வணக்கம், என் பெயர் அலெக்சாண்டர் அசிமோவ். Yandex இல், நான் பல்வேறு கண்காணிப்பு அமைப்புகளையும், போக்குவரத்து நெட்வொர்க் கட்டமைப்பையும் உருவாக்குகிறேன். ஆனால் இன்று நாம் BGP நெறிமுறை பற்றி பேசுவோம்.
ஒரு வாரத்திற்கு முன்பு, யாண்டெக்ஸ் ROV (ரூட் ஆரிஜின் சரிபார்ப்பு) அனைத்து சக கூட்டாளர்களுடனான இடைமுகங்களிலும், போக்குவரத்து பரிமாற்ற புள்ளிகளிலும் செயல்படுத்தப்பட்டது. இது ஏன் செய்யப்பட்டது மற்றும் தொலைத்தொடர்பு ஆபரேட்டர்களுடனான தொடர்புகளை இது எவ்வாறு பாதிக்கும் என்பதைப் பற்றி கீழே படிக்கவும்.
BGP மற்றும் அதில் என்ன தவறு
பிஜிபி ஒரு இன்டர்டொமைன் ரூட்டிங் நெறிமுறையாக வடிவமைக்கப்பட்டுள்ளது என்பதை நீங்கள் அறிந்திருக்கலாம். இருப்பினும், வழியில், பயன்பாட்டு வழக்குகளின் எண்ணிக்கை அதிகரிக்க முடிந்தது: இன்று, BGP, பல நீட்டிப்புகளுக்கு நன்றி, ஒரு செய்தி பஸ்ஸாக மாறியுள்ளது, ஆபரேட்டர் VPN முதல் இப்போது நாகரீகமான SD-WAN வரையிலான பணிகளை உள்ளடக்கியது, மேலும் இது போன்ற பயன்பாட்டைக் கண்டறிந்துள்ளது. SDN-போன்ற கட்டுப்படுத்திக்கான போக்குவரத்து, தொலைதூர திசையன் BGPஐ இணைப்புகள் நெறிமுறைக்கு ஒத்ததாக மாற்றுகிறது.
படம். 1.
BGP ஏன் பல பயன்பாடுகளைப் பெற்றுள்ளது (தொடர்ந்து பெறுகிறது)? இரண்டு முக்கிய காரணங்கள் உள்ளன:
- தன்னாட்சி அமைப்புகளுக்கு (AS) இடையே செயல்படும் ஒரே நெறிமுறை BGP ஆகும்;
- BGP TLV (வகை-நீளம்-மதிப்பு) வடிவத்தில் பண்புக்கூறுகளை ஆதரிக்கிறது. ஆம், நெறிமுறை இதில் தனியாக இல்லை, ஆனால் தொலைதொடர்பு ஆபரேட்டர்களுக்கு இடையிலான சந்திப்புகளில் அதை மாற்ற எதுவும் இல்லை என்பதால், கூடுதல் ரூட்டிங் நெறிமுறையை ஆதரிப்பதை விட மற்றொரு செயல்பாட்டு உறுப்பை அதனுடன் இணைப்பது எப்போதும் லாபகரமானதாக மாறும்.
அவருக்கு என்ன ஆச்சு? சுருக்கமாக, பெறப்பட்ட தகவலின் சரியான தன்மையை சரிபார்க்க நெறிமுறை உள்ளமைக்கப்பட்ட வழிமுறைகள் இல்லை. அதாவது, BGP என்பது ஒரு முன்னோடி நம்பிக்கை நெறிமுறை: நீங்கள் இப்போது Rostelecom, MTS அல்லது Yandex நெட்வொர்க்கை வைத்திருக்கிறீர்கள் என்பதை உலகுக்குச் சொல்ல விரும்பினால், தயவுசெய்து!
IRRDB அடிப்படையிலான வடிகட்டி - மோசமானவற்றில் சிறந்தது
கேள்வி எழுகிறது: இதுபோன்ற சூழ்நிலையில் இணையம் ஏன் இன்னும் வேலை செய்கிறது? ஆம், இது பெரும்பாலான நேரங்களில் வேலை செய்கிறது, ஆனால் அதே நேரத்தில் அது அவ்வப்போது வெடித்து, முழு தேசிய பிரிவுகளையும் அணுக முடியாததாக ஆக்குகிறது. BGP இல் ஹேக்கர் செயல்பாடு அதிகரித்து வருகிறது என்றாலும், பெரும்பாலான முரண்பாடுகள் இன்னும் பிழைகளால் ஏற்படுகின்றன. இந்த ஆண்டு உதாரணம் பெலாரஸில், இணையத்தின் குறிப்பிடத்தக்க பகுதியை மெகாஃபோன் பயனர்களுக்கு அரை மணி நேரம் அணுக முடியாததாக ஆக்கியது. மற்றொரு உதாரணம் - உலகின் மிகப்பெரிய CDN நெட்வொர்க்குகளில் ஒன்றை உடைத்தது.
அரிசி. 2. Cloudflare போக்குவரத்து இடைமறிப்பு
ஆனால் இன்னும், ஏன் இத்தகைய முரண்பாடுகள் ஒவ்வொரு ஆறு மாதங்களுக்கும் ஒருமுறை நிகழ்கின்றன, ஒவ்வொரு நாளும் அல்ல? ஏனெனில் கேரியர்கள் BGP அண்டை நாடுகளிடமிருந்து பெறுவதைச் சரிபார்க்க ரூட்டிங் தகவலின் வெளிப்புற தரவுத்தளங்களைப் பயன்படுத்துகின்றனர். இதுபோன்ற பல தரவுத்தளங்கள் உள்ளன, அவற்றில் சில பதிவாளர்களால் நிர்வகிக்கப்படுகின்றன (RIPE, APNIC, ARIN, AFRINIC), சில சுயாதீன வீரர்கள் (மிகவும் பிரபலமானது RADB), மேலும் பெரிய நிறுவனங்களுக்கு சொந்தமான பதிவாளர்களின் முழு தொகுப்பும் உள்ளது (Level3 , NTT, முதலியன). இந்த தரவுத்தளங்களுக்கு நன்றி, டொமைன் ரூட்டிங் அதன் செயல்பாட்டின் ஒப்பீட்டு நிலைத்தன்மையை பராமரிக்கிறது.
இருப்பினும், நுணுக்கங்கள் உள்ளன. ரூட்டிங் தகவல் ROUTE-OBJECTS மற்றும் AS-SET பொருள்களின் அடிப்படையில் சரிபார்க்கப்படுகிறது. மேலும் ஐஆர்ஆர்டிபியின் ஒரு பகுதிக்கான அங்கீகாரத்தை முதலில் குறிக்கிறது என்றால், இரண்டாம் வகுப்பிற்கு வகுப்பாக அங்கீகாரம் இல்லை. அதாவது, எவரும் யாரையும் தங்கள் செட்களில் சேர்க்கலாம் மற்றும் அதன் மூலம் அப்ஸ்ட்ரீம் வழங்குநர்களின் வடிப்பான்களைத் தவிர்க்கலாம். மேலும், வெவ்வேறு IRR தளங்களுக்கு இடையில் AS-SET பெயரிடலின் தனித்தன்மை உத்தரவாதம் அளிக்கப்படவில்லை, இது தொலைத்தொடர்பு ஆபரேட்டருக்கு திடீரென இணைப்பு இழப்புடன் ஆச்சரியமான விளைவுகளுக்கு வழிவகுக்கும், அவர் தனது பங்கிற்கு, எதையும் மாற்றவில்லை.
AS-SET இன் பயன்பாட்டு முறை கூடுதல் சவாலாகும். இங்கே இரண்டு புள்ளிகள் உள்ளன:
- ஒரு ஆபரேட்டர் ஒரு புதிய கிளையண்டைப் பெற்றால், அது அதை அதன் AS-SET இல் சேர்க்கிறது, ஆனால் கிட்டத்தட்ட அதை அகற்றாது;
- வடிகட்டிகள் வாடிக்கையாளர்களுடனான இடைமுகங்களில் மட்டுமே கட்டமைக்கப்படுகின்றன.
இதன் விளைவாக, BGP வடிப்பான்களின் நவீன வடிவமானது வாடிக்கையாளர்களுடனான இடைமுகங்களில் படிப்படியாக சிதைக்கும் வடிப்பான்களைக் கொண்டுள்ளது மற்றும் பியரிங் பார்ட்னர்கள் மற்றும் IP ட்ரான்ஸிட் வழங்குநர்களிடமிருந்து வரும்வற்றில் முதன்மையான நம்பிக்கை உள்ளது.
AS-SET அடிப்படையில் முன்னொட்டு வடிப்பான்களை மாற்றுவது என்ன? மிகவும் சுவாரஸ்யமான விஷயம் என்னவென்றால், குறுகிய காலத்தில் - எதுவும் இல்லை. ஆனால் IRRDB- அடிப்படையிலான வடிப்பான்களின் வேலையை நிறைவு செய்யும் கூடுதல் வழிமுறைகள் வெளிவருகின்றன, முதலில், இது நிச்சயமாக RPKI ஆகும்.
ஆர்.பி.கே.ஐ
எளிமையான முறையில், RPKI கட்டமைப்பு என்பது ஒரு விநியோகிக்கப்பட்ட தரவுத்தளமாக கருதப்படலாம், அதன் பதிவுகள் குறியாக்கவியல் ரீதியாக சரிபார்க்கப்படலாம். ROA (ரூட் ஆப்ஜெக்ட் அங்கீகாரம்) விஷயத்தில், கையொப்பமிட்டவர் முகவரி இடத்தின் உரிமையாளராக இருப்பார், மேலும் பதிவே மூன்று மடங்கு (முன்னொட்டு, asn, max_length) ஆகும். அடிப்படையில், இந்த உள்ளீடு பின்வருவனவற்றை முன்வைக்கிறது: $max_lengthக்கு மிகாமல் நீளமுள்ள முன்னொட்டுகளை விளம்பரப்படுத்த $asn என்ற $ முன்னொட்டு முகவரி இடத்தின் உரிமையாளர் AS எண்ணை அங்கீகரித்துள்ளார். மற்றும் திசைவிகள், RPKI தற்காலிக சேமிப்பைப் பயன்படுத்தி, ஜோடி இணக்கத்தை சரிபார்க்க முடியும் முன்னொட்டு - வழியில் முதல் பேச்சாளர்.
படம் 3. RPKI கட்டிடக்கலை
ROA பொருள்கள் நீண்ட காலமாக தரப்படுத்தப்பட்டுள்ளன, ஆனால் சமீபத்தில் வரை அவை IETF இதழில் காகிதத்தில் மட்டுமே இருந்தன. என் கருத்துப்படி, இதற்கான காரணம் பயமாக இருக்கிறது - மோசமான சந்தைப்படுத்தல். தரநிலைப்படுத்தல் முடிந்ததும், BGP கடத்தலில் இருந்து ROA பாதுகாத்தது - இது உண்மையல்ல. பாதையின் தொடக்கத்தில் சரியான ஏசி எண்ணைச் செருகுவதன் மூலம் தாக்குபவர்கள் ROA-அடிப்படையிலான வடிப்பான்களை எளிதில் கடந்து செல்லலாம். இந்த உணர்தல் வந்தவுடன், அடுத்த தர்க்கரீதியான படி ROA இன் பயன்பாட்டை கைவிடுவதாகும். உண்மையில், அது வேலை செய்யவில்லை என்றால் நமக்கு ஏன் தொழில்நுட்பம் தேவை?
உங்கள் மனதை மாற்றுவதற்கான நேரம் இது ஏன்? ஏனெனில் இது முழு உண்மையல்ல. பிஜிபியில் ஹேக்கர் நடவடிக்கைக்கு எதிராக ROA பாதுகாக்காது, ஆனால் தற்செயலான போக்குவரத்து கடத்தல்களிலிருந்து பாதுகாக்கிறது, எடுத்துக்காட்டாக BGP இல் நிலையான கசிவுகள், இது மிகவும் பொதுவானதாகி வருகிறது. மேலும், IRR-அடிப்படையிலான வடிப்பான்களைப் போலன்றி, ROV ஆனது வாடிக்கையாளர்களுடனான இடைமுகங்களில் மட்டுமல்ல, சகாக்கள் மற்றும் அப்ஸ்ட்ரீம் வழங்குநர்களுடனான இடைமுகங்களிலும் பயன்படுத்தப்படலாம். அதாவது, RPKI இன் அறிமுகத்துடன், BGP இலிருந்து ஒரு priori அறக்கட்டளை படிப்படியாக மறைந்து வருகிறது.
இப்போது, ROA அடிப்படையிலான வழிகளை சரிபார்ப்பது படிப்படியாக முக்கிய வீரர்களால் செயல்படுத்தப்படுகிறது: மிகப்பெரிய ஐரோப்பிய IX ஏற்கனவே அடுக்கு-1 ஆபரேட்டர்களிடையே தவறான வழிகளை நிராகரிக்கிறது, இது AT&T ஐ முன்னிலைப்படுத்துவது மதிப்புக்குரியது, இது அதன் சக கூட்டாளர்களுடன் இடைமுகங்களில் வடிகட்டிகளை இயக்கியுள்ளது. மிகப்பெரிய உள்ளடக்க வழங்குநர்களும் திட்டத்தை அணுகுகின்றனர். டஜன் கணக்கான நடுத்தர அளவிலான டிரான்சிட் ஆபரேட்டர்கள் இதைப் பற்றி யாரிடமும் சொல்லாமல் ஏற்கனவே அமைதியாக செயல்படுத்தியுள்ளனர். இந்த ஆபரேட்டர்கள் அனைவரும் RPKIஐ ஏன் செயல்படுத்துகிறார்கள்? பதில் எளிது: மற்றவர்களின் தவறுகளிலிருந்து உங்கள் வெளிச்செல்லும் போக்குவரத்தைப் பாதுகாக்க. அதனால்தான் யாண்டெக்ஸ் அதன் நெட்வொர்க்கின் விளிம்பில் ROV ஐ உள்ளடக்கிய ரஷ்ய கூட்டமைப்பில் முதன்மையானது.
அடுத்து என்ன நடக்கும்?
ட்ராஃபிக் எக்ஸ்சேஞ்ச் புள்ளிகள் மற்றும் பிரைவேட் பீரிங்க்களுடன் உள்ள இடைமுகங்களில் ரூட்டிங் தகவலைச் சரிபார்ப்பதை நாங்கள் இப்போது இயக்கியுள்ளோம். எதிர்காலத்தில், அப்ஸ்ட்ரீம் ட்ராஃபிக் வழங்குநர்களுடன் சரிபார்ப்பும் இயக்கப்படும்.
இது உங்களுக்கு என்ன வித்தியாசத்தை ஏற்படுத்துகிறது? உங்கள் நெட்வொர்க்குக்கும் யாண்டெக்ஸுக்கும் இடையில் போக்குவரத்து ரூட்டிங் பாதுகாப்பை அதிகரிக்க விரும்பினால், நாங்கள் பரிந்துரைக்கிறோம்:
- உங்கள் முகவரி இடத்தில் கையொப்பமிடுங்கள் - இது எளிது, சராசரியாக 5-10 நிமிடங்கள் ஆகும். உங்கள் முகவரி இடத்தை அறியாமல் யாராவது திருடினால், இது எங்கள் இணைப்பைப் பாதுகாக்கும் (இது நிச்சயமாக விரைவில் அல்லது பின்னர் நடக்கும்);
- திறந்த மூல RPKI தற்காலிக சேமிப்புகளில் ஒன்றை நிறுவவும் (, ) மற்றும் பிணைய எல்லையில் பாதை சரிபார்ப்பை இயக்கவும் - இது அதிக நேரம் எடுக்கும், ஆனால் மீண்டும், இது எந்த தொழில்நுட்ப சிக்கல்களையும் ஏற்படுத்தாது.
புதிய RPKI பொருளின் அடிப்படையில் வடிகட்டுதல் அமைப்பின் வளர்ச்சியையும் Yandex ஆதரிக்கிறது - (தன்னாட்சி அமைப்பு வழங்குநர் அங்கீகாரம்). ASPA மற்றும் ROA பொருட்களை அடிப்படையாகக் கொண்ட வடிப்பான்கள் "கசிவு" AS-SETகளை மாற்றுவது மட்டுமல்லாமல், BGP ஐப் பயன்படுத்தி MiTM தாக்குதல்களின் சிக்கல்களையும் மூடும்.
அடுத்த ஹாப் மாநாட்டில் ஒரு மாதத்தில் ASPA பற்றி விரிவாகப் பேசுவேன். Netflix, Facebook, Dropbox, Juniper, Mellanox மற்றும் Yandex இன் சக ஊழியர்களும் அங்கு பேசுவார்கள். நெட்வொர்க் ஸ்டாக் மற்றும் எதிர்காலத்தில் அதன் வளர்ச்சியில் நீங்கள் ஆர்வமாக இருந்தால், வாருங்கள் .
ஆதாரம்: www.habr.com