Halo, jenengku Alexander Azimov. Ing Yandex, aku ngembangake macem-macem sistem pemantauan, uga arsitektur jaringan transportasi. Nanging dina iki kita bakal ngomong babagan protokol BGP.
Seminggu kepungkur, Yandex ngaktifake ROV (Route Origin Validation) ing antarmuka karo kabeh mitra peering, uga titik ijol-ijolan lalu lintas. Waca ing ngisor iki babagan kenapa iki ditindakake lan kepiye pengaruhe interaksi karo operator telekomunikasi.
BGP lan apa salah karo
Sampeyan mbokmenawa ngerti yen BGP dirancang minangka protokol routing interdomain. Nanging, ing sadawane dalan, jumlah kasus panggunaan bisa tuwuh: dina iki, BGP, amarga akeh ekstensi, wis dadi bis pesen, kalebu tugas saka operator VPN menyang SD-WAN sing saiki modis, lan malah nemokake aplikasi minangka transportasi kanggo controller SDN-kaya, ngowahi jarak vektor BGP menyang soko padha karo pranala lungguh protokol.
Gambar: limalas
Apa BGP wis ditampa (lan terus nampa) akeh nggunakake? Ana rong alasan utama:
- BGP minangka protokol mung sing bisa digunakake ing antarane sistem otonom (AS);
- BGP ndhukung atribut ing format TLV (type-length-value). Ya, protokol ora mung ing iki, nanging amarga ora ana sing bisa ngganti ing persimpangan antarane operator telekomunikasi, mesthine dadi luwih nguntungake kanggo masang unsur fungsional liyane tinimbang ndhukung protokol rute tambahan.
Ana apa karo dheweke? Singkatnya, protokol kasebut ora duwe mekanisme sing dibangun kanggo mriksa kabeneran informasi sing ditampa. Yaiku, BGP minangka protokol kapercayan apriori: yen sampeyan pengin ngandhani jagad yen sampeyan saiki duwe jaringan Rostelecom, MTS utawa Yandex, mangga!
Filter adhedhasar IRRDB - sing paling apik saka sing paling ala
Pitakonan muncul: kenapa Internet isih bisa digunakake ing kahanan kaya ngono? Ya, kerjane paling akeh, nanging ing wektu sing padha njeblug kanthi periodik, nggawe kabeh segmen nasional ora bisa diakses. Senajan aktivitas hacker ing BGP uga ing munggah, paling anomali isih disebabake kewan omo. Conto taun iki yaiku ing Belarus, sing nggawe bagean penting saka Internet ora bisa diakses pangguna MegaFon sajrone setengah jam. Conto liyane - nyuwil salah siji saka jaringan CDN paling gedhe ing donya.
Gabah. 2. nyegat lalu lintas Cloudflare
Nanging, kenapa anomali kasebut kedadeyan saben nem wulan, lan ora saben dina? Amarga operator nggunakake database external informasi nuntun kanggo verifikasi apa padha nampa saka BGP tanggi. Ana akeh database kasebut, sawetara sing dikelola dening registrar (RIPE, APNIC, ARIN, AFRINIC), sawetara pemain independen (sing paling misuwur yaiku RADB), lan uga ana kabeh registrar sing diduweni dening perusahaan gedhe (Level3). , NTT, lsp). Thanks kanggo database kasebut, rute antar-domain njaga stabilitas relatif saka operasi kasebut.
Nanging, ana nuansa. Informasi rute dicenthang adhedhasar obyek ROUTE-OBJECTS lan AS-SET. Lan yen sing pisanan nuduhake wewenang kanggo bagean saka IRRDB, banjur kanggo kelas kapindho ora ana wewenang minangka kelas. Yaiku, sapa wae bisa nambah sapa wae menyang set lan kanthi mangkono ngliwati saringan panyedhiya hulu. Kajaba iku, keunikan saka jeneng AS-SET ing antarane basis IRR sing beda-beda ora dijamin, sing bisa nyebabake efek sing nggumunake kanthi mundhut konektivitas kanggo operator telekomunikasi, sing, kanggo bagean kasebut, ora ngganti apa-apa.
Tantangan tambahan yaiku pola panggunaan AS-SET. Ana rong titik ing kene:
- Nalika operator nemu klien anyar, nambah menyang AS-SET, nanging meh ora mbusak;
- Filter-filter kasebut mung dikonfigurasi ing antarmuka karo klien.
AkibatΓ©, format modern saringan BGP kasusun saka saringan mboko sithik degradasi ing antarmuka karo klien lan apriori kapercayan apa teka saka partners peering lan panyedhiya transit IP.
Apa ngganti saringan awalan adhedhasar AS-SET? Sing paling menarik yaiku ing wektu sing cendhak - ora ana apa-apa. Nanging mekanisme tambahan muncul sing nglengkapi karya saringan basis IRRDB, lan pisanan kabeh, iki, mesthi, RPKI.
RPKI
Kanthi cara sing disederhanakake, arsitektur RPKI bisa dianggep minangka basis data sing disebarake sing cathetan bisa diverifikasi kanthi kriptografi. Ing kasus ROA (Otorisasi Obyek Rute), sing menehi tandha minangka pemilik ruang alamat, lan rekaman kasebut minangka telung (awalan, asn, max_length). Intine, entri iki menehi postulat ing ngisor iki: sing duwe ruang alamat awalan $ wis menehi wewenang nomer AS $asn kanggo ngiklanake awalan kanthi dawane ora luwih saka $max_length. Lan router, nggunakake cache RPKI, bisa mriksa kepatuhan pasangan kasebut ater-ater - speaker pisanan ing dalan.
Gambar 3. Arsitektur RPKI
Objek ROA wis distandarisasi kanggo wektu sing cukup suwe, nanging nganti saiki mung ana ing kertas ing jurnal IETF. Ing mratelakake panemume, alesan kanggo iki muni medeni - marketing ala. Sawise standarisasi rampung, insentif kasebut yaiku ROA nglindhungi saka pembajakan BGP - sing ora bener. Penyerang bisa kanthi gampang ngliwati saringan adhedhasar ROA kanthi nglebokake nomer AC sing bener ing wiwitan dalan. Lan sanalika kesadaran iki teka, langkah logis sabanjure yaiku ninggalake panggunaan ROA. Lan tenan, kenapa kita butuh teknologi yen ora bisa digunakake?
Napa wektu kanggo ngganti pikiran? Amarga iki ora kabeh bebener. ROA ora nglindhungi marang kegiatan hacker ing BGP, nanging nglindhungi saka hijackings lalu lintas sengaja, contone saka bocor statis ing BGP, kang dadi luwih umum. Uga, ora kaya saringan berbasis IRR, ROV bisa digunakake ora mung ing antarmuka karo klien, nanging uga ing antarmuka karo kanca-kanca lan panyedhiya hulu. Tegese, bebarengan karo RPKI, kepercayaan apriori saya suwe saya ilang saka BGP.
Saiki, mriksa rute adhedhasar ROA mboko sithik dileksanakake dening pemain tombol: IX Eropah paling gedhe wis discarding rute salah antarane operator Tier-1, iku worth nyorot AT & T, kang wis ngaktifake saringan ing antarmuka karo partners peering sawijining. Panyedhiya konten paling gedhe uga nyedhaki proyek kasebut. Lan puluhan operator transit ukuran medium wis ngetrapake kanthi tenang, tanpa ngandhani sapa wae. Kenging menapa sedaya operator menika nindakaken RPKI? Jawaban iki prasaja: kanggo nglindhungi lalu lintas metu saka kesalahane wong liya. Mulane Yandex minangka salah sawijining sing pertama ing Federasi Rusia sing kalebu ROV ing pinggir jaringan.
Apa sing bakal kelakon mengko?
Saiki kita wis ngaktifake mriksa informasi rute ing antarmuka karo titik ijol-ijolan lalu lintas lan peering pribadi. Ing mangsa ngarep, verifikasi uga bakal diaktifake karo panyedhiya lalu lintas hulu.
Apa prabΓ©dan iki kanggo sampeyan? Yen sampeyan pengin nambah keamanan rute lalu lintas antarane jaringan lan Yandex, disaranake:
- Tandhani papan alamat sampeyan - iku prasaja, njupuk 5-10 menit ing rata-rata. Iki bakal nglindhungi konektivitas kita yen ana wong sing ora sengaja nyolong papan alamat sampeyan (lan iki mesthi bakal kelakon cepet utawa mengko);
- Instal salah sawijining cache RPKI open source (, ) lan ngaktifake mriksa rute ing tapel wates jaringan - iki bakal njupuk wektu liyane, nanging maneh, ora bakal nimbulakΓ© kangelan technical.
Yandex uga ndhukung pangembangan sistem nyaring adhedhasar obyek RPKI anyar - (Wewenang Panyedhiya Sistem Otonom). Filter adhedhasar obyek ASPA lan ROA ora mung bisa ngganti AS-SET "bocor", nanging uga nutup masalah serangan MiTM nggunakake BGP.
Aku bakal ngomong kanthi rinci babagan ASPA ing sasi ing konferensi Next Hop. Kolega saka Netflix, Facebook, Dropbox, Juniper, Mellanox lan Yandex uga bakal ngomong ing kana. Yen sampeyan kasengsem ing tumpukan jaringan lan pembangunan ing mangsa, teka .
Source: www.habr.com