ProHoster > Блог > Nchịkwa > Yandex na-arụ ọrụ RPKI

Yandex na-arụ ọrụ RPKI

Ndewo, aha m bụ Alexander Azimov. Na Yandex, m na-azụlite usoro nleba anya dị iche iche, yana ụlọ ọrụ netwọk ụgbọ njem. Mana taa, anyị ga-ekwu maka usoro BGP.

Yandex na-arụ ọrụ RPKI

Otu izu gara aga, Yandex nyeere ROV (Route Origin Validation) na mkparịta ụka ya na ndị mmekọ ọ bụla, yana ebe mgbanwe okporo ụzọ. Gụọ n'okpuru maka ihe kpatara e ji mee nke a yana otu ọ ga-esi metụta mmekọrịta gị na ndị na-arụ ọrụ telecom.

BGP na kedu ihe na-eme ya

Eleghị anya ị maara na e mere BGP ka ọ bụrụ usoro ntugharị interdomain. Otú ọ dị, n'ụzọ, ọnụ ọgụgụ nke ojiji ikpe jisiri ike na-eto eto: taa, BGP, ekele maka ọtụtụ extensions, ghọọ ụgbọ ala ozi, na-ekpuchi ihe aga-eme site na VPN onye ọrụ na ugbu a fashionable SD-WAN, na ọbụna chọtara ngwa dị ka. njem maka onye na-ahụ maka SDN dị ka SDN, na-atụgharị vector dị anya BGP n'ime ihe yiri njikọ ahụ nọdụ ala protocol.

Yandex na-arụ ọrụ RPKI

Nyocha: 1. Ụlọ ọrụ BGP SAFI

Kedu ihe kpatara BGP ji nata (ma na-anata) ọtụtụ ojiji? Enwere isi ihe abụọ kpatara ya:

  • BGP bụ naanị protocol na-arụ ọrụ n'etiti sistemu kwụụrụ onwe (AS);
  • BGP na-akwado njirimara n'ụdị TLV (ụdị ogologo-uru). Ee, usoro ahụ abụghị naanị na nke a, mana ebe ọ bụ na ọ nweghị ihe ga-anọchi ya na njikọ dị n'etiti ndị na-arụ ọrụ telecom, ọ na-eme ka ọ bụrụ uru karịa itinye ihe ọzọ na-arụ ọrụ na ya karịa ịkwado usoro nhazi ọzọ.

Gịnị na-eme ya? Na nkenke, protocol enweghị usoro arụnyere maka ịlele izi ezi nke ozi enwetara. Ya bụ, BGP bụ protocol ntụkwasị obi priori: ọ bụrụ na ịchọrọ ịgwa ụwa na ị nwere netwọkụ nke Rostelecom, MTS ma ọ bụ Yandex, biko!

Nzacha dabere na IRRDB - nke kachasị njọ

Ajụjụ na-ebilite: gịnị kpatara ịntanetị ka ji arụ ọrụ n'ọnọdụ dị otú ahụ? Ee, ọ na-arụ ọrụ ọtụtụ oge, mana n'otu oge ahụ ọ na-agbawa kwa oge, na-eme ka akụkụ mba niile ghara inweta ya. Ọ bụ ezie na ọrụ hacker na BGP na-arị elu, ọtụtụ anomalies ka na-akpata ahụhụ. Ihe atụ nke afọ a bụ obere mperi onye ọrụ na Belarus, nke mere ka ndị ọrụ MegaFon ghara ịnweta akụkụ dị mkpa nke ịntanetị maka ọkara elekere. Ọmụmaatụ ọzọ - onye nzuzu BGP optimizer mebiri otu netwọk CDN kasị ukwuu n'ụwa.

Yandex na-arụ ọrụ RPKI

Osikapa. 2. Cloudflare okporo ụzọ interception

Ma, n'ihi gịnị ka ndị dị otú ahụ anomalies na-eme otu ugboro n'ọnwa isii, ọ bụghị kwa ụbọchị? N'ihi na ndị na-ebu ibu na-eji ọdụ data mpụga nke ozi ntụgharị iji nyochaa ihe ha na-enweta n'aka ndị agbata obi BGP. Enwere ọtụtụ ọdụ data dị otú ahụ, ụfọdụ n'ime ha bụ ndị na-edeba aha na-elekọta (RIPE, APNIC, ARIN, AFRINIC), ụfọdụ bụ ndị egwuregwu nọọrọ onwe ha (nke a ma ama bụ RADB), enwekwara ọtụtụ ndị na-edeba aha nke nnukwu ụlọ ọrụ nwere (Level3). NTT, wdg). Ọ bụ ekele maka ọdụ data ndị a ka ụzọ n'etiti ngalaba na-ejigide nkwụsi ike nke ọrụ ya.

Otú ọ dị, e nwere nuances. A na-enyocha ozi ntụgharị dabere na ROUTE-OBJECTS na AS-SET ihe. Ma ọ bụrụ na nke mbụ pụtara ikike maka akụkụ nke IRRDB, mgbe ahụ maka klas nke abụọ enweghị ikike dịka klaasị. Ya bụ, onye ọ bụla nwere ike ịgbakwunye onye ọ bụla na nhazi ha wee si otú ahụ gafere nzacha nke ndị na-eweta elu. Ọzọkwa, ihe dị iche iche nke AS-SET na-akpọ aha n'etiti ntọala IRR dị iche iche adịghị ekwe nkwa, nke nwere ike ịkpata mmetụta dị ịtụnanya na nkwụsị mberede nke njikọta maka onye na-ahụ maka telecom, onye, ​​​​n'aka nke ya, agbanweghị ihe ọ bụla.

Ihe ịma aka ọzọ bụ usoro ojiji nke AS-SET. Enwere isi ihe abụọ ebe a:

  • Mgbe onye ọrụ nwetara onye ahịa ọhụrụ, ọ na-agbakwunye ya na AS-SET, mana ọ fọrọ nke nta ka ọ ghara iwepụ ya;
  • A na-ahazi ihe nzacha n'onwe ha naanị na interfaces na ndị ahịa.

N'ihi nke a, usoro ihe nzacha BGP nke ọgbara ọhụrụ nwere nzacha ji nwayọọ nwayọọ na-eweda n'ala n'ebe ndị ahịa na-enwe ntụkwasị obi na ntụkwasị obi n'ihe sitere n'aka ndị mmekọ na ndị na-eweta IP.

Kedu ihe na-edochi nzacha prefix dabere na AS-SET? Ihe kacha adọrọ mmasị bụ na n'ime obere oge - ọ dịghị ihe ọ bụla. Ma usoro ndị ọzọ na-apụta nke na-akwado ọrụ nke nzacha dabeere na IRRDB, na nke mbụ, nke a bụ, n'ezie, RPKI.

RPKI

N'ụzọ dị mfe, ụlọ ọrụ RPKI nwere ike iche dị ka nchekwa data ekesa nke enwere ike nyochaa ndekọ ya n'ụzọ cryptographically. N'ihe banyere ROA (Route Object Authorization), onye nbinye aka bụ onye nwe oghere adreesị, na ndekọ n'onwe ya bụ okpukpu atọ (prefix, asn, max_length). N'ụzọ bụ isi, ntinye a biputere ihe ndị a: onye nwe oghere adreesị $prefix enyela akara AS $asn ka ọ kpọsaa prefixes n'ogologo na-erughị $max_length. Na ndị na-anya ụgbọ elu, na-eji cache RPKI, na-enwe ike ịlele ụzọ abụọ ahụ maka nnabata prefix - ọkà okwu mbụ n'ụzọ.

Yandex na-arụ ọrụ RPKI

Ọgụgụ 3. RPKI architecture

Ahazila ihe ROA ogologo oge, mana ruo n'oge na-adịbeghị anya, ha ka dị naanị n'akwụkwọ n'akwụkwọ akụkọ IETF. N'uche nke m, ihe kpatara nke a na-ada ụda egwu - ahịa ọjọọ. Ka emechara nhazi ọkwa, ihe mkpali bụ na ROA chebere pụọ n'ịkwụsị BGP - nke na-abụghị eziokwu. Ndị na-awakpo nwere ike gafere nzacha dabere na ROA ngwa ngwa site na itinye nọmba AC ziri ezi na mmalite nke ụzọ ahụ. Ma ozugbo nghọta a bịara, nzọụkwụ ọzọ ezi uche dị na ya bụ ịhapụ iji ROA. Ma n'ezie, gịnị kpatara anyị ji chọọ teknụzụ ma ọ bụrụ na ọ naghị arụ ọrụ?

Gịnị mere o ji bụrụ oge ịgbanwe obi gị? N'ihi na nke a abụghị eziokwu dum. ROA anaghị echebe megide ọrụ hacker na BGP, mana na-echebe megide njide okporo ụzọ na mberede, dịka ọmụmaatụ site na ntapu static na BGP, nke na-aghọwanye ihe. Ọzọkwa, n'adịghị ka ihe nzacha dabeere na IRR, ROV nwere ike iji ọ bụghị naanị na interfaces na ndị ahịa, kamakwa na interfaces na ndị ọgbọ na ndị na-eweta elu. Ya bụ, yana iwebata RPKI, ntụkwasị obi priori na-eji nwayọ na-apụ n'anya na BGP.

Ugbu a, ịlele ụzọ dabere na ROA ji nwayọọ nwayọọ na-emejuputa ya site na ndị isi egwuregwu: European IX kasị ukwuu na-atụfu ụzọ na-ezighị ezi n'etiti ndị na-arụ ọrụ Tier-1, ọ bara uru ịkọwapụta AT & T, nke mere ka ihe nzacha dị na interfaces na ndị mmekọ ibe ya. Ndị na-eweta ọdịnaya kachasị na-abịarukwa nso n'ọrụ a. Ọtụtụ ndị na-arụ ọrụ n'ụzọ na-agafe agafe ejirila nwayọọ mejuputa ya, n'agwaghị onye ọ bụla gbasara ya. Kedu ihe kpatara ndị ọrụ a niile ji emejuputa RPKI? Azịza ya dị mfe: iji chebe okporo ụzọ gị na-apụ apụ site na mmejọ ndị ọzọ. Ya mere Yandex bụ otu n'ime ndị mbụ na Russian Federation gụnyere ROV na nsọtụ nke netwọk ya.

Gịnị ga-eme ọzọ?

Ugbu a, anyị enyerela gị aka ịlele ozi ụzọ ụzọ n'ụzọ nwere ebe mgbanwe okporo ụzọ na ndị ọgbọ nkeonwe. N'ọdịnihu dị nso, a ga-akwadokwa nkwenye site na ndị na-eweta okporo ụzọ dị elu.

Yandex na-arụ ọrụ RPKI

Kedu ihe dị iche nke a na-eme gị? Ọ bụrụ n’ịchọrọ ịbawanye nchekwa nke ụzọ okporo ụzọ n'etiti netwọkụ gị na Yandex, anyị na-akwado:

  • Banye ohere adreesị gị na RIPE portal - ọ dị mfe, na-ewe 5-10 nkeji na nkezi. Nke a ga-echebe njikọta anyị ma ọ bụrụ na mmadụ zuru ohi ohere adreesị gị n'amaghị ama (nke a ga-emerịrị ma ọ bụ emechaa);
  • Wụnye otu n'ime oghere RPKI mepere emepe (mfri eke-validator, onye na-emegharị ihe) ma mee ka ịlele ụzọ na njedebe netwọk - nke a ga-ewe oge karịa, mana ọzọ, ọ gaghị akpata nsogbu ọrụ aka ọ bụla.

Yandex na-akwadokwa mmepe nke usoro nzacha dabere na ihe ọhụrụ RPKI - ASPA (Ikike ndị na-eweta sistemu). Ihe nzacha dabere na ihe ASPA na ROA nwere ike ọ bụghị naanị dochie “leaky” AS-SETs, kamakwa mechie okwu nke mwakpo MiTM site na iji BGP.

M ga-ekwu n'ụzọ zuru ezu banyere ASPA n'ime otu ọnwa na Next Hop ogbako. Ndị ọrụ ibe si Netflix, Facebook, Dropbox, Juniper, Mellanox na Yandex ga-ekwukwa ebe ahụ. Ọ bụrụ na ị nwere mmasị na nchịkọta netwọk na mmepe ya n'ọdịnihu, bịa ndebanye aha na-emeghe.

isi: www.habr.com

Tinye a comment