hoʻohana transit me ka ʻole o ka haʻi ʻana i kekahi. No ke aha i hoʻokō ai kēia mau mea hana a pau i ka RPKI? He mea maʻalahi ka pane: e pale i kāu huakaʻi hele mai nā hewa o nā poʻe ʻē aʻe. ʻO ia ke kumu ʻo Yandex kekahi o nā mea mua i ka Russian Federation e hoʻokomo iā ROV ma ka lihi o kāna pūnaewele.
He aha ka hope?
I kēia manawa ua hiki iā mākou ke nānā i ka ʻike alahele ma nā pilina me nā wahi hoʻololi kaʻa a me nā peering pilikino. I ka wā e hiki mai ana, e ʻae ʻia ka hōʻoia me nā mea hoʻolako kaʻa i luna.
He aha ka ʻokoʻa o kēia iā ʻoe? Inā makemake ʻoe e hoʻonui i ka palekana o ka hoʻokele kaʻa ma waena o kāu pūnaewele a me Yandex, paipai mākou:
- E kakau inoa i kou wahi helu wahi - he mea maʻalahi, lawe 5-10 mau minuke ma ka awelika. Mālama kēia i kā mākou pilina inā ʻaihue kekahi me ka ʻike ʻole i kāu wahi kikoʻī (a hiki koke kēia a ma hope paha);
- E hoʻouka i kekahi o nā waihona RPKI open source (, ) a hiki i ka nānā ʻana i ke ala ma ka palena pūnaewele - e lōʻihi ka manawa, akā hou, ʻaʻole ia e hoʻopilikia i ka ʻenehana.
Kākoʻo pū ʻo Yandex i ka hoʻomohala ʻana i kahi ʻōnaehana kānana e pili ana i ka mea RPKI hou - (Autonomous System Provider Authorization). ʻAʻole hiki i nā kānana e pili ana i nā mea ASPA a me ROA ke hoʻololi wale i nā "leaky" AS-SETs, akā pani pū i nā pilikia o ka hoʻouka ʻana o MiTM me ka hoʻohana ʻana i ka BGP.
E kamaʻilio kikoʻī wau e pili ana i ka ASPA i hoʻokahi mahina ma ka ʻaha kūkā ʻo Next Hop. E kamaʻilio pū nā hoa hana mai Netflix, Facebook, Dropbox, Juniper, Mellanox a me Yandex. Inā makemake ʻoe i ka waihona pūnaewele a me kona hoʻomohala ʻana i ka wā e hiki mai ana, e hele mai .
Source: www.habr.com