Salama, Alexander Azimov no anarako. Ao amin'ny Yandex, mamorona rafitra fanaraha-maso isan-karazany aho, ary koa ny rafitry ny tambajotra fitaterana. Saingy androany isika dia hiresaka momba ny protocol BGP.
Herinandro lasa izay, ny Yandex dia nanome alalana ny ROV (Route Origin Validation) amin'ny fifandraisana amin'ny mpiara-miombon'antoka rehetra, ary koa ny toerana fifanakalozana fifamoivoizana. Vakio eto ambany ny antony nanaovana izany sy ny fiantraikan'izany amin'ny fifandraisana amin'ireo mpandraharahan'ny fifandraisandavitra.
BGP ary inona no tsy mety aminy
Fantatrao angamba fa ny BGP dia natao ho protocole routing interdomain. Na izany aza, teny an-dalana dia nitombo ny isan'ny tranga fampiasana: androany, BGP, noho ny fanitarana maro, dia nivadika ho fiara fitateram-bahoaka, mandrakotra ny asa avy amin'ny operator VPN mankany amin'ny SD-WAN lamaody ankehitriny, ary nahita fampiharana toy ny Fitaterana ho an'ny mpanara-maso toy ny SDN, mamadika BGP vector lavitra ho zavatra mitovy amin'ny protocols sat.
Fig. 1.
Nahoana ny BGP no nahazo (ary mbola mahazo) fampiasana betsaka? Misy antony roa lehibe:
- BGP no hany protocole miasa eo amin'ny rafitra autonomous (AS);
- Ny BGP dia manohana ireo toetra amin'ny endrika TLV (karazana-length-value). Eny, tsy irery ny protocol amin'ity, fa satria tsy misy na inona na inona hanolo azy eo amin'ny junctions eo amin'ny mpaninjara telecom, dia hita fa mahasoa kokoa ny mametaka singa hafa miasa aminy noho ny manohana protocol routing fanampiny.
Inona no tsy mety aminy? Raha fintinina, ny protocol dia tsy manana rafitra natsangana hanamarinana ny fahamarinan'ny fampahalalana voaray. Izany hoe, ny BGP dia protocole a priori trust: raha te hilaza amin'izao tontolo izao ianao fa manana ny tambajotra Rostelecom, MTS na Yandex ianao izao, azafady!
Sivana mifototra amin'ny IRRDB - ny tsara indrindra amin'ny ratsy indrindra
Mipetraka ny fanontaniana hoe: nahoana ny Internet no mbola miasa amin'ny toe-javatra toy izany? Eny, miasa matetika izy io, saingy mipoaka tsindraindray izy io, ka tsy azo idirana ny sehatra nasionaly manontolo. Na dia mitombo ihany koa ny asan'ny mpijirika ao amin'ny BGP, ny ankamaroan'ny anomalia dia mbola vokatry ny bibikely. Ohatra amin'ity taona ity any Belarosia, izay nahatonga ny ampahany lehibe amin'ny Internet ho tsy azon'ny mpampiasa MegaFon mandritra ny antsasak'adiny. Ohatra iray hafa - nanapaka ny iray amin'ireo tambajotra CDN lehibe indrindra eran-tany.
vary. 2. Fanafihan'ny fifamoivoizana Cloudflare
Na izany aza, nahoana no mitranga indray mandeha isaky ny enim-bolana ny anomaliana toy izany, fa tsy isan'andro? Satria ny mpitatitra dia mampiasa angon-drakitra ivelany momba ny fampahalalana momba ny lalana mba hanamarinana izay azony avy amin'ny mpiara-monina BGP. Betsaka ny angon-drakitra toy izany, ny sasany amin'izy ireo dia tantanin'ny rejisitra (RIPE, APNIC, ARIN, AFRINIC), ny sasany dia mpilalao tsy miankina (RADB no malaza indrindra), ary misy koa ny rejisitra iray manontolo an'ny orinasa lehibe (Level3). , NTT, sns.). Noho ireo angon-drakitra ireo no mahatonga ny zotra inter-domaine mitazona ny fitoniana amin'ny asany.
Na izany aza, misy ny nuances. Ny fampahalalam-baovaon'ny zotra dia voamarina mifototra amin'ny zavatra ROUTE-OBJECTS sy AS-SET. Ary raha ny voalohany dia midika fanomezan-dΓ lana ho an'ny ampahany amin'ny IRRDB, dia ho an'ny kilasy faharoa dia tsy misy fanomezan-dΓ lana ho kilasy. Izany hoe, na iza na iza dia afaka manampy na iza na iza ao amin'ny andian-dry zareo ary noho izany dia mandingana ny sivana an'ny mpamatsy ambony. Ankoatr'izay, tsy azo antoka ny maha-tokana ny anarana AS-SET eo amin'ny toby IRR samihafa, izay mety hiteraka vokatra mahagaga miaraka amin'ny fahaverezan'ny fifandraisana tampoka ho an'ny mpandraharahan'ny fifandraisan-davitra, izay, amin'ny lafiny iray, dia tsy nanova na inona na inona.
Fanamby fanampiny dia ny fomba fampiasana ny AS-SET. Misy teboka roa eto:
- Rehefa mahazo mpanjifa vaovao ny mpandraharaha iray, dia ampidiriny ao amin'ny AS-SET izany, saingy saika tsy esorina mihitsy;
- Ny sivana ihany no voafefy amin'ny fifandraisana amin'ny mpanjifa.
Vokatr'izany, ny endrika maoderina amin'ny sivana BGP dia misy sivana manambany tsikelikely amin'ny fifandraisana amin'ny mpanjifa ary ny fahatokisana priori amin'ny zavatra azo avy amin'ny mpiara-miombon'antoka mitovy aminy sy ny mpamatsy fitaterana IP.
Inona no fanoloana sivana prefix mifototra amin'ny AS-SET? Ny tena mahaliana dia ny hoe ao anatin`ny fotoana fohy - na inona na inona. Saingy misy rafitra fanampiny mipoitra izay mameno ny asan'ny sivana mifototra amin'ny IRRDB, ary voalohany indrindra, mazava ho azy, RPKI izany.
RPKI
Amin'ny fomba tsotra, ny maritrano RPKI dia azo raisina ho toy ny angon-drakitra zaraina izay azo hamarinina amin'ny fomba kriptografika ny rakitra. Raha ny ROA (Route Object Authorization), ny mpanao sonia dia tompon'ny habaka adiresy, ary ny rakitsoratra dia telo (prefix, asn, max_length). Amin'ny ankapobeny, ity lahatsoratra ity dia mametraka izao manaraka izao: ny tompon'ny habaka adiresin'ny $prefix dia nanome alalana ny laharana AS $asn hanao dokam-barotra amin'ny halavany tsy mihoatra ny $max_length. Ary ny router, mampiasa ny cache RPKI, dia afaka manamarina ny fanarahan-dalΓ na ny mpivady prefix - mpandahateny voalohany teny an-dalana.
Sary 3. Architecture RPKI
Efa ela no nanara-penitra ny zavatra ROA, saingy hatramin'ny vao haingana dia tsy nijanona afa-tsy tamin'ny taratasy tao amin'ny diary IETF izy ireo. Raha ny hevitro dia toa mampatahotra ny anton'izany - varotra ratsy. Rehefa vita ny manara-penitra, ny fandrisihana dia ny fiarovana ny ROA amin'ny fanodinkodinana BGP - izay tsy marina. Afaka mandingana mora foana ny sivana mifototra amin'ny ROA ny mpanafika amin'ny fampidirana ny laharana AC marina eo am-piandohan'ny lalana. Ary raha vao tonga izany fahatsapana izany, ny dingana lojika manaraka dia ny fialana amin'ny fampiasana ROA. Ary raha ny marina, nahoana isika no mila teknolojia raha tsy mandeha izany?
Nahoana izao no fotoana tokony hiova hevitra? Satria tsy izany no fahamarinana manontolo. Ny ROA dia tsy miaro amin'ny hetsika hacker ao amin'ny BGP, fa miaro amin'ny fanondranana an-keriny tsy nahy, ohatra avy amin'ny fivoahana static ao amin'ny BGP, izay miha-matetika. Ary koa, tsy toy ny sivana mifototra amin'ny IRR, ny ROV dia azo ampiasaina tsy amin'ny fifandraisana amin'ny mpanjifa ihany, fa amin'ny fifandraisana amin'ny mpiara-mianatra sy ny mpamatsy. Izany hoe, miaraka amin'ny fampidirana ny RPKI, ny fitokisana priori dia manjavona tsikelikely ao amin'ny BGP.
Ankehitriny, ny fanaraha-maso ny lalana mifototra amin'ny ROA dia ampiharina tsikelikely amin'ny mpilalao fototra: ny lehibe indrindra Eoropeana IX dia efa manary lalana diso; eo amin'ireo mpandraharaha Tier-1, mendrika ny hanasongadinana ny AT&T, izay nahafahan'ny sivana teo amin'ny fifandraisana amin'ireo mpiara-miombon'antoka aminy. Manatona ny tetikasa ihany koa ireo mpamatsy votoaty lehibe indrindra. Ary efa am-polony ireo mpitatitra salantsalany no efa nampihatra izany mangina, tsy nilaza na iza na iza momba izany. Nahoana ireo mpandraharaha rehetra ireo no mampihatra ny RPKI? Tsotra ny valiny: hiarovana ny fifamoivoizana mivoaka amin'ny fahadisoan'ny olon-kafa. Izany no mahatonga ny Yandex ho iray amin'ireo voalohany ao amin'ny Federasiona Rosiana mampiditra ROV eo amin'ny sisin'ny tambajotrany.
Inona no hitranga manaraka?
Navelanay izao ny fanamarinana ny fampahalalana momba ny lalana amin'ny fifandraisana misy ny toerana fifanakalozana fifamoivoizana sy ny fijerena manokana. Atsy ho atsy, ho azo atao koa ny fanamarinana miaraka amin'ireo mpamatsy fifamoivoizana ambony.
Inona no mahasamihafa izany aminao? Raha te hampitombo ny fiarovana ny fifamoivoizana eo amin'ny tambajotrao sy ny Yandex ianao, dia manoro hevitra izahay:
- Soraty ny toerana misy ny adiresinao - Tsotra, maharitra 5-10 minitra eo ho eo. Izany dia hiaro ny fifandraisanay raha misy olona mangalatra tsy nahy ny adiresinao (ary tena hitranga izany na ho ela na ho haingana);
- Mametraka iray amin'ireo cache RPKI open source (, ) ary avelao ny fisavana lalana amin'ny sisin-tambajotra - haka fotoana bebe kokoa izany, saingy tsy hiteraka fahasahiranana ara-teknika izany.
Yandex koa dia manohana ny fampandrosoana rafitra sivana mifototra amin'ny zavatra RPKI vaovao - (Fanomezan-dΓ lana ho an'ny Mpanome System Autonomous). Ny sivana mifototra amin'ny zavatra ASPA sy ROA dia tsy afaka manolo fotsiny ny AS-SETs "leaky", fa manidy ny olana momba ny fanafihana MiTM mampiasa BGP.
Hiresaka amin'ny antsipiriany momba ny ASPA aho ao anatin'ny iray volana amin'ny fihaonambe Next Hop. Ireo mpiara-miasa amin'ny Netflix, Facebook, Dropbox, Juniper, Mellanox ary Yandex dia hiresaka ao ihany koa. Raha liana amin'ny tambazotran'ny tambajotra sy ny fivoarany amin'ny ho avy ianao dia tongava .
Source: www.habr.com