Salve, nomen meum Alexander Azimov. In Yandex, varias rationes vigilantias evolvere, necnon architectura retis transportare. Sed hodie de BGP protocollo loquemur.
Ante dies octo, Yandex ROV dedit (Route Origin Validation) in interfaces cum omnibus parientibus sociis, ac commercii puncta commercii. Lege infra de quare hoc factum est et quomodo commercium cum operariis telecomis afficiet.
BGP et quid mali est
Probabiliter scis BGP designatum esse ut interdomain protocollum fudisset. Tamen, in via, numerus casuum usuum augendus est: hodie, BGP, propter multiplices extensiones, in nuntium bus convertit, opera ab operator VPN ad nunc modum SD-WAN obducens, ac etiam applicationem quasi invenit. onerariam pro SDN instar moderatoris vertens vector BGP in aliquid simile nexuum protocollo sedit.
Vide Fig. 1.
Quare tot usus accepit BGP (et recipit)? Duae rationes principales sunt:
- BGP unicum est protocollum quae inter systemata sui iuris (AS);
- BGP subsidia attributa in TLV format. Imo protocollum in hoc non solum est, sed cum nihil reponat in coniunctionibus inter operatorium telecomicum, semper evenit ut utilius sit aliud munus functionis illi apponere quam protocollo addito sustentare.
Quid mali est? Denique protocollum non aedificavit in machinationibus ad reprimendam rectitudinem informationum perceptarum. Id est, BGP priori fiduciae protocollo: si vis dicere mundum te nunc habere reticulum Rostelecom, MTS vel Yandex, amabo!
IRRDB secundum filter - optimum pessimi
Interrogatio oritur: cur Internet adhuc in tali condicione laborat? Etiam temporis plurimum operatur, sed simul statis temporibus explodit, integras nationales partes inaccessibiles faciens. Quamvis actio piratica in BGP etiam in ortum sit, pleraque anomaliae tamen causantur a cimicibus. Hoc anno exemplum est in Belarus, quae notabilem partem Internet inaccessam MegaFon usoribus media hora fecit. Aliud exemplum - unus ex maximis CDN retiacula fregit in mundo.
Renatus. 2. Cloudflare negotiationis interceptio
Sed tamen cur semel in sex mensibus, et non per singulos dies talia depravata occurrunt? Quia tabellarii externi databases informationes ad excitandas utuntur ad cognoscendum ea quae ab BGP vicinis accipiuntur. Multae huiusmodi databases sunt, quaedam ex iis tractantur a registratoribus (RIPE, APNIC, ARIN, AFRINIC), alii scaenicorum independentium (clarissimus est RADB), et etiam tota copia registratorum magna societatibus possessa est (Level3 , NTT, etc.). His databases gratias agit quod inter-dominium fuso conservat stabilitatem relativam operationis suae.
Sed nuances sunt. Informatio fuso sedata fundatur in obiectis ITER et obiectis AS-SET. Et si primum auctoritatem importat pro parte IRRDB, secundae classis nulla est auctoritas pro genere. Hoc est, quilibet potest aliquem suis adiicere et per hoc filtra fluminis provisores praeterire. Praeterea, singularitas AS-SET nominationis inter bases IRR diversas non praestatur, quae mirum effectum ducere potest cum subito amissione connectivity pro telecomate operante, qui ex parte sua nihil mutavit.
Addita provocatio est usus exemplaris AS-SET. Circa primum quaeruntur duo.
- Cum operarius novum clientem accipit, AS-SET eam adicit, sed fere numquam illum removet;
- Filtra ipsae tantum ad interfaces cum clientibus configurantur.
Quam ob rem moderna forma BGP percolarum consistit ut paulatim filamenta turpia in interfaces clientium et a priori fiducia in illis quae fiunt a sociis parientibus et provisoribus IP transitum.
Quid substituit praepositionem Filtra in AS-SET? Maxime interesting res est in brevi termino - nihil. Sed accessiones mechanismi emergunt quae opus filorum IRRDB fundatorum complent, ac imprimis hoc est, nempe RPKI.
RPKI
Simpliciore modo architectura RPKI de database distributa cogitari potest cuius monumenta cryptographice verificari possunt. In ROA LICENTIA (Route Object LICENTIA), SIGNATOR est dominus spatii inscriptionis, et ipsum testimonium triplex est (praepositionis, asn, max_length). Essentialiter hic ingressus postulat quae sequuntur: dominus spatii inscriptionis praefixionis $ AS numerum $asn praefixam cum longitudine non maiore quam $max_length ostentandi dedit. Iter itineris, RPKI cache utentes, par ad obsequium reprimere possunt praepositionem - primum in via speaker.
Figure 3. RPKI architecturae
Obiecta ROA satis diu normata sunt, sed usque nuper in charta tantum in ephemeride IETF manserunt. Opinor, causa huius soni scary - bad venalicium. Postquam standardisation peracta est, incitamentum fuit quod ROA contra BGP raptio texit - quod verum non erat. Impugnatores facile praeterire possunt ROA-substructio filtra, inserendo numerum rectam AC in principio viae. Quo simulac effectio haec facta est, proximus gressus logicus usum ROA relinqueret. Et revera, cur technologia opus est si non operatur?
Cur tempus est mentem tuam mutare? Vero totam iste non quia. ROA contra piraticam actionem in BGP non protegit, sed tuetur fortuito commercii hijackingsexempli gratia ex pinum statice in BGP, quod fit communius. Etiam, dissimiles Filtra IRR fundatae, ROV non solum ad interfaces cum clientibus, sed etiam interfaces cum provisoribus aequalibus et flumine, adhiberi potest. Hoc est, cum RPKI inducto, fides a priori paulatim evanescit ab BGP.
Nunc, itinera iniecta ROA innixa, paulatim per lusores clavium perficiuntur: maxima Europae IX itinera falsa iam abiecta est, inter operatores 1-Tier-I, in luce collocari valet AT&T, quod filtra per interfaces cum suis parientibus sociis effecit. Provisores maximae continentiae etiam ad consilium accedunt. Et justo mediocris transitus operariorum illud iam quiete implevit, sine quoquam de eo narrans. Cur omnes hi operarii RPKI foveant? Responsio simplex est: negotiationem tuam ab aliis erratis tuearis. Quam ob rem Yandex est unus e primis in Foederatione Russica, ut ROV in margine retis eius includat.
Quid deinde fiet?
Nunc perspicientes notitias ad interfaces cum commercii commercii et privatis proceribus adhibuimus. In proximo futuro, verificationis quoque potens est cum provisoribus negotiationis fluminis.
Quid tibi hoc interest? Si securitatem augere vis negotiationis inter retis et Yandex excitandis, commendamus:
- Subcribo oratio tua spatium - Simplex est, 5-10 accipit minuta in mediocris. Hoc nostrum connectivity in casu servabit quod quis insciens inscriptionem tuam obrepserit (quod certe serius vel citius eventurum est);
- Install one of the open source RPKI caches (, ) et iter perfice in retis terminis reprehendo - hoc tempus plus erit, sed rursus difficultates technicas non faciet.
Yandex etiam progressionem systematis eliquationis in novo RPKI obiecti evolutionis sustinet - (Autonomus Ratio Providentis LICENTIA). Filtra quae in ASPA et ROA obiectis fundantur, non solum AS-SETs reponere "rimosas" possunt, sed etiam quaestiones oppugnationum MiTM utentis BGP claudere.
Singillatim de ASPA in mense proximo Hop colloquio loquar. Collegi ex Netflix, Facebook, Dropbox, Iuniper, Mellanox et Yandex etiam ibi loquentur. Si interest in retis ACERVUS eiusque progressum in futuro, veni .
Source: www.habr.com