Yandex ახორციელებს RPKI

გამარჯობა, მე მქვია ალექსანდრე აზიმოვი. Yandex-ში ვამუშავებ სხვადასხვა მონიტორინგის სისტემებს, ასევე სატრანსპორტო ქსელის არქიტექტურას. მაგრამ დღეს ჩვენ ვისაუბრებთ BGP პროტოკოლზე.

ერთი კვირის წინ, Yandex-მა ჩართო ROV (Route Origin Validation) ყველა პარტნიორთან ინტერფეისზე, ასევე ტრაფიკის გაცვლის წერტილებში. წაიკითხეთ ქვემოთ, თუ რატომ გაკეთდა ეს და როგორ იმოქმედებს ეს ტელეკომის ოპერატორებთან ურთიერთობაზე.

BGP და რისი ბრალია

თქვენ ალბათ იცით, რომ BGP შეიქმნა, როგორც ინტერდომენის მარშრუტიზაციის პროტოკოლი. თუმცა, გზაში, გამოყენების შემთხვევების რაოდენობამ მოახერხა ზრდა: დღეს, BGP, მრავალი გაფართოების წყალობით, გადაიქცა შეტყობინებების ავტობუსად, რომელიც მოიცავს ამოცანებს ოპერატორი VPN-დან ახლა მოდურ SD-WAN-მდე და იპოვა აპლიკაციაც კი, როგორც. ტრანსპორტი SDN-ის მსგავსი კონტროლერისთვის, რომელიც აქცევს მანძილის ვექტორს BGP-ის მსგავს პროტოკოლად.

Fig. 1. BGP SAFI

რატომ მიიღო (და აგრძელებს) BGP ამდენი გამოყენება? არსებობს ორი ძირითადი მიზეზი:

• BGP არის ერთადერთი პროტოკოლი, რომელიც მუშაობს ავტონომიურ სისტემებს შორის (AS);
• BGP მხარს უჭერს ატრიბუტებს TLV (type-length-value) ფორმატში. დიახ, პროტოკოლი ამაში მარტო არ არის, მაგრამ რადგან მას არაფერი აქვს შესაცვლელი ტელეკომის ოპერატორებს შორის კვანძებში, ყოველთვის უფრო მომგებიანი აღმოჩნდება მასზე სხვა ფუნქციური ელემენტის მიმაგრება, ვიდრე დამატებითი მარშრუტიზაციის პროტოკოლის მხარდაჭერა.

Რა სჭირს მას? მოკლედ, პროტოკოლს არ აქვს ჩაშენებული მექანიზმები მიღებული ინფორმაციის სისწორის შესამოწმებლად. ანუ, BGP არის აპრიორი ნდობის პროტოკოლი: თუ გსურთ აცნობოთ მსოფლიოს, რომ ახლა თქვენ ფლობთ Rostelecom-ის, MTS-ის ან Yandex-ის ქსელს, გთხოვთ!

IRRDB-ზე დაფუძნებული ფილტრი - საუკეთესო ცუდთა შორის

ჩნდება კითხვა: რატომ მუშაობს ინტერნეტი ასეთ სიტუაციაში? დიახ, ის უმეტესად მუშაობს, მაგრამ ამავე დროს პერიოდულად ფეთქდება, რაც მთელ ეროვნულ სეგმენტებს მიუწვდომელს ხდის. მიუხედავად იმისა, რომ BGP-ში ჰაკერების აქტივობა ასევე იზრდება, ანომალიების უმეტესობა მაინც გამოწვეულია შეცდომებით. წლევანდელი მაგალითია ოპერატორის მცირე შეცდომა ბელორუსიაში, რამაც ინტერნეტის მნიშვნელოვანი ნაწილი ნახევარი საათის განმავლობაში მიუწვდომელი გახადა მეგაფონის მომხმარებლებისთვის. Სხვა მაგალითი - გიჟური BGP ოპტიმიზატორი დაარღვია მსოფლიოში ერთ-ერთი უდიდესი CDN ქსელი.

ბრინჯი. 2. Cloudflare მოძრაობის ჩარევა

მაგრამ მაინც, რატომ ხდება ასეთი ანომალიები ექვს თვეში ერთხელ და არა ყოველდღე? იმის გამო, რომ მატარებლები იყენებენ მარშრუტიზაციის ინფორმაციის გარე მონაცემთა ბაზებს, რათა გადაამოწმონ რას იღებენ BGP მეზობლებისგან. ასეთი მონაცემთა ბაზები ბევრია, ზოგიერთ მათგანს მართავს რეგისტრატორები (RIPE, APNIC, ARIN, AFRINIC), ზოგი დამოუკიდებელი მოთამაშეა (ყველაზე ცნობილი არის RADB), ასევე არის რეგისტრატორების მთელი ნაკრები, რომლებსაც ფლობენ დიდი კომპანიები (Level3 , NTT და ა.შ.). სწორედ ამ მონაცემთა ბაზების წყალობით, დომენთაშორისი მარშრუტიზაცია ინარჩუნებს მისი მუშაობის შედარებით სტაბილურობას.

თუმცა, არის ნიუანსი. მარშრუტიზაციის ინფორმაცია მოწმდება ROUTE-OBJECTS და AS-SET ობიექტების საფუძველზე. და თუ პირველი გულისხმობს ავტორიზაციას IRRDB-ის ნაწილისთვის, მაშინ მეორე კლასისთვის არ არსებობს ავტორიზაცია, როგორც კლასი. ანუ, ნებისმიერს შეუძლია დაუმატოს ვინმეს თავის კომპლექტებში და ამით გვერდის ავლით გვერდის ავლით ზედა დინების პროვაიდერების ფილტრებს. უფრო მეტიც, AS-SET დასახელების უნიკალურობა სხვადასხვა IRR ბაზებს შორის არ არის გარანტირებული, რამაც შეიძლება გამოიწვიოს გასაკვირი ეფექტები სატელეკომუნიკაციო ოპერატორისთვის კავშირის უეცარი დაკარგვით, რომელმაც, თავის მხრივ, არაფერი შეცვალა.

დამატებითი გამოწვევაა AS-SET-ის გამოყენების ნიმუში. აქ არის ორი წერტილი:

• როდესაც ოპერატორი იღებს ახალ კლიენტს, ის ამატებს მას თავის AS-SET-ში, მაგრამ თითქმის არასოდეს შლის მას;
• თავად ფილტრები კონფიგურირებულია მხოლოდ კლიენტებთან ინტერფეისზე.

შედეგად, BGP ფილტრების თანამედროვე ფორმატი შედგება კლიენტებთან ინტერფეისის ეტაპობრივად დამამცირებელი ფილტრებისგან და აპრიორული ნდობისგან, რაც მოდის პარტნიორების და IP ტრანზიტის პროვაიდერებისგან.

რა არის AS-SET-ის საფუძველზე პრეფიქსის ფილტრების ჩანაცვლება? ყველაზე საინტერესო ის არის, რომ მოკლევადიან პერსპექტივაში - არაფერი. მაგრამ ჩნდება დამატებითი მექანიზმები, რომლებიც ავსებენ IRRDB-ზე დაფუძნებული ფილტრების მუშაობას და პირველ რიგში, ეს არის, რა თქმა უნდა, RPKI.

RPKI

გამარტივებული გზით, RPKI არქიტექტურა შეიძლება ჩაითვალოს განაწილებულ მონაცემთა ბაზად, რომლის ჩანაწერები შეიძლება კრიპტოგრაფიულად დამოწმებული იყოს. ROA (მარშრუტის ობიექტის ავტორიზაციის) შემთხვევაში, ხელმომწერი არის მისამართების სივრცის მფლობელი, ხოლო თავად ჩანაწერი არის სამმაგი (პრეფიქსი, asn, max_length). არსებითად, ეს ჩანაწერი ამტკიცებს შემდეგს: $prefix მისამართის სივრცის მფლობელმა უფლება მისცა AS ნომერს $asn განათავსოს პრეფიქსები, რომელთა სიგრძე არ აღემატება $max_length. და მარშრუტიზატორები, RPKI ქეშის გამოყენებით, შეუძლიათ შეამოწმონ წყვილი შესაბამისობისთვის პრეფიქსი - პირველი სპიკერი გზაში.

სურათი 3. RPKI არქიტექტურა

ROA ობიექტები საკმაოდ დიდი ხნის განმავლობაში იყო სტანდარტიზებული, მაგრამ ბოლო დრომდე ისინი რეალურად მხოლოდ ქაღალდზე რჩებოდნენ IETF ჟურნალში. ჩემი აზრით, ამის მიზეზი საშინლად ჟღერს - ცუდი მარკეტინგი. სტანდარტიზაციის დასრულების შემდეგ, სტიმული იყო ის, რომ ROA იცავდა BGP-ის გატაცებისგან - რაც სიმართლეს არ შეესაბამება. თავდამსხმელებს შეუძლიათ მარტივად გადალახონ ROA-ზე დაფუძნებული ფილტრები, ბილიკის დასაწყისში სწორი AC ნომრის ჩასმით. და როგორც კი ეს გაცნობიერება მოვიდა, შემდეგი ლოგიკური ნაბიჯი იყო ROA-ს გამოყენების მიტოვება. და მართლაც, რატომ გვჭირდება ტექნოლოგია, თუ ის არ მუშაობს?

რატომ არის დრო, რომ შეცვალოთ აზრი? რადგან ეს არ არის მთელი სიმართლე. ROA არ იცავს BGP-ში ჰაკერების აქტივობისგან, მაგრამ იცავს ტრაფიკის შემთხვევითი გატაცებისგანმაგალითად, BGP-ში სტატიკური გაჟონვისგან, რომელიც სულ უფრო ხშირად ხდება. ასევე, IRR-ზე დაფუძნებული ფილტრებისგან განსხვავებით, ROV შეიძლება გამოყენებულ იქნას არა მხოლოდ კლიენტებთან, არამედ თანატოლებთან და ზედა დინების პროვაიდერებთან ინტერფეისებში. ანუ RPKI-ს დანერგვასთან ერთად BGP-დან თანდათან ქრება აპრიორი ნდობა.

ახლა, ROA-ზე დაფუძნებული მარშრუტების შემოწმება ეტაპობრივად ხორციელდება ძირითადი მოთამაშეების მიერ: უმსხვილესი ევროპული IX უკვე უგულებელყოფს არასწორ მარშრუტებს Tier-1 ოპერატორებს შორის, ღირს ხაზგასმით აღვნიშნოთ AT&T, რომელმაც ჩართო ფილტრები თავის თანატოლ პარტნიორებთან; კონტენტის უმსხვილესი პროვაიდერები ასევე უახლოვდებიან პროექტს. და ათობით საშუალო ზომის სატრანზიტო ოპერატორმა უკვე ჩუმად განახორციელა ეს, არავის უთქვამს ამის შესახებ. რატომ ახორციელებს ყველა ეს ოპერატორი RPKI-ს? პასუხი მარტივია: დაიცვათ თქვენი გამავალი ტრაფიკი სხვა ადამიანების შეცდომებისგან. სწორედ ამიტომ Yandex არის ერთ-ერთი პირველი რუსეთის ფედერაციაში, რომელმაც თავისი ქსელის ზღვარზე ROV ჩართო.

რა მოხდება შემდეგ?

ჩვენ ახლა გავააქტიურეთ მარშრუტიზაციის ინფორმაციის შემოწმება ტრაფიკის გაცვლის წერტილებთან და კერძო პირებთან ინტერფეისებზე. უახლოეს მომავალში, გადამოწმება ასევე ჩართული იქნება ტრაფიკის ზემოთ პროვაიდერებთან.

რა განსხვავებაა ამას შენთვის? თუ გსურთ გაზარდოთ ტრაფიკის მარშრუტის უსაფრთხოება თქვენს ქსელსა და Yandex-ს შორის, გირჩევთ:

• მოაწერეთ თქვენი მისამართის სივრცე RIPE პორტალში - მარტივია, საშუალოდ 5-10 წუთი სჭირდება. ეს დაიცავს ჩვენს კავშირს იმ შემთხვევაში, თუ ვინმემ უნებურად მოიპაროს თქვენი მისამართის სივრცე (და ეს აუცილებლად მოხდება ადრე თუ გვიან);
• დააინსტალირეთ ერთ-ერთი ღია კოდის RPKI ქეში (მწიფე-ვალიდიატორი, რუტინატორი) და ჩართეთ მარშრუტის შემოწმება ქსელის საზღვარზე - ამას მეტი დრო დასჭირდება, მაგრამ ისევ არ გამოიწვევს ტექნიკურ სირთულეებს.

Yandex ასევე მხარს უჭერს ფილტრაციის სისტემის შემუშავებას ახალი RPKI ობიექტის საფუძველზე - aspa (ავტონომიური სისტემის პროვაიდერის ავტორიზაცია). ASPA და ROA ობიექტებზე დაფუძნებულ ფილტრებს შეუძლიათ არა მხოლოდ შეცვალონ „გაჟონილი“ AS-SET, არამედ დახურონ MiTM შეტევების საკითხები BGP-ის გამოყენებით.

ASPA-ზე დეტალურად ერთ თვეში Next Hop კონფერენციაზე ვისაუბრებ. იქ ასევე ისაუბრებენ Netflix-ის, Facebook-ის, Dropbox-ის, Juniper-ის, Mellanox-ისა და Yandex-ის კოლეგები. თუ გაინტერესებთ ქსელის სტეკი და მისი განვითარება მომავალში, მობრძანდით რეგისტრაცია ღიაა.

წყარო: www.habr.com