پرو هوسٽر > بلاگ > انتظاميه > Yandex RPKI لاڳو ڪري ٿو

Yandex RPKI لاڳو ڪري ٿو

هيلو، منهنجو نالو اليگزينڊر عظيموف آهي. Yandex تي، مان ترقي ڪريان ٿو مختلف مانيٽرنگ سسٽم، گڏوگڏ ٽرانسپورٽ نيٽورڪ فن تعمير. پر اڄ اسان BGP پروٽوڪول بابت ڳالهائينداسين.

Yandex RPKI لاڳو ڪري ٿو

هڪ هفتو اڳ، Yandex ROV (Route Origin Validation) کي فعال ڪيو انٽرفيس تي سڀني پيئرنگ پارٽنرز سان گڏو گڏ ٽريفڪ ايڪسچينج پوائنٽس. هيٺ پڙهو ته اهو ڇو ڪيو ويو ۽ اهو ڪيئن متاثر ٿيندو ٽيليڪ آپريٽرز سان رابطي تي.

BGP ۽ ان سان ڇا غلط آهي

توهان شايد ڄاڻو ٿا ته BGP هڪ interdomain روٽنگ پروٽوڪول جي طور تي ٺهيل هئي. بهرحال، رستي ۾، استعمال جي ڪيسن جو تعداد وڌڻ ۾ منظم ڪيو ويو: اڄ، BGP، ڪيترن ئي واڌارن جي مهرباني، هڪ پيغام بس ۾ تبديل ٿي وئي آهي، آپريٽر VPN کان هاڻي فيشن واري SD-WAN تائين ڪمن کي ڍڪيندي، ۽ اڃا تائين ايپليڪيشن ملي آهي. هڪ ٽرانسپورٽ هڪ SDN-جهڙو ڪنٽرولر لاءِ، فاصلي جي ویکٹر BGP کي اهڙي شيءِ ۾ تبديل ڪرڻ جهڙو لنڪ سيٽ پروٽوڪول.

Yandex RPKI لاڳو ڪري ٿو

شڪل: 1. بي جي پي سيفي

BGP ڇو حاصل ڪيو آهي (۽ حاصل ڪرڻ جاري آهي) ايترا ڪيترائي استعمال؟ اتي ٻه مکيه سبب آهن:

  • BGP واحد پروٽوڪول آهي جيڪو ڪم ڪري ٿو خودمختيار نظام (AS) جي وچ ۾؛
  • BGP TLV (قسم-لمبائي-قدر) فارميٽ ۾ خاصيتن کي سپورٽ ڪري ٿو. ها، پروٽوڪول هن ۾ اڪيلو نه آهي، پر جيئن ته ٽيليڪ آپريٽرز جي وچ ۾ جنڪشن تي ان کي تبديل ڪرڻ جي ڪا به شيء ناهي، اهو هميشه هڪ اضافي روٽنگ پروٽوڪول کي سپورٽ ڪرڻ جي ڀيٽ ۾ ان کي هڪ ٻيو فنڪشنل عنصر ڳنڍڻ لاء وڌيڪ فائدي وارو آهي.

هن سان ڇا غلط آهي؟ مختصر ۾، پروٽوڪول حاصل ڪيل معلومات جي درستگي کي جانچڻ لاء ٺهيل ميڪانيزم نه آهي. اهو آهي، BGP هڪ ترجيحي اعتماد وارو پروٽوڪول آهي: جيڪڏهن توهان دنيا کي ٻڌائڻ چاهيو ٿا ته توهان هاڻي Rostelecom، MTS يا Yandex جي نيٽ ورڪ جا مالڪ آهيو، مهرباني ڪري!

IRRDB ٻڌل فلٽر - بدترين مان بهترين

سوال پيدا ٿئي ٿو: ڇو انٽرنيٽ اڃا تائين اهڙي صورتحال ۾ ڪم ڪري ٿو؟ ها، اهو گهڻو ڪري ڪم ڪري ٿو، پر ساڳئي وقت اهو وقتي طور تي ڌماڪو ڪري ٿو، سڄي قومي حصن کي ناقابل رسائي بڻائي ٿو. جيتوڻيڪ بي جي پي ۾ هيڪر جي سرگرمي پڻ عروج تي آهي، اڪثر بي ضابطگيون اڃا تائين بگ جي سبب آهن. هن سال جو مثال آهي ننڍي آپريٽر غلطي بيلاروس ۾، جنهن انٽرنيٽ جو هڪ اهم حصو بنايو ميگا فون استعمال ڪندڙن کي اڌ ڪلاڪ لاءِ ناقابل رسائي. ٻيو مثال - چريو BGP اصلاحي دنيا جي سڀ کان وڏي سي ڊي اين نيٽ ورڪن مان هڪ کي ٽوڙي ڇڏيو.

Yandex RPKI لاڳو ڪري ٿو

چانور. 2. Cloudflare ٽرئفڪ جي مداخلت

پر پوءِ به، ڇو اهڙيون بي قاعدگيون هر ڇهن مهينن ۾ هڪ ڀيرو ٿينديون آهن، هر روز نه؟ ڇو ته ڪيريئرز استعمال ڪندا آهن ٻاهرين ڊيٽابيس جي روٽنگ معلومات جي تصديق ڪرڻ لاءِ جيڪي اهي BGP پاڙيسرين کان وصول ڪن ٿا. اهڙا ڪيترائي ڊيٽابيس آهن، انهن مان ڪجهه رجسٽرار (RIPE، APNIC، ARIN، AFRINIC) پاران منظم ڪيا ويا آهن، ڪجهه آزاد رانديگر آهن (سڀ کان وڌيڪ مشهور آهي RADB)، ۽ اتي پڻ رجسٽرار جو هڪ مڪمل سيٽ وڏين ڪمپنين جي ملڪيت آهي (Level3) ، اين ٽي ٽي، وغيره). اهو انهن ڊيٽابيسن جي مهرباني آهي ته انٽر-ڊومين روٽنگ ان جي آپريشن جي نسبتا استحڪام کي برقرار رکي ٿي.

تنهن هوندي به، اتي nuances آهن. رستي جي معلومات ROUTE-OBJECTS ۽ AS-SET شين جي بنياد تي چيڪ ڪئي وئي آهي. ۽ جيڪڏھن پھريون مطلب آھي IRRDB جي حصي لاءِ اختيار، پوءِ ٻئي طبقي لاءِ ڪلاس جي طور تي ڪو اختيار نه آھي. اهو آهي، ڪو به ڪنهن کي پنهنجي سيٽ ۾ شامل ڪري سگهي ٿو ۽ انهي سان گڏ اپ اسٽريم فراهم ڪندڙن جي فلٽر کي نظرانداز ڪري سگهي ٿو. ان کان علاوه، مختلف IRR بنيادن جي وچ ۾ AS-SET نالي جي انفراديت جي ضمانت نه آهي، جيڪا ٽيليڪ آپريٽر لاء رابطي جي اوچتو نقصان سان حيران ڪندڙ اثرات پيدا ڪري سگهي ٿي، جيڪو، هن جي حصي لاء، ڪجھ به تبديل نه ڪيو.

هڪ اضافي چئلينج AS-SET جي استعمال جو نمونو آهي. هتي ٻه نقطا آهن:

  • جڏهن هڪ آپريٽر هڪ نئون ڪلائنٽ حاصل ڪري ٿو، اهو ان کي پنهنجي AS-SET ۾ شامل ڪري ٿو، پر تقريبا ڪڏهن به ان کي هٽائي نه ٿو.
  • فلٽر پاڻ کي ترتيب ڏنل آهن صرف ڪلائنٽ سان انٽرنيٽ تي.

نتيجي طور، BGP فلٽرن جو جديد فارميٽ ڪلائنٽ سان انٽرفيس تي بتدريج خراب ٿيندڙ فلٽرن تي مشتمل آھي ۽ پيئرنگ پارٽنرز ۽ IP ٽرانزٽ فراهم ڪندڙن مان جيڪو اچي ٿو ان تي اوليت وارو اعتماد.

AS-SET جي بنياد تي پريفڪس فلٽر کي تبديل ڪرڻ ڇا آهي؟ سڀ کان وڌيڪ دلچسپ ڳالهه اها آهي ته مختصر مدت ۾ - ڪجھ به نه. پر اضافي ميڪانيزم پيدا ٿي رهيا آهن جيڪي IRRDB تي ٻڌل فلٽرن جي ڪم کي پورو ڪن ٿا، ۽ سڀ کان پهريان، اهو آهي، يقينا، RPKI.

RPKI

هڪ آسان طريقي سان، RPKI آرڪيٽيڪچر کي ورهايل ڊيٽابيس جي طور تي سمجهي سگهجي ٿو جنهن جي رڪارڊ کي cryptographically تصديق ڪري سگهجي ٿو. ROA (Route Object Authorization) جي صورت ۾، دستخط ڪندڙ ايڊريس اسپيس جو مالڪ هوندو آهي، ۽ رڪارڊ پاڻ هڪ ٽرپل (prefix، asn، max_length) هوندو آهي. لازمي طور تي، ھي داخلا ھيٺين کي ترتيب ڏئي ٿي: $prefix ايڊريس اسپيس جي مالڪ AS نمبر $asn کي اجازت ڏني آھي ته اڳياڙين کي اشتهار ڏيڻ لاءِ جن جي ڊيگهه $max_length کان وڌيڪ نه ھجي. ۽ روٽر، RPKI ڪيش استعمال ڪندي، تعميل لاءِ جوڙي کي جانچڻ جي قابل آهن اڳوڻو - رستي تي پهريون اسپيڪر.

Yandex RPKI لاڳو ڪري ٿو

شڪل 3. RPKI آرڪيٽيڪچر

ROA شيون ڪافي وقت تائين معياري ڪيون ويون آهن، پر تازو جيستائين اهي اصل ۾ صرف ڪاغذ تي IETF جرنل ۾ رهي. منهنجي خيال ۾، هن جو سبب خوفناڪ آواز آهي - خراب مارڪيٽنگ. معيار جي مڪمل ٿيڻ کان پوء، حوصلا افزائي ڪئي وئي ته ROA BGP اغوا جي خلاف محفوظ ڪيو - جيڪو صحيح نه هو. حملو ڪندڙ آساني سان رستي جي شروعات ۾ صحيح AC نمبر داخل ڪندي ROA-بنياد فلٽرز کي بائي پاس ڪري سگھن ٿا. ۽ جيترو جلدي هي احساس آيو، ايندڙ منطقي قدم ROA جي استعمال کي ختم ڪرڻ هو. ۽ واقعي، اسان کي ٽيڪنالاجي جي ضرورت ڇو آهي جيڪڏهن اهو ڪم نٿو ڪري؟

اهو توهان جي ذهن کي تبديل ڪرڻ جو وقت ڇو آهي؟ ڇو ته اها پوري حقيقت ناهي. ROA BGP ۾ هيڪر جي سرگرمي جي خلاف حفاظت نٿو ڪري، پر حادثاتي ٽرئفڪ جي اغوا جي خلاف حفاظت ڪري ٿو، مثال طور BGP ۾ جامد لڪير کان، جيڪو وڌيڪ عام ٿي رهيو آهي. ان سان گڏ، IRR-بنياد فلٽرن جي برعڪس، ROV استعمال ڪري سگھجي ٿو نه رڳو ڪلائنٽ سان انٽرفيس تي، پر انٽرفيس تي پڻ پيرن ۽ اپ اسٽريم فراهم ڪندڙن سان. اهو آهي، RPKI جي تعارف سان گڏ، هڪ ترجيحي اعتماد آهستي آهستي بي جي پي مان غائب ٿي رهيو آهي.

ھاڻي، ROA جي بنياد تي رستن کي چيڪ ڪرڻ کي ھاڻي اهم رانديگرن پاران عمل ڪيو پيو وڃي: سڀ کان وڏو يورپي IX اڳ ۾ ئي غلط رستن کي رد ڪري رھيو آھي؛ ٽائر-1 آپريٽرز جي وچ ۾، اھو AT&T کي نمايان ڪرڻ جي لائق آھي، جنھن پنھنجي ڀائيوارن سان گڏ انٽرفيس تي فلٽرز کي چالو ڪيو آھي. سڀ کان وڏو مواد فراهم ڪندڙ پڻ پروجيڪٽ تي پهچي رهيا آهن. ۽ درجنين وچولي درجي جي ٽرانزٽ آپريٽرز اڳ ۾ ئي خاموشي سان ان تي عمل ڪري چڪا آهن، بغير ڪنهن کي ان بابت ٻڌايو. اهي سڀئي آپريٽرز RPKI کي ڇو لاڳو ڪري رهيا آهن؟ جواب سادو آهي: توهان جي نڪرڻ واري ٽرئفڪ کي ٻين ماڻهن جي غلطين کان بچائڻ لاءِ. اهو ئي سبب آهي ته Yandex روسي فيڊريشن ۾ پهريون آهي جيڪو پنهنجي نيٽ ورڪ جي ڪنڊ تي ROV شامل ڪري ٿو.

اڳتي ڇا ٿيندو؟

اسان ھاڻي ٽريفڪ ايڪسچينج پوائنٽس ۽ پرائيويٽ پيئرنگ سان گڏ انٽرفيس تي روٽنگ جي معلومات چيڪ ڪرڻ کي چالو ڪيو آھي. ويجهي مستقبل ۾، تصديق کي به فعال ڪيو ويندو upstream ٽرئفڪ فراهم ڪندڙن سان.

Yandex RPKI لاڳو ڪري ٿو

اهو توهان لاء ڪهڙو فرق آهي؟ جيڪڏهن توهان پنهنجي نيٽ ورڪ ۽ Yandex جي وچ ۾ ٽرئفڪ جي رستي جي حفاظت کي وڌائڻ چاهيو ٿا، اسان سفارش ڪريون ٿا:

  • پنھنجي ايڊريس جي جڳھ تي دستخط ڪريو RIPE پورٽل ۾ - اهو سادو آهي، سراسري طور تي 5-10 منٽ وٺندو آهي. اهو اسان جي رابطي جي حفاظت ڪندو ان واقعي ۾ ته ڪو ماڻهو اڻڄاڻ طور تي توهان جي ايڊريس جي جاء چوري ڪري (۽ اهو ضرور جلد يا بعد ۾ ٿيندو)؛
  • انسٽال ڪريو اوپن سورس RPKI ڪيچ مان هڪ (پڪي تصديق ڪندڙ, روٽينيٽر) ۽ نيٽ ورڪ جي سرحد تي رستي جي چڪاس کي فعال ڪريو - اهو وڌيڪ وقت وٺندو، پر ٻيهر، اهو ڪنهن به ٽيڪنيڪل مشڪلاتن جو سبب نه ٿيندو.

Yandex نئين RPKI اعتراض جي بنياد تي فلٽرنگ سسٽم جي ترقي کي پڻ سپورٽ ڪري ٿو. ASPA (خودمختيار نظام فراهم ڪندڙ اختيار). ASPA ۽ ROA شين تي ٻڌل فلٽر نه رڳو "ليڪي" AS-SETs کي تبديل ڪري سگھن ٿا، پر BGP استعمال ڪندي MiTM حملن جي مسئلن کي به بند ڪري سگھن ٿا.

مان ايندڙ هفتي ڪانفرنس ۾ هڪ مهيني ۾ ASPA بابت تفصيل سان ڳالهائيندس. Netflix، Facebook، Dropbox، Juniper، Mellanox ۽ Yandex جا ساٿي به اتي ڳالهائيندا. جيڪڏهن توهان مستقبل ۾ نيٽ ورڪ اسٽيڪ ۽ ان جي ترقي ۾ دلچسپي رکو ٿا، اچو رجسٽريشن کليل آهي.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو