Худи филтрҳо танҳо дар интерфейс бо мизоҷон танзим карда мешаванд.
Дар натиҷа, формати муосири филтрҳои BGP аз филтрҳои тадриҷан таҳқиршаванда дар интерфейс бо мизоҷон ва эътимоди априорӣ ба он чизе, ки аз шарикони ҳамсол ва провайдерҳои транзити IP меояд, иборат аст.
Иваз кардани филтрҳои префикс дар асоси AS-SET чист? Аз ҳама ҷолиб он аст, ки дар муддати кӯтоҳ - ҳеҷ чиз. Аммо механизмҳои иловагӣ пайдо мешаванд, ки кори филтрҳои IRRDB-ро пурра мекунанд ва пеш аз ҳама, ин, албатта, RPKI аст.
РПКИ
Бо роҳи соддашуда, меъмории RPKI-ро метавон ҳамчун пойгоҳи додаҳои тақсимшуда баррасӣ кард, ки сабтҳои онро бо роҳи криптографӣ тасдиқ кардан мумкин аст. Дар мавриди ROA (Authorization Object Route), имзогузор соҳиби фазои суроға аст ва худи сабт сегона аст (префикс, asn, max_length). Аслан, ин навиштаҷот чунин пешниҳод мекунад: соҳиби фазои суроғаи $prefix ба рақами AS $asn иҷозат додааст, то префиксҳоро бо дарозии на бештар аз $max_length таблиғ кунад. Ва роутерҳо, бо истифода аз кэши RPKI, қодиранд, ки ҷуфтро мувофиқат кунанд префикс - сухангӯи аввал дар роҳ.
Расми 3. Меъмории RPKI
Объектҳои ROA муддати тӯлонӣ стандартизатсия шуда буданд, аммо то ба наздикӣ онҳо дар маҷаллаи IETF танҳо дар рӯи коғаз боқӣ мемонданд. Ба андешаи ман, сабаби ин даҳшатнок аст - маркетинги бад. Пас аз ба итмом расидани стандартизатсия, ангеза ин буд, ки ROA аз дуздии BGP муҳофизат мекард - ин дуруст нест. Ҳамлагарон метавонанд тавассути ворид кардани рақами дурусти AC дар оғози роҳ филтрҳои ROA-ро ба осонӣ гузаранд. Ва ҳамин ки ин амалӣ шуд, қадами навбатии мантиқӣ даст кашидан аз истифодаи ROA буд. Ва дар ҳақиқат, чаро ба мо технология лозим аст, агар он кор накунад?
Чаро вақти он расидааст, ки фикри худро тағир диҳед? Зеро ин ҳама ҳақиқат нест. ROA аз фаъолияти ҳакерҳо дар BGP муҳофизат намекунад, аммо аз рабудани тасодуфии наклиёт мухофизат мекунад, масалан, аз ихроҷи статикӣ дар BGP, ки бештар маъмул мешавад. Инчунин, бар хилофи филтрҳои IRR асосёфта, ROV-ро на танҳо дар интерфейс бо муштариён, балки дар интерфейс бо ҳамсолон ва провайдерҳои болооб низ истифода бурдан мумкин аст. Яъне, дар баробари ҷорӣ шудани RPKI, эътимоди априори аз BGP тадриҷан аз байн меравад.
Ҳоло, санҷиши хатсайрҳо дар асоси ROA тадриҷан аз ҷониби бозигарони калидӣ амалӣ карда мешавад: бузургтарин IX аврупоӣ аллакай масирҳои нодурустро рад мекунад; дар байни операторони Tier-1, AT&T-ро таъкид кардан лозим аст, ки филтрҳоро дар интерфейс бо шарикони ҳамсолаш фаъол кардааст. Бузургтарин провайдерҳои мундариҷа низ ба лоиҳа наздик мешаванд. Ва даҳҳо операторони транзити миёна онро аллакай оромона иҷро кардаанд, бидуни он ки дар ин бора ба касе чизе нагӯянд. Чаро ҳамаи ин операторҳо RPKI-ро татбиқ мекунанд? Ҷавоб оддӣ аст: барои муҳофизат кардани трафики содиротии худ аз хатогиҳои дигарон. Аз ин рӯ, Яндекс яке аз аввалинҳоест, ки дар Федератсияи Русия ROV-ро дар канори шабакаи худ дохил мекунад.
Баъд чӣ мешавад?
Мо ҳоло тафтиши маълумоти масирро дар интерфейсҳо бо нуқтаҳои мубодилаи трафик ва пирингҳои хусусӣ фаъол кардем. Дар ояндаи наздик санҷиш бо провайдерҳои трафики болооб низ фаъол карда мешавад.
Яке аз кэшҳои кушодаи RPKI -ро насб кунед (пухтакор, роутинатор) ва тафтиши хатсайрро дар сарҳади шабака фаъол созед - ин вақти бештарро талаб мекунад, аммо боз ҳам ҳеҷ мушкили техникӣ ба вуҷуд намеорад.
Яндекс инчунин таҳияи системаи филтрро дар асоси объекти нави RPKI дастгирӣ мекунад - ASPA (Авторизатсияи провайдери системаҳои мустақил). Филтрҳо дар асоси объектҳои ASPA ва ROA на танҳо метавонанд AS-SET-ҳои “шоқ”-ро иваз кунанд, балки масъалаҳои ҳамлаҳои MiTM-ро бо истифода аз BGP пӯшанд.
Ман дар як моҳ дар конфронси Next Hop дар бораи ASPA муфассал сӯҳбат мекунам. Дар он ҷо ҳамкорон аз Netflix, Facebook, Dropbox, Juniper, Mellanox ва Yandex низ суханронӣ мекунанд. Агар шумо ба стеки шабакавӣ ва рушди он дар оянда таваҷҷӯҳ дошта бошед, биёед бақайдгирӣ кушода аст.