Здраво, моје име је Александар Азимов. У Иандек-у развијам различите системе за праћење, као и архитектуру транспортне мреже. Али данас ћемо говорити о БГП протоколу.
Пре недељу дана, Иандек је омогућио РОВ (Роуте Оригин Валидатион) на интерфејсима са свим пееринг партнерима, као и тачкама размене саобраћаја. У наставку прочитајте зашто је то урађено и како ће то утицати на интеракцију са телеком оператерима.
БГП и шта није у реду са њим
Вероватно знате да је БГП дизајниран као протокол за рутирање међу доменима. Међутим, успут, број случајева коришћења успео је да расте: данас се БГП, захваљујући бројним екстензијама, претворио у магистралу порука, покривајући задатке од оператера ВПН до сада модерног СД-ВАН-а, а чак је нашао и примену као транспорт за контролер сличан СДН-у, претварајући вектор удаљености БГП у нешто слично линковном протоколу.
Фиг. КСНУМКС.
Зашто је БГП добио (и наставља да прима) толико много коришћења? Постоје два главна разлога:
- БГП је једини протокол који ради између аутономних система (АС);
- БГП подржава атрибуте у ТЛВ формату (тип-дужина-вредност). Да, протокол није усамљен у томе, али пошто га нема чиме заменити на спојевима између телеком оператера, увек се испостави да је исплативије прикључити му још један функционални елемент него подржати додатни протокол за рутирање.
Шта није у реду са њим? Укратко, протокол нема уграђене механизме за проверу тачности примљених информација. То јест, БГП је а приори протокол поверења: ако желите да кажете свету да сада поседујете мрежу Ростелекома, МТС-а или Иандека, молим вас!
Филтер заснован на ИРРДБ - најбољи од најгорих
Поставља се питање: зашто Интернет и даље ради у таквој ситуацији? Да, ради већину времена, али у исто време периодично експлодира, чинећи недоступним читаве националне сегменте. Иако је активност хакера у БГП-у такође у порасту, већину аномалија и даље изазивају грешке. Овогодишњи пример је у Белорусији, чиме је значајан део интернета постао недоступан корисницима МегаФона на пола сата. Други пример - разбио једну од највећих ЦДН мрежа на свету.
Пиринач. 2. Цлоудфларе пресретање саобраћаја
Али ипак, зашто се такве аномалије јављају једном у шест месеци, а не сваки дан? Зато што оператери користе екстерне базе података о рутирању да би проверили шта добијају од БГП суседа. Постоји много таквих база података, неке од њих воде регистратори (РИПЕ, АПНИЦ, АРИН, АФРИНИЦ), неке су независни играчи (најпознатији је РАДБ), а постоји и читав сет регистара у власништву великих компанија (Ниво 3 , НТТ итд.). Захваљујући овим базама података рутирање између домена одржава релативну стабилност свог рада.
Међутим, постоје нијансе. Информације о рутирању се проверавају на основу РОУТЕ-ОБЈЕЦТС и АС-СЕТ објеката. И ако први подразумевају ауторизацију за део ИРРДБ, онда за другу класу нема ауторизације као класе. То јест, свако може додати било кога у своје скупове и на тај начин заобићи филтере упстреам провајдера. Штавише, јединственост АС-СЕТ именовања између различитих ИРР база није загарантована, што може довести до изненађујућих ефеката са изненадним губитком конекције за телеком оператера, који са своје стране није ништа променио.
Додатни изазов је образац коришћења АС-СЕТ-а. Овде постоје две тачке:
- Када оператер добије новог клијента, он га додаје у свој АС-СЕТ, али га скоро никада не уклања;
- Сами филтери се конфигуришу само на интерфејсима са клијентима.
Као резултат тога, савремени формат БГП филтера се састоји од постепено деградирајућих филтера на интерфејсима са клијентима и а приори поверења у оно што долази од партнера и провајдера ИП транзита.
Шта замењује префикс филтере на основу АС-СЕТ? Најзанимљивије је да краткорочно – ништа. Али појављују се додатни механизми који допуњују рад филтера заснованих на ИРРДБ, а пре свега, ово је, наравно, РПКИ.
РПКИ
На поједностављен начин, РПКИ архитектура се може сматрати дистрибуираном базом података чији се записи могу криптографски верификовати. У случају РОА (Роуте Објецт Аутхоризатион), потписник је власник адресног простора, а сам запис је троструки (префикс, асн, мак_ленгтх). У суштини, овај унос постулира следеће: власник $префик адресног простора је овластио АС број $асн да оглашава префиксе чија дужина није већа од $мак_ленгтх. А рутери, користећи РПКИ кеш, могу да провере усклађеност пара префикс - први говорник на путу.
Слика 3. РПКИ архитектура
РОА објекти су стандардизовани доста дуго, али су до недавно заправо остали само на папиру у ИЕТФ часопису. По мом мишљењу, разлог за ово звучи застрашујуће - лош маркетинг. Након што је стандардизација завршена, подстицај је био да РОА заштити од отмице БГП-а - што није било тачно. Нападачи могу лако заобићи филтере засноване на РОА-у тако што ће убацити исправан АЦ број на почетак путање. И чим је дошло до ове спознаје, следећи логичан корак је био напуштање употребе РОА. И заиста, зашто нам је потребна технологија ако не функционише?
Зашто је време да се предомислите? Јер ово није цела истина. РОА не штити од хакерске активности у БГП-у, али штити од случајних отмица саобраћаја, на пример од статичких цурења у БГП-у, што је све чешће. Такође, за разлику од филтера заснованих на ИРР, РОВ се може користити не само на интерфејсима са клијентима, већ и на интерфејсима са колегама и упстреам провајдерима. Односно, заједно са увођењем РПКИ, априорно поверење постепено нестаје из БГП-а.
Сада кључни играчи постепено примењују проверу рута засновану на РОА: највећи европски ИКС већ одбацује погрешне руте; међу оператерима Тиер-1, вреди истаћи АТ&Т, који је омогућио филтере на интерфејсима са својим пееринг партнерима. Пројекту приступају и највећи провајдери садржаја. И десетине транзитних оператера средње величине су то већ тихо имплементирали, не говорећи никоме о томе. Зашто сви ови оператери имплементирају РПКИ? Одговор је једноставан: да заштитите свој одлазни саобраћај од грешака других људи. Зато је Иандек један од првих у Руској Федерацији који је РОВ укључио на руб своје мреже.
Шта ће се даље дешавати?
Сада смо омогућили проверу информација о рутирању на интерфејсима са тачкама размене саобраћаја и приватним пееринг-има. У блиској будућности, верификација ће бити омогућена и код добављача узводног саобраћаја.
Каква је разлика за вас? Ако желите да повећате безбедност рутирања саобраћаја између ваше мреже и Иандек-а, препоручујемо:
- Потпишите свој адресни простор - једноставно је, у просеку траје 5-10 минута. Ово ће заштитити нашу повезаност у случају да неко несвесно украде ваш адресни простор (а то ће се дефинитивно догодити пре или касније);
- Инсталирајте један од РПКИ кеша отвореног кода (, ) и омогући проверу руте на граници мреже - то ће потрајати више, али опет неће изазвати никакве техничке потешкоће.
Иандек такође подржава развој система филтрирања заснованог на новом РПКИ објекту - (Овлашћење добављача аутономног система). Филтери засновани на АСПА и РОА објектима не могу само да замене АС-СЕТ-ове који „пропуштају“, већ и да затворе проблеме МиТМ напада користећи БГП.
О АСПА ћу детаљно говорити за месец дана на Нект Хоп конференцији. Ту ће говорити и колеге из Нетфлик-а, Фацебоок-а, Дропбок-а, Јунипер-а, Мелланок-а и Иандек-а. Ако сте заинтересовани за мрежни стек и његов развој у будућности, дођите .
Извор: ввв.хабр.цом