Pozdravljeni, ime mi je Alexander Azimov. Pri Yandexu razvijam različne nadzorne sisteme, pa tudi arhitekturo transportnega omrežja. Toda danes bomo govorili o protokolu BGP.
Pred enim tednom je Yandex omogočil ROV (Route Origin Validation) na vmesnikih z vsemi enakovrednimi partnerji, kot tudi točkami za izmenjavo prometa. Spodaj preberite, zakaj je bilo to storjeno in kako bo vplivalo na interakcijo s telekomunikacijskimi operaterji.
BGP in kaj je narobe z njim
Verjetno veste, da je bil BGP zasnovan kot meddomenski usmerjevalni protokol. Vendar pa je na tej poti število primerov uporabe uspelo narasti: danes se je BGP, zahvaljujoč številnim razširitvam, spremenil v sporočilno vodilo, ki pokriva naloge od operaterja VPN do zdaj modnega SD-WAN, in je našel celo uporabo kot transport za krmilnik, podoben SDN, ki spremeni vektor razdalje BGP v nekaj podobnega protokolu links sat.
Sl. 1.
Zakaj je BGP prejel (in še vedno prejema) toliko uporab? Obstajata dva glavna razloga:
- BGP je edini protokol, ki deluje med avtonomnimi sistemi (AS);
- BGP podpira atribute v formatu TLV (type-length-value). Ja, protokol pri tem ni osamljen, a ker ga na stičiščih med telekomunikacijskimi operaterji ni s čim nadomestiti, se vedno izkaže, da se mu bolj splača pripeti še kak funkcionalni element kot pa podpirati dodaten usmerjevalni protokol.
Kaj je narobe z njim? Skratka, protokol nima vgrajenih mehanizmov za preverjanje pravilnosti prejetih informacij. To pomeni, da je BGP a priori protokol zaupanja: če želite povedati svetu, da ste zdaj lastnik omrežja Rostelecom, MTS ali Yandex, prosim!
Filter, ki temelji na IRRDB - najboljši med najslabšimi
Postavlja se vprašanje: zakaj internet v takih razmerah še vedno deluje? Da, večino časa deluje, hkrati pa občasno eksplodira, zaradi česar so celotni nacionalni segmenti nedostopni. Čeprav je hekerska dejavnost tudi v BGP v porastu, večino anomalij še vedno povzročajo hrošči. Letošnji primer je v Belorusiji, zaradi česar je velik del interneta uporabnikom MegaFona postal nedostopen pol ure. Še en primer - zlomil eno največjih omrežij CDN na svetu.
riž. 2. Prestrezanje prometa Cloudflare
A vseeno, zakaj se takšne anomalije pojavljajo enkrat na šest mesecev in ne vsak dan? Ker operaterji uporabljajo zunanje baze podatkov o usmerjanju, da preverijo, kaj prejmejo od sosedov BGP. Takšnih baz podatkov je veliko, nekatere upravljajo registrarji (RIPE, APNIC, ARIN, AFRINIC), nekatere so neodvisni igralci (najbolj znan je RADB), obstaja pa tudi cel nabor registrarjev v lasti velikih podjetij (Level3). , NTT itd.). Zahvaljujoč tem zbirkam podatkov usmerjanje med domenami ohranja relativno stabilnost svojega delovanja.
Vendar pa obstajajo nianse. Informacije o usmerjanju se preverjajo na podlagi objektov ROUTE-OBJECTS in AS-SET. In če prvi pomeni pooblastilo za del IRRDB, potem za drugi razred ni pooblastila kot razreda. To pomeni, da lahko kdorkoli doda kogar koli v svoje nabore in s tem zaobide filtre ponudnikov navzgor. Poleg tega ni zagotovljena unikatnost poimenovanja AS-SET med različnimi bazami IRR, kar lahko povzroči presenetljive učinke z nenadno izgubo povezljivosti za telekomunikacijskega operaterja, ki s svoje strani ni spremenil ničesar.
Dodaten izziv je vzorec uporabe AS-SET. Tukaj sta dve točki:
- Ko operater dobi novega odjemalca, ga doda v svoj AS-SET, vendar ga skoraj nikoli ne odstrani;
- Sami filtri se konfigurirajo samo na vmesnikih z odjemalci.
Posledično je sodobna oblika filtrov BGP sestavljena iz postopno slabšajočih se filtrov na vmesnikih z odjemalci in vnaprejšnjega zaupanja v tisto, kar prihaja od enakovrednih partnerjev in ponudnikov IP tranzita.
Kaj nadomešča filtre predpone, ki temeljijo na AS-SET? Najbolj zanimivo pa je, da kratkoročno – nič. Pojavljajo pa se dodatni mehanizmi, ki dopolnjujejo delo filtrov, ki temeljijo na IRRDB, in najprej je to seveda RPKI.
RPKI
Na poenostavljen način si lahko arhitekturo RPKI predstavljamo kot porazdeljeno bazo podatkov, katere zapise je mogoče kriptografsko preveriti. V primeru ROA (Route Object Authorization) je podpisnik lastnik naslovnega prostora, sam zapis pa je trojka (prefix, asn, max_length). V bistvu ta vnos predpostavlja naslednje: lastnik naslovnega prostora $prefix je pooblastil številko AS $asn za oglaševanje predpon z dolžino, ki ni večja od $max_length. In usmerjevalniki lahko z uporabo predpomnilnika RPKI preverijo skladnost para predpona - prvi govornik na poti.
Slika 3. Arhitektura RPKI
Objekti ROA so standardizirani že precej časa, vendar so do nedavnega dejansko ostali le na papirju v reviji IETF. Po moje se razlog za to sliši strašljivo – slab marketing. Po končani standardizaciji je bila spodbuda, da ROA ščiti pred ugrabitvijo BGP – kar ni bilo res. Napadalci lahko preprosto zaobidejo filtre, ki temeljijo na ROA, tako da na začetku poti vstavijo pravilno številko AC. In takoj ko je prišlo do tega spoznanja, je bil naslednji logični korak opustitev uporabe ROA. In res, zakaj potrebujemo tehnologijo, če ne deluje?
Zakaj je čas, da si premislite? Ker to ni vsa resnica. ROA ne ščiti pred hekersko dejavnostjo v BGP, ampak ščiti pred naključnimi ugrabitvami prometa, na primer zaradi statičnega puščanja v BGP, ki postaja vse pogostejše. Za razliko od filtrov, ki temeljijo na IRR, se lahko ROV uporablja ne le na vmesnikih z odjemalci, ampak tudi na vmesnikih z vrstniki in ponudniki navzgor. To pomeni, da skupaj z uvedbo RPKI a priori zaupanje postopoma izginja iz BGP.
Zdaj preverjanje poti na podlagi ROA postopoma uvajajo ključni akterji: največji evropski IX že zavrže nepravilne poti, med Tier-1 operaterji velja izpostaviti AT&T, ki je omogočil filtre na vmesnikih s svojimi peering partnerji. K projektu pristopajo tudi največji ponudniki vsebin. In na desetine srednje velikih operaterjev prevoza so to že tiho uvedli, ne da bi o tem komur koli povedali. Zakaj vsi ti operaterji izvajajo RPKI? Odgovor je preprost: zaščititi svoj odhodni promet pred napakami drugih ljudi. Zato je Yandex eden prvih v Ruski federaciji, ki je ROV vključil na rob svojega omrežja.
Kaj bo potem?
Zdaj smo omogočili preverjanje informacij o usmerjanju na vmesnikih s točkami izmenjave prometa in zasebnimi peeringi. V bližnji prihodnosti bo preverjanje omogočeno tudi pri ponudnikih upstream prometa.
Kakšno razliko ima to za vas? Če želite povečati varnost usmerjanja prometa med vašim omrežjem in Yandexom, priporočamo:
- Podpišite svoj naslovni prostor - preprosto je, v povprečju traja 5-10 minut. To bo zaščitilo našo povezljivost v primeru, da bi kdo nehote ukradel vaš naslovni prostor (in to se bo zagotovo prej ali slej zgodilo);
- Namestite enega od odprtokodnih predpomnilnikov RPKI (, ) in omogočite preverjanje poti na meji omrežja - to bo trajalo več časa, vendar spet ne bo povzročalo tehničnih težav.
Yandex podpira tudi razvoj filtrirnega sistema, ki temelji na novem objektu RPKI - (Pooblastilo ponudnika avtonomnega sistema). Filtri, ki temeljijo na objektih ASPA in ROA, ne morejo le nadomestiti "puščajočih" AS-SET-ov, ampak tudi rešiti težave z napadi MiTM z uporabo BGP.
O ASPA bom podrobneje govoril čez en mesec na konferenci Next Hop. Tam bodo spregovorili tudi kolegi iz Netflixa, Facebooka, Dropboxa, Juniperja, Mellanoxa in Yandexa. Če vas zanima mrežni sklad in njegov razvoj v prihodnosti, pridite .
Vir: www.habr.com