Talofa, o loʻu igoa o Alexander Azimov. I Yandex, ou te atiaʻe faiga mataʻituina eseese, faʻapea foʻi ma le fausaga o fesoʻotaiga felauaiga. Ae o le asō o le a tatou talanoa e uiga i le BGP protocol.
I le vaiaso talu ai, na mafai ai e Yandex ROV (Route Origin Validation) i fesoʻotaʻiga ma paaga uma, faʻapea foʻi ma fefaʻatauaiga o fefaʻatauaiga. Faitau i lalo pe aisea na faia ai lenei mea ma pe faʻafefea ona aʻafia ai fegalegaleaiga ma kamupani telefoni.
BGP ma o le a le mea o loʻo i ai
Atonu e te iloa o le BGP na mamanuina e avea o se faʻasalalauga faʻasalalau interdomain. Ae ui i lea, i luga o le ala, o le numera o faʻaoga mataupu na mafai ona faʻatupulaia: i aso nei, BGP, faʻafetai i le tele o faʻaopoopoga, ua liua i se pasi feʻau, e aofia ai galuega mai le operator VPN i le SD-WAN ua faʻalelei nei, ma ua oʻo lava ina maua le talosaga e pei o. se felauaiga mo se SDN-pei o le pulea, liliu mamao vector BGP i se mea e tutusa ma sootaga sat protocol.
Ata 1.
Aisea na maua ai e le BGP (ma o loʻo faʻaauau pea ona maua) le tele o faʻaoga? E lua mafuaaga autu:
- BGP na o le pau lea o le faʻasalalauga e galue i le va o faiga tutoʻatasi (AS);
- E lagolagoina e le BGP uiga ile TLV (type-length-value) format. Ioe, o le protocole e le na o ia i lenei mea, ae talu ai e leai se mea e sui ai i le va o fesoʻotaʻiga telefoni, e masani lava ona sili atu le aoga e faʻapipiʻi ai se isi elemene aoga nai lo le lagolagoina o se faʻasologa o auala.
O le a le mea ua tupu ia te ia? I se faapuupuuga, o le protocol e leai ni mea faʻapipiʻiina mo le siakiina o le saʻo o faʻamatalaga na maua. O lona uiga, o le BGP o se faʻatonuga faʻalagolago muamua: afai e te manaʻo e taʻu atu i le lalolagi o loʻo e umia nei le fesoʻotaʻiga a Rostelecom, MTS poʻo Yandex, faʻamolemole!
IRRDB fa'avae faamama - o le sili sili ona leaga
O le fesili e tulaʻi mai: aisea e galue ai le Initaneti i se tulaga faapena? Ioe, e galue i le tele o taimi, ae i le taimi lava e tasi e pa i lea taimi ma lea taimi, ma le mafai ai ona maua vaega atoa o le atunuʻu. E ui lava o loʻo faʻatupulaʻia le gaioiga o le hacker i le BGP, o le tele o faʻalavelave e mafua mai i mea leaga. O le faataitaiga o lenei tausaga o le i Belarus, lea na faia ai se vaega taua o le Initaneti e le mafai ona maua e tagata faʻaoga MegaFon mo le afa itula. O le isi fa'ata'ita'iga- motusia se tasi o feso'ota'iga tele CDN i le lalolagi.
Alaisa. 2. Cloudflare fa'alavelave feoaiga
Ae ui i lea, aisea e tupu ai ia faʻalavelave faʻafuaseʻi i le ono masina, ae le o aso uma? Ona o lo'o fa'aogaina e le au va'ava'a fa'amaumauga i fafo o fa'amatalaga fa'ata'avalevale e fa'amaonia ai mea latou te maua mai tuaoi BGP. E tele faʻamaumauga faʻamaumauga, o nisi oi latou e pulea e le au resitala (RIPE, APNIC, ARIN, AFRINIC), o nisi o tagata taʻalo tutoʻatasi (sili ona taʻutaʻua o le RADB), ma o loʻo i ai foi se seti atoa o resitala e umia e kamupani tetele (Level3 , NTT, ma isi). E fa'afetai i nei fa'amaumauga o lo'o fa'atumauina ai e le va'ava'aiga va'ava'ai le mautu o lona fa'agaioiga.
Ae ui i lea, e iai nuances. O fa'amatalaga fa'ata'ita'iga e siaki fa'atatau ile ROUTE-OBJECTS ma AS-SET mea. Ma afai o le muamua o loʻo faʻaalia ai le faʻatagaina mo se vaega o le IRRDB, ona mo le vasega lona lua e leai se faʻatagaina o se vasega. O lona uiga, e mafai e soʻo se tasi ona faʻaopoopoina soʻo se tasi i a latou seti ma faʻafefea ai le filiga o kamupani i luga. E le gata i lea, o le tulaga ese o le igoa AS-SET i le va o faavae IRR eseese e le o faʻamaonia, lea e mafai ona oʻo atu ai i ni faʻalavelave faʻafuaseʻi ma le leiloa faʻafuaseʻi o le fesoʻotaʻiga mo le telefoni feaveaʻi, o ia, mo lana vaega, e leʻi suia se mea.
O le isi lu'itau o le fa'aogaina o le AS-SET. E lua manatu iinei:
- A maua e se tagata fa'afoe se tagata fou, na te fa'aopoopoina o ia i lana AS-SET, peita'i e toetoe lava a le aveesea;
- O filiga lava ia e na'o feso'ota'iga ma tagata fa'atau.
O le i'uga, o le fa'aonaponei fa'aonaponei o filiga BGP o lo'o i ai fa'alumaina fa'alumaluma i feso'ota'iga ma tagata fa'atau ma le fa'amoemoe muamua i mea e maua mai i pa'aga fa'atasi ma le aufaipisinisi IP.
O le a le mea o lo'o suitulaga i fa'amama fa'amuamua e fa'avae ile AS-SET? O le mea e sili ona manaia o le i se taimi puupuu - leai se mea. Ae o loʻo tulaʻi mai isi faʻaoga e faʻapipiʻi ai le galuega a IRRDB-faʻavae filiga, ma muamua lava, o le mea moni, RPKI.
RPKI
I se auala faigofie, o le RPKI architecture e mafai ona mafaufauina o se faʻamaumauga tuʻufaʻatasia o ana faamaumauga e mafai ona faʻamaonia faʻamaonia. I le tulaga o le ROA (Route Object Authorization), o le saini e ona le avanoa tuatusi, ma o le faamaumauga lava ia e tolu (prefix, asn, max_length). O le mea moni, o lenei fa'amatalaga o lo'o fa'amauina ai mea nei: ua fa'atagaina e lē e ana le $prefix address space le numera AS $asn e fa'asalalau fa'amuamua e le sili atu i le $max_length. Ma o tagata taʻavale, faʻaaogaina le RPKI cache, e mafai ona siaki le paga mo le tausisia prefix - failauga muamua i le ala.
Ata 3. RPKI fausaga
O mea faitino ROA ua leva ona fa'ata'atia, ae se'i o'o mai talu ai nei na tumau pea i luga o pepa i le IETF api talaaga. I loʻu manatu, o le mafuaʻaga o lenei mea e foliga faʻafefe - leaga maketi. Ina ua maeʻa le faʻatulagaina, o le faʻaosofia o le ROA e puipuia mai le BGP faomea - e le saʻo. E mafai e le au osofaʻi ona faigofie ona faʻaogaina filiga faʻavae ROA e ala i le faʻaofiina o le numera AC saʻo i le amataga o le ala. Ma o le taimi lava na oʻo mai ai lenei faʻamatalaga, o le isi laasaga talafeagai o le lafoai lea o le faʻaogaina o le ROA. Ma o le mea moni, aisea tatou te manaʻomia ai tekinolosi pe afai e le aoga?
Aiseā ua oo ai i le taimi e sui ai lou mafaufau? Aua e le o le upumoni atoa lea. E le puipuia e le ROA mai le gaioiga faʻafefe i le BGP, ae puipuia mai le fa'alavelave fa'afuase'i o feoaiga, mo se faʻataʻitaʻiga mai static leaks i le BGP, lea ua amata ona taatele. E le gata i lea, e le pei o filiga faʻavae IRR, ROV e mafai ona faʻaogaina e le gata i fesoʻotaʻiga ma tagata faʻatau, ae faʻapea foʻi i fesoʻotaʻiga ma tupulaga ma kamupani i luga. O lona uiga, fa'atasi ai ma le fa'aofiina o le RPKI, o lo'o fa'asolosolo ona mou atu le fa'atuatuaga fa'amuamua mai le BGP.
I le taimi nei, o le siakiina o auala e faʻavae i luga o le ROA o loʻo faʻagasolo malie ona faʻatinoina e tagata taʻalo autu: o le tele o Europa IX ua uma ona lafoaʻia auala le saʻo i le va o Tier-1, e tatau ona faʻamaonia le AT & T, lea na mafai ai ona faʻamalo i fesoʻotaʻiga ma ana paaga. O lo'o fa'alatalata atu fo'i le aufaipisinisi sili ona tele i le poloketi. Ma o le tele o tagata fai femalagaiga feololo ua uma ona faʻatinoina lemu, e aunoa ma le taʻuina i se tasi e uiga i ai. Aisea ua fa'atino uma ai e nei fa'alapotopotoga le RPKI? E faigofie le tali: ia puipuia lau feoaiga i fafo mai mea sese a isi tagata. O le mafuaaga lena o le Yandex o se tasi o muamua i le Russian Federation e aofia ai le ROV i le pito o lana fesoʻotaʻiga.
O le a le mea o le a sosoo ai?
Ua mafai nei ona matou siakia fa'amatalaga o auala i feso'ota'iga fa'atasi ai ma nofoaga e fesuia'i ai ta'avale ma va'aiga fa'apitoa. I le lumana'i lata mai, o le a mafai foi ona fa'amaonia fa'atasi ai ma kamupani o lo'o tu'uina atu feoaiga i luga.
O le a le eseesega e faia e lenei mea mo oe? Afai e te manaʻo e faʻateleina le saogalemu o feoaiga i le va o lau fesoʻotaʻiga ma Yandex, matou te fautuaina:
- Saini lou avanoa tuatusi - e faigofie, e manaʻomia le 5-10 minute ile averesi. O lenei mea o le a puipuia ai la matou fesoʻotaʻiga pe a gaoia ma le le iloa e se tasi lau avanoa tuatusi (ma e mautinoa lava e tupu vave pe mulimuli ane);
- Faʻapipiʻi se tasi o faʻamatalaga tatala RPKI caches (, ) ma faʻatagaina le siakiina o auala i le tuaoi o fesoʻotaʻiga - o le a tele se taimi e alu ai, ae toe fai, e le mafua ai ni faʻafitauli faʻapitoa.
E lagolagoina foi e Yandex le atinaʻeina o se faiga faʻapipiʻi e faʻavae i luga o le mea fou RPKI - (Autonomous System Provider Faatagaga). Filifiliga faʻavae i luga ole ASPA ma ROA mea e le gata e mafai ona suitulaga i le "leaky" AS-SETs, ae faʻapea foʻi ona tapunia mataupu o osofaʻiga a MiTM e faʻaaoga ai le BGP.
O le a ou talanoa auiliili e uiga i le ASPA i le masina i le Next Hop conference. O paaga mai Netflix, Facebook, Dropbox, Juniper, Mellanox ma Yandex o le a tautala foi iina. Afai e te fiafia i le faaputuga fesoʻotaʻiga ma lona atinaʻe i le lumanaʻi, sau .
puna: www.habr.com