Moien, mäin Numm ass Alexander Azimov. Bei Yandex entwéckelen ech verschidde Iwwerwaachungssystemer, souwéi Transportnetzarchitektur. Awer haut wäerte mir iwwer de BGP Protokoll schwätzen.
Virun enger Woch huet Yandex ROV (Route Origin Validation) aktivéiert op den Interfaces mat all Peering Partner, souwéi Traffic Austauschpunkten. Liest hei ënnen iwwer firwat dëst gemaach gouf a wéi et d'Interaktioun mat Telekomoperateuren beaflosst.
BGP a wat domat falsch ass
Dir wësst wahrscheinlech datt BGP als Interdomain Routing Protokoll entworf gouf. Wéi och ëmmer, laanscht de Wee huet d'Zuel vun de Gebrauchsfäll et fäerdeg bruecht ze wuessen: haut ass BGP, dank villen Extensiounen, an e Messagebus ëmgewandelt, deen Aufgaben vum Bedreiwer VPN bis zum elo moudeschen SD-WAN ofdeckt, an huet souguer Applikatioun fonnt wéi en Transport fir en SDN-ähnlechen Controller, verwandelt Distanzvektor BGP an eppes ähnlech wéi d'Links Satz Protokoll.
Fig. 1.
Firwat huet BGP sou vill Gebrauch kritt (a kritt weider)? Et ginn zwee Haaptgrënn:
- BGP ass deen eenzege Protokoll deen tëscht autonome Systemer (AS) funktionnéiert;
- BGP ënnerstëtzt Attributer am TLV (Typ-Längt-Wäert) Format. Jo, de Protokoll ass net eleng an dësem, awer well et näischt ass fir et op de Kräizunge tëscht Telekomoperateuren ze ersetzen, ass et ëmmer méi rentabel fir en anert funktionellt Element ze befestegt wéi en zousätzleche Routingprotokoll z'ënnerstëtzen.
Wat ass mat him falsch? Kuerz gesot, de Protokoll huet keng agebaute Mechanismen fir d'Korrektheet vun der kritt Informatioun ze kontrolléieren. Dat ass, BGP ass en a priori Vertrauensprotokoll: wann Dir der Welt wëllt soen datt Dir elo de Reseau vu Rostelecom, MTS oder Yandex besëtzt, w.e.g.!
IRRDB baséiert Filter - dat Bescht vum Schlëmmst
D'Fro stellt sech: Firwat funktionnéiert den Internet nach ëmmer an esou enger Situatioun? Jo, et funktionnéiert meeschtens, awer gläichzäiteg explodéiert et periodesch, wat ganz national Segmenter onzougänglech mécht. Och wann d'Hackeraktivitéit am BGP och eropgeet, sinn déi meescht Anomalien ëmmer nach duerch Bugs verursaacht. Dëst Joer d'Beispill ass a Wäissrussland, wat e groussen Deel vum Internet fir eng hallef Stonn fir MegaFon Benotzer onzougänglech gemaach huet. En anert Beispill - huet ee vun de gréisste CDN Netzwierker op der Welt gebrach.
Reis. 2. Cloudflare Verkéier Offangen
Awer trotzdem, firwat kommen esou Anomalien eemol all sechs Méint, an net all Dag? Well Carrier extern Datenbanken vu Routinginformatioun benotzen fir z'iwwerpréiwen wat se vu BGP Noperen kréien. Et gi vill esou Datenbanken, e puer vun hinnen gi vu Registraren geréiert (RIPE, APNIC, ARIN, AFRINIC), e puer sinn onofhängeg Spiller (déi bekanntst ass RADB), an et gëtt och eng ganz Rei vu Registraren am Besëtz vu grousse Firmen (Level3) , NTT, etc.). Et ass dank dësen Datenbanken datt Inter-Domain Routing déi relativ Stabilitéit vu senger Operatioun behält.
Allerdéngs ginn et Nuancen. Routinginformatioun gëtt iwwerpréift baséiert op ROUTE-OBJECTS an AS-SET Objeten. A wann déi éischt Autorisatioun fir en Deel vun der IRRDB implizéiert, da gëtt et fir déi zweet Klass keng Autorisatioun als Klass. Dat ass, jidderee ka jidderengem op hir Sets addéieren an doduerch d'Filtere vun Upstream Provider ëmgoen. Ausserdeem ass d'Eenzegaartegkeet vum AS-SET Benennung tëscht verschiddenen IRR Basen net garantéiert, wat zu iwwerraschend Effekter mat engem plötzleche Verloscht vun der Konnektivitéit fir den Telekomoperateur kann féieren, deen seng Säit näischt geännert huet.
Eng zousätzlech Erausfuerderung ass d'Benotzungsmuster vum AS-SET. Et ginn zwee Punkten hei:
- Wann e Bedreiwer en neie Client kritt, füügt et op säin AS-SET, awer läscht et bal ni;
- D'Filtere selwer sinn nëmmen op den Interfaces mat Clienten konfiguréiert.
Als Resultat besteet dat modernt Format vu BGP Filteren aus graduell degradéierende Filteren op den Interfaces mat Clienten an a priori Vertrauen an dat wat vu Peering Partner an IP Transit Ubidder kënnt.
Wat ersetzt Präfixfilter baséiert op AS-SET? Déi interessantst Saach ass, datt am kuerzfristeg - näischt. Awer zousätzlech Mechanismen entstinn, déi d'Aarbecht vun IRRDB-baséiert Filter ergänzen, an als éischt ass dëst natierlech RPKI.
RPKI
Op eng vereinfacht Manéier kann d'RPKI Architektur als verdeelt Datebank ugesinn ginn, deenen hir Opzeechnunge kryptographesch verifizéiert kënne ginn. Am Fall vun ROA (Route Object Authorization) ass den Ënnerschreiwer de Besëtzer vum Adressraum, an de Rekord selwer ass en Triple (Präfix, asn, max_length). Wesentlech postuléiert dës Entrée déi folgend: de Besëtzer vum $Prefix Adressraum huet d'AS Nummer $asn autoriséiert fir Präfixe mat enger Längt net méi grouss wéi $max_length ze annoncéieren. A Router, déi den RPKI Cache benotzen, kënnen d'Paar fir d'Konformitéit kontrolléieren Präfix - éischte Spriecher ënnerwee.
Figur 3. RPKI Architektur
ROA Objekter si scho laang standardiséiert ginn, awer bis viru kuerzem sinn se tatsächlech nëmmen op Pabeier am IETF Journal bliwwen. Menger Meenung no, de Grond dofir kléngt grujeleg - schlecht Marketing. Nodeems d'Standardiséierung ofgeschloss ass, war den Ureiz datt ROA géint BGP-Kaping geschützt huet - wat net wouer war. Ugräifer kënnen ROA-baséiert Filtere einfach ëmgoen andeems se déi richteg AC Nummer um Ufank vum Wee aginn. A soubal dës Realisatioun koum, war de nächste logesche Schrëtt d'Benotzung vu ROA opzeginn. A wierklech, firwat brauche mir Technologie wann et net funktionnéiert?
Firwat ass et Zäit Är Meenung ze änneren? Well dat ass net déi ganz Wourecht. ROA schützt net géint Hackeraktivitéit am BGP, awer schützt géint zoufälleg Verkéierskapen, zum Beispill vu statesche Leckage am BGP, wat ëmmer méi heefeg gëtt. Och, am Géigesaz zu IRR-baséiert Filteren, kann ROV net nëmmen op den Interfaces mat Clienten benotzt ginn, awer och op Interfaces mat Peer an Upstream Ubidder. Dat ass, zesumme mat der Aféierung vum RPKI, verschwënnt a priori Vertrauen no an no aus BGP.
Elo gëtt d'Kontroll vu Strecken op Basis vu ROA graduell vu Schlësselspiller implementéiert: de gréissten europäeschen IX verschwënnt scho falsch Strecken; ënner Tier-1 Betreiber ass et derwäert ze markéieren AT&T, wat Filteren op den Interfaces mat senge Peering Partner aktivéiert huet. Déi gréissten Inhaltsanbieter kommen och un de Projet. An Dosende vu mëttelgrousse Transitbetreiber hunn et scho roueg ëmgesat, ouni iergendeen doriwwer ze soen. Firwat implementéieren all dës Betreiber RPKI? D'Äntwert ass einfach: fir Ären erausginn Traffic vun anere Leit hir Feeler ze schützen. Dofir ass Yandex ee vun deenen éischten an der russescher Federatioun fir ROV um Rand vu sengem Netzwierk ze enthalen.
Wat wäert dann geschéien?
Mir hunn elo d'Routinginformatioun iwwerpréift op den Interfaces mat Trafficaustauschpunkten a private Peering aktivéiert. An der nächster Zukunft wäert d'Verifikatioun och mat Upstream Traffic Ubidder aktivéiert ginn.
Wat fir en Ënnerscheed mécht dëst fir Iech? Wann Dir d'Sécherheet vum Traffic Routing tëscht Ärem Netzwierk an Yandex wëllt erhéijen, recommandéiere mir:
- Zeechen Är Adress Plaz - et ass einfach, dauert am Duerchschnëtt 5-10 Minutten. Dëst wäert eis Konnektivitéit schützen am Fall wou een onbewosst Är Adressraum klaut (an dëst wäert definitiv desto oder spéider geschéien);
- Installéiert ee vun den Open Source RPKI Cache (, ) an aktivéiert d'Streckkontrolle bei der Netzgrenz - dëst wäert méi Zäit daueren, awer nach eng Kéier, et wäert keng technesch Schwieregkeeten verursaachen.
Yandex ënnerstëtzt och d'Entwécklung vun engem Filtersystem baséiert op dem neien RPKI Objet - (Autonome System Provider Autorisatioun). Filtere baséiert op ASPA- a ROA-Objeten kënnen net nëmmen "leaky" AS-SETs ersetzen, awer och d'Problemer vu MiTM-Attacke mat BGP zoumaachen.
Ech wäert am Detail iwwer ASPA an engem Mount op der Next Hop Konferenz schwätzen. Och Kollege vun Netflix, Facebook, Dropbox, Juniper, Mellanox an Yandex wäerten do schwätzen. Wann Dir un de Reseau Stack interesséiert sidd a seng Entwécklung an Zukunft, kommt .
Source: will.com