Lumela, lebitso la ka ke Alexander Azimov. Yandex, ke hlahisa mekhoa e fapaneng ea ho shebella, hammoho le meralo ea marang-rang ea lipalangoang. Empa kajeno re tla bua ka protocol ea BGP.
Bekeng e fetileng, Yandex e ile ea nolofalletsa ROV (Tlhahiso ea Tšimoloho ea Route) libakeng tsa ho kopana le balekane bohle ba lithaka, hammoho le libaka tsa phapanyetsano ea sephethephethe. Bala ka tlase mabapi le hore na ke hobane'ng ha sena se entsoe le hore na se tla ama tšebelisano le basebetsi ba mehala joang.
BGP le hore na phoso ke efe ka eona
Mohlomong ua tseba hore BGP e entsoe joalo ka protocol ea li-interdomain routing. Leha ho le joalo, tseleng, palo ea linyeoe tsa ts'ebeliso e khonne ho hola: kajeno, BGP, ka lebaka la likeketso tse ngata, e fetohile bese ea molaetsa, e koahelang mesebetsi ho tloha ho opareitara VPN ho ea ho SD-WAN ea feshene, mme e bile e fumane ts'ebeliso joalo ka. sepalangoang bakeng sa molaoli ea tšoanang le SDN, se fetola vector ea sebaka sa BGP hore e be ntho e ts'oanang le li-link sat protocol.
Setšoantšo: leshome le metso e mehlano.
Hobaneng ha BGP e amohetse (mme e ntse e tsoela pele ho fumana) lits'ebeliso tse ngata hakaale? Ho na le mabaka a mabeli a mantlha:
- BGP ke eona feela protocol e sebetsang lipakeng tsa litsamaiso tse ikemetseng (AS);
- BGP e ts'ehetsa litšoaneleho ka sebopeho sa TLV (mofuta-bolelele-boleng). Ee, protocol ha e 'ngoe ho sena, empa kaha ha ho na letho le ka e nkelang sebaka lipakeng tsa basebelisi ba mehala, ho lula ho le molemo ho hokela ntho e' ngoe e sebetsang ho eona ho feta ho ts'ehetsa protocol e eketsehileng ea ho tsamaisa.
Phoso ke efe ka yena? Ka bokhutšoanyane, protocol ha e na mekhoa e hahiloeng bakeng sa ho hlahloba ho nepahala ha tlhahisoleseding e amohetsoeng. Ke hore, BGP ke protocol ea priori trust: haeba u batla ho bolella lefats'e hore joale u na le marang-rang a Rostelecom, MTS kapa Yandex, ka kopo!
IRRDB e thehiloeng filthara - molemo ka ho fetisisa e mpe ka ho fetisisa
Ho hlaha potso: ke hobane'ng ha Inthanete e ntse e sebetsa boemong bo joalo? E, e sebetsa hangata, empa ka nako e ts'oanang e phatloha nako le nako, e etsa hore likarolo tsohle tsa naha li se ke tsa fumaneha. Leha ts'ebetso ea bosholu ho BGP le eona e ntse e eketseha, boholo ba liphoso li ntse li bakoa ke likokoana-hloko. Mohlala oa selemo sena ke Belarus, e entseng hore karolo ea bohlokoa ea Marang-rang e se ke ea fumaneha ho basebelisi ba MegaFon ka halofo ea hora. Mohlala o mong - e robehile e 'ngoe ea marang-rang a maholo ka ho fetisisa a CDN lefatšeng.
Raese. 2. Thibelo ea sephethephethe sa Cloudflare
Empa leha ho le joalo, ke hobane'ng ha li-anomalies tse joalo li etsahala hang ka likhoeli tse tšeletseng, eseng letsatsi le leng le le leng? Hobane bajari ba sebelisa marang-rang a kantle a tlhahisoleseling ho netefatsa seo ba se fumanang ho baahisani ba BGP. Ho na le li-database tse ngata tse joalo, tse ling tsa tsona li laoloa ke bangolisi (RIPE, APNIC, ARIN, AFRINIC), ba bang ke libapali tse ikemetseng (tse tummeng ka ho fetisisa ke RADB), hape ho na le sehlopha sohle sa bangolisi ba lik'hamphani tse kholo (Level3). , NTT, joalo-joalo). Ke ka lebaka la li-database tsena hore li-inter-domain routing li boloka botsitso ba ts'ebetso ea eona.
Leha ho le joalo, ho na le li-nuances. Lintlha tsa ho tsamaisa li hlahlojoa ho ipapisitsoe le lintho tsa ROUTE-OBJECTS le AS-SET. 'Me haeba ea pele e bolela tumello bakeng sa karolo ea IRRDB, joale bakeng sa sehlopha sa bobeli ha ho na tumello e le sehlopha. Ka mantsoe a mang, mang kapa mang a ka eketsa mang kapa mang ho lihlopha tsa bona 'me kahoo a feta li-filters tsa bafani ba marang-rang. Ho feta moo, e ikhethang ea ho reha lebitso la AS-SET pakeng tsa metheo e fapaneng ea IRR ha e tiisetsoe, e leng se ka lebisang liphellong tse makatsang ka tahlehelo ea tšohanyetso ea khokahanyo bakeng sa mochine oa telecom, eo, ka lehlakoreng la hae, a sa kang a fetola letho.
Phephetso e 'ngoe ke mokhoa oa ts'ebeliso oa AS-SET. Ho na le lintlha tse peli mona:
- Ha opareitara e fumana moreki e mocha, e e eketsa ho AS-SET ea eona, empa hoo e ka bang ha ho mohla e e tlosang;
- Li-filters ka botsona li hlophisoa feela lihokelong le bareki.
Ka lebaka leo, sebopeho sa sejoale-joale sa li-filters tsa BGP se na le li-filters tse nyenyefatsang butle-butle lihokelong le bareki le ho tšepa se tsoang ho balekane le bafani ba lipalangoang ba IP.
Ke eng e nkang li-filters tsa prefix tse thehiloeng ho AS-SET? Ntho e thahasellisang ka ho fetisisa ke hore ka nako e khutšoanyane - ha ho letho. Empa ho hlaha mekhoa e meng e tlatselletsang mosebetsi oa li-filters tse thehiloeng ho IRRDB, 'me pele ho tsohle, sena ke RPKI.
RPKI
Ka tsela e nolofalitsoeng, meralo ea RPKI e ka nkoa e le database e ajoang eo lirekoto tsa eona li ka netefatsoang ka mokhoa oa cryptographically. Tabeng ea ROA (Route Object Authorization), motho ea saenneng ke mong'a sebaka sa aterese, 'me tlaleho ka boeona e tharo (prefix, asn, max_length). Ha e le hantle, keno ena e fana ka maikutlo a latelang: mong'a sebaka sa aterese sa $ prefix o fane ka tumello ea nomoro ea AS $ asn ho bapatsa lihlomapele tse nang le bolelele bo sa feteng $ max_length. 'Me li-routers, li sebelisa cache ea RPKI, li khona ho hlahloba para ena hore na e lumellana le eona prefix - sebui sa pele tseleng.
Setšoantšo sa 3. Mehaho ea RPKI
Lintho tsa ROA esale li le maemong a nako e telele, empa ho fihlela morao tjena li ne li lula li le pampiring feela koranteng ea IETF. Ka maikutlo a ka, lebaka la sena le utloahala le tšosa - papatso e mpe. Kamora hore maemo a phetheloe, khothatso e bile hore ROA e sirelelitse khahlano le bosholu ba BGP - e neng e se 'nete. Bahlaseli ba ka qoba li-filters tse thehiloeng ho ROA habonolo ka ho kenya nomoro e nepahetseng ea AC qalong ea tsela. 'Me hang ha temoho ena e fihla, mohato o latelang o utloahalang e ne e le ho tlohela tšebeliso ea ROA. 'Me ha e le hantle, ke hobane'ng ha re hloka theknoloji haeba e sa sebetse?
Ke hobane'ng ha e le nako ea ho fetola maikutlo? Hobane sena hase 'nete eohle. ROA ha e sireletse khahlano le ts'ebetso ea bosholu ho BGP, empa e sireletsa khahlanong le bosholu ba sephethephethe ka phoso, ka mohlala ho tloha ho lutla ha static ho BGP, e ntseng e ata haholoanyane. Hape, ho fapana le li-filters tse thehiloeng ho IRR, ROV e ka sebelisoa eseng feela ho li-interfaces le bareki, empa hape le ho li-interfaces le lithaka le bafani ba holimo. Ke hore, hammoho le kenyelletso ea RPKI, tšepo ea pele e nyamela butle-butle ho tloha BGP.
Hona joale, ho hlahloba litsela tse thehiloeng ho ROA ho ntse ho sebelisoa butle-butle ke libapali tsa bohlokoa: IX e kholo ka ho fetisisa ea Europe e se e ntse e lahla litsela tse fosahetseng; har'a basebetsi ba Tier-1, ho bohlokoa ho totobatsa AT & T, e thusitseng li-filters ho li-interfaces le balekane ba eona. Bafani ba litaba ba kholo ka ho fetisisa ba ntse ba atamela morero. 'Me basebetsi ba lipalangoang ba boholo bo mahareng ba se ba e kentse tšebetsong ka khutso, ntle le ho bolella mang kapa mang ka eona. Hobaneng ha basebelisi baa kaofela ba kenya tšebetsong RPKI? Karabo e bonolo: ho sireletsa sephethephethe sa hau se tsoang liphosong tsa batho ba bang. Ke ka lebaka leo Yandex e leng e 'ngoe ea pele ho Russia Federation ho kenyelletsa ROV moeling oa marang-rang a eona.
Ho tla latela eng?
Hona joale re nolofalelitse ho hlahloba lintlha tsa litsela libakeng tsa marang-rang tse nang le lintlha tsa phapanyetsano ea sephethephethe le lithaka tsa botho. Haufinyane tjena, netefatso e tla boela e lumelloa le bafani ba sephethephethe se holimo.
See se etsa phapang efe ho uena? Haeba u batla ho eketsa ts'ireletso ea sephethephethe pakeng tsa marang-rang a hau le Yandex, re khothaletsa:
- Saena sebaka sa hau sa aterese - e bonolo, e nka metsotso e 5-10 ka karolelano. Sena se tla sireletsa khokahanyo ea rona haeba motho e mong a utsoa sebaka sa hau sa aterese a sa hlokomele ('me sena se tla etsahala haufinyane kapa hamorao);
- Kenya e 'ngoe ea li-cache tsa RPKI tse bulehileng (, ) le ho nolofalletsa ho hlahloba tsela moeling oa marang-rang - sena se tla nka nako e eketsehileng, empa hape, se ke ke sa baka mathata leha e le afe a theknoloji.
Yandex e boetse e ts'ehetsa nts'etsopele ea sistimi ea ho sefa e thehiloeng ho ntho e ncha ea RPKI - (Autonomous System Provider Authorization). Li-filters tse thehiloeng ho lintho tsa ASPA le ROA li ke ke tsa nka sebaka sa "leaky" AS-SETs feela, empa hape li koala litaba tsa tlhaselo ea MiTM e sebelisang BGP.
Ke tla bua ka botlalo ka ASPA ka khoeli kopanong ea Next Hop. Basebetsi-'moho le Netflix, Facebook, Dropbox, Juniper, Mellanox le Yandex le bona ba tla bua moo. Haeba u thahasella stack ea marang-rang le tsoelo-pele ea eona nakong e tlang, tloo .
Source: www.habr.com