Bonjou, non mwen se Alexander Azimov. Nan Yandex, mwen devlope divès sistèm siveyans, osi byen ke achitekti rezo transpò. Men jodi a nou pral pale sou pwotokòl BGP la.
Yon semèn de sa, Yandex te pèmèt ROV (Route Orijin Validasyon) nan koòdone yo ak tout patnè peering, osi byen ke pwen echanj trafik yo. Li pi ba a sou poukisa sa a te fè ak ki jan li pral afekte entèraksyon ak operatè telecom.
BGP ak sa ki mal nan li
Ou pwobableman konnen ke BGP te fèt kòm yon pwotokòl routage interdomain. Sepandan, sou wout la, kantite ka itilize jere yo grandi: jodi a, BGP, gras a ekstansyon anpil, te tounen yon otobis mesaj, ki kouvri travay soti nan operatè VPN nan kounye a alamòd SD-WAN, e li te menm jwenn aplikasyon kòm yon transpò pou yon kontwolè ki tankou SDN, vire distans vektè BGP nan yon bagay ki sanble ak lyen yo chita pwotokòl.
Fig. 1.
Poukisa BGP te resevwa (e li kontinye resevwa) anpil itilizasyon? Gen de rezon prensipal:
- BGP se sèl pwotokòl ki travay ant sistèm otonòm (AS);
- BGP sipòte atribi nan fòma TLV (tip-longè-valè). Wi, pwotokòl la pa pou kont li nan sa a, men kòm pa gen anyen ranplase li nan junctions ki genyen ant operatè telecom, li toujou vin pi pwofitab tache yon lòt eleman fonksyonèl nan li pase sipòte yon pwotokòl routage adisyonèl.
Ki sa ki mal nan li? Nan ti bout tan, pwotokòl la pa gen mekanis bati-an pou tcheke kòrèkteman nan enfòmasyon yo resevwa yo. Sa vle di, BGP se yon pwotokòl konfyans a priori: si ou vle di mond lan ke ou kounye a posede rezo a nan Rostelecom, MTS oswa Yandex, tanpri!
Filtre ki baze sou IRRDB - pi bon nan pi move a
Kesyon an rive: poukisa entènèt la toujou ap travay nan yon sitiyasyon konsa? Wi, li travay pi fò nan tan an, men an menm tan an li detanzantan eksploze, fè tout segman nasyonal aksesib. Malgre ke aktivite pirate nan BGP se tou sou ogmantasyon an, pifò anomali yo toujou ki te koze pa pinèz. Egzanp ane sa a se nan Byelorisi, ki te fè yon pati enpòtan nan entènèt la aksesib a itilizatè MegaFon pou yon demi èdtan. Yon lòt egzanp - kraze youn nan pi gwo rezo CDN nan mond lan.
Diri. 2. Cloudflare entèsepsyon trafik
Men, toujou, poukisa anomali sa yo rive yon fwa chak sis mwa, epi yo pa chak jou? Paske transpòtè yo itilize baz done ekstèn enfòmasyon sou routage pou verifye sa yo resevwa nan men vwazen BGP yo. Gen anpil baz done sa yo, kèk nan yo jere pa rjistrèr (RIPE, APNIC, ARIN, AFRINIC), gen kèk ki jwè endepandan (ki pi popilè a se RADB), epi gen tou yon seri antye nan rjistrèr ki posede pa gwo konpayi (Level3). , NTT, elatriye). Se gras a baz done sa yo ke routage entè-domèn kenbe estabilite relatif operasyon li yo.
Sepandan, gen nuans. Yo tcheke enfòmasyon routage yo baze sou ROUTE-OBJECTS ak objè AS-SET. Men, si premye a vle di otorizasyon pou yon pati nan IRRDB a, Lè sa a, pou dezyèm klas la pa gen otorizasyon kòm yon klas. Sa vle di, nenpòt moun ka ajoute nenpòt moun nan seri yo epi kidonk kontoune filtè founisè en. Anplis, inik AS-SET nonmen ant diferan baz IRR pa garanti, sa ki ka mennen nan efè etone ak yon pèt toudenkou nan koneksyon pou operatè telecom a, ki moun ki, pou pati li, pa t 'chanje anyen.
Yon lòt defi se modèl itilizasyon AS-SET. Gen de pwen isit la:
- Lè yon operatè jwenn yon nouvo kliyan, li ajoute li nan AS-SET li yo, men prèske pa janm retire li;
- Filtè yo tèt yo configuré sèlman nan interfaces ak kliyan yo.
Kòm yon rezilta, fòma modèn nan filtè BGP konsiste de filtè gradyèlman degrade nan koòdone yo ak kliyan ak konfyans a priori nan sa ki soti nan patnè peering ak founisè transpò IP.
Ki sa ki ranplase filtè prefiks ki baze sou AS-SET? Bagay ki pi enteresan an se ke nan kout tèm - pa gen anyen. Men, mekanis adisyonèl ap parèt ki konpleman travay filtè ki baze sou IRRDB, e anvan tout bagay, sa a se, nan kou, RPKI.
RPKI
Nan yon fason senplifye, achitekti RPKI ka konsidere kòm yon baz done distribye ki gen dosye yo ka kriptografik verifye. Nan ka ROA (Route Object Authorization), siyatè a se pwopriyetè espas adrès la, epi dosye a li menm se yon trip (prefiks, asn, max_length). Esansyèlman, antre sa a postule sa ki annapre yo: pwopriyetè espas adrès $prefiks la otorize nimewo AS $asn pou fè piblisite pou prefiks ki gen yon longè ki pa pi gran pase $max_length. Ak routeurs, lè l sèvi avèk kachèt RPKI a, yo kapab tcheke pè a pou konfòmite prefiks - premye oratè sou wout la.
Figi 3. Achitekti RPKI
Objè ROA yo te estanda pou yon tan long, men jiska dènyèman yo aktyèlman rete sèlman sou papye nan jounal IETF la. Nan opinyon mwen, rezon ki fè sa a son pè - move maketing. Apre normalizasyon te fini, ankourajman an te ke ROA pwoteje kont vòl BGP - ki pa t vre. Atakè yo ka byen fasil kontoune filtè ki baze sou ROA lè yo mete nimewo AC kòrèk la nan kòmansman chemen an. Epi le pli vit ke realizasyon sa a te vini, pwochen etap lojik la te abandone itilizasyon ROA. Ak reyèlman, poukisa nou bezwen teknoloji si li pa travay?
Poukisa li tan pou w chanje lide? Paske sa a se pa tout verite a. ROA pa pwoteje kont aktivite pirate nan BGP, men pwoteje kont vòlè trafik aksidantèl, pou egzanp soti nan fwit estatik nan BGP, ki ap vin pi komen. Epitou, kontrèman ak filtè ki baze sou IRR, ROV ka itilize pa sèlman nan koòdone yo ak kliyan, men tou nan koòdone yo ak kamarad ak founisè en. Sa vle di, ansanm ak entwodiksyon de RPKI, a priori konfyans piti piti disparèt nan BGP.
Koulye a, tcheke wout ki baze sou ROA piti piti ap aplike pa jwè kle yo: pi gwo IX Ewopeyen an deja jete wout ki pa kòrèk nan mitan operatè Tier-1, li vo mete aksan sou AT&T, ki te pèmèt filtè nan koòdone yo ak patnè peering li yo. Pi gwo founisè kontni yo tou ap apwoche pwojè a. Ak plizyè douzèn mwayen transpò transpò te deja aplike tou dousman, san yo pa di pèsonn sou li. Poukisa tout operatè sa yo ap aplike RPKI? Repons lan se senp: pwoteje trafik sortan ou kont erè lòt moun. Se poutèt sa Yandex se youn nan premye nan Federasyon Larisi la ki gen ladan ROV nan kwen nan rezo li yo.
Kisa ki pral rive apre?
Koulye a, nou pèmèt tcheke enfòmasyon sou routage nan koòdone yo ak pwen echanj trafik ak peerings prive. Nan fiti prè, verifikasyon pral pèmèt tou ak founisè trafik en.
Ki diferans sa fè pou ou? Si ou vle ogmante sekirite wout trafik ant rezo ou ak Yandex, nou rekòmande:
- Siyen espas adrès ou - li senp, pran 5-10 minit an mwayèn. Sa a pral pwoteje koneksyon nou an nan ka yon moun volè espas adrès ou san yo pa vle (e sa pral definitivman rive pi bonè oswa pita);
- Enstale youn nan kachèt RPKI sous louvri yo (, ) ak pèmèt tcheke wout nan fwontyè rezo a - sa a pral pran plis tan, men ankò, li pa pral lakòz okenn difikilte teknik.
Yandex sipòte tou devlopman yon sistèm filtraj ki baze sou nouvo objè RPKI - (Otorizasyon Founisè Sistèm Otonòm). Filtè ki baze sou objè ASPA ak ROA ka pa sèlman ranplase AS-SET "ki koule", men tou, fèmen pwoblèm atak MiTM lè l sèvi avèk BGP.
Mwen pral pale an detay sou ASPA nan yon mwa nan konferans Next Hop la. Kòlèg ki soti nan Netflix, Facebook, Dropbox, Juniper, Mellanox ak Yandex pral tou pale la. Si w enterese nan pile rezo a ak devlopman li nan tan kap vini an, vini .
Sous: www.habr.com