ProHoster > Π‘Π»ΠΎΠ³ > Kev tswj hwm > Yandex siv RPKI

Yandex siv RPKI

Nyob zoo, kuv lub npe yog Alexander Azimov. Ntawm Yandex, Kuv tsim ntau yam kev saib xyuas, nrog rau kev thauj mus los network architecture. Tab sis hnub no peb yuav tham txog BGP raws tu qauv.

Yandex siv RPKI

Ib lub lim tiam dhau los, Yandex tau qhib ROV (Route Origin Validation) ntawm kev sib cuam tshuam nrog txhua tus neeg koom tes, nrog rau cov ntsiab lus sib pauv tsheb. Nyeem hauv qab no txog vim li cas qhov no tau ua tiav thiab nws yuav cuam tshuam li cas rau kev cuam tshuam nrog cov neeg siv xov tooj.

BGP thiab dab tsi tsis ncaj ncees lawm nrog nws

Tej zaum koj yuav paub tias BGP tau tsim los ua ib qho kev sib txuas lus sib txuas lus. Txawm li cas los xij, nyob rau hauv txoj kev, tus naj npawb ntawm cov neeg siv tau tswj kom loj hlob: niaj hnub no, BGP, ua tsaug rau ntau qhov txuas ntxiv, tau hloov mus rau hauv xov tooj tsheb thauj mus los, suav nrog cov haujlwm los ntawm tus neeg teb xov tooj VPN mus rau tam sim no fashionable SD-WAN, thiab tseem pom daim ntawv thov raws li kev thauj mus los rau SDN-zoo li tus maub los, tig qhov nrug vector BGP rau hauv ib yam dab tsi zoo ib yam li kev sib txuas zaum raws tu qauv.

Yandex siv RPKI

Txhuv. 1 PEB SAFI

Vim li cas BGP tau txais (thiab tseem tau txais) ntau npaum li cas? Muaj ob lub laj thawj tseem ceeb:

  • BGP yog tib txoj cai uas ua haujlwm ntawm kev tswj hwm tus kheej (AS);
  • BGP txhawb cov cwj pwm hauv TLV (hom-ntev-tus nqi) hom. Yog lawm, cov txheej txheem tsis yog ib leeg hauv qhov no, tab sis txij li tsis muaj ib yam dab tsi los hloov nws ntawm kev sib tshuam ntawm cov neeg siv xov tooj, nws ib txwm hloov tawm kom muaj txiaj ntsig zoo los txuas rau lwm lub luag haujlwm rau nws dua li txhawb nqa cov txheej txheem txuas ntxiv.

Nws yog dab tsi? Nyob rau hauv luv luv, tus txheej txheem tsis muaj built-in mechanisms los xyuas qhov tseeb ntawm cov ntaub ntawv tau txais. Ntawd yog, BGP yog qhov kev ntseeg siab ua ntej: yog tias koj xav qhia rau ntiaj teb tias koj tam sim no muaj lub network ntawm Rostelecom, MTS lossis Yandex, thov!

IRRDB raws lim - qhov zoo tshaj plaws ntawm qhov phem tshaj

Cov lus nug tshwm sim: vim li cas Is Taws Nem tseem ua haujlwm zoo li no? Yog, nws ua haujlwm feem ntau ntawm lub sijhawm, tab sis tib lub sijhawm nws tawg ua ntu zus, ua rau tag nrho lub tebchaws tsis tuaj yeem nkag mus tau. Txawm hais tias kev ua haujlwm ntawm hacker hauv BGP tseem nce ntxiv, feem ntau qhov tsis txaus ntseeg tseem tshwm sim los ntawm kab. Xyoo no piv txwv me me yuam kev hauv Belarus, uas ua rau ib feem tseem ceeb ntawm Internet nkag tsis tau rau MegaFon cov neeg siv rau ib nrab teev. Lwm qhov piv txwv - vwm BGP optimizer tsoo ib qho ntawm CDN loj tshaj plaws hauv ntiaj teb.

Yandex siv RPKI

Rice. 2. Cloudflare kev cuam tshuam

Tab sis tseem, vim li cas cov kev tsis sib haum xeeb no tshwm sim ib zaug txhua rau lub hlis, thiab tsis yog txhua hnub? Vim tias cov neeg nqa khoom siv cov ntaub ntawv sab nraud ntawm cov ntaub ntawv routing los xyuas qhov lawv tau txais los ntawm BGP cov neeg nyob ze. Muaj ntau cov ntaub ntawv zoo li no, qee qhov ntawm lawv tau tswj hwm los ntawm cov neeg sau npe (RIPE, APNIC, ARIN, AFRINIC), qee qhov yog cov neeg ua haujlwm ywj pheej (tus nto moo tshaj plaws yog RADB), thiab tseem muaj tag nrho cov npe sau npe muaj los ntawm cov tuam txhab loj (Level3 , NTT, etc.). Nws yog ua tsaug rau cov databases uas inter-domain routing tswj tus txheeb ze stability ntawm nws cov hauj lwm.

Txawm li cas los xij, muaj cov nuances. Routing cov ntaub ntawv raug tshuaj xyuas raws li ROUTE-OBJECTS thiab AS-SET khoom. Thiab yog tias thawj qhov kev tso cai rau ib feem ntawm IRRDB, ces rau chav kawm thib ob tsis muaj kev tso cai raws li chav kawm. Ntawd yog, leej twg tuaj yeem ntxiv leej twg rau lawv cov teeb tsa thiab yog li hla cov lim dej ntawm cov chaw muab kev pabcuam. Ntxiv mus, qhov tshwj xeeb ntawm AS-SET naming ntawm txawv IRR hauv paus tsis tau lees paub, uas tuaj yeem ua rau muaj kev xav tsis thoob nrog kev sib txuas tam sim ntawd rau tus neeg siv xov tooj, uas, rau nws feem, tsis hloov dab tsi.

Ib qho kev sib tw ntxiv yog tus qauv siv ntawm AS-SET. Muaj ob lub ntsiab lus ntawm no:

  • Thaum tus neeg teb xov tooj tau txais cov neeg siv khoom tshiab, nws ntxiv rau nws AS-SET, tab sis yuav luag tsis tshem nws;
  • Cov ntxaij lim dej lawv tus kheej tau teeb tsa tsuas yog ntawm qhov cuam tshuam nrog cov neeg siv khoom.

Raws li qhov tshwm sim, cov qauv niaj hnub ntawm BGP cov ntxaij lim dej muaj cov ntxaij lim dej maj mam degrading ntawm kev sib cuam tshuam nrog cov neeg siv khoom thiab kev ntseeg siab ua ntej hauv qhov los ntawm cov neeg koom tes sib koom tes thiab cov chaw muab kev pabcuam IP.

Dab tsi yog hloov cov ntxaij lim dej ua ntej raws li AS-SET? Qhov nthuav tshaj plaws yog hais tias nyob rau hauv lub sij hawm luv luv - tsis muaj dab tsi. Tab sis cov txheej txheem ntxiv tau tshwm sim uas ntxiv rau kev ua haujlwm ntawm IRRDB-raws li cov ntxaij lim dej, thiab ua ntej ntawm tag nrho cov, qhov no yog, ntawm chav kawm, RPKI.

RPKI

Nyob rau hauv ib txoj kev yooj yim, RPKI architecture tuaj yeem xav tias yog cov ntaub ntawv faib tawm uas nws cov ntaub ntawv tuaj yeem raug txheeb xyuas qhov tseeb. Nyob rau hauv rooj plaub ntawm ROA (Route Object Tso Cai), tus kos npe yog tus tswv ntawm qhov chaw nyob, thiab cov ntaub ntawv nws tus kheej yog triple (prefix, asn, max_length). Qhov tseem ceeb, qhov kev nkag nkag no qhia cov hauv qab no: tus tswv ntawm qhov chaw nyob $ prefix tau tso cai rau tus lej AS $ asn los tshaj tawm cov npe ua ntej nrog qhov ntev tsis pub ntau dua $ max_length. Thiab cov routers, siv RPKI cache, tuaj yeem tshawb xyuas cov khub kom ua raws prefix - thawj tus hais lus ntawm txoj kev.

Yandex siv RPKI

Daim duab 3. RPKI architecture

ROA cov khoom tau raug tsim los rau lub sijhawm ntev, tab sis txog thaum tsis ntev los no lawv tsuas yog nyob hauv daim ntawv hauv IETF phau ntawv journal. Hauv kuv lub tswv yim, vim li cas rau qhov no suab txaus ntshai - kev lag luam tsis zoo. Tom qab kev tsim qauv tiav, qhov kev txhawb siab yog tias ROA tiv thaiv BGP hijacking - uas tsis muaj tseeb. Cov neeg tawm tsam tuaj yeem yooj yim hla ROA-raws li cov ntxaij lim dej los ntawm kev ntxig tus lej AC kom raug thaum pib ntawm txoj kev. Thiab sai li sai tau qhov kev paub no tuaj, cov kauj ruam tom ntej yog kom tso tseg kev siv ROA. Thiab tiag tiag, vim li cas peb thiaj li xav tau thev naus laus zis yog tias nws tsis ua haujlwm?

Vim li cas lub sij hawm hloov koj lub siab? Vim qhov no tsis yog qhov tseeb tag nrho. ROA tsis tiv thaiv hacker kev ua hauv BGP, tab sis tiv thaiv kev sib tsoo tsheb hijackings, piv txwv li los ntawm static leaks hauv BGP, uas tau dhau los ua ntau dua. Tsis tas li ntawd, tsis zoo li IRR-raws li cov ntxaij lim dej, ROV tuaj yeem siv tsis tau tsuas yog ntawm kev sib tshuam nrog cov neeg siv khoom, tab sis kuj ntawm kev sib cuam tshuam nrog cov phooj ywg thiab cov chaw muab kev pabcuam. Ntawd yog, nrog rau kev taw qhia ntawm RPKI, kev ntseeg siab ua ntej tau maj mam ploj mus los ntawm BGP.

Tam sim no, kev tshuaj xyuas cov kev raws li ROA tau maj mam ua los ntawm cov neeg tseem ceeb: qhov loj tshaj plaws nyob sab Europe IX twb tau tso tseg txoj kev tsis raug; ntawm Tier-1 cov tswv lag luam, nws tsim nyog hais txog AT&T, uas tau qhib cov ntxaij lim dej ntawm qhov sib cuam tshuam nrog nws cov neeg koom tes. Cov neeg muab cov ntsiab lus loj tshaj plaws kuj tau mus txog qhov project. Thiab kaum ob tus neeg tsav tsheb thauj mus los nruab nrab tau ua ntsiag to siv nws, tsis tau qhia rau leej twg txog nws. Vim li cas tag nrho cov neeg ua haujlwm no siv RPKI? Cov lus teb yog yooj yim: los tiv thaiv koj cov tsheb khiav tawm ntawm lwm tus neeg yuam kev. Tias yog vim li cas Yandex yog ib qho ntawm thawj zaug hauv Lavxias Federation suav nrog ROV ntawm ntug ntawm nws lub network.

Dab tsi yuav tshwm sim tom ntej?

Tam sim no peb tau qhib kev tshawb xyuas cov ntaub ntawv qhia txog kev sib txuas nrog cov ntsiab lus sib pauv tsheb thiab kev sib tham ntiag tug. Nyob rau yav tom ntej no, kev txheeb xyuas kuj tseem yuav qhib nrog cov chaw muab kev thauj mus los.

Yandex siv RPKI

Qhov no txawv li cas rau koj? Yog tias koj xav ua kom muaj kev ruaj ntseg ntawm kev khiav tsheb khiav ntawm koj lub network thiab Yandex, peb pom zoo:

  • Kos npe rau koj qhov chaw nyob hauv RIPE portal - nws yooj yim, siv sijhawm 5-10 feeb ntawm qhov nruab nrab. Qhov no yuav tiv thaiv peb cov kev sib txuas hauv qhov xwm txheej uas ib tus neeg tsis xav nyiag koj qhov chaw nyob (thiab qhov no yuav tshwm sim sai dua lossis tom qab);
  • Nruab ib qho ntawm qhov qhib RPKI caches (ripe-validator, tus txheej txheem) thiab pab kom txoj kev kuaj xyuas ntawm ciam teb network - qhov no yuav siv sijhawm ntau dua, tab sis dua, nws yuav tsis ua rau muaj teeb meem kev siv tshuab.

Yandex kuj tseem txhawb kev txhim kho kev lim dej raws li cov khoom RPKI tshiab - ASPA (Autonomous System Provider Tso Cai). Cov ntxaij lim dej raws li ASPA thiab ROA cov khoom tuaj yeem tsis tsuas yog hloov "txo" AS-SETs, tab sis kuj kaw cov teeb meem ntawm MiTM tawm tsam siv BGP.

Kuv yuav tham kom meej txog ASPA hauv ib hlis ntawm lub rooj sib tham Next Hop. Cov npoj yaig los ntawm Netflix, Facebook, Dropbox, Juniper, Mellanox thiab Yandex kuj tseem yuav hais nyob ntawd. Yog tias koj txaus siab rau lub network pawg thiab nws txoj kev loj hlob yav tom ntej, tuaj sau npe qhib.

Tau qhov twg los: www.hab.com

Ntxiv ib saib