Yandex သည် RPKI ကိုအကောင်အထည်ဖော်သည်။

မင်္ဂလာပါ၊ ကျွန်တော့်နာမည် Alexander Azimov ပါ။ Yandex တွင်၊ ကျွန်ုပ်သည် အမျိုးမျိုးသော စောင့်ကြည့်ရေးစနစ်များအပြင် သယ်ယူပို့ဆောင်ရေးကွန်ရက်ဗိသုကာကိုလည်း ပြုစုပါသည်။ ဒါပေမယ့် ဒီနေ့တော့ BGP protocol အကြောင်းပြောပါမယ်။

လွန်ခဲ့သည့် တစ်ပတ်က၊ Yandex သည် ROV (Route Origin Validation) ကို ချိတ်ဆက်ထားသော ပါတနာအားလုံးနှင့် ချိတ်ဆက်မှုများအပြင် အသွားအလာ ဖလှယ်သည့်နေရာများတွင်ပါ ဖွင့်ထားသည်။ အဘယ်ကြောင့် ထိုသို့လုပ်ဆောင်ရခြင်းအကြောင်းနှင့် တယ်လီကွန်းအော်ပရေတာများနှင့် အပြန်အလှန်အကျိုးသက်ရောက်မှုရှိမည်ကို အောက်တွင်ဖတ်ရှုပါ။

BGP က ဘာများဖြစ်နေတာလဲ

BGP သည် interdomain routing protocol တစ်ခုအနေဖြင့် ဒီဇိုင်းထုတ်ထားကြောင်း သင်သိပေမည်။ သို့သော်လည်း၊ လမ်းတစ်လျှောက်တွင် အသုံးပြုမှုကိစ္စများ တိုးပွားလာစေရန် စီမံထားသည်- ယနေ့တွင် များပြားလှသော တိုးချဲ့မှုများကြောင့် BGP သည် အော်ပရေတာ VPN မှ ယခုခေတ်ဆန်သော SD-WAN အထိ လုပ်ဆောင်စရာများကို လွှမ်းခြုံပေးသည့် မက်ဆေ့ချ်ဘတ်စ်တစ်ခုအဖြစ်သို့ ပြောင်းလဲသွားခဲ့ပြီး ယခုအခါ ဖက်ရှင်ကျသော SD-WAN အက်ပလီကေးရှင်းကိုပင် တွေ့ရှိခဲ့သည်။ SDN ကဲ့သို့သော ထိန်းချုပ်ကိရိယာအတွက် ပို့ဆောင်မှုတစ်ခု၊ အကွာအဝေး vector BGP ကို ​​links sat protocol နှင့် ဆင်တူသည့်အရာအဖြစ် ပြောင်းလဲသည်။

သဖန်းသီး။ ၁၅ ။ BGP SAFI

BGP သည် အဘယ်ကြောင့် (ဆက်လက်၍လက်ခံသည်) အဘယ်ကြောင့်ဤမျှလောက်များစွာအသုံးပြုနေရသနည်း။ အဓိက အကြောင်းရင်း နှစ်ခု ရှိပါတယ်-

• BGP သည် ကိုယ်ပိုင်အုပ်ချုပ်ခွင့်ရစနစ်များ (AS);
• BGP သည် TLV (type-length-value) ဖော်မက်တွင် အရည်အချင်းများကို ပံ့ပိုးပေးသည်။ ဟုတ်ကဲ့၊ ပရိုတိုကောသည် ယင်းတွင် တစ်ခုတည်းမဟုတ်ပါ၊ သို့သော် တယ်လီကွန်းအော်ပရေတာများကြား လမ်းဆုံများတွင် ၎င်းကို အစားထိုးရန် ဘာမျှမရှိသောကြောင့်၊ ၎င်းတွင် နောက်ထပ် လမ်းကြောင်းတင်ပရိုတိုကောကို ပံ့ပိုးရန်ထက် ၎င်းတွင် အခြားလုပ်ဆောင်နိုင်စွမ်းရှိသော ဒြပ်စင်တစ်ခုကို တွဲချိတ်ခြင်းသည် အမြဲတမ်း အကျိုးဖြစ်ထွန်းစေပါသည်။

သူဘာဖြစ်နေတာလဲ။ အတိုချုပ်အားဖြင့်၊ ပရိုတိုကောတွင် လက်ခံရရှိသည့် အချက်အလက်များ၏ မှန်ကန်မှုကို စစ်ဆေးရန်အတွက် တပ်ဆင်ထားသော ယန္တရားများ မရှိပါ။ ဆိုလိုသည်မှာ၊ BGP သည် ဦးစားပေးယုံကြည်မှုပရိုတိုကောတစ်ခုဖြစ်သည်- သင်ယခု Rostelecom၊ MTS သို့မဟုတ် Yandex ၏ကွန်ရက်ကို ပိုင်ဆိုင်ကြောင်း ကမ္ဘာကိုပြောပြလိုပါက ကျေးဇူးပြု၍ ကျေးဇူးပြု၍။

IRRDB အခြေခံ စစ်ထုတ်မှု - အဆိုးဆုံးထဲက အကောင်းဆုံး

မေးစရာရှိလာသည်– အင်တာနက်သည် အဘယ်ကြောင့် ထိုသို့သောအခြေအနေတွင် ဆက်လက်လုပ်ဆောင်နေသနည်း။ ဟုတ်တယ်၊ အချိန်အများစုမှာ အလုပ်လုပ်တယ်၊ ဒါပေမယ့် တစ်ချိန်တည်းမှာပဲ ဒါဟာ အခါအားလျော်စွာ ပေါက်ကွဲထွက်ပြီး နိုင်ငံလုံးဆိုင်ရာ အပိုင်းတွေ အားလုံးကို လက်လှမ်းမမီနိုင်တော့ဘူး။ BGP တွင် ဟက်ကာများ၏ လုပ်ဆောင်ချက်သည် မြင့်တက်လာသော်လည်း၊ ကွဲလွဲချက်အများစုမှာ bug များကြောင့် ဖြစ်နေဆဲဖြစ်သည်။ ဒီနှစ်ရဲ့ ဥပမာပေါ့။ အသေးစားအော်ပရေတာအမှား ဘီလာရုစ်နိုင်ငံတွင် MegaFon အသုံးပြုသူများ နာရီဝက်ကြာ အင်တာနက်၏ အရေးပါသော အစိတ်အပိုင်းကို လက်လှမ်းမမီနိုင်စေခဲ့သည်။ နောက်ထပ်ဥပမာ- အရူး BGP optimizer ကမ္ဘာပေါ်တွင် အကြီးဆုံး CDN ​​ကွန်ရက်များကို ချိုးဖျက်ခဲ့သည်။

ထမင်း။ 2. Cloudflare အသွားအလာကြားဖြတ်ခြင်း။

သို့သော်၊ နေ့တိုင်းမဟုတ်ဘဲ၊ ခြောက်လတစ်ကြိမ် အဘယ်ကြောင့် ထိုသို့သောကွဲလွဲမှုများ ဖြစ်ပွားနေရသနည်း။ ဝန်ဆောင်မှုပေးသူများသည် BGP အိမ်နီးနားချင်းများထံမှ ရရှိသောအရာကို အတည်ပြုရန် လမ်းကြောင်းအချက်အလက်၏ ပြင်ပဒေတာဘေ့စ်များကို အသုံးပြုသောကြောင့်ဖြစ်သည်။ ထိုသို့သောဒေတာဘေ့စ်များစွာရှိပြီး၊ အချို့မှာ မှတ်ပုံတင်အရာရှိများ (RIPE၊ APNIC၊ ARIN၊ AFRINIC)၊ အချို့သည် အမှီအခိုကင်းသောကစားသမားများဖြစ်ကြသည် (အကျော်ကြားဆုံးမှာ RADB) ဖြစ်ပြီး၊ ကုမ္ပဏီကြီးများမှပိုင်ဆိုင်သော မှတ်ပုံတင်အရာရှိအစုအဝေးလည်းရှိသည် (Level3 , NTT စသည်ဖြင့်)။ ဤဒေတာဘေ့စ်များ၏ ကျေးဇူးကြောင့် ဒိုမိန်းအချင်းချင်း လမ်းကြောင်းပြခြင်းသည် ၎င်း၏လုပ်ဆောင်ချက်၏ နှိုင်းရတည်ငြိမ်မှုကို ထိန်းသိမ်းပေးသည်။

သို့သော်၊ ကွဲပြားမှုများရှိသည်။ Routing အချက်အလက်ကို ROUTE-OBJECTS နှင့် AS-SET အရာဝတ္ထုများအပေါ် အခြေခံ၍ စစ်ဆေးသည်။ IRRDB ၏ တစ်စိတ်တစ်ပိုင်းအတွက် ပထမခွင့်ပြုချက်ဟု အဓိပ္ပာယ်ဖွင့်ဆိုပါက ဒုတိယတန်းစားအတွက် အတန်းတစ်ခုအနေဖြင့် ခွင့်ပြုချက်မရှိပါ။ ဆိုလိုသည်မှာ၊ မည်သူမဆို ၎င်းတို့၏အစုံများတွင် မည်သူ့ကိုမဆို ထည့်နိုင်ပြီး ရေစီးကြောင်းဝန်ဆောင်မှုပေးသူများ၏ စစ်ထုတ်မှုများကို ကျော်လွှားနိုင်သည်။ ထို့အပြင်၊ မတူညီသော IRR အခြေစိုက်စခန်းများကြားတွင် AS-SET အမည်ပေးခြင်း၏ ထူးခြားမှုမှာ အာမခံချက်မရှိပါ။ ၎င်းသည် တယ်လီကွန်းအော်ပရေတာအတွက် ချိတ်ဆက်မှုရုတ်တရက်ဆုံးရှုံးခြင်းနှင့်အတူ အံ့အားသင့်ဖွယ်အကျိုးသက်ရောက်မှုများဖြစ်ပေါ်စေနိုင်သည်။

နောက်ထပ်စိန်ခေါ်မှုတစ်ခုမှာ AS-SET ၏အသုံးပြုမှုပုံစံဖြစ်သည်။ ဤနေရာတွင် အချက်နှစ်ချက်ရှိသည်။

• အော်ပရေတာတစ်ခုသည် client အသစ်တစ်ခုရရှိသောအခါ၎င်းသည်၎င်းကို၎င်း၏ AS-SET တွင်ထည့်သည်၊ သို့သော်၎င်းကိုဘယ်တော့မှဖယ်ရှားမည်မဟုတ်ပါ။
• စစ်ထုတ်မှုများကို ၎င်းတို့ကိုယ်တိုင် ဖောက်သည်များနှင့် အင်တာဖေ့စ်များတွင်သာ ပြင်ဆင်သတ်မှတ်ထားသည်။

ရလဒ်အနေဖြင့်၊ BGP စစ်ထုတ်မှုများ၏ ခေတ်မီဖော်မတ်သည် သုံးစွဲသူများနှင့် အင်တာဖေ့စ်များရှိ စစ်ထုတ်မှုများကို ဖြည်းဖြည်းချင်း ကျဆင်းစေခြင်း နှင့် peering လုပ်ဖော်ကိုင်ဖက်များနှင့် IP အကူးအပြောင်းဝန်ဆောင်မှုပေးသူများထံမှ ရရှိလာသော ဦးစားပေးယုံကြည်မှုတို့ ပါဝင်ပါသည်။

AS-SET ကိုအခြေခံ၍ ရှေ့ဆုံးစစ်ထုတ်ခြင်းများကို အစားထိုးခြင်းကား အဘယ်နည်း။ စိတ်ဝင်စားစရာအကောင်းဆုံးကတော့ ရေတိုမှာ ဘာမှမဖြစ်ပါဘူး။ သို့သော် IRRDB-based filters များ၏အလုပ်အားဖြည့်စွမ်းနိုင်သောနောက်ထပ်ယန္တရားများပေါ်ထွက်လာပြီးပထမအချက်မှာ၊ ဤသည်မှာ RPKI ဖြစ်သည်။

RPKI

ရိုးရှင်းသောနည်းလမ်းဖြင့်၊ RPKI ဗိသုကာကို ဖြန့်ဝေထားသောဒေတာဘေ့စ်တစ်ခုအဖြစ် မှတ်ယူနိုင်သည် ROA (လမ်းကြောင်း Object Authorization) တွင် လက်မှတ်ရေးထိုးသူသည် လိပ်စာနေရာ၏ ပိုင်ရှင်ဖြစ်ပြီး မှတ်တမ်းကိုယ်တိုင်က သုံးဆ (ရှေ့ဆက်၊ asn၊ max_length) ဖြစ်သည်။ အခြေခံအားဖြင့်၊ ဤထည့်သွင်းမှုသည် အောက်ပါတို့ကို သရုပ်ဖော်သည်- $prefix address space ၏ပိုင်ရှင်သည် $max_length ထက်မပိုသော အတိုအရှည်ဖြင့် AS နံပါတ် $asn ကို ကြော်ငြာရန် ခွင့်ပြုထားသည်။ RPKI ကက်ရှ်ကို အသုံးပြု၍ router များသည် စုံတွဲကို လိုက်လျောညီထွေရှိစေရန် စစ်ဆေးနိုင်သည်။ prefix - လမ်းမှာ ပထမစပီကာ.

ပုံ 3. RPKI ဗိသုကာ

ROA အရာဝတ္ထုများကို အချိန်အတော်ကြာ စံပြုထားသော်လည်း မကြာသေးမီအထိ ၎င်းတို့သည် IETF ဂျာနယ်တွင် စာရွက်ပေါ်တွင်သာ ရှိနေခဲ့သည်။ ကျွန်တော့်အမြင်အရ၊ ဒီအကြောင်းပြချက်က ကြောက်စရာကောင်းတယ် - မကောင်းတဲ့ မားကတ်တင်းပါ။ စံချိန်စံညွှန်းသတ်မှတ်ခြင်းကို ပြီးမြောက်ပြီးနောက်၊ မက်လုံးမှာ ROA သည် BGP ပြန်ပေးဆွဲခြင်းမှ ကာကွယ်ခြင်းဖြစ်သည် - မမှန်ပါ။ တိုက်ခိုက်သူများသည် လမ်းကြောင်း၏အစတွင် မှန်ကန်သော AC နံပါတ်ကို ထည့်သွင်းခြင်းဖြင့် ROA အခြေခံ စစ်ထုတ်မှုများကို အလွယ်တကူ ကျော်ဖြတ်နိုင်သည်။ ဤနားလည်သဘောပေါက်လာသည်နှင့်တပြိုင်နက် ROA အသုံးပြုမှုကို စွန့်လွှတ်ရန် နောက်ထပ် ယုတ္တိတန်သောခြေလှမ်းဖြစ်သည်။ တကယ်တမ်းကျတော့ အဲဒါက အလုပ်မဖြစ်ရင် ဘာကြောင့် နည်းပညာလိုတာလဲ။

စိတ်ပြောင်းဖို့ အချိန်က ဘာကြောင့်လဲ။ ဘာကြောင့်လဲ ဆိုတော့ ဒါက အမှန်တရား တစ်ခုလုံး မဟုတ်လို့ပါ။ ROA သည် BGP ရှိ ဟက်ကာများ၏ လုပ်ဆောင်ချက်ကို မကာကွယ်နိုင်သော်လည်း၊ မတော်တဆ ယာဉ်အပိုင်စီးခြင်းမှ ကာကွယ်ပေးသည်။ဥပမာအားဖြင့် BGP တွင် static leaks များမှ ပို၍အဖြစ်များလာသည်။ IRR-based filters များနှင့်မတူဘဲ ROV ကို client များနှင့် interfaces များတွင်သာမက ရွယ်တူများနှင့် upstream ပံ့ပိုးပေးသူများနှင့် interface များတွင်လည်းအသုံးပြုနိုင်ပါသည်။ ဆိုလိုသည်မှာ RPKI ၏နိဒါန်းနှင့်အတူ၊ ဦးစားပေးယုံကြည်မှုသည် BGP မှ တဖြည်းဖြည်းပျောက်ကွယ်သွားပါသည်။

ယခုအခါ၊ ROA ပေါ်အခြေခံသည့် လမ်းကြောင်းများကို စစ်ဆေးခြင်းကို အဓိက ကစားသမားများက တဖြည်းဖြည်း အကောင်အထည်ဖော်နေပါသည်- ဥရောပ IX သည် မှားယွင်းနေသော လမ်းကြောင်းများကို ဖျက်သိမ်းနေပြီဖြစ်သည်၊ Tier-1 အော်ပရေတာများကြားတွင် ၎င်းသည် ၎င်း၏တွဲဖက်လုပ်ဖော်ကိုင်ဖက်များနှင့် အင်တာဖေ့စ်များတွင် စစ်ထုတ်မှုများကို ဖွင့်ထားသည့် AT&T ကို မီးမောင်းထိုးပြသင့်ပါသည်။ အကြီးဆုံးသော အကြောင်းအရာပံ့ပိုးပေးသူများသည်လည်း ပရောဂျက်ကို ချဉ်းကပ်နေကြသည်။ အလတ်စား ရထားစီးအော်ပရေတာ ဒါဇင်ပေါင်းများစွာသည် ယင်းအကြောင်းကို မည်သူမှ မပြောဘဲ တိတ်တဆိတ် အကောင်အထည် ဖော်နေပြီဖြစ်သည်။ ဤအော်ပရေတာများအားလုံး အဘယ်ကြောင့် RPKI ကို အကောင်အထည်ဖော်နေကြသနည်း။ အဖြေက ရိုးရှင်းသည်- သင့်အသွားအလာကို အခြားသူများ၏အမှားများမှ ကာကွယ်ရန်။ ထို့ကြောင့် Yandex သည် ရုရှားဖက်ဒရေးရှင်းတွင် ROV ကို ၎င်း၏ကွန်ရက်၏အစွန်းတွင် ပထမဆုံးထည့်သွင်းခြင်းဖြစ်ပါသည်။

နောက်ဘာဆက်ဖြစ်မလဲ။

အသွားအလာဖလှယ်သည့်နေရာများနှင့် သီးသန့် peering များပါရှိသော အင်တာဖေ့စ်များတွင် လမ်းကြောင်းပြခြင်းဆိုင်ရာ အချက်အလက်များကို ယခုစစ်ဆေးခြင်းအား ကျွန်ုပ်တို့ လုပ်ဆောင်နိုင်ပါပြီ။ မဝေးတော့သောအနာဂတ်တွင်၊ ရေစီးကြောင်းလမ်းကြောင်းဝန်ဆောင်မှုပေးသူများနှင့်အတူ အတည်ပြုခြင်းကိုလည်း ဖွင့်ပေးပါမည်။

ဤအရာက သင့်အတွက် အဘယ်ကွာခြားချက်ဖြစ်စေသနည်း။ သင့်ကွန်ရက်နှင့် Yandex အကြား အသွားအလာလမ်းကြောင်းဆိုင်ရာ လုံခြုံရေးကို တိုးမြှင့်လိုပါက၊ ကျွန်ုပ်တို့ အကြံပြုလိုသည်မှာ-

• သင့်လိပ်စာနေရာကို လက်မှတ်ထိုးပါ။ RIPE ပေါ်တယ်တွင် - ရိုးရှင်းသည်၊ ပျမ်းမျှအားဖြင့် 5-10 မိနစ်ကြာသည်။ တစ်စုံတစ်ယောက်သည် သင့်လိပ်စာနေရာကို မရည်ရွယ်ဘဲ ခိုးယူသွားသည့်ဖြစ်ရပ်တွင် ကျွန်ုပ်တို့၏ချိတ်ဆက်မှုကို ကာကွယ်ပေးလိမ့်မည် (၎င်းသည် မကြာမီ သို့မဟုတ် နောက်ပိုင်းတွင် သေချာပေါက်ဖြစ်လိမ့်မည်)။
• open source RPKI ကက်ရှ်များထဲမှ တစ်ခုကို ထည့်သွင်းပါ (မှည့်-တရားဝင်, လုပ်ရိုးလုပ်စဉ်) နှင့် ကွန်ရက်နယ်နိမိတ်တွင် လမ်းကြောင်းစစ်ဆေးခြင်းကို ဖွင့်ပါ - ၎င်းသည် အချိန်ပိုကြာလိမ့်မည်၊ သို့သော်၊ ၎င်းသည် မည်သည့်နည်းပညာဆိုင်ရာ အခက်အခဲများကိုမျှ မဖြစ်စေပါ။

Yandex သည် RPKI အရာဝတ္တုအသစ်အပေါ်အခြေခံ၍ စစ်ထုတ်ခြင်းစနစ်၏ဖွံ့ဖြိုးတိုးတက်မှုကိုလည်း ပံ့ပိုးပေးပါသည်။ ASPA (Autonomous System Provider Authorization)။ ASPA နှင့် ROA အရာဝတ္ထုများအပေါ် အခြေခံထားသော စစ်ထုတ်မှုများသည် “ပေါက်ကြားနေသော” AS-SETs များကို အစားထိုးရုံသာမက BGP ကို ​​အသုံးပြုထားသော MiTM တိုက်ခိုက်မှုများ၏ ပြဿနာများကိုလည်း ပိတ်နိုင်သည်။

လာမည့်ဟော့ပ်ညီလာခံတွင် တစ်လအတွင်း ASPA အကြောင်း အသေးစိတ်ပြောပါမည်။ Netflix၊ Facebook၊ Dropbox၊ Juniper၊ Mellanox နှင့် Yandex တို့မှ လုပ်ဖော်ကိုင်ဖက်များကလည်း ထိုနေရာတွင် စကားပြောပါမည်။ သင်သည် ကွန်ရက် stack နှင့် အနာဂတ်တွင် ၎င်း၏ ဖွံ့ဖြိုးတိုးတက်မှုကို စိတ်ဝင်စားပါက လာပါ။ မှတ်ပုံတင်ဖွင့်ထားသည်။.

source: www.habr.com