Halo, nama saya Alexander Azimov. Di Yandex, saya membangunkan pelbagai sistem pemantauan, serta seni bina rangkaian pengangkutan. Tetapi hari ini kita akan bercakap mengenai protokol BGP.
Seminggu yang lalu, Yandex mendayakan ROV (Pengesahan Asal Laluan) di antara muka dengan semua rakan kongsi sebaya, serta titik pertukaran trafik. Baca di bawah tentang sebab ini dilakukan dan bagaimana ia akan menjejaskan interaksi dengan pengendali telekom.
BGP dan apa salahnya
Anda mungkin tahu bahawa BGP telah direka sebagai protokol penghalaan antara domain. Walau bagaimanapun, sepanjang perjalanan, bilangan kes penggunaan berjaya berkembang: hari ini, BGP, terima kasih kepada banyak sambungan, telah bertukar menjadi bas mesej, meliputi tugas daripada operator VPN kepada SD-WAN yang kini bergaya, malah telah menemui aplikasi sebagai pengangkutan untuk pengawal seperti SDN, menukarkan vektor jarak BGP kepada sesuatu yang serupa dengan protokol pautan sat.
Rajah 1.
Mengapa BGP menerima (dan terus menerima) begitu banyak kegunaan? Terdapat dua sebab utama:
- BGP ialah satu-satunya protokol yang berfungsi antara sistem autonomi (AS);
- BGP menyokong atribut dalam format TLV (type-length-value). Ya, protokol tidak bersendirian dalam hal ini, tetapi oleh kerana tiada apa-apa untuk menggantikannya di persimpangan antara pengendali telekomunikasi, ia sentiasa menjadi lebih menguntungkan untuk melampirkan elemen fungsi lain padanya daripada menyokong protokol penghalaan tambahan.
Apa masalah dia? Ringkasnya, protokol tidak mempunyai mekanisme terbina dalam untuk menyemak ketepatan maklumat yang diterima. Maksudnya, BGP ialah protokol kepercayaan priori: jika anda ingin memberitahu dunia bahawa anda kini memiliki rangkaian Rostelecom, MTS atau Yandex, sila!
Penapis berasaskan IRRDB - yang terbaik daripada yang terburuk
Persoalannya timbul: mengapa Internet masih berfungsi dalam keadaan sedemikian? Ya, ia berfungsi pada kebanyakan masa, tetapi pada masa yang sama ia meletup secara berkala, menjadikan keseluruhan segmen negara tidak dapat diakses. Walaupun aktiviti penggodam dalam BGP juga meningkat, kebanyakan anomali masih disebabkan oleh pepijat. Contoh tahun ini ialah di Belarus, yang menjadikan sebahagian besar Internet tidak dapat diakses oleh pengguna MegaFon selama setengah jam. Contoh yang lain - memecahkan salah satu rangkaian CDN terbesar di dunia.
nasi. 2. Pintasan lalu lintas Cloudflare
Tetapi, mengapa anomali sedemikian berlaku sekali setiap enam bulan, dan bukan setiap hari? Kerana pembawa menggunakan pangkalan data luaran maklumat penghalaan untuk mengesahkan perkara yang mereka terima daripada jiran BGP. Terdapat banyak pangkalan data sedemikian, sebahagian daripadanya diuruskan oleh pendaftar (RIPE, APNIC, ARIN, AFRINIC), beberapa pemain bebas (yang paling terkenal ialah RADB), dan terdapat juga satu set keseluruhan pendaftar yang dimiliki oleh syarikat besar (Level3 , NTT, dsb.). Berkat pangkalan data inilah penghalaan antara domain mengekalkan kestabilan relatif operasinya.
Walau bagaimanapun, terdapat nuansa. Maklumat penghalaan disemak berdasarkan objek ROUTE-OBJECTS dan AS-SET. Dan jika yang pertama membayangkan kebenaran untuk sebahagian daripada IRRDB, maka untuk kelas kedua tidak ada kebenaran sebagai kelas. Iaitu, sesiapa sahaja boleh menambah sesiapa sahaja pada set mereka dan dengan itu memintas penapis penyedia huluan. Selain itu, keunikan penamaan AS-SET antara pangkalan IRR yang berbeza tidak dijamin, yang boleh membawa kepada kesan mengejutkan dengan kehilangan sambungan secara tiba-tiba untuk pengendali telekomunikasi, yang, bagi pihaknya, tidak mengubah apa-apa.
Cabaran tambahan ialah corak penggunaan AS-SET. Terdapat dua perkara di sini:
- Apabila pengendali mendapat pelanggan baharu, ia menambahkannya pada AS-SETnya, tetapi hampir tidak pernah mengalihkannya;
- Penapis itu sendiri dikonfigurasikan hanya pada antara muka dengan pelanggan.
Akibatnya, format moden penapis BGP terdiri daripada penapis yang merendahkan secara beransur-ansur pada antara muka dengan pelanggan dan kepercayaan priori terhadap apa yang datang daripada rakan kongsi sebaya dan penyedia transit IP.
Apakah yang menggantikan penapis awalan berdasarkan AS-SET? Perkara yang paling menarik ialah dalam jangka pendek - tiada apa-apa. Tetapi mekanisme tambahan muncul yang melengkapi kerja penapis berasaskan IRRDB, dan pertama sekali, ini, sudah tentu, RPKI.
RPKI
Dengan cara yang mudah, seni bina RPKI boleh dianggap sebagai pangkalan data teragih yang rekodnya boleh disahkan secara kriptografi. Dalam kes ROA (Keizinan Objek Laluan), penandatangan ialah pemilik ruang alamat dan rekod itu sendiri ialah tiga kali ganda (awalan, asn, max_length). Pada asasnya, entri ini mempostulatkan perkara berikut: pemilik ruang alamat $prefix telah membenarkan nombor AS $asn untuk mengiklankan awalan dengan panjang tidak melebihi $max_length. Dan penghala, menggunakan cache RPKI, dapat menyemak pasangan untuk pematuhan awalan - pembesar suara pertama dalam perjalanan.
Rajah 3. Seni bina RPKI
Objek ROA telah diseragamkan untuk masa yang agak lama, tetapi sehingga baru-baru ini mereka sebenarnya kekal hanya di atas kertas dalam jurnal IETF. Pada pendapat saya, alasan untuk ini terdengar menakutkan - pemasaran yang buruk. Selepas penyeragaman selesai, insentifnya ialah ROA dilindungi daripada rampasan BGP - yang tidak benar. Penyerang boleh memintas penapis berasaskan ROA dengan mudah dengan memasukkan nombor AC yang betul pada permulaan laluan. Dan sebaik sahaja kesedaran ini datang, langkah logik seterusnya adalah untuk meninggalkan penggunaan ROA. Sesungguhnya, mengapa kita memerlukan teknologi jika ia tidak berfungsi?
Mengapa tiba masanya untuk mengubah fikiran anda? Kerana ini bukan keseluruhan kebenaran. ROA tidak melindungi daripada aktiviti penggodam dalam BGP, tetapi melindungi daripada rampasan lalu lintas secara tidak sengaja, contohnya daripada kebocoran statik dalam BGP, yang menjadi lebih biasa. Selain itu, tidak seperti penapis berasaskan IRR, ROV boleh digunakan bukan sahaja pada antara muka dengan pelanggan, tetapi juga pada antara muka dengan rakan sebaya dan penyedia huluan. Iaitu, seiring dengan pengenalan RPKI, kepercayaan priori beransur-ansur hilang dari BGP.
Sekarang, menyemak laluan berdasarkan ROA secara beransur-ansur dilaksanakan oleh pemain utama: IX Eropah terbesar sudah membuang laluan yang salah dalam kalangan pengendali Tahap-1, adalah wajar untuk menyerlahkan AT&T, yang telah mendayakan penapis pada antara muka dengan rakan kongsinya. Pembekal kandungan terbesar juga mendekati projek itu. Dan berpuluh-puluh pengendali transit bersaiz sederhana telah pun melaksanakannya secara senyap-senyap, tanpa memberitahu sesiapa mengenainya. Mengapa semua pengendali ini melaksanakan RPKI? Jawapannya mudah: untuk melindungi trafik keluar anda daripada kesilapan orang lain. Itulah sebabnya Yandex adalah salah satu yang pertama di Persekutuan Rusia untuk memasukkan ROV di pinggir rangkaiannya.
Apa yang akan berlaku seterusnya?
Kami kini telah mendayakan menyemak maklumat penghalaan di antara muka dengan titik pertukaran trafik dan peering peribadi. Dalam masa terdekat, pengesahan juga akan didayakan dengan penyedia trafik huluan.
Apakah perbezaan ini buat anda? Jika anda ingin meningkatkan keselamatan penghalaan trafik antara rangkaian anda dan Yandex, kami mengesyorkan:
- Tandatangani ruang alamat anda - ia mudah, mengambil masa 5-10 minit secara purata. Ini akan melindungi ketersambungan kami sekiranya seseorang secara tidak sengaja mencuri ruang alamat anda (dan ini pasti akan berlaku lambat laun);
- Pasang salah satu daripada cache RPKI sumber terbuka (, ) dan dayakan semakan laluan di sempadan rangkaian - ini akan mengambil lebih banyak masa, tetapi sekali lagi, ia tidak akan menyebabkan sebarang masalah teknikal.
Yandex juga menyokong pembangunan sistem penapisan berdasarkan objek RPKI baharu - (Kebenaran Pembekal Sistem Autonomi). Penapis berdasarkan objek ASPA dan ROA bukan sahaja boleh menggantikan AS-SET "bocor", tetapi juga menutup isu serangan MiTM menggunakan BGP.
Saya akan bercakap secara terperinci tentang ASPA dalam masa sebulan di persidangan Next Hop. Rakan sekerja dari Netflix, Facebook, Dropbox, Juniper, Mellanox dan Yandex juga akan bercakap di sana. Jika anda berminat dengan susunan rangkaian dan perkembangannya pada masa hadapan, datang .
Sumber: www.habr.com