Halló, ég heiti Alexander Azimov. Hjá Yandex þróa ég ýmis vöktunarkerfi, sem og flutninganetaarkitektúr. En í dag munum við tala um BGP siðareglur.
Fyrir viku síðan gerði Yandex ROV (Route Origin Validation) virkt á viðmótum allra jafningjafélaga, sem og umferðarskiptapunkta. Lestu hér að neðan um hvers vegna þetta var gert og hvernig það mun hafa áhrif á samskipti við fjarskiptafyrirtæki.
BGP og hvað er að því
Þú veist líklega að BGP var hannað sem samskiptareglur milli léna. Hins vegar, á leiðinni, tókst fjölda notkunartilvika að vaxa: í dag hefur BGP, þökk sé fjölmörgum viðbyggingum, breyst í skilaboðastrætó, sem nær yfir verkefni frá rekstraraðila VPN til hins nútímalega SD-WAN, og hefur jafnvel fundið forrit sem flutningur fyrir SDN-líkan stjórnanda, sem breytir fjarlægðarvektor BGP í eitthvað svipað og samskiptareglur tengla sat.
Fig. 1.
Hvers vegna hefur BGP fengið (og heldur áfram að fá) svona mikið af notkun? Það eru tvær meginástæður:
- BGP er eina samskiptareglan sem virkar á milli sjálfstæðra kerfa (AS);
- BGP styður eiginleika á TLV (type-length-value) sniði. Já, samskiptareglan er ekki ein um þetta, en þar sem ekkert kemur í staðinn á mótum fjarskiptafyrirtækja, reynist alltaf hagkvæmara að festa annan virkan þátt við hana en að styðja við viðbótar leiðarreglur.
Hvað er að honum? Í stuttu máli, samskiptareglan hefur ekki innbyggða aðferð til að athuga réttmæti upplýsinganna sem berast. Það er, BGP er a priori traust siðareglur: ef þú vilt segja heiminum að þú eigir núna net Rostelecom, MTS eða Yandex, vinsamlegast!
IRRDB byggð sía - það besta af því versta
Spurningin vaknar: hvers vegna virkar internetið enn við slíkar aðstæður? Já, það virkar oftast, en á sama tíma springur það reglulega og gerir heilu landshlutana óaðgengilega. Þrátt fyrir að tölvuþrjótavirkni í BGP sé einnig að aukast eru flest frávik enn af völdum galla. Dæmi þessa árs er í Hvíta-Rússlandi, sem gerði verulegan hluta internetsins óaðgengilegan MegaFon notendum í hálftíma. Annað dæmi - braut eitt stærsta CDN net í heimi.
Hrísgrjón. 2. Cloudflare umferðarhlerun
En samt, hvers vegna koma slík frávik einu sinni á sex mánaða fresti, en ekki á hverjum degi? Vegna þess að flutningsaðilar nota ytri gagnagrunna með leiðarupplýsingum til að sannreyna hvað þeir fá frá BGP nágrönnum. Það eru margir slíkir gagnagrunnar, sumum þeirra er stjórnað af skrásetjara (RIPE, APNIC, ARIN, AFRINIC), sumir eru óháðir aðilar (frægastur er RADB), og það er líka heilt safn af skrásetjara í eigu stórra fyrirtækja (Level3). , NTT osfrv.). Það er þessum gagnagrunnum að þakka að leið milli léna heldur hlutfallslegum stöðugleika í rekstri sínum.
Hins vegar eru blæbrigði. Leiðarupplýsingar eru athugaðar út frá ROUTE-OBJECTS og AS-SET hlutum. Og ef sá fyrsti gefur til kynna heimild fyrir hluta af IRRDB, þá er engin heimild sem flokkur fyrir annan flokk. Það er, hver sem er getur bætt hverjum sem er við settin sín og þar með farið framhjá síum andstreymisveitenda. Þar að auki er sérstaða AS-SET nafngiftarinnar milli mismunandi IRR-grunna ekki tryggð, sem getur leitt til óvæntra áhrifa með skyndilegu tapi á tengingu fyrir fjarskiptafyrirtækið, sem fyrir sitt leyti breytti engu.
Önnur áskorun er notkunarmynstur AS-SET. Hér eru tveir punktar:
- Þegar rekstraraðili fær nýjan viðskiptavin bætir hann honum við AS-SETIÐ sitt, en fjarlægir það nánast aldrei;
- Síurnar sjálfar eru aðeins stilltar á tengi við viðskiptavini.
Þess vegna samanstendur nútíma snið BGP sía af smám saman niðurlægjandi síum á viðmótum við viðskiptavini og fyrirfram trausti á því sem kemur frá jafningjaaðilum og IP-flutningsaðilum.
Hvað er að skipta um forskeytissíur byggðar á AS-SET? Það áhugaverðasta er að til skamms tíma - ekkert. En fleiri aðferðir eru að koma fram sem bæta við vinnu IRRDB-undirstaða sía, og fyrst af öllu er þetta auðvitað RPKI.
RPKI
Á einfaldaðan hátt er hægt að líta á RPKI arkitektúrinn sem dreifðan gagnagrunn þar sem hægt er að staðfesta færslur með dulmáli. Þegar um er að ræða ROA (Route Object Authorization), er undirritaður eigandi heimilisfangsrýmisins og skráningin sjálf er þreföld (forskeyti, asn, max_length). Í meginatriðum er þessi færsla sett fram eftirfarandi: Eigandi $prefix vistfangarýmisins hefur heimilað AS-númerinu $asn að auglýsa forskeyti með lengd sem er ekki lengri en $max_length. Og beinar, sem nota RPKI skyndiminni, geta athugað hvort parið sé í samræmi forskeyti - fyrsti ræðumaður á leiðinni.
Mynd 3. RPKI arkitektúr
ROA hlutir hafa verið staðlaðir í nokkuð langan tíma, en þar til nýlega voru þeir í raun aðeins á pappír í IETF tímaritinu. Að mínu mati hljómar ástæðan fyrir þessu skelfileg - slæm markaðssetning. Eftir að stöðlun var lokið var hvatinn sá að ROA verndaði gegn BGP flugrán - sem var ekki satt. Árásarmenn geta auðveldlega framhjá ROA-byggðum síum með því að setja inn rétta AC númerið í upphafi leiðarinnar. Og um leið og þessi skilning kom var næsta rökrétta skrefið að hætta að nota ROA. Og af hverju þurfum við tækni ef hún virkar ekki?
Af hverju er kominn tími til að skipta um skoðun? Því þetta er ekki allur sannleikurinn. ROA verndar ekki gegn tölvuþrjótavirkni í BGP, en verndar gegn umferðarránum fyrir slysni, til dæmis vegna truflana leka í BGP, sem er að verða algengara. Einnig, ólíkt IRR-undirstaða síum, er hægt að nota ROV ekki aðeins við tengi við viðskiptavini, heldur einnig við viðmót við jafningja og andstreymisveitendur. Það er, samhliða tilkomu RPKI, er a priori traust smám saman að hverfa frá BGP.
Nú er að athuga leiðir byggðar á ROA smám saman að innleiða af lykilaðilum: Stærsta evrópska IX er nú þegar að fleygja röngum leiðum; meðal Tier-1 rekstraraðila er þess virði að leggja áherslu á AT&T, sem hefur virkjað síur á viðmótum við jafningjafélaga sína. Stærstu efnisveiturnar nálgast einnig verkefnið. Og tugir meðalstórra flutningafyrirtækja hafa þegar innleitt það hljóðlega án þess að segja neinum frá því. Af hverju eru allir þessir rekstraraðilar að innleiða RPKI? Svarið er einfalt: að vernda áleiðis umferð þína fyrir mistökum annarra. Þess vegna er Yandex eitt af þeim fyrstu í Rússlandi til að hafa ROV við jaðar nets síns.
Hvað gerist næst?
Við höfum nú gert kleift að athuga leiðarupplýsingar á viðmótum við umferðarskiptapunkta og einkaskilaboð. Í náinni framtíð verður sannprófun einnig virkjuð hjá veitendum uppstreymis umferðar.
Hvaða munur skiptir þetta fyrir þig? Ef þú vilt auka öryggi umferðarleiðar milli netkerfisins þíns og Yandex, mælum við með:
- Skrifaðu undir heimilisfangsrýmið þitt - það er einfalt, tekur 5-10 mínútur að meðaltali. Þetta mun vernda tenginguna okkar ef einhver stelur óafvitandi heimilisfangarýminu þínu (og þetta mun örugglega gerast fyrr eða síðar);
- Settu upp eitt af opnum RPKI skyndiminni (, ) og virkjaðu leiðarathugun á landamærum netsins - þetta mun taka lengri tíma, en aftur mun það ekki valda neinum tæknilegum erfiðleikum.
Yandex styður einnig þróun síunarkerfis byggt á nýja RPKI hlutnum - (Autonomous System Provider Authorization). Síur byggðar á ASPA og ROA hlutum geta ekki aðeins komið í stað „leka“ AS-SET, heldur einnig lokað vandamálum MiTM árása með BGP.
Ég mun tala ítarlega um ASPA eftir mánuð á Next Hop ráðstefnunni. Þar munu einnig samstarfsmenn frá Netflix, Facebook, Dropbox, Juniper, Mellanox og Yandex tala. Ef þú hefur áhuga á netstaflanum og þróun hans í framtíðinni, komdu .
Heimild: www.habr.com