Pozdrav, moje ime je Alexander Azimov. U Yandexu razvijam različite sustave nadzora, kao i arhitekturu transportne mreže. Ali danas ćemo govoriti o BGP protokolu.
Prije tjedan dana Yandex je omogućio ROV (Route Origin Validation) na sučeljima sa svim peering partnerima, kao i točkama razmjene prometa. U nastavku pročitajte zašto je to učinjeno i kako će to utjecati na interakciju s telekom operaterima.
BGP i što nije u redu s njim
Vjerojatno znate da je BGP dizajniran kao međudomenski protokol za usmjeravanje. Međutim, usput je broj slučajeva korištenja uspio rasti: danas se BGP, zahvaljujući brojnim proširenjima, pretvorio u sabirnicu poruka, pokrivajući zadatke od operatorskog VPN-a do sada modernog SD-WAN-a, a čak je pronašao primjenu kao prijenos za kontroler sličan SDN-u, pretvarajući BGP vektor udaljenosti u nešto slično links sat protokolu.
Slika. 1.
Zašto je BGP imao (i nastavlja dobivati) toliko mnogo koristi? Dva su glavna razloga:
- BGP je jedini protokol koji radi između autonomnih sustava (AS);
- BGP podržava atribute u TLV (type-length-value) formatu. Da, protokol u tome nije usamljen, ali kako ga nema čime zamijeniti na spojevima između teleoperatera, uvijek se ispadne isplativije na njega pričvrstiti još neki funkcionalni element nego podržavati dodatni protokol usmjeravanja.
Što ne valja s njim? Ukratko, protokol nema ugrađene mehanizme za provjeru točnosti primljenih informacija. Odnosno, BGP je a priori protokol povjerenja: ako želite svijetu reći da sada posjedujete mrežu Rostelecoma, MTS-a ili Yandexa, molim vas!
Filter temeljen na IRRDB - najbolji od najgorih
Postavlja se pitanje: zašto Internet i dalje radi u takvoj situaciji? Da, većinu vremena radi, ali u isto vrijeme povremeno eksplodira, čineći čitave nacionalne segmente nedostupnima. Iako je hakerska aktivnost u BGP-u također u porastu, većina anomalija još uvijek je uzrokovana greškama. Ovogodišnji primjer je u Bjelorusiji, zbog čega je značajan dio interneta postao nedostupan korisnicima MegaFona na pola sata. Još jedan primjer - srušio jednu od najvećih CDN mreža na svijetu.
Riža. 2. Cloudflare presretanje prometa
Ali ipak, zašto se takve anomalije javljaju jednom u šest mjeseci, a ne svaki dan? Budući da prijevoznici koriste vanjske baze podataka informacija o usmjeravanju kako bi provjerili ono što primaju od BGP susjeda. Postoji mnogo takvih baza podataka, nekima od njih upravljaju registri (RIPE, APNIC, ARIN, AFRINIC), nekima su neovisni igrači (najpoznatiji je RADB), a tu je i čitav niz registara u vlasništvu velikih tvrtki (Level3 , NTT, itd.). Upravo zahvaljujući tim bazama podataka usmjeravanje između domena održava relativnu stabilnost svog rada.
Međutim, postoje nijanse. Informacije o usmjeravanju provjeravaju se na temelju ROUTE-OBJECTS i AS-SET objekata. A ako prvo podrazumijeva ovlaštenje za dio IRRDB-a, onda za drugu klasu nema ovlaštenja kao klase. Odnosno, svatko može dodati bilo koga u svoje skupove i time zaobići filtre uzvodnih pružatelja usluga. Štoviše, jedinstvenost AS-SET imenovanja između različitih baza IRR-a nije zajamčena, što može dovesti do iznenađujućih učinaka s iznenadnim gubitkom povezanosti za teleoperatera, koji sa svoje strane nije ništa mijenjao.
Dodatni izazov je obrazac korištenja AS-SET-a. Ovdje postoje dvije točke:
- Kada operater dobije novog klijenta, dodaje ga u svoj AS-SET, ali ga gotovo nikada ne uklanja;
- Sami filteri se konfiguriraju samo na sučeljima s klijentima.
Kao rezultat toga, moderni format BGP filtara sastoji se od postupno degradiranih filtara na sučeljima s klijentima i apriornog povjerenja u ono što dolazi od ravnopravnih partnera i pružatelja usluga IP tranzita.
Što je zamjena filtara prefiksa na temelju AS-SET-a? Najzanimljivije je da kratkoročno – ništa. Ali pojavljuju se dodatni mehanizmi koji nadopunjuju rad filtara temeljenih na IRRDB-u, a prije svega to je, naravno, RPKI.
RPKI
Pojednostavljeno, RPKI arhitektura se može zamisliti kao distribuirana baza podataka čiji se zapisi mogu kriptografski verificirati. U slučaju ROA (Route Object Authorization) potpisnik je vlasnik adresnog prostora, a sam zapis je trojka (prefix, asn, max_length). U suštini, ovaj unos postulira sljedeće: vlasnik adresnog prostora $prefix je ovlastio AS broj $asn za reklamiranje prefiksa čija duljina nije veća od $max_length. A usmjerivači, koristeći RPKI predmemoriju, mogu provjeriti usklađenost para prefiks - prvi govornik na putu.
Slika 3. RPKI arhitektura
ROA objekti već su dosta dugo standardizirani, ali su donedavno zapravo ostali samo na papiru u IETF časopisu. Po meni, razlog za to zvuči zastrašujuće – loš marketing. Nakon što je standardizacija dovršena, poticaj je bio da ROA štiti od otmice BGP-a - što nije bilo točno. Napadači mogu lako zaobići filtre temeljene na ROA-i umetanjem ispravnog AC broja na početku putanje. I čim je došlo do te spoznaje, sljedeći logičan korak bio je napuštanje korištenja ROA-e. I doista, zašto nam je potrebna tehnologija ako ne radi?
Zašto je vrijeme da se predomislite? Jer ovo nije cijela istina. ROA ne štiti od hakerskih aktivnosti u BGP-u, ali štiti od slučajnih otmica prometa, na primjer od statičkih curenja u BGP-u, što je sve češće. Također, za razliku od filtara temeljenih na IRR-u, ROV se može koristiti ne samo na sučeljima s klijentima, već i na sučeljima s peerovima i uzvodnim pružateljima usluga. Odnosno, zajedno s uvođenjem RPKI-ja, a priori povjerenje postupno nestaje iz BGP-a.
Sada provjeru ruta na temelju ROA-e postupno uvode ključni igrači: najveći europski IX već odbacuje netočne rute; među Tier-1 operaterima valja istaknuti AT&T koji je omogućio filtre na sučeljima sa svojim peering partnerima. Projektu pristupaju i najveći pružatelji sadržaja. A deseci srednjih prijevoznika već su to tiho implementirali, a da nikome nisu rekli o tome. Zašto svi ti operateri implementiraju RPKI? Odgovor je jednostavan: zaštititi svoj odlazni promet od tuđih pogrešaka. Zato je Yandex jedan od prvih u Ruskoj Federaciji koji je uključio ROV na rubu svoje mreže.
Što će biti dalje?
Sada smo omogućili provjeru informacija o usmjeravanju na sučeljima s točkama razmjene prometa i privatnim peeringom. U bliskoj budućnosti, provjera će također biti omogućena s uzvodnim pružateljima prometa.
Kakva je to razlika za vas? Ako želite povećati sigurnost usmjeravanja prometa između vaše mreže i Yandexa, preporučujemo:
- Potpišite svoj adresni prostor - jednostavno je, u prosjeku traje 5-10 minuta. Ovo će zaštititi našu povezanost u slučaju da netko nesvjesno ukrade vaš adresni prostor (a to će se svakako dogoditi prije ili kasnije);
- Instalirajte jedan od RPKI predmemorija otvorenog koda (, ) i omogućiti provjeru rute na granici mreže - to će oduzeti više vremena, ali opet, neće uzrokovati nikakve tehničke poteškoće.
Yandex također podržava razvoj sustava filtriranja temeljenog na novom RPKI objektu - (Ovlaštenje pružatelja autonomnog sustava). Filtri temeljeni na ASPA i ROA objektima ne samo da mogu zamijeniti "propustljive" AS-SET-ove, već i riješiti probleme MiTM napada korištenjem BGP-a.
O ASPA-i ću detaljno govoriti za mjesec dana na Next Hop konferenciji. Tamo će govoriti i kolege iz Netflixa, Facebooka, Dropboxa, Junipera, Mellanoxa i Yandexa. Ako ste zainteresirani za mrežni stog i njegov razvoj u budućnosti, dođite .
Izvor: www.habr.com