سلام، زما نوم الکساندر اعظموف دی. په Yandex کې، زه د څارنې مختلف سیسټمونه، او همدارنګه د ترانسپورت شبکې جوړښت رامینځته کوم. مګر نن موږ به د BGP پروتوکول په اړه وغږیږو.
یوه اونۍ دمخه، Yandex د ټولو شریک شریکانو سره په انټرفیسونو کې ROV (د لارې اصلي تایید) فعال کړ، او همدارنګه د ټرافيکي تبادلې نقطې. لاندې ولولئ چې ولې دا کار شوی او دا به څنګه د مخابراتو آپریټرانو سره تعامل اغیزه وکړي.
BGP او په دې کې څه غلط دي
تاسو شاید پوهیږئ چې BGP د انټرډومین روټینګ پروتوکول په توګه ډیزاین شوی و. په هرصورت، د لارې په اوږدو کې، د کارولو قضیو شمیر وده موندلې: نن ورځ، BGP، د ډیری توسیعونو څخه مننه، د پیغام بس بدل شوی، د VPN څخه د اوس فیشن وړ SD-WAN ته دندې پوښښ کوي، او حتی غوښتنلیک یې موندلی دی. د SDN په څیر کنټرولر لپاره ټرانسپورټ، د فاصلې ویکتور BGP د لینکس سټ پروتوکول ته ورته یو څه بدلوي.
اينځر. 1.
ولې BGP دومره ډیرې کارونې ترلاسه کړې (او ترلاسه کولو ته دوام ورکوي)؟ دوه اصلي لاملونه شتون لري:
- BGP یوازینی پروتوکول دی چې د خپلواکو سیسټمونو (AS) ترمنځ کار کوي؛
- BGP د TLV (ډول اوږدوالی - ارزښت) بڼه کې د ځانګړتیاوو ملاتړ کوي. هو، پروتوکول پدې کې یوازې نه دی، مګر ځکه چې د مخابراتو آپریټرانو ترمنځ په جنکشنونو کې د ځای په ځای کولو لپاره هیڅ شی شتون نلري، دا تل د اضافي روټینګ پروتوکول مالتړ کولو په پرتله د بل فعال عنصر ضمیمه کولو لپاره خورا ګټور وي.
په هغه کې څه ګناه ده؟ په لنډه توګه، پروتوکول د ترلاسه شویو معلوماتو د سموالي چک کولو لپاره جوړ شوي میکانیزمونه نلري. دا دی، BGP یو لومړیتوب باور پروتوکول دی: که تاسو غواړئ نړۍ ته ووایاست چې تاسو اوس د Rostelecom، MTS یا Yandex شبکه لرئ، مهرباني وکړئ!
د IRRDB پر بنسټ فلټر - د بدترین څخه غوره
پوښتنه راپورته کیږي: ولې انټرنیټ لاهم په داسې حالت کې کار کوي؟ هو، دا ډیری وخت کار کوي، مګر په ورته وخت کې دا وخت په وخت چاودنه کوي، ټول ملي برخې د لاسرسي وړ ندي. که څه هم په BGP کې د هیکر فعالیت هم مخ په ډیریدو دی، ډیری ګډوډي لاهم د کیګونو له امله رامینځته کیږي. د دې کال مثال دی په بیلاروس کې، کوم چې د نیم ساعت لپاره د میګافون کاروونکو لپاره د انټرنیټ د پام وړ برخه د لاسرسي وړ نه ده. بله بېلګه - په نړۍ کې د CDN ترټولو لوی شبکه مات کړه.
وريجې. 2. Cloudflare ټرافيکي مداخله
مګر بیا هم، ولې دا ډول ګډوډي په هرو شپږو میاشتو کې یو ځل واقع کیږي، او هره ورځ نه؟ ځکه چې کیریر د روټینګ معلوماتو بهرني ډیټابیسونه کاروي ترڅو تصدیق کړي چې دوی د BGP ګاونډیانو څخه څه ترلاسه کوي. ډیری دا ډول ډیټابیسونه شتون لري، ځینې یې د راجستر کونکو لخوا اداره کیږي (RIPE، APNIC، ARIN، AFRINIC)، ځینې یې خپلواک لوبغاړي دي (تر ټولو مشهور یې RADB دی)، او د لویو شرکتونو ملکیت د راجستر کونکو ټوله سیټ هم شتون لري (Level3) ، NTT، او داسې نور). دا د دې ډیټابیسونو څخه مننه ده چې د انټر ډومین روټینګ د دې عملیاتو نسبي ثبات ساتي.
په هرصورت، nuances شتون لري. د روټینګ معلومات د ROUTE-OBJECTS او AS-SET څیزونو پراساس چک کیږي. او که لومړی د IRRDB د یوې برخې لپاره د اجازې معنی ولري، نو د دویم ټولګي لپاره د ټولګي په توګه هیڅ اختیار شتون نلري. دا دی، هرڅوک کولی شي هر څوک په خپلو سیټونو کې اضافه کړي او په دې توګه د اپ سټریم چمتو کونکو فلټرونو څخه تیریږي. سربیره پردې، د مختلف IRR اډو تر مینځ د AS-SET نومونې انفرادیت تضمین ندی ، کوم چې د مخابراتو آپریټر لپاره د ناڅاپه ارتباط له لاسه ورکولو سره حیرانونکي اغیزې رامینځته کولی شي ، کوم چې د هغه د برخې لپاره هیڅ بدلون نه دی کړی.
یوه اضافي ننګونه د AS-SET د کارولو نمونه ده. دلته دوه ټکي شتون لري:
- کله چې یو آپریټر نوی پیرودونکی ترلاسه کړي، دا په خپل AS-SET کې اضافه کوي، مګر تقریبا هیڅکله یې نه لرې کوي؛
- فلټرونه پخپله یوازې د پیرودونکو سره په انٹرفیسونو کې تنظیم شوي.
د پایلې په توګه، د BGP فلټرونو عصري بڼه د پیرودونکو سره په انټرفیسونو کې په تدریجي ډول تخریب شوي فلټرونه لري او په هغه څه کې چې د شریک شریکانو او IP ټرانزیټ چمتو کونکو څخه راځي یو لومړیتوب باور لري.
د AS-SET پر بنسټ د مخکیني فلټرونو ځای په ځای کول څه دي؟ ترټولو زړه پورې خبره دا ده چې په لنډه موده کې - هیڅ شی. مګر اضافي میکانیزمونه رامینځته کیږي چې د IRRDB پر بنسټ فلټرونو کار بشپړوي، او لومړی، دا، البته، RPKI دی.
د RPKI
په ساده ډول، د RPKI جوړښت د توزیع شوي ډیټابیس په توګه فکر کیدی شي چې ریکارډونه یې په کریپټوګرافیک ډول تایید کیدی شي. د ROA په حالت کې (د لارې آبجیکٹ اختیار)، لاسلیک کونکی د پتې ځای مالک دی، او ریکارډ پخپله یو درې ګونی دی (prefix، asn، max_length). په اساسي ډول، دا داخله لاندې ټکي وړاندې کوي: د $ مخکینۍ پتې ځای مالک د AS شمیره $asn ته اجازه ورکړې چې د مخکیني اعلاناتو اعلان وکړي چې اوږدوالی یې له $ max_length څخه ډیر نه وي. او روټرونه، د RPKI کیچ په کارولو سره، د موافقت لپاره جوړه چیک کولو توان لري مخکینی - په لاره کې لومړی سپیکر.
شکل 3. د RPKI جوړښت
د ROA توکي د اوږدې مودې لپاره معیاري شوي، مګر تر دې وروستیو پورې دوی په حقیقت کې د IETF ژورنال کې یوازې په کاغذ کې پاتې دي. زما په اند، د دې لامل ډارونکی ښکاري - خراب بازار موندنه. د معیاري کولو بشپړیدو وروسته، هڅونه دا وه چې ROA د BGP د تښتولو په وړاندې خوندي کړي - کوم چې ریښتیا نه و. برید کوونکي کولی شي په اسانۍ سره د لارې په پیل کې د سم AC شمیرې په داخلولو سره د ROA پر بنسټ فلټرونه تیر کړي. او لکه څنګه چې دا احساس راغی، راتلونکی منطقي ګام د ROA کارول پریښودل وو. او واقعیا، ولې موږ ټیکنالوژۍ ته اړتیا لرو که دا کار ونکړي؟
ولې دا وخت دی چې خپل فکر بدل کړئ؟ ځکه چې دا ټول حقیقت نه دی. ROA په BGP کې د هیکر فعالیت پروړاندې محافظت نه کوي ، مګر د تصادفي ټرافيکي تښتونو په وړاندې ساتنه کويد مثال په توګه په BGP کې د جامد لیکونو څخه، کوم چې ډیر عام کیږي. همچنان ، د IRR میشته فلټرونو برخلاف ، ROV نه یوازې د پیرودونکو سره انٹرفیسونو کې کارول کیدی شي ، بلکه د ملګرو او اپ سټریم چمتو کونکو سره په انٹرفیس کې هم کارول کیدی شي. دا، د RPKI معرفي کولو سره، یو لومړیتوب باور په تدریجي ډول له BGP څخه ورک کیږي.
اوس د ROA پراساس د لارې چک کول په تدریجي ډول د کلیدي لوبغاړو لخوا پلي کیږي: لوی اروپا IX دمخه غلطې لارې لغوه کوي؛ د Tier-1 آپریټرانو په مینځ کې ، دا د AT&T روښانه کولو ارزښت لري ، کوم چې د خپلو همکارانو سره په انٹرفیس کې فلټرونه فعال کړي دي. د مینځپانګې ترټولو لوی چمتو کونکي هم پروژې ته نږدې کیږي. او په لسګونو متوسط ترانزیټ آپریټرانو دمخه په خاموشۍ سره دا پلي کړي ، پرته لدې چې چا ته یې ووایی. ولې دا ټول چلونکي RPKI پلي کوي؟ ځواب ساده دی: د نورو خلکو غلطیو څخه ستاسو د وتلو ترافیک خوندي کول. له همدې امله Yandex د روسیې په فدراسیون کې یو له لومړیو څخه دی چې د دې شبکې په څنډه کې ROV شامل کړي.
بیا به څه کیږي؟
موږ اوس د ټرافیکو د تبادلې پوائنټونو او شخصي پیرینګونو سره په انٹرفیسونو کې د روټینګ معلوماتو چیک کول فعال کړي دي. په نږدې راتلونکي کې، تایید به د پورته ټرافیک چمتو کونکو سره هم فعال شي.
دا ستاسو لپاره څه توپیر لري؟ که تاسو غواړئ د خپلې شبکې او Yandex تر منځ د ترافیکي لارې امنیت زیات کړئ، موږ وړاندیز کوو:
- د خپل پته ځای لاسلیک کړئ - دا ساده ده، په اوسط ډول 5-10 دقیقې وخت نیسي. دا به زموږ ارتباط خوندي کړي په هغه صورت کې چې یو څوک په ناڅاپي ډول ستاسو د پته ځای غلا کړي (او دا به یقینا ژر یا وروسته پیښ شي)؛
- د خلاصې سرچینې RPKI کیچونو څخه یو نصب کړئ (, ) او د شبکې په پوله کې د لارې چک کول فعال کړئ - دا به ډیر وخت ونیسي، مګر بیا، دا به د تخنیکي ستونزو لامل نشي.
Yandex د نوي RPKI اعتراض پراساس د فلټر کولو سیسټم پراختیا هم ملاتړ کوي - (د خودمختاره سیسټم چمتو کونکي واک). د ASPA او ROA شیانو پراساس فلټرونه نه یوازې "لیکي" AS-SETs ځای په ځای کولی شي ، بلکه د BGP په کارولو سره د MiTM بریدونو مسلې هم بندوي.
زه به په یوه میاشت کې د راتلونکي هپ کنفرانس کې د ASPA په اړه په تفصیل سره خبرې وکړم. د Netflix، Facebook، Dropbox، Juniper، Mellanox او Yandex همکاران به هم هلته خبرې وکړي. که تاسو په راتلونکي کې د شبکې سټیک او د هغې پراختیا سره علاقه لرئ ، راشئ .
سرچینه: www.habr.com