Halo, nama saya Alexander Azimov. Di Yandex, saya mengembangkan berbagai sistem pemantauan, serta arsitektur jaringan transportasi. Namun hari ini kita akan berbicara tentang protokol BGP.
Seminggu yang lalu, Yandex mengaktifkan ROV (Validasi Asal Rute) di antarmuka dengan semua mitra peering, serta titik pertukaran lalu lintas. Baca di bawah tentang mengapa hal ini dilakukan dan bagaimana pengaruhnya terhadap interaksi dengan operator telekomunikasi.
BGP dan apa yang salah dengannya
Anda mungkin tahu bahwa BGP dirancang sebagai protokol perutean antardomain. Namun, seiring berjalannya waktu, jumlah kasus penggunaan berhasil bertambah: saat ini, BGP, berkat banyak ekstensi, telah berubah menjadi bus pesan, mencakup tugas-tugas dari operator VPN hingga SD-WAN yang sekarang modis, dan bahkan telah menemukan aplikasi sebagai transportasi untuk pengontrol mirip SDN, mengubah BGP vektor jarak menjadi sesuatu yang mirip dengan protokol tautan sat.
Gambar. 1.
Mengapa BGP menerima (dan terus menerima) begitu banyak kegunaan? Ada dua alasan utama:
- BGP adalah satu-satunya protokol yang bekerja antar sistem otonom (AS);
- BGP mendukung atribut dalam format TLV (type-length-value). Ya, protokol ini tidak sendirian dalam hal ini, tetapi karena tidak ada yang bisa menggantikannya di persimpangan antara operator telekomunikasi, selalu lebih menguntungkan untuk melampirkan elemen fungsional lain ke dalamnya daripada mendukung protokol perutean tambahan.
Apa yang salah dengan dia? Singkatnya, protokol tidak memiliki mekanisme bawaan untuk memeriksa kebenaran informasi yang diterima. Artinya, BGP adalah protokol kepercayaan apriori: jika Anda ingin memberi tahu dunia bahwa Anda sekarang memiliki jaringan Rostelecom, MTS, atau Yandex, silakan!
Filter berbasis IRRDB - yang terbaik dari yang terburuk
Timbul pertanyaan: mengapa Internet masih berfungsi dalam situasi seperti ini? Ya, ia berfungsi hampir sepanjang waktu, namun pada saat yang sama ia meledak secara berkala, membuat seluruh segmen nasional tidak dapat diakses. Meskipun aktivitas hacker di BGP juga meningkat, sebagian besar anomali masih disebabkan oleh bug. Contoh tahun ini adalah di Belarus, yang membuat sebagian besar Internet tidak dapat diakses oleh pengguna MegaFon selama setengah jam. Contoh lain - memecahkan salah satu jaringan CDN terbesar di dunia.
Beras. 2. Intersepsi lalu lintas Cloudflare
Tapi tetap saja, mengapa anomali seperti itu terjadi setiap enam bulan sekali, dan tidak setiap hari? Karena operator menggunakan database eksternal informasi routing untuk memverifikasi apa yang mereka terima dari tetangga BGP. Database seperti itu banyak sekali, ada yang dikelola oleh registrar (RIPE, APNIC, ARIN, AFRINIC), ada pula yang merupakan pemain independen (yang paling terkenal adalah RADB), dan ada juga seluruh registrar yang dimiliki oleh perusahaan besar (Level3 , NTT, dll). Berkat database inilah perutean antar-domain menjaga stabilitas relatif operasinya.
Namun, ada beberapa perbedaan. Informasi perutean diperiksa berdasarkan objek ROUTE-OBJECTS dan AS-SET. Dan jika yang pertama menyiratkan otorisasi untuk bagian dari IRRDB, maka untuk kelas kedua tidak ada otorisasi sebagai sebuah kelas. Artinya, siapa pun dapat menambahkan siapa pun ke set mereka dan dengan demikian melewati filter penyedia upstream. Selain itu, keunikan penamaan AS-SET antara basis IRR yang berbeda tidak dijamin, yang dapat menimbulkan efek mengejutkan berupa hilangnya konektivitas secara tiba-tiba bagi operator telekomunikasi, yang pada bagiannya tidak mengubah apa pun.
Tantangan tambahannya adalah pola penggunaan AS-SET. Ada dua poin di sini:
- Ketika operator mendapatkan klien baru, ia menambahkannya ke AS-SET-nya, namun hampir tidak pernah menghapusnya;
- Filternya sendiri dikonfigurasi hanya pada antarmuka dengan klien.
Hasilnya, format filter BGP modern terdiri dari filter yang menurun secara bertahap pada antarmuka dengan klien dan kepercayaan apriori pada apa yang datang dari mitra peering dan penyedia transit IP.
Apa yang dimaksud dengan penggantian filter awalan berdasarkan AS-SET? Hal yang paling menarik adalah dalam jangka pendek - tidak ada apa-apa. Namun mekanisme tambahan bermunculan yang melengkapi kerja filter berbasis IRRDB, dan yang pertama, tentu saja, adalah RPKI.
RPKI
Secara sederhana, arsitektur RPKI dapat dianggap sebagai database terdistribusi yang catatannya dapat diverifikasi secara kriptografis. Dalam kasus ROA (Otorisasi Objek Rute), penandatangan adalah pemilik ruang alamat, dan catatan itu sendiri adalah triple (awalan, asn, max_length). Pada dasarnya, entri ini mendalilkan hal berikut: pemilik ruang alamat $prefix telah mengotorisasi nomor AS $asn untuk mengiklankan prefiks dengan panjang tidak lebih besar dari $max_length. Dan router, dengan menggunakan cache RPKI, dapat memeriksa kepatuhan pasangan tersebut awalan - pembicara pertama dalam perjalanan.
Gambar 3. Arsitektur RPKI
Objek ROA telah distandarisasi cukup lama, namun hingga saat ini sebenarnya hanya tinggal di atas kertas di jurnal IETF. Menurut pendapat saya, alasannya terdengar menakutkan - pemasaran yang buruk. Setelah standardisasi selesai, insentifnya adalah ROA terlindungi dari pembajakan BGP - dan hal ini tidak benar. Penyerang dapat dengan mudah melewati filter berbasis ROA dengan memasukkan nomor AC yang benar di awal jalur. Dan segera setelah realisasi ini muncul, langkah logis berikutnya adalah meninggalkan penggunaan ROA. Dan sungguh, mengapa kita membutuhkan teknologi jika teknologi itu tidak berfungsi?
Mengapa ini saatnya berubah pikiran? Karena ini tidak sepenuhnya benar. ROA tidak melindungi dari aktivitas hacker di BGP, tapi melindungi terhadap pembajakan lalu lintas yang tidak disengaja, misalnya dari kebocoran statis di BGP, yang semakin sering terjadi. Selain itu, tidak seperti filter berbasis IRR, ROV dapat digunakan tidak hanya pada antarmuka dengan klien, namun juga pada antarmuka dengan rekan dan penyedia hulu. Artinya, seiring dengan diperkenalkannya RPKI, kepercayaan apriori secara bertahap menghilang dari BGP.
Sekarang, pemeriksaan rute berdasarkan ROA secara bertahap diterapkan oleh pemain utama: IX terbesar di Eropa sudah membuang rute yang salah; di antara operator Tier-1, ada baiknya menyoroti AT&T, yang telah mengaktifkan filter pada antarmuka dengan mitra rekannya. Penyedia konten terbesar juga mendekati proyek ini. Dan lusinan operator angkutan umum skala menengah telah menerapkannya secara diam-diam, tanpa memberi tahu siapa pun tentang hal itu. Mengapa semua operator ini menerapkan RPKI? Jawabannya sederhana: melindungi lalu lintas keluar Anda dari kesalahan orang lain. Itulah sebabnya Yandex adalah salah satu yang pertama di Federasi Rusia yang menyertakan ROV di tepi jaringannya.
Apa yang akan terjadi selanjutnya?
Kami sekarang telah mengaktifkan pemeriksaan informasi perutean pada antarmuka dengan titik pertukaran lalu lintas dan peering pribadi. Dalam waktu dekat, verifikasi juga akan diaktifkan dengan penyedia lalu lintas hulu.
Apa perbedaannya bagi Anda? Jika Anda ingin meningkatkan keamanan perutean lalu lintas antara jaringan Anda dan Yandex, kami menyarankan:
- Tanda tangani ruang alamat Anda - sederhana, rata-rata membutuhkan waktu 5-10 menit. Ini akan melindungi konektivitas kami jika seseorang tanpa disadari mencuri ruang alamat Anda (dan ini pasti akan terjadi cepat atau lambat);
- Instal salah satu cache RPKI open source (, ) dan aktifkan pemeriksaan rute di perbatasan jaringan - ini akan memakan waktu lebih lama, tetapi sekali lagi, ini tidak akan menimbulkan kesulitan teknis.
Yandex juga mendukung pengembangan sistem penyaringan berdasarkan objek RPKI baru - (Otorisasi Penyedia Sistem Otonom). Filter berdasarkan objek ASPA dan ROA tidak hanya dapat menggantikan AS-SET yang βbocorβ, tetapi juga menutup masalah serangan MiTM yang menggunakan BGP.
Saya akan berbicara secara rinci tentang ASPA dalam sebulan di konferensi Next Hop. Rekan-rekan dari Netflix, Facebook, Dropbox, Juniper, Mellanox dan Yandex juga akan berbicara di sana. Jika Anda tertarik dengan network stack dan perkembangannya di masa depan, ayo .
Sumber: www.habr.com