Sveiki, mani sauc Aleksandrs Azimovs. Yandex es izstrādāju dažādas uzraudzības sistēmas, kā arī transporta tīklu arhitektūru. Bet šodien mēs runāsim par BGP protokolu.
Pirms nedēļas Yandex iespējoja ROV (Route Origin Validation) visu peering partneru saskarnēs, kā arī satiksmes apmaiņas punktos. Par to, kāpēc tas tika darīts un kā tas ietekmēs mijiedarbību ar telekomunikāciju operatoriem, lasiet tālāk.
BGP un kas ar to slikts
Jūs droši vien zināt, ka BGP tika izstrādāts kā starpdomēnu maršrutēšanas protokols. Tomēr pa ceļam lietošanas gadījumu skaitam izdevās pieaugt: šodien BGP, pateicoties daudziem paplašinājumiem, ir pārtapis par ziņojumu kopni, kas aptver uzdevumus no operatora VPN līdz tagad modīgajam SD-WAN, un ir pat atradis pielietojumu kā transports SDN līdzīgam kontrollerim, pārvēršot attāluma vektoru BGP par kaut ko līdzīgu saišu sat protokolam.
Att. 1.
Kāpēc BGP ir saņēmis (un turpina saņemt) tik daudz lietojumu? Ir divi galvenie iemesli:
- BGP ir vienīgais protokols, kas darbojas starp autonomām sistēmām (AS);
- BGP atbalsta atribūtus TLV (tipa-garuma-vērtības) formātā. Jā, protokols šajā ziņā nav vienīgais, taču, tā kā telekomunikāciju operatoru krustojumos to nav ar ko aizstāt, vienmēr izrādās izdevīgāk tam pievienot citu funkcionālu elementu, nevis atbalstīt papildu maršrutēšanas protokolu.
Kas viņam kaiš? Īsāk sakot, protokolā nav iebūvētu mehānismu saņemtās informācijas pareizības pārbaudei. Tas ir, BGP ir a priori uzticības protokols: ja vēlaties pateikt pasaulei, ka jums tagad pieder Rostelecom, MTS vai Yandex tīkls, lūdzu!
IRRDB filtrs - labākais no sliktākajiem
Rodas jautājums: kāpēc internets joprojām darbojas šādā situācijā? Jā, tas darbojas lielāko daļu laika, bet tajā pašā laikā tas periodiski eksplodē, padarot veselus valsts segmentus nepieejamus. Lai gan arī BGP hakeru aktivitāte pieaug, lielāko daļu anomāliju joprojām izraisa kļūdas. Šī gada piemērs ir Baltkrievijā, kas uz pusstundu padarīja MegaFon lietotājiem nepieejamu ievērojamu interneta daļu. Vēl viens piemērs - salauza vienu no lielākajiem CDN tīkliem pasaulē.
Rīsi. 2. Cloudflare satiksmes pārtveršana
Bet tomēr, kāpēc šādas anomālijas rodas reizi sešos mēnešos, nevis katru dienu? Tā kā pārvadātāji izmanto ārējās maršrutēšanas informācijas datu bāzes, lai pārbaudītu, ko viņi saņem no BGP kaimiņiem. Šādu datu bāzu ir daudz, dažas no tām pārvalda reģistratori (RIPE, APNIC, ARIN, AFRINIC), dažas ir neatkarīgi spēlētāji (slavenākā ir RADB), un ir arī vesels reģistratoru komplekts, kas pieder lieliem uzņēmumiem (3. līmenis). , NTT utt.). Pateicoties šīm datu bāzēm, starpdomēnu maršrutēšana saglabā tās darbības relatīvo stabilitāti.
Tomēr ir nianses. Maršruta informācija tiek pārbaudīta, pamatojoties uz ROUTE-OBJECTS un AS-SET objektiem. Un, ja pirmā nozīmē autorizāciju daļai no IRRDB, tad otrajai klasei nav autorizācijas kā klasei. Tas nozīmē, ka ikviens var pievienot ikvienu savām kopām un tādējādi apiet augšupējo pakalpojumu sniedzēju filtrus. Turklāt netiek garantēta AS-SET nosaukumu unikalitāte starp dažādām IRR bāzēm, kas var radīt pārsteidzošus efektus ar pēkšņu savienojamības zudumu telekomunikāciju operatoram, kurš no savas puses neko nemainīja.
Papildu izaicinājums ir AS-SET lietošanas veids. Šeit ir divi punkti:
- Kad operators iegūst jaunu klientu, tas pievieno to savam AS-SET, bet gandrīz nekad to nenoņem;
- Paši filtri tiek konfigurēti tikai saskarnēs ar klientiem.
Rezultātā mūsdienu BGP filtru formāts sastāv no pakāpeniski degradējošiem filtriem saskarnēs ar klientiem un a priori uzticēšanās tam, kas nāk no peering partneriem un IP tranzīta nodrošinātājiem.
Ar ko tiek aizstāti prefiksu filtri, kuru pamatā ir AS-SET? Interesantākais ir tas, ka īstermiņā – nekā. Bet parādās papildu mehānismi, kas papildina IRRDB balstīto filtru darbu, un, pirmkārt, tas, protams, ir RPKI.
RPKI
Vienkāršotā veidā RPKI arhitektūru var uzskatīt par izplatītu datu bāzi, kuras ierakstus var kriptogrāfiski pārbaudīt. ROA (Route Object Authorization) gadījumā parakstītājs ir adreses telpas īpašnieks, un pats ieraksts ir trīskāršs (prefikss, asn, max_length). Būtībā šis ieraksts postulē sekojošo: $prefix adrešu telpas īpašnieks ir atļāvis AS numuru $asn reklamēt prefiksus, kuru garums nepārsniedz $max_length. Un maršrutētāji, izmantojot RPKI kešatmiņu, var pārbaudīt pāra atbilstību prefikss - pirmais runātājs ceļā.
3. attēls. RPKI arhitektūra
ROA objekti ir standartizēti diezgan ilgu laiku, taču vēl nesen tie faktiski palika tikai uz papīra IETF žurnālā. Manuprāt, iemesls tam izklausās biedējoši – slikts mārketings. Pēc standartizācijas pabeigšanas stimuls bija tas, ka ROA aizsargāja pret BGP nolaupīšanu, kas nebija taisnība. Uzbrucēji var viegli apiet filtrus, kuru pamatā ir ROA, ievadot pareizo maiņstrāvas numuru ceļa sākumā. Un, tiklīdz šī atziņa nāca, nākamais loģiskais solis bija atteikšanās no ROA izmantošanas. Un tiešām, kāpēc mums vajadzīga tehnoloģija, ja tā nedarbojas?
Kāpēc ir pienācis laiks mainīt savas domas? Jo tā nav visa patiesība. ROA neaizsargā pret hakeru darbību BGP, bet aizsargā pret nejaušu satiksmes nolaupīšanu, piemēram, no statiskām noplūdēm BGP, kas kļūst arvien izplatītāka. Turklāt atšķirībā no IRR balstītiem filtriem ROV var izmantot ne tikai saskarnēs ar klientiem, bet arī saskarnēs ar vienaudžiem un augšupējiem pakalpojumu sniedzējiem. Tas ir, līdz ar RPKI ieviešanu no BGP pamazām izzūd a priori uzticēšanās.
Tagad galvenie spēlētāji pakāpeniski ievieš maršrutu pārbaudi, pamatojoties uz ROA: lielākais Eiropas IX jau izmet nepareizos maršrutus; starp Tier-1 operatoriem ir vērts izcelt AT&T, kas ir iespējojis filtrus saskarnēs ar saviem peering partneriem. Projektam tuvojas arī lielākie satura nodrošinātāji. Un desmitiem vidēja lieluma tranzīta operatoru to jau klusi ieviesuši, nevienam par to nestāstot. Kāpēc visi šie operatori ievieš RPKI? Atbilde ir vienkārša: lai aizsargātu savu izejošo trafiku no citu cilvēku kļūdām. Tāpēc Yandex ir viens no pirmajiem Krievijas Federācijā, kas savā tīkla malā iekļāvis ROV.
Kas notiks tālāk?
Tagad esam iespējojuši maršrutēšanas informācijas pārbaudi saskarnēs ar trafika apmaiņas punktiem un privātajiem peings. Tuvākajā nākotnē verifikācija tiks iespējota arī ar augšpuses trafika nodrošinātājiem.
Kāda tev ir atšķirība? Ja vēlaties palielināt trafika maršrutēšanas drošību starp tīklu un Yandex, mēs iesakām:
- Parakstiet savu adreses vietu - tas ir vienkārši, aizņem vidēji 5-10 minūtes. Tas pasargās mūsu savienojumu gadījumā, ja kāds netīšām nozags jūsu adrešu vietu (un tas noteikti notiks agrāk vai vēlāk);
- Instalējiet vienu no atvērtā koda RPKI kešatmiņām (, ) un iespējojiet maršruta pārbaudi uz tīkla robežas - tas prasīs vairāk laika, taču tas atkal neradīs nekādas tehniskas grūtības.
Yandex atbalsta arī filtrēšanas sistēmas izstrādi, kuras pamatā ir jaunais RPKI objekts - (Autonomās sistēmas nodrošinātāja autorizācija). Filtri, kuru pamatā ir ASPA un ROA objekti, var ne tikai aizstāt “noplūdušos” AS-SET, bet arī novērst MiTM uzbrukumu problēmas, izmantojot BGP.
Par ASPA sīkāk runāšu pēc mēneša Next Hop konferencē. Tajā uzstāsies arī kolēģi no Netflix, Facebook, Dropbox, Juniper, Mellanox un Yandex. Ja interesē tīkla steks un tā attīstība nākotnē, nāc .
Avots: www.habr.com
