Hello, jien jisimni Alexander Azimov. F'Yandex, niżviluppa diversi sistemi ta 'monitoraġġ, kif ukoll arkitettura tan-netwerk tat-trasport. Imma llum se nitkellmu dwar il-protokoll BGP.
Ġimgħa ilu, Yandex ippermetta ROV (Validazzjoni tal-Oriġini tar-Rotot) fl-interfaces mal-imsieħba kollha tal-peering, kif ukoll punti tal-iskambju tat-traffiku. Aqra hawn taħt dwar għaliex dan sar u kif se jaffettwa l-interazzjoni mal-operaturi tat-telekomunikazzjoni.
BGP u x'hemm ħażin fih
Int probabilment taf li BGP kien iddisinjat bħala protokoll ta 'routing interdomain. Madankollu, tul it-triq, in-numru ta 'każijiet ta' użu irnexxielu jikber: illum, BGP, grazzi għal estensjonijiet numerużi, inbidel f'xarabank tal-messaġġi, li jkopri kompiti mill-operatur VPN għall-SD-WAN li issa huwa moda, u saħansitra sab applikazzjoni bħala trasport għal kontrollur simili SDN, tidwir distanza vector BGP f'xi ħaġa simili għall-links sat protokoll.
Fig. 1.
Għaliex BGP irċieva (u għadu jirċievi) tant użi? Hemm żewġ raġunijiet ewlenin:
- BGP huwa l-uniku protokoll li jaħdem bejn sistemi awtonomi (AS);
- BGP jappoġġja attributi fil-format TLV (tip-tul-valur). Iva, il-protokoll mhuwiex waħdu f'dan, iżda peress li m'hemm xejn li jissostitwih fil-junctions bejn l-operaturi tat-telekomunikazzjoni, dejjem jirriżulta li jkun aktar profittabbli li tehmeż element funzjonali ieħor miegħu milli tappoġġja protokoll ta 'routing addizzjonali.
X'hemm ħażin miegħu? Fil-qosor, il-protokoll m'għandux mekkaniżmi integrati biex jiċċekkja l-korrettezza tal-informazzjoni riċevuta. Jiġifieri, BGP huwa protokoll ta 'fiduċja a priori: jekk trid tgħid lid-dinja li issa inti stess in-netwerk ta' Rostelecom, MTS jew Yandex, jekk jogħġbok!
Filtru IRRDB ibbażat - l-aħjar mill-agħar
Tqum il-mistoqsija: għaliex l-Internet għadu jaħdem f'sitwazzjoni bħal din? Iva, taħdem ħafna mill-ħin, iżda fl-istess ħin tisplodi perjodikament, u tagħmel segmenti nazzjonali sħaħ inaċċessibbli. Għalkemm l-attività tal-hackers fil-BGP qed tiżdied ukoll, il-biċċa l-kbira tal-anomaliji għadhom ikkawżati minn bugs. L-eżempju ta’ din is-sena hu fil-Belarus, li għamlet parti sinifikanti mill-Internet inaċċessibbli għall-utenti ta 'MegaFon għal nofs siegħa. Eżempju ieħor - kisser wieħed mill-akbar netwerks CDN fid-dinja.
Ross. 2. Interċettazzjoni tat-traffiku Cloudflare
Iżda xorta waħda, għaliex dawn l-anomaliji jseħħu darba kull sitt xhur, u mhux kuljum? Minħabba li t-trasportaturi jużaw databases esterni ta 'informazzjoni dwar ir-rotot biex jivverifikaw dak li jirċievu mill-ġirien BGP. Hemm ħafna databases bħal dawn, xi wħud minnhom huma ġestiti minn reġistraturi (RIPE, APNIC, ARIN, AFRINIC), xi wħud huma atturi indipendenti (l-aktar famużi huwa RADB), u hemm ukoll sett sħiħ ta 'reġistraturi proprjetà ta' kumpaniji kbar (Livell3 , NTT, eċċ.). Huwa grazzi għal dawn id-databases li r-rotot bejn id-dominji jżomm l-istabbiltà relattiva tal-operat tiegħu.
Madankollu, hemm sfumaturi. L-informazzjoni dwar ir-rotot hija ċċekkjata abbażi ta' oġġetti ROUTE-OBJECTS u AS-SET. U jekk l-ewwel jimplika awtorizzazzjoni għal parti mill-IRRDB, allura għat-tieni klassi m'hemm l-ebda awtorizzazzjoni bħala klassi. Jiġifieri, kulħadd jista 'jżid lil kulħadd fis-settijiet tiegħu u b'hekk jevita l-filtri tal-fornituri upstream. Barra minn hekk, l-uniċità tal-ismijiet AS-SET bejn bażijiet IRR differenti mhijiex garantita, li jista’ jwassal għal effetti sorprendenti b’telf f’daqqa ta’ konnettività għall-operatur tat-telekomunikazzjoni, li, min-naħa tiegħu, ma biddel xejn.
Sfida addizzjonali hija l-mudell tal-użu tal-AS-SET. Hemm żewġ punti hawn:
- Meta operatur iġib klijent ġdid, dan iżid mal-AS-SET tiegħu, iżda kważi qatt ma jneħħih;
- Il-filtri nfushom huma kkonfigurati biss fl-interfaces mal-klijenti.
Bħala riżultat, il-format modern tal-filtri BGP jikkonsisti f'filtri degradanti gradwalment fl-interfaces mal-klijenti u fiduċja a priori f'dak li ġej minn sħab peering u fornituri ta' transitu tal-IP.
X'qed jissostitwixxi l-filtri tal-prefiss ibbażati fuq AS-SET? L-iktar ħaġa interessanti hija li fi żmien qasir - xejn. Iżda qed jitfaċċaw mekkaniżmi addizzjonali li jikkumplimentaw ix-xogħol tal-filtri bbażati fuq IRRDB, u l-ewwelnett, dan huwa, ovvjament, RPKI.
RPKI
B'mod simplifikat, l-arkitettura RPKI tista' titqies bħala database distribwita li r-rekords tagħha jistgħu jiġu vverifikati kriptografikament. Fil-każ ta 'ROA (Route Object Authorization), il-firmatarju huwa s-sid tal-ispazju tal-indirizz, u r-rekord innifsu huwa triplu (prefiss, asn, max_length). Essenzjalment, din l-entrata tippolla dan li ġej: is-sid tal-ispazju tal-indirizz $prefiss awtorizza lin-numru AS $asn biex jirreklama prefissi b'tul mhux akbar minn $max_length. U r-routers, li jużaw il-cache RPKI, huma kapaċi jiċċekkjaw il-par għall-konformità prefiss - l-ewwel kelliem fit-triq.
Figura 3. Arkitettura RPKI
L-oġġetti ROA ilhom standardizzati għal żmien pjuttost twil, iżda sa ftit ilu fil-fatt baqgħu biss fuq il-karta fil-ġurnal tal-IETF. Fl-opinjoni tiegħi, ir-raġuni għal dan tinstema' tal-biża - marketing ħażin. Wara li tlestiet l-istandardizzazzjoni, l-inċentiv kien li r-ROA kienet protetta kontra l-ħtif tal-BGP - li ma kienx minnu. L-attakkanti jistgħu faċilment jevitaw il-filtri bbażati fuq ROA billi jdaħħlu n-numru AC korrett fil-bidu tal-mogħdija. U hekk kif waslet din ir-realizzazzjoni, il-pass loġiku li jmiss kien li jiġi abbandunat l-użu tar-ROA. U tassew, għaliex għandna bżonn it-teknoloġija jekk ma taħdimx?
Għaliex wasal iż-żmien li tibdel fehmtek? Għax din mhix il-verità kollha. ROA ma tipproteġix kontra l-attività tal-hacker fil-BGP, iżda jipproteġi kontra ħtif tat-traffiku aċċidentali, pereżempju minn tnixxijiet statiċi fil-BGP, li qed issir aktar komuni. Ukoll, b'differenza mill-filtri bbażati fuq IRR, ROV jista 'jintuża mhux biss fl-interfaces mal-klijenti, iżda wkoll fl-interfaces ma' sħabhom u fornituri upstream. Jiġifieri, flimkien mal-introduzzjoni tal-RPKI, il-fiduċja a priori qed tisparixxi gradwalment minn BGP.
Issa, il-kontroll tar-rotot ibbażati fuq ROA qed jiġi implimentat gradwalment minn atturi ewlenin: l-akbar IX Ewropew diġà qed jarmi rotot mhux korretti; fost l-operaturi Tier-1, ta’ min jenfasizza AT&T, li ppermettiet filtri fl-interfaces mal-imsieħba peering tagħha. L-akbar fornituri tal-kontenut qed jersqu wkoll lejn il-proġett. U għexieren ta 'operaturi ta' transitu ta 'daqs medju diġà implimentawha bil-kwiet, mingħajr ma qalu lil ħadd dwarha. Għaliex dawn l-operaturi kollha qed jimplimentaw RPKI? It-tweġiba hija sempliċi: biex tipproteġi t-traffiku ħierġa tiegħek mill-iżbalji ta’ nies oħra. Huwa għalhekk li Yandex huwa wieħed mill-ewwel fil-Federazzjoni Russa li jinkludi ROV fit-tarf tan-netwerk tiegħu.
X'se jiġri wara?
Issa ppermettejna li niċċekkjaw l-informazzjoni tar-rotot fl-interfaces mal-punti tal-iskambju tat-traffiku u l-peerings privati. Fil-futur qarib, il-verifika se tkun attivata wkoll mal-fornituri tat-traffiku upstream.
X'differenza tagħmel dan għalik? Jekk trid iżżid is-sigurtà tar-rotta tat-traffiku bejn in-netwerk tiegħek u Yandex, nirrakkomandaw:
- Iffirma l-ispazju tal-indirizz tiegħek - huwa sempliċi, jieħu 5-10 minuti bħala medja. Dan jipproteġi l-konnettività tagħna fil-każ li xi ħadd bla ma jrid jisraq l-ispazju tal-indirizz tiegħek (u dan żgur se jiġri llum jew għada);
- Installa waħda mill-caches RPKI ta' sors miftuħ (, ) u tippermetti l-iċċekkjar tar-rotot fil-fruntiera tan-netwerk - dan se jieħu aktar ħin, iżda għal darb'oħra, mhux se jikkawża l-ebda diffikultajiet tekniċi.
Yandex jappoġġja wkoll l-iżvilupp ta 'sistema ta' filtrazzjoni bbażata fuq l-oġġett ġdid RPKI - (Awtorizzazzjoni tal-Fornitur tas-Sistema Awtonoma). Filtri bbażati fuq oġġetti ASPA u ROA jistgħu mhux biss jissostitwixxu AS-SETs "leaky", iżda wkoll jagħlqu l-kwistjonijiet ta 'attakki MiTM bl-użu ta' BGP.
Se nitkellem fid-dettall dwar l-ASPA fi żmien xahar fil-konferenza Next Hop. Hemm ukoll se jitkellmu kollegi minn Netflix, Facebook, Dropbox, Juniper, Mellanox u Yandex. Jekk inti interessat fil-munzell tan-netwerk u l-iżvilupp tiegħu fil-futur, ejja .
Sors: www.habr.com