ProHoster > Blogs > Administrācija > Yandex ievieŔ RPKI

Yandex ievieÅ” RPKI

Sveiki, mani sauc Aleksandrs Azimovs. Yandex es izstrādāju dažādas uzraudzÄ«bas sistēmas, kā arÄ« transporta tÄ«klu arhitektÅ«ru. Bet Å”odien mēs runāsim par BGP protokolu.

Yandex ievieÅ” RPKI

Pirms nedēļas Yandex iespējoja ROV (Route Origin Validation) visu peering partneru saskarnēs, kā arī satiksmes apmaiņas punktos. Par to, kāpēc tas tika darīts un kā tas ietekmēs mijiedarbību ar telekomunikāciju operatoriem, lasiet tālāk.

BGP un kas ar to slikts

JÅ«s droÅ”i vien zināt, ka BGP tika izstrādāts kā starpdomēnu marÅ”rutÄ“Å”anas protokols. Tomēr pa ceļam lietoÅ”anas gadÄ«jumu skaitam izdevās pieaugt: Å”odien BGP, pateicoties daudziem paplaÅ”inājumiem, ir pārtapis par ziņojumu kopni, kas aptver uzdevumus no operatora VPN lÄ«dz tagad modÄ«gajam SD-WAN, un ir pat atradis pielietojumu kā transports SDN lÄ«dzÄ«gam kontrollerim, pārvērÅ”ot attāluma vektoru BGP par kaut ko lÄ«dzÄ«gu saiÅ”u sat protokolam.

Yandex ievieÅ” RPKI

Att. 1. BGP SAFI

Kāpēc BGP ir saņēmis (un turpina saņemt) tik daudz lietojumu? Ir divi galvenie iemesli:

  • BGP ir vienÄ«gais protokols, kas darbojas starp autonomām sistēmām (AS);
  • BGP atbalsta atribÅ«tus TLV (tipa-garuma-vērtÄ«bas) formātā. Jā, protokols Å”ajā ziņā nav vienÄ«gais, taču, tā kā telekomunikāciju operatoru krustojumos to nav ar ko aizstāt, vienmēr izrādās izdevÄ«gāk tam pievienot citu funkcionālu elementu, nevis atbalstÄ«t papildu marÅ”rutÄ“Å”anas protokolu.

Kas viņam kaiÅ”? ÄŖsāk sakot, protokolā nav iebÅ«vētu mehānismu saņemtās informācijas pareizÄ«bas pārbaudei. Tas ir, BGP ir a priori uzticÄ«bas protokols: ja vēlaties pateikt pasaulei, ka jums tagad pieder Rostelecom, MTS vai Yandex tÄ«kls, lÅ«dzu!

IRRDB filtrs - labākais no sliktākajiem

Rodas jautājums: kāpēc internets joprojām darbojas Ŕādā situācijā? Jā, tas darbojas lielāko daļu laika, bet tajā paŔā laikā tas periodiski eksplodē, padarot veselus valsts segmentus nepieejamus. Lai gan arÄ« BGP hakeru aktivitāte pieaug, lielāko daļu anomāliju joprojām izraisa kļūdas. Å Ä« gada piemērs ir neliela operatora kļūda Baltkrievijā, kas uz pusstundu padarÄ«ja MegaFon lietotājiem nepieejamu ievērojamu interneta daļu. Vēl viens piemērs - traks BGP optimizētājs salauza vienu no lielākajiem CDN tÄ«kliem pasaulē.

Yandex ievieÅ” RPKI

Rīsi. 2. Cloudflare satiksmes pārtverŔana

Bet tomēr, kāpēc Ŕādas anomālijas rodas reizi seÅ”os mēneÅ”os, nevis katru dienu? Tā kā pārvadātāji izmanto ārējās marÅ”rutÄ“Å”anas informācijas datu bāzes, lai pārbaudÄ«tu, ko viņi saņem no BGP kaimiņiem. Šādu datu bāzu ir daudz, dažas no tām pārvalda reÄ£istratori (RIPE, APNIC, ARIN, AFRINIC), dažas ir neatkarÄ«gi spēlētāji (slavenākā ir RADB), un ir arÄ« vesels reÄ£istratoru komplekts, kas pieder lieliem uzņēmumiem (3. lÄ«menis). , NTT utt.). Pateicoties Ŕīm datu bāzēm, starpdomēnu marÅ”rutÄ“Å”ana saglabā tās darbÄ«bas relatÄ«vo stabilitāti.

Tomēr ir nianses. MarÅ”ruta informācija tiek pārbaudÄ«ta, pamatojoties uz ROUTE-OBJECTS un AS-SET objektiem. Un, ja pirmā nozÄ«mē autorizāciju daļai no IRRDB, tad otrajai klasei nav autorizācijas kā klasei. Tas nozÄ«mē, ka ikviens var pievienot ikvienu savām kopām un tādējādi apiet augÅ”upējo pakalpojumu sniedzēju filtrus. Turklāt netiek garantēta AS-SET nosaukumu unikalitāte starp dažādām IRR bāzēm, kas var radÄ«t pārsteidzoÅ”us efektus ar pēkŔņu savienojamÄ«bas zudumu telekomunikāciju operatoram, kurÅ” no savas puses neko nemainÄ«ja.

Papildu izaicinājums ir AS-SET lietoŔanas veids. Šeit ir divi punkti:

  • Kad operators iegÅ«st jaunu klientu, tas pievieno to savam AS-SET, bet gandrÄ«z nekad to nenoņem;
  • PaÅ”i filtri tiek konfigurēti tikai saskarnēs ar klientiem.

Rezultātā mÅ«sdienu BGP filtru formāts sastāv no pakāpeniski degradējoÅ”iem filtriem saskarnēs ar klientiem un a priori uzticÄ“Å”anās tam, kas nāk no peering partneriem un IP tranzÄ«ta nodroÅ”inātājiem.

Ar ko tiek aizstāti prefiksu filtri, kuru pamatā ir AS-SET? Interesantākais ir tas, ka Ä«stermiņā ā€“ nekā. Bet parādās papildu mehānismi, kas papildina IRRDB balstÄ«to filtru darbu, un, pirmkārt, tas, protams, ir RPKI.

RPKI

VienkārÅ”otā veidā RPKI arhitektÅ«ru var uzskatÄ«t par izplatÄ«tu datu bāzi, kuras ierakstus var kriptogrāfiski pārbaudÄ«t. ROA (Route Object Authorization) gadÄ«jumā parakstÄ«tājs ir adreses telpas Ä«paÅ”nieks, un pats ieraksts ir trÄ«skārÅ”s (prefikss, asn, max_length). BÅ«tÄ«bā Å”is ieraksts postulē sekojoÅ”o: $prefix adreÅ”u telpas Ä«paÅ”nieks ir atļāvis AS numuru $asn reklamēt prefiksus, kuru garums nepārsniedz $max_length. Un marÅ”rutētāji, izmantojot RPKI keÅ”atmiņu, var pārbaudÄ«t pāra atbilstÄ«bu prefikss - pirmais runātājs ceļā.

Yandex ievieÅ” RPKI

3. attēls. RPKI arhitektūra

ROA objekti ir standartizēti diezgan ilgu laiku, taču vēl nesen tie faktiski palika tikai uz papÄ«ra IETF žurnālā. Manuprāt, iemesls tam izklausās biedējoÅ”i ā€“ slikts mārketings. Pēc standartizācijas pabeigÅ”anas stimuls bija tas, ka ROA aizsargāja pret BGP nolaupÄ«Å”anu, kas nebija taisnÄ«ba. Uzbrucēji var viegli apiet filtrus, kuru pamatā ir ROA, ievadot pareizo maiņstrāvas numuru ceļa sākumā. Un, tiklÄ«dz Ŕī atziņa nāca, nākamais loÄ£iskais solis bija atteikÅ”anās no ROA izmantoÅ”anas. Un tieŔām, kāpēc mums vajadzÄ«ga tehnoloÄ£ija, ja tā nedarbojas?

Kāpēc ir pienācis laiks mainÄ«t savas domas? Jo tā nav visa patiesÄ«ba. ROA neaizsargā pret hakeru darbÄ«bu BGP, bet aizsargā pret nejauÅ”u satiksmes nolaupÄ«Å”anu, piemēram, no statiskām noplÅ«dēm BGP, kas kļūst arvien izplatÄ«tāka. Turklāt atŔķirÄ«bā no IRR balstÄ«tiem filtriem ROV var izmantot ne tikai saskarnēs ar klientiem, bet arÄ« saskarnēs ar vienaudžiem un augÅ”upējiem pakalpojumu sniedzējiem. Tas ir, lÄ«dz ar RPKI ievieÅ”anu no BGP pamazām izzÅ«d a priori uzticÄ“Å”anās.

Tagad galvenie spēlētāji pakāpeniski ievieÅ” marÅ”rutu pārbaudi, pamatojoties uz ROA: lielākais Eiropas IX jau izmet nepareizos marÅ”rutus; starp Tier-1 operatoriem ir vērts izcelt AT&T, kas ir iespējojis filtrus saskarnēs ar saviem peering partneriem. Projektam tuvojas arÄ« lielākie satura nodroÅ”inātāji. Un desmitiem vidēja lieluma tranzÄ«ta operatoru to jau klusi ieviesuÅ”i, nevienam par to nestāstot. Kāpēc visi Å”ie operatori ievieÅ” RPKI? Atbilde ir vienkārÅ”a: lai aizsargātu savu izejoÅ”o trafiku no citu cilvēku kļūdām. Tāpēc Yandex ir viens no pirmajiem Krievijas Federācijā, kas savā tÄ«kla malā iekļāvis ROV.

Kas notiks tālāk?

Tagad esam iespējojuÅ”i marÅ”rutÄ“Å”anas informācijas pārbaudi saskarnēs ar trafika apmaiņas punktiem un privātajiem peings. Tuvākajā nākotnē verifikācija tiks iespējota arÄ« ar augÅ”puses trafika nodroÅ”inātājiem.

Yandex ievieÅ” RPKI

Kāda tev ir atŔķirÄ«ba? Ja vēlaties palielināt trafika marÅ”rutÄ“Å”anas droŔību starp tÄ«klu un Yandex, mēs iesakām:

  • Parakstiet savu adreses vietu portālā RIPE - tas ir vienkārÅ”i, aizņem vidēji 5-10 minÅ«tes. Tas pasargās mÅ«su savienojumu gadÄ«jumā, ja kāds netīŔām nozags jÅ«su adreÅ”u vietu (un tas noteikti notiks agrāk vai vēlāk);
  • Instalējiet vienu no atvērtā koda RPKI keÅ”atmiņām (nogatavojies-validators, rutinētājs) un iespējojiet marÅ”ruta pārbaudi uz tÄ«kla robežas - tas prasÄ«s vairāk laika, taču tas atkal neradÄ«s nekādas tehniskas grÅ«tÄ«bas.

Yandex atbalsta arÄ« filtrÄ“Å”anas sistēmas izstrādi, kuras pamatā ir jaunais RPKI objekts - ASPA (Autonomās sistēmas nodroÅ”inātāja autorizācija). Filtri, kuru pamatā ir ASPA un ROA objekti, var ne tikai aizstāt ā€œnoplÅ«duÅ”osā€ AS-SET, bet arÄ« novērst MiTM uzbrukumu problēmas, izmantojot BGP.

Par ASPA sÄ«kāk runāŔu pēc mēneÅ”a Next Hop konferencē. Tajā uzstāsies arÄ« kolēģi no Netflix, Facebook, Dropbox, Juniper, Mellanox un Yandex. Ja interesē tÄ«kla steks un tā attÄ«stÄ«ba nākotnē, nāc reÄ£istrācija ir atvērta.

Avots: www.habr.com

Pievieno komentāru