Ciao, mi chiamo Alexander Azimov. In Yandex sviluppo vari sistemi di monitoraggio, nonché l'architettura della rete di trasporto. Ma oggi parleremo del protocollo BGP.
Una settimana fa, Yandex ha abilitato il ROV (Route Origin Validation) nelle interfacce con tutti i partner di peering, nonché nei punti di scambio del traffico. Leggi di seguito il motivo per cui ciò è stato fatto e come influenzerà l'interazione con gli operatori di telecomunicazioni.
BGP e cosa c'è che non va
Probabilmente sai che BGP è stato progettato come protocollo di routing interdominio. Tuttavia, nel corso del tempo, il numero di casi d'uso è riuscito a crescere: oggi BGP, grazie a numerose estensioni, si è trasformato in un bus di messaggi, coprendo compiti dalla VPN dell'operatore all'ormai di moda SD-WAN, e ha persino trovato applicazione come un trasporto per un controller simile a SDN, che trasforma il vettore di distanza BGP in qualcosa di simile al protocollo sat dei collegamenti.
Fig. 1.
Perché BGP ha ricevuto (e continua a ricevere) così tanti usi? Ci sono due ragioni principali:
- BGP è l'unico protocollo che funziona tra sistemi autonomi (AS);
- BGP supporta gli attributi nel formato TLV (tipo-lunghezza-valore). Sì, il protocollo non è l'unico in questo, ma poiché non c'è nulla che lo sostituisca alle giunzioni tra gli operatori di telecomunicazioni, risulta sempre più vantaggioso allegarvi un altro elemento funzionale piuttosto che supportare un protocollo di routing aggiuntivo.
Cosa c'è che non va in lui? In breve, il protocollo non dispone di meccanismi integrati per verificare la correttezza delle informazioni ricevute. Cioè, BGP è un protocollo di fiducia a priori: se vuoi dire al mondo che ora possiedi la rete di Rostelecom, MTS o Yandex, per favore!
Filtro basato su IRRDB: il meglio del peggio
La domanda sorge spontanea: perché Internet funziona ancora in una situazione del genere? Sì, funziona per la maggior parte del tempo, ma allo stesso tempo esplode periodicamente, rendendo inaccessibili interi segmenti nazionali. Sebbene anche l’attività degli hacker in BGP sia in aumento, la maggior parte delle anomalie sono ancora causate da bug. L'esempio di quest'anno è in Bielorussia, che ha reso inaccessibile agli utenti MegaFon una parte significativa di Internet per mezz'ora. Un altro esempio - ha rotto una delle reti CDN più grandi del mondo.
Riso. 2. Intercettazione del traffico Cloudflare
Ma perché tali anomalie si verificano una volta ogni sei mesi e non tutti i giorni? Perché i gestori utilizzano database esterni di informazioni di routing per verificare ciò che ricevono dai vicini BGP. Esistono molti database di questo tipo, alcuni sono gestiti da registrar (RIPE, APNIC, ARIN, AFRINIC), altri sono operatori indipendenti (il più famoso è RADB), ed esiste anche tutta una serie di registrar di proprietà di grandi aziende (Level3 , NTT, ecc.). È grazie a questi database che l'instradamento interdominio mantiene la relativa stabilità del suo funzionamento.
Tuttavia, ci sono delle sfumature. Le informazioni di instradamento vengono controllate in base agli oggetti ROUTE-OBJECTS e AS-SET. E se la prima implica l'autorizzazione per una parte dell'IRRDB, per la seconda classe non esiste alcuna autorizzazione come classe. Cioè, chiunque può aggiungere chiunque ai propri set e quindi bypassare i filtri dei fornitori a monte. Inoltre, non è garantita l'unicità della denominazione AS-SET tra diverse basi IRR, il che può portare a effetti sorprendenti con un'improvvisa perdita di connettività per l'operatore di telecomunicazioni, che, dal canto suo, non ha cambiato nulla.
Un'ulteriore sfida è rappresentata dal modello di utilizzo di AS-SET. Ci sono due punti qui:
- Quando un operatore ottiene un nuovo cliente, lo aggiunge al suo AS-SET, ma non lo rimuove quasi mai;
- I filtri stessi vengono configurati solo nelle interfacce con i client.
Di conseguenza, il formato moderno dei filtri BGP consiste nel degradare gradualmente i filtri nelle interfacce con i client e nella fiducia a priori in ciò che proviene dai partner di peering e dai fornitori di transito IP.
Cosa sostituisce i filtri del prefisso basati su AS-SET? La cosa più interessante è che a breve termine - niente. Ma stanno emergendo ulteriori meccanismi che completano il lavoro dei filtri basati su IRRDB e, prima di tutto, si tratta, ovviamente, di RPKI.
RPKI
In modo semplificato, l’architettura RPKI può essere pensata come un database distribuito i cui record possono essere verificati crittograficamente. Nel caso di ROA (Route Object Authorization), il firmatario è il proprietario dello spazio degli indirizzi e il record stesso è un triplo (prefisso, asn, max_length). Essenzialmente, questa voce postula quanto segue: il proprietario dello spazio di indirizzi $prefix ha autorizzato il numero AS $asn a pubblicizzare prefissi con una lunghezza non superiore a $max_length. E i router, utilizzando la cache RPKI, sono in grado di verificare la conformità della coppia prefisso: primo oratore in arrivo.
Figura 3. Architettura RPKI
Gli oggetti ROA sono stati standardizzati per molto tempo, ma fino a poco tempo fa rimanevano solo su carta nella rivista IETF. Secondo me, la ragione di ciò sembra spaventosa: cattivo marketing. Una volta completata la standardizzazione, l'incentivo era che il ROA proteggesse dal dirottamento di BGP, il che non era vero. Gli aggressori possono facilmente aggirare i filtri basati sul ROA inserendo il numero AC corretto all'inizio del percorso. E non appena è arrivata questa consapevolezza, il passo logico successivo è stato abbandonare l'uso del ROA. E davvero, perché abbiamo bisogno della tecnologia se non funziona?
Perché è ora di cambiare idea? Perché questa non è tutta la verità. ROA non protegge dall'attività degli hacker in BGP, ma protegge da dirottamenti accidentali del traffico, ad esempio da perdite statiche in BGP, che stanno diventando sempre più comuni. Inoltre, a differenza dei filtri basati su IRR, il ROV può essere utilizzato non solo nelle interfacce con i client, ma anche nelle interfacce con peer e fornitori upstream. Cioè, insieme all’introduzione dell’RPKI, la fiducia a priori sta gradualmente scomparendo da BGP.
Ora il controllo delle rotte in base al ROA viene gradualmente implementato dai principali attori: il più grande IX europeo sta già scartando le rotte errate; tra gli operatori Tier-1 vale la pena sottolineare AT&T, che ha abilitato i filtri nelle interfacce con i suoi partner di peering. Anche i maggiori fornitori di contenuti si stanno avvicinando al progetto. E decine di operatori di trasporto di medie dimensioni l’hanno già implementato in silenzio, senza dirlo a nessuno. Perché tutti questi operatori implementano RPKI? La risposta è semplice: proteggere il tuo traffico in uscita dagli errori altrui. Ecco perché Yandex è uno dei primi nella Federazione Russa a includere ROV ai margini della sua rete.
Che cosa succederà dopo?
Ora abbiamo abilitato il controllo delle informazioni di instradamento sulle interfacce con i punti di scambio del traffico e i peering privati. Nel prossimo futuro sarà abilitata la verifica anche con i fornitori di traffico a monte.
Che differenza fa questo per te? Se desideri aumentare la sicurezza dell'instradamento del traffico tra la tua rete e Yandex, ti consigliamo:
- Firma il tuo spazio indirizzo - è semplice, richiede in media 5-10 minuti. Ciò proteggerà la nostra connettività nel caso in cui qualcuno rubi involontariamente il tuo spazio di indirizzi (e questo prima o poi accadrà sicuramente);
- Installa una delle cache RPKI open source (, ) e abilitare il controllo del percorso al confine della rete: ciò richiederà più tempo, ma anche in questo caso non causerà alcuna difficoltà tecnica.
Yandex supporta anche lo sviluppo di un sistema di filtraggio basato sul nuovo oggetto RPKI - (Autorizzazione Gestore Sistema Autonomo). I filtri basati su oggetti ASPA e ROA possono non solo sostituire gli AS-SET “che perdono”, ma anche risolvere i problemi degli attacchi MiTM utilizzando BGP.
Parlerò in dettaglio di ASPA tra un mese alla conferenza Next Hop. Interverranno anche i colleghi di Netflix, Facebook, Dropbox, Juniper, Mellanox e Yandex. Se sei interessato allo stack di rete e al suo sviluppo futuro, vieni .
Fonte: habr.com