Përshëndetje, emri im është Alexander Azimov. Në Yandex, unë zhvilloj sisteme të ndryshme monitorimi, si dhe arkitekturë të rrjetit të transportit. Por sot do të flasim për protokollin BGP.
Një javë më parë, Yandex aktivizoi ROV (Vlefshmëria e Origjinës së Rrugës) në ndërfaqet me të gjithë partnerët peering, si dhe pikat e shkëmbimit të trafikut. Lexoni më poshtë se pse u bë kjo dhe si do të ndikojë në ndërveprimin me operatorët e telekomit.
BGP dhe çfarë nuk shkon me të
Ju ndoshta e dini se BGP është projektuar si një protokoll kursimi ndërdomain. Megjithatë, gjatë rrugës, numri i rasteve të përdorimit arriti të rritet: sot, BGP, falë shtesave të shumta, është shndërruar në një autobus mesazhesh, duke mbuluar detyrat nga operatori VPN deri në SD-WAN tani në modë, madje ka gjetur aplikim si një transport për një kontrollues të ngjashëm me SDN, duke e kthyer vektorin e distancës BGP në diçka të ngjashme me protokollin e lidhjeve sat.
Fik. 1
Pse BGP ka marrë (dhe vazhdon të marrë) kaq shumë përdorime? Ka dy arsye kryesore:
- BGP është i vetmi protokoll që funksionon ndërmjet sistemeve autonome (AS);
- BGP mbështet atributet në formatin TLV (lloj-gjatësi-vlerë). Po, protokolli nuk është i vetëm në këtë, por meqenëse nuk ka asgjë për ta zëvendësuar atë në kryqëzimet midis operatorëve të telekomit, gjithmonë rezulton të jetë më fitimprurëse t'i bashkëngjitni atij një element tjetër funksional sesa të mbështesni një protokoll rrugëtimi shtesë.
Çfarë nuk shkon me të? Me pak fjalë, protokolli nuk ka mekanizma të integruar për të kontrolluar korrektësinë e informacionit të marrë. Kjo do të thotë, BGP është një protokoll besimi a priori: nëse doni t'i tregoni botës se tani zotëroni rrjetin e Rostelecom, MTS ose Yandex, ju lutem!
Filtri i bazuar në IRRDB - më i miri nga më të këqijtë
Shtrohet pyetja: pse Interneti ende funksionon në një situatë të tillë? Po, funksionon shumicën e kohës, por në të njëjtën kohë shpërthen periodikisht, duke i bërë të paarritshme segmente të tëra kombëtare. Megjithëse aktiviteti i hakerëve në BGP është gjithashtu në rritje, shumica e anomalive janë ende të shkaktuara nga gabimet. Shembulli i këtij viti është në Bjellorusi, gjë që e bëri një pjesë të konsiderueshme të internetit të paarritshme për përdoruesit e MegaFon për gjysmë ore. Një shembull tjetër - theu një nga rrjetet më të mëdha CDN në botë.
Oriz. 2. Përgjimi i trafikut me re
Por megjithatë, pse anomali të tilla ndodhin një herë në gjashtë muaj, dhe jo çdo ditë? Sepse transportuesit përdorin bazat e të dhënave të jashtme të informacionit të rrugëzimit për të verifikuar atë që marrin nga fqinjët BGP. Ka shumë baza të dhënash të tilla, disa prej tyre menaxhohen nga regjistruesit (RIPE, APNIC, ARIN, AFRINIC), disa janë lojtarë të pavarur (më i famshmi është RADB), dhe ka gjithashtu një grup të tërë regjistruesish në pronësi të kompanive të mëdha (Niveli 3 , NTT, etj.). Falë këtyre bazave të të dhënave, rutimi ndërdomain ruan stabilitetin relativ të funksionimit të tij.
Megjithatë, ka nuanca. Informacioni i rrugëzimit kontrollohet në bazë të objekteve ROUTE-OBJECTS dhe AS-SET. Dhe nëse i pari nënkupton autorizim për një pjesë të IRRDB, atëherë për klasën e dytë nuk ka autorizim si klasë. Kjo do të thotë, çdokush mund të shtojë këdo në grupet e tij dhe në këtë mënyrë të anashkalojë filtrat e ofruesve në rrjedhën e sipërme. Për më tepër, unike e emërtimit AS-SET midis bazave të ndryshme IRR nuk është e garantuar, gjë që mund të çojë në efekte befasuese me një humbje të papritur të lidhjes për operatorin e telekomit, i cili, nga ana e tij, nuk ndryshoi asgjë.
Një sfidë shtesë është modeli i përdorimit të AS-SET. Këtu ka dy pika:
- Kur një operator merr një klient të ri, ai e shton atë në AS-SET, por pothuajse kurrë nuk e heq atë;
- Vetë filtrat janë konfiguruar vetëm në ndërfaqet me klientët.
Si rezultat, formati modern i filtrave BGP përbëhet nga filtra të degraduar gradualisht në ndërfaqet me klientët dhe besim a priori në atë që vjen nga partnerët kolegë dhe ofruesit e transitit IP.
Çfarë është zëvendësimi i filtrave prefiks bazuar në AS-SET? Gjëja më interesante është se në afat të shkurtër - asgjë. Por po shfaqen mekanizma shtesë që plotësojnë punën e filtrave të bazuar në IRRDB, dhe para së gjithash, kjo është, natyrisht, RPKI.
RPKI
Në një mënyrë të thjeshtuar, arkitektura RPKI mund të mendohet si një bazë të dhënash e shpërndarë, të dhënat e së cilës mund të verifikohen në mënyrë kriptografike. Në rastin e ROA (Autorizimi i objektit të rrugës), nënshkruesi është pronari i hapësirës së adresave dhe vetë regjistrimi është një trefish (prefiksi, asn, max_length). Në thelb, kjo hyrje postulon sa vijon: pronari i hapësirës së adresës së prefiksit $ ka autorizuar numrin AS $asn për të reklamuar prefikset me një gjatësi jo më të madhe se $max_length. Dhe ruterat, duke përdorur cache RPKI, janë në gjendje të kontrollojnë çiftin për pajtueshmëri parashtesa - folësi i parë në rrugë.
Figura 3. Arkitektura RPKI
Objektet ROA janë standardizuar për një kohë mjaft të gjatë, por deri vonë ato mbetën vetëm në letër në revistën IETF. Sipas mendimit tim, arsyeja për këtë tingëllon e frikshme - marketing i keq. Pas përfundimit të standardizimit, nxitja ishte që ROA mbronte kundër rrëmbimit të BGP - gjë që nuk ishte e vërtetë. Sulmuesit mund të anashkalojnë lehtësisht filtrat e bazuar në ROA duke futur numrin e saktë të AC në fillim të shtegut. Dhe sapo erdhi ky realizim, hapi tjetër logjik ishte braktisja e përdorimit të ROA. Dhe me të vërtetë, pse na duhet teknologjia nëse nuk funksionon?
Pse është koha për të ndryshuar mendje? Sepse kjo nuk është e gjithë e vërteta. ROA nuk mbron nga aktiviteti i hakerëve në BGP, por mbron nga rrëmbimet aksidentale të trafikut, për shembull nga rrjedhjet statike në BGP, e cila po bëhet gjithnjë e më e zakonshme. Gjithashtu, ndryshe nga filtrat e bazuar në IRR, ROV mund të përdoret jo vetëm në ndërfaqet me klientët, por edhe në ndërfaqet me kolegët dhe ofruesit e rrjedhës së sipërme. Kjo do të thotë, së bashku me futjen e RPKI-së, besimi apriori po zhduket gradualisht nga BGP.
Tani, kontrolli i rrugëve të bazuara në ROA po zbatohet gradualisht nga lojtarët kryesorë: IX më i madh evropian tashmë po hedh poshtë rrugët e pasakta; midis operatorëve të nivelit 1, vlen të theksohet AT&T, i cili ka aktivizuar filtra në ndërfaqet me partnerët e tij peering. Ofruesit më të mëdhenj të përmbajtjes po i afrohen gjithashtu projektit. Dhe dhjetëra operatorë transiti të mesëm e kanë zbatuar tashmë në heshtje, pa i thënë askujt për të. Pse të gjithë këta operatorë po zbatojnë RPKI? Përgjigja është e thjeshtë: për të mbrojtur trafikun tuaj në dalje nga gabimet e njerëzve të tjerë. Kjo është arsyeja pse Yandex është një nga të parët në Federatën Ruse që përfshin ROV në skajin e rrjetit të saj.
Çfarë do të ndodhë më pas?
Tani kemi mundësuar kontrollimin e informacionit të rrugës në ndërfaqet me pikat e shkëmbimit të trafikut dhe peerings private. Në të ardhmen e afërt, verifikimi do të aktivizohet edhe me ofruesit e trafikut në rrjedhën e sipërme.
Çfarë ndryshimi ka kjo për ju? Nëse dëshironi të rrisni sigurinë e drejtimit të trafikut midis rrjetit tuaj dhe Yandex, ju rekomandojmë:
- Nënshkruani hapësirën tuaj të adresës - është e thjeshtë, zgjat mesatarisht 5-10 minuta. Kjo do të mbrojë lidhjen tonë në rast se dikush padashur vjedh hapësirën tuaj të adresës (dhe kjo do të ndodhë patjetër herët a vonë);
- Instaloni një nga cache RPKI me burim të hapur (, ) dhe aktivizoni kontrollin e rrugës në kufirin e rrjetit - kjo do të marrë më shumë kohë, por përsëri, nuk do të shkaktojë ndonjë vështirësi teknike.
Yandex gjithashtu mbështet zhvillimin e një sistemi filtrimi bazuar në objektin e ri RPKI - (Autonom System Provider Autorizim). Filtrat e bazuar në objektet ASPA dhe ROA jo vetëm që mund të zëvendësojnë AS-SET-et "që rrjedhin", por gjithashtu mbyllin çështjet e sulmeve MiTM duke përdorur BGP.
Për ASPA-n do të flas hollësisht pas një muaji në konferencën Next Hop. Aty do të flasin edhe kolegë nga Netflix, Facebook, Dropbox, Juniper, Mellanox dhe Yandex. Nëse jeni të interesuar për grupin e rrjetit dhe zhvillimin e tij në të ardhmen, ejani .
Burimi: www.habr.com