Yandex RPKI ක්රියාත්මක කරයි

හෙලෝ, මගේ නම ඇලෙක්සැන්ඩර් අසිමොව්. Yandex හි, මම විවිධ අධීක්ෂණ පද්ධති මෙන්ම ප්‍රවාහන ජාල ගෘහ නිර්මාණ ශිල්පය ද සංවර්ධනය කරමි. නමුත් අද අපි BGP ප්රොටෝකෝලය ගැන කතා කරමු.

සතියකට පෙර, Yandex විසින් ROV (මාර්ග මූලාරම්භය වලංගු කිරීම) සක්‍රීය කළේ සියලුම සම හවුල්කරුවන් සමඟ මෙන්ම ගමනාගමන හුවමාරු ස්ථාන සමඟ ඇති අතුරුමුහුණත්වල ය. මෙය සිදු කළේ ඇයි සහ එය ටෙලිකොම් ක්‍රියාකරුවන් සමඟ අන්තර්ක්‍රියා කිරීමට බලපාන ආකාරය ගැන පහත කියවන්න.

BGP සහ එහි ඇති වරද කුමක්ද

BGP නිර්මාණය කර ඇත්තේ interdomain routing protocol එකක් ලෙස බව ඔබ දන්නවා ඇති. කෙසේ වෙතත්, මඟ දිගේ, භාවිත අවස්ථා සංඛ්‍යාව වර්ධනය වීමට සමත් විය: අද, BGP, බොහෝ දිගු කිරීම්වලට ස්තූතිවන්ත වන අතර, VPN ක්‍රියාකරුගේ සිට දැන් විලාසිතාමය SD-WAN දක්වා කාර්යයන් ආවරණය කරමින් පණිවිඩ බස් රථයක් බවට පත් වී ඇති අතර යෙදුම පවා සොයාගෙන ඇත. SDN-වැනි පාලකයක් සඳහා ප්‍රවාහනයක්, දුර දෛශික BGP ලින්ක් සැට් ප්‍රොටෝකෝලයට සමාන දෙයක් බවට පත් කරයි.

රූපය. 1. BGP SAFI

BGP හට මෙතරම් ප්‍රයෝජන ලැබී ඇත්තේ (සහ දිගටම ලැබෙන) ඇයි? ප්රධාන හේතු දෙකක් තිබේ:

• ස්වයංක්‍රීය පද්ධති (AS) අතර ක්‍රියා කරන එකම ප්‍රොටෝකෝලය BGP වේ;
• BGP TLV (වර්ගය-දිග-අගය) ආකෘතියෙන් ගුණාංග සඳහා සහය දක්වයි. ඔව්, ප්‍රොටෝකෝලය මෙහි තනිවම නොවේ, නමුත් ටෙලිකොම් ක්‍රියාකරුවන් අතර හන්දිවල එය ප්‍රතිස්ථාපනය කිරීමට කිසිවක් නොමැති බැවින්, අතිරේක රවුටින් ප්‍රොටෝකෝලයකට සහාය වීමට වඩා වෙනත් ක්‍රියාකාරී අංගයක් එයට ඇමිණීම සෑම විටම වඩා ලාභදායී වේ.

ඔහුට ඇති වරද කුමක්ද? කෙටියෙන් කිවහොත්, ලැබුණු තොරතුරු වල නිවැරදි බව පරීක්ෂා කිරීම සඳහා ප්රොටෝකෝලය තුළ ගොඩනඟන ලද යාන්ත්රණ නොමැත. එනම්, BGP යනු priori භාර ප්‍රොටෝකෝලයකි: ඔබට දැන් Rostelecom, MTS හෝ Yandex ජාලය අයිති බව ලෝකයට පැවසීමට අවශ්‍ය නම්, කරුණාකර!

IRRDB පදනම් කරගත් පෙරහන - නරකම හොඳම

ප්රශ්නය පැනනගින්නේ: එවැනි තත්වයක් තුළ අන්තර්ජාලය තවමත් ක්රියා කරන්නේ ඇයි? ඔව්, එය බොහෝ විට ක්‍රියා කරයි, නමුත් ඒ සමඟම එය වරින් වර පුපුරා යයි, සමස්ත ජාතික කොටස් වලට ප්‍රවේශ විය නොහැක. BGP හි හැකර් ක්‍රියාකාරකම් ද වැඩිවෙමින් පවතින නමුත්, බොහෝ විෂමතා තවමත් දෝෂ නිසා ඇතිවේ. මේ වසරේ උදාහරණය කුඩා ක්රියාකරු දෝෂයක් බෙලරුස්හි, අන්තර්ජාලයේ සැලකිය යුතු කොටසක් MegaFon භාවිතා කරන්නන්ට පැය භාගයකට ප්‍රවේශ විය නොහැක. තවත් උදාහරණයක් - පිස්සු BGP optimizer ලෝකයේ විශාලතම CDN ජාලයක් බිඳ දැමීය.

සහල්. 2. Cloudflare රථවාහන බාධා කිරීම්

නමුත් තවමත්, එවැනි විෂමතා සෑම දිනකම නොව සෑම මාස හයකට වරක් සිදු වන්නේ ඇයි? BGP අසල්වාසීන්ගෙන් ලැබෙන දේ සත්‍යාපනය කිරීමට වාහකයන් මාර්ගගත තොරතුරු බාහිර දත්ත සමුදායන් භාවිතා කරන බැවිනි. එවැනි දත්ත සමුදායන් බොහොමයක් ඇත, ඒවායින් සමහරක් රෙජිස්ට්‍රාර්වරුන් (RIPE, APNIC, ARIN, AFRINIC) විසින් කළමනාකරණය කරනු ලැබේ, සමහරක් ස්වාධීන ක්‍රීඩකයින් (වඩාත් ප්‍රසිද්ධ වන්නේ RADB) සහ විශාල සමාගම්වලට අයත් සමස්ත රෙජිස්ට්‍රාර් කට්ටලයක් ද ඇත (Level3 , NTT, ආදිය). අන්තර්-වසම් මාර්ගගත කිරීම එහි ක්‍රියාකාරිත්වයේ සාපේක්ෂ ස්ථායීතාවය පවත්වා ගෙන යන බව මෙම දත්ත සමුදායන්ට ස්තූතිවන්ත වේ.

කෙසේ වෙතත්, සූක්ෂ්මතා ඇත. මාර්ගගත තොරතුරු ROUTE-OBJECTS සහ AS-SET වස්තූන් මත පදනම්ව පරීක්ෂා කෙරේ. පළමුවැන්න IRRDB හි කොටසක් සඳහා අවසරය අදහස් කරන්නේ නම්, දෙවන පන්තිය සඳහා පන්තියක් ලෙස අවසරයක් නොමැත. එනම්, ඕනෑම අයෙකුට ඕනෑම අයෙකු තම කට්ටලවලට එකතු කළ හැකි අතර එමගින් upstream providers ගේ ෆිල්ටර් මඟ හැරිය හැක. එපමනක් නොව, විවිධ IRR කඳවුරු අතර AS-SET නම් කිරීමෙහි සුවිශේෂත්වය සහතික නොවේ, එය ඔහුගේ පැත්තෙන් කිසිවක් වෙනස් නොකළ ටෙලිකොම් ක්‍රියාකරුට හදිසි සම්බන්ධතාවයක් නැතිවීමත් සමඟ පුදුම සහගත බලපෑම් ඇති කළ හැකිය.

අමතර අභියෝගයක් වන්නේ AS-SET භාවිත රටාවයි. මෙහි කරුණු දෙකක් තිබේ:

• ක්‍රියාකරුවෙකුට නව සේවාලාභියෙකු ලැබුණු විට, එය එය එහි AS-SET වෙත එක් කරයි, නමුත් කිසිවිටෙක එය ඉවත් නොකරයි;
• පෙරහන් වින්‍යාස කර ඇත්තේ සේවාදායකයින් සමඟ ඇති අතුරුමුහුණත්වල පමණි.

එහි ප්‍රතිඵලයක් ලෙස, BGP ෆිල්ටරවල නවීන ආකෘතිය සමන්විත වන්නේ සේවාලාභීන් සමඟ ඇති අතුරුමුහුණත්වල ක්‍රමානුකූලව පිරිහෙන පෙරහන් සහ සමාන හවුල්කරුවන් සහ IP සංක්‍රමණ සපයන්නන්ගෙන් ලැබෙන දේ පිළිබඳ පූර්ව විශ්වාසයකි.

AS-SET මත පදනම් වූ උපසර්ග පෙරහන් ප්‍රතිස්ථාපනය කරන්නේ කුමක් ද? වඩාත්ම සිත්ගන්නා කරුණ නම් කෙටි කාලීනව - කිසිවක් නැත. නමුත් IRRDB මත පදනම් වූ පෙරහන් වල කාර්යයට අනුපූරක වන අතිරේක යාන්ත්‍රණ මතුවෙමින් පවතින අතර, පළමුව, මෙය ඇත්ත වශයෙන්ම, RPKI වේ.

RPKI

සරල ආකාරයකින්, RPKI ගෘහ නිර්මාණ ශිල්පය බෙදා හරින ලද දත්ත ගබඩාවක් ලෙස සැලකිය හැකිය, එහි වාර්තා ගුප්ත ලේඛනගතව සත්‍යාපනය කළ හැකිය. ROA (මාර්ග වස්තු අවසරය) සම්බන්ධයෙන්, අත්සන් කරන්නා ලිපින අවකාශයේ හිමිකරු වන අතර, වාර්තාවම ත්‍රිත්ව (උපසර්ගය, asn, max_length) වේ. මූලික වශයෙන්, මෙම ප්‍රවේශය පහත සඳහන් දේ අනුමාන කරයි: $උපසර්ග ලිපින අවකාශයේ හිමිකරු $max_length ට නොවැඩි දිග උපසර්ග ප්‍රචාරණය කිරීමට AS අංකය $asn වෙත අවසර දී ඇත. සහ රවුටර, RPKI හැඹිලිය භාවිතා කරමින්, යුගලය අනුකූලදැයි පරීක්ෂා කිරීමට හැකි වේ උපසර්ගය - පළමු ස්පීකරය.

රූපය 3. RPKI ගෘහ නිර්මාණ ශිල්පය

ROA වස්තූන් සෑහෙන කාලයක් තිස්සේ ප්‍රමිතිගත කර ඇත, නමුත් මෑතක් වන තුරුම ඒවා IETF සඟරාවේ කඩදාසි මත පමණක් පැවතුනි. මගේ මතය අනුව, මෙයට හේතුව බියජනකයි - නරක අලෙවිකරණය. ප්‍රමිතිකරණය සම්පූර්ණ කිරීමෙන් පසුව, දිරිගැන්වීම වූයේ ROA BGP පැහැරගැනීම් වලින් ආරක්ෂා වීමයි - එය සත්‍ය නොවේ. ප්‍රහාරකයන්ට මාර්ගය ආරම්භයේදී නිවැරදි AC අංකය ඇතුළත් කිරීමෙන් ROA මත පදනම් වූ පෙරහන් පහසුවෙන් මඟ හැරිය හැක. මෙම අවබෝධය පැමිණි විගසම ඊළඟ තාර්කික පියවර වූයේ ROA භාවිතය අත්හැර දැමීමයි. ඇත්ත වශයෙන්ම, එය ක්රියා නොකරන්නේ නම් අපට තාක්ෂණය අවශ්ය වන්නේ ඇයි?

ඔබේ අදහස වෙනස් කිරීමට කාලය පැමිණ ඇත්තේ ඇයි? මන්ද මෙය සම්පූර්ණ සත්‍යය නොවන බැවිනි. ROA BGP හි හැකර් ක්‍රියාකාරකම් වලින් ආරක්ෂා නොවේ, නමුත් හදිසි රථවාහන පැහැරගැනීම් වලින් ආරක්ෂා කරයි, උදාහරණයක් ලෙස BGP හි ස්ථිතික කාන්දුවීම් වලින්, එය වඩාත් සුලභ වෙමින් පවතී. එසේම, IRR-පාදක පෙරහන් මෙන් නොව, ROV සේවාලාභීන් සමඟ අතුරුමුහුණත්වල පමණක් නොව, සම වයසේ මිතුරන් සහ ඉහළ ප්‍රවාහ සපයන්නන් සමඟ ඇති අතුරුමුහුණත්වලද භාවිතා කළ හැකිය. එනම්, RPKI හඳුන්වාදීමත් සමඟම, BGP වෙතින් ප්‍රාථමික භාරයක් ක්‍රමයෙන් අතුරුදහන් වෙමින් පවතී.

දැන් ROA මත පදනම් වූ මාර්ග පරීක්ෂාව ප්‍රධාන ක්‍රීඩකයින් විසින් ක්‍රමයෙන් ක්‍රියාත්මක වෙමින් පවතී: විශාලතම යුරෝපීය IX දැනටමත් වැරදි මාර්ග ඉවත දමයි; Tier-1 ක්‍රියාකරුවන් අතර, එහි සමාන්තර හවුල්කරුවන් සමඟ අතුරුමුහුණත්වල පෙරහන් සක්‍රීය කර ඇති AT&T ඉස්මතු කිරීම වටී. විශාලතම අන්තර්ගත සපයන්නන් ද ව්‍යාපෘතිය වෙත ළඟා වෙමින් සිටිති. මධ්‍යම ප්‍රමාණයේ සංක්‍රමණ ක්‍රියාකරුවන් දුසිම් ගනනක් දැනටමත් ඒ ගැන කිසිවෙකුට නොකියා එය නිහඬව ක්‍රියාත්මක කර ඇත. මෙම සියලුම ක්‍රියාකරුවන් RPKI ක්‍රියාත්මක කරන්නේ ඇයි? පිළිතුර සරලයි: ඔබගේ පිටතට යන ගමනාගමනය අන් අයගේ වැරදි වලින් ආරක්ෂා කර ගැනීමට. Yandex රුසියානු සමූහාණ්ඩුවේ එහි ජාලයේ අද්දර ROV ඇතුළත් කළ පළමු අයගෙන් එකක් වන්නේ එබැවිනි.

ඊළඟට කුමක් සිදුවේද?

අපි දැන් ගමනාගමන හුවමාරු ස්ථාන සහ පුද්ගලික සමානාත්මතා සමඟ අතුරුමුහුණත්වල මාර්ගගත තොරතුරු පරීක්ෂා කිරීම සක්‍රීය කර ඇත. නුදුරු අනාගතයේ දී, උඩුගත රථවාහන සපයන්නන් සමඟ සත්‍යාපනය ද සක්‍රීය කරනු ඇත.

මෙය ඔබට කරන වෙනස කුමක්ද? ඔබගේ ජාලය සහ Yandex අතර රථවාහන මාර්ගගත කිරීමේ ආරක්ෂාව වැඩි කිරීමට ඔබට අවශ්‍ය නම්, අපි නිර්දේශ කරන්නේ:

• ඔබගේ ලිපින අවකාශය අත්සන් කරන්න RIPE ද්වාරය තුළ - එය සරලයි, සාමාන්යයෙන් විනාඩි 5-10 ක් ගතවේ. යමෙකු නොදැනුවත්වම ඔබගේ ලිපින අවකාශය සොරකම් කළහොත් මෙය අපගේ සම්බන්ධතාවය ආරක්ෂා කරයි (මෙය අනිවාර්යයෙන්ම ඉක්මනින් හෝ පසුව සිදුවනු ඇත);
• විවෘත මූලාශ්‍ර RPKI හැඹිලි වලින් එකක් ස්ථාපනය කරන්න (ඉදුණු වලංගුකාරකය, routinator) සහ ජාල මායිමේ මාර්ග පරීක්ෂා කිරීම සක්රිය කරන්න - මෙය වැඩි කාලයක් ගතවනු ඇත, නමුත් නැවතත්, එය තාක්ෂණික දුෂ්කරතා ඇති නොකරයි.

Yandex නව RPKI වස්තුව මත පදනම්ව පෙරහන පද්ධතියක් සංවර්ධනය කිරීමට ද සහාය වේ - ASPA (ස්වයංක්‍රීය පද්ධති සැපයුම්කරුගේ අවසරය). ASPA සහ ROA වස්තු මත පදනම් වූ පෙරහන් වලට "කාන්දු වන" AS-SET ආදේශ කිරීමට පමණක් නොව, BGP භාවිතයෙන් MiTM ප්‍රහාරවල ගැටළු වසා දැමිය හැක.

Next Hop සම්මන්ත්‍රණයේදී මම ASPA ගැන විස්තරාත්මකව මාසයකින් කතා කරන්නම්. Netflix, Facebook, Dropbox, Juniper, Mellanox සහ Yandex හි සගයන් ද එහි කතා කරනු ඇත. ඔබ අනාගතයේදී ජාල තොගය සහ එහි සංවර්ධනය ගැන උනන්දුවක් දක්වන්නේ නම්, එන්න ලියාපදිංචිය විවෘතයි.

මූලාශ්රය: www.habr.com