Halo, nami abdi Alexander Azimov. Di Yandex, kuring ngembangkeun rupa-rupa sistem monitoring, kitu ogé arsitektur jaringan angkutan. Tapi ayeuna urang bakal ngobrol ngeunaan protokol BGP.
Saminggu ka tukang, Yandex ngaktifkeun ROV (Route Origin Validation) dina hubungan sareng sadaya mitra peering, ogé titik pertukaran lalu lintas. Baca di handap ngeunaan naha ieu dipigawé sarta kumaha eta bakal mangaruhan interaksi jeung operator telekomunikasi.
BGP na naon salahna
Anjeun meureun terang yén BGP dirancang salaku protokol routing interdomain. Sanajan kitu, sapanjang jalan, jumlah kasus pamakéan junun tumuwuh: kiwari, BGP, berkat sababaraha ekstensi, geus robah jadi beus pesen, ngawengku tugas ti operator VPN ka SD-WAN kiwari fashionable, sarta malah geus kapanggih aplikasi salaku. a angkutan pikeun controller SDN-kawas, ngarobah jarak vektor BGP kana hal nu sarupa jeung Tumbu diuk protokol.
Gbr. 1.
Naha BGP nampi (sareng terus nampi) seueur kagunaan? Aya dua alesan utama:
- BGP mangrupikeun hiji-hijina protokol anu dianggo antara sistem otonom (AS);
- BGP ngadukung atribut dina format TLV (type-length-value). Leres, protokol henteu nyalira waé, tapi kusabab teu aya anu ngagentosna di simpang antara operator telekomunikasi, éta salawasna langkung nguntungkeun pikeun ngagantelkeun unsur fungsional anu sanés tibatan ngadukung protokol routing tambahan.
Aya naon jeung manéhna? Pondokna, protokol henteu gaduh mékanisme anu diwangun pikeun mariksa kabeneran inpormasi anu ditampi. Nyaéta, BGP mangrupikeun protokol kapercayaan apriori: upami anjeun hoyong nyarios ka dunya yén anjeun ayeuna gaduh jaringan Rostelecom, MTS atanapi Yandex, mangga!
Saringan dumasar IRRDB - anu pangsaéna tina anu awon
Patarosan timbul: naha Internet masih dianggo dina kaayaan kitu? Sumuhun, éta jalan lolobana waktu, tapi dina waktos anu sareng périodik explodes, sahingga sakabéh bagéan nasional inaccessible. Sanajan aktivitas hacker di BGP ogé dina naékna, lolobana anomali masih disababkeun ku bug. Contona taun ieu di Bélarus, nu ngajadikeun bagian signifikan tina Internet inaccessible ka pamaké MegaFon pikeun satengah jam. conto sejen - peupeus salah sahiji jaringan CDN pangbadagna di dunya.
Sangu. 2. Cloudflare lalulintas interception
Tapi tetep, naha anomali sapertos lumangsung sakali unggal genep bulan, sarta henteu unggal poe? Kusabab operator nganggo database éksternal inpormasi routing pikeun pariksa naon anu aranjeunna nampi ti tatangga BGP. Aya seueur database sapertos kitu, sababaraha di antarana diurus ku registrar (RIPE, APNIC, ARIN, AFRINIC), sababaraha pamaén mandiri (anu kasohor nyaéta RADB), sareng aya ogé sakumpulan registrar anu dipiboga ku perusahaan ageung (Level3). , NTT, jsb). Hatur nuhun kana pangkalan data ieu yén rute antar-domain ngajaga stabilitas relatif operasina.
Sanajan kitu, aya nuances. Inpormasi rute dipariksa dumasar kana ROUTE-OBJECTS sareng AS-SET objék. Tur upami kahiji imply otorisasina pikeun bagian tina IRRDB, lajeng pikeun kelas kadua euweuh otorisasina salaku kelas. Nyaéta, saha waé tiasa nambihan saha waé kana setna sareng ku kituna ngalangkungan saringan panyadia hulu. Leuwih ti éta, uniqueness tina ngaran AS-SET antara basa IRR béda teu dijamin, nu bisa ngakibatkeun épék héran ku leungitna dadakan tina konektipitas pikeun operator telecom, anu, pikeun bagian-Na, teu ngarobah nanaon.
Tantangan tambahan nyaéta pola pamakean AS-SET. Aya dua titik di dieu:
- Nalika hiji operator meunang klien anyar, eta nambihkeun kana AS-set na, tapi ampir pernah dipiceun;
- Saringan sorangan dikonpigurasi ngan ukur dina antarmuka sareng klien.
Hasilna, format modérn saringan BGP diwangun ku saringan anu ngahinakeun laun-laun dina antarmuka sareng klien sareng kapercayaan apriori dina naon anu asalna tina mitra peering sareng panyadia transit IP.
Naon anu ngagentos saringan awalan dumasar kana AS-SET? Hal paling narik éta dina istilah pondok - nanaon. Tapi mékanisme tambahan muncul nu ngalengkepan karya saringan basis IRRDB, sarta mimiti sagala, ieu, tangtosna, RPKI.
RPKI
Dina cara anu saderhana, arsitéktur RPKI tiasa dianggap salaku database anu disebarkeun anu rékamanna tiasa diverifikasi sacara kriptografi. Dina kasus ROA (Route Objék Otorisasi), signer nu boga spasi alamat, sarta catetan sorangan triple (awalan, asn, max_length). Intina, entri ieu postulates kieu: nu boga spasi alamat awalan geus otorisasi angka AS $asn pikeun Ngaiklan awalan nu panjangna teu leuwih gede ti $max_length. Sareng routers, nganggo cache RPKI, tiasa mariksa pasangan pikeun patuh awalan - spiker munggaran dina jalan.
Gambar 3. Arsitéktur RPKI
Objék ROA parantos distandarkeun pikeun waktos anu lami, tapi dugi ka ayeuna aranjeunna tetep ukur dina kertas dina jurnal IETF. Dina pamanggih kuring, alesan pikeun ieu hurung pikasieuneun - pamasaran goréng. Saatos standarisasi réngsé, insentif éta ROA ditangtayungan tina pangbajak BGP - anu henteu leres. Panyerang tiasa kalayan gampang ngalangkungan saringan dumasar ROA ku ngalebetkeun nomer AC anu leres dina awal jalur. Jeung pas realisasi ieu sumping, lengkah logis salajengna éta abandon pamakéan ROA. Sareng leres, naha urang peryogi téknologi upami éta henteu jalan?
Naha éta waktuna pikeun ngarobah pikiran anjeun? Kusabab ieu teu sakabeh bebeneran. ROA teu ngajaga ngalawan aktivitas hacker di BGP, tapi ngajaga ngalawan pangbajak lalulintas teu kahaja, contona tina bocor statik di BGP, anu janten langkung umum. Ogé, teu saperti saringan basis IRR, ROV bisa dipaké teu ngan dina interfaces jeung klien, tapi ogé di interfaces jeung peers jeung panyadia hulu. Hartina, dibarengan ku ayana RPKI, kapercayaan apriori laun-laun leungit ti BGP.
Ayeuna, pariksa rute dumasar kana ROA sacara bertahap dilaksanakeun ku pamaén konci: IX Éropa panggedéna parantos ngaleungitkeun rute anu salah; diantara operator Tier-1, patut nyorot AT&T, anu parantos ngaktifkeun saringan dina antarmuka sareng mitra peering na. Panyadia eusi panggedéna ogé ngadeukeutan proyék éta. Sareng puluhan operator transit ukuran sedeng parantos ngalaksanakeunana, tanpa nyarioskeun ka saha waé. Naha sadayana operator ieu ngalaksanakeun RPKI? Jawabanna basajan: ngajaga lalu lintas kaluar anjeun tina kasalahan jalma sanés. Éta sababna Yandex mangrupikeun salah sahiji anu munggaran di Féderasi Rusia kalebet ROV di ujung jaringanna.
Naon anu bakal kajadian salajengna?
Urang ayeuna geus diaktipkeun mariksa informasi routing di interfaces kalawan titik bursa lalulintas sarta peerings swasta. Dina mangsa nu bakal datang, verifikasi ogé bakal diaktipkeun ku panyadia lalulintas hulu.
Naon bédana ieu pikeun anjeun? Upami anjeun hoyong ningkatkeun kaamanan routing patalimarga antara jaringan anjeun sareng Yandex, kami nyarankeun:
- Asupkeun spasi alamat anjeun - éta basajan, nyokot 5-10 menit rata-rata. Ieu bakal ngajagi konektipitas urang upami aya anu teu dihaja maok rohangan alamat anjeun (sareng ieu pasti bakal kajantenan engké atanapi engké);
- Pasang salah sahiji cache RPKI open source (, ) sareng aktipkeun pamariksaan rute di wates jaringan - ieu bakal nyandak langkung waktos, tapi deui, éta moal nyababkeun kasusah téknis.
Yandex ogé ngadukung pamekaran sistem nyaring dumasar kana objék RPKI anyar - (Otorisasi Panyadia Sistim Otonom). Saringan dumasar kana objék ASPA sareng ROA henteu ngan ukur tiasa ngagentos AS-SET "bocor", tapi ogé nutup masalah serangan MiTM nganggo BGP.
Kuring bakal ngobrol sacara rinci ngeunaan ASPA dina sabulan dina konperénsi Next Hop. Kolega ti Netflix, Facebook, Dropbox, Juniper, Mellanox sareng Yandex ogé bakal nyarios di dinya. Mun anjeun kabetot dina tumpukan jaringan sarta perkembangannya dina mangsa nu bakal datang, datangna .
sumber: www.habr.com