Салом, номи ман Александр Азимов. Дар Яндекс ман системаҳои гуногуни мониторинг, инчунин меъмории шабакаҳои нақлиётиро таҳия мекунам. Аммо имрӯз мо дар бораи протоколи BGP сӯҳбат хоҳем кард.
Як ҳафта пеш, Яндекс дар интерфейс бо ҳама шарикони ҳамсоя ва инчунин нуқтаҳои мубодилаи трафик ROV (Тасдиқи пайдоиши масир) -ро фаъол кард. Дар зер бихонед, ки чаро ин кор карда шуд ва он ба ҳамкорӣ бо операторони алоқа чӣ гуна таъсир мерасонад.
BGP ва он чӣ нодуруст аст
Шумо эҳтимол медонед, ки BGP ҳамчун протоколи масири байнидоменӣ тарҳрезӣ шудааст. Бо вуҷуди ин, дар тӯли ин роҳ, шумораи ҳолатҳои истифода афзоиш ёфт: имрӯз, BGP, ба шарофати васеъшавии сершумор, ба автобуси паёмҳо табдил ёфт, ки вазифаҳоро аз оператори VPN то SD-WAN-и ҳозира мудаввар фаро мегирад ва ҳатто замимаеро ҳамчун нақлиёт барои контролери ба SDN монанд, табдил додани вектори масофа BGP ба чизи шабеҳ ба протоколи пайвастшавӣ.
Наќшаи. 1.
Чаро BGP ин қадар истифодаро гирифтааст (ва қабул мекунад)? Ду сабаби асосӣ вуҷуд дорад:
- BGP ягона протоколест, ки байни системаҳои автономӣ (AS) кор мекунад;
- BGP атрибутҳоро дар формати TLV (type-length-value) дастгирӣ мекунад. Бале, протокол дар ин танҳо нест, аммо азбаски ҳеҷ чиз барои иваз кардани он дар гузаргоҳҳои байни операторони телекоммуникатсионӣ вуҷуд надорад, ҳамеша ба он пайваст кардани як унсури функсионалии дигар назар ба дастгирии протоколи иловагии масир муфидтар аст.
Ба ӯ чӣ шудааст? Хулоса, дар протокол механизмҳои дарунсохт барои тафтиши дурустии иттилооти гирифташуда мавҷуд нест. Яъне, BGP протоколи боварӣ аст: агар шумо хоҳед, ки ба ҷаҳон бигӯед, ки шумо ҳоло шабакаи Ростелеком, МТС ё Яндекс доред, лутфан!
Филтри дар асоси IRRDB - беҳтарини бадтарин
Саволе ба миён меояд: чаро интернет то ҳол дар чунин вазъият кор мекунад? Бале, он аксар вақт кор мекунад, аммо дар айни замон он ба таври даврӣ таркида, тамоми қишрҳои миллиро дастнорас мекунад. Гарчанде ки фаъолияти ҳакерҳо дар BGP низ дар ҳоли афзоиш аст, аксари аномалияҳо ҳанӯз аз хатогиҳо ба вуҷуд меоянд. Мисоли имсола дар Беларус, ки як қисми муҳими интернетро барои корбарони Мегафон ним соат дастнорас кард. Мисоли дигар - яке аз калонтарин шабакаҳои CDN-ро дар ҷаҳон шикаст.
Райс. 2. Боздошти трафики Cloudflare
Аммо ба ҳар ҳол, чаро ин гуна аномалияҳо дар шаш моҳ як маротиба рух медиҳанд, на ҳар рӯз? Зеро интиқолдиҳандагон барои тафтиши он чизе, ки аз ҳамсояҳои BGP мегиранд, аз пойгоҳи додаҳои берунии иттилооти масир истифода мебаранд. Чунин пойгоҳи додаҳо зиёданд, ки баъзеи онҳоро бақайдгирандагон идора мекунанд (RIPE, APNIC, ARIN, AFRINIC), баъзеи онҳо бозигарони мустақил мебошанд (машҳуртаринаш RADB аст) ва инчунин маҷмӯи пурраи бақайдгирандагон ба ширкатҳои калон тааллуқ доранд (Level3) , NTT ва ғайра). Маҳз ба шарофати ин пойгоҳи додаҳо, масири байнидоменӣ устувории нисбии кори худро нигоҳ медорад.
Бо вуҷуди ин, нозукиҳо ҳастанд. Маълумоти масир дар асоси объектҳои ROUTE-OBJECTS ва AS-SET тафтиш карда мешавад. Ва агар якум иҷозатро барои як қисми IRRDB дар назар дошта бошад, пас барои синфи дуюм иҷозат ҳамчун синф вуҷуд надорад. Яъне, ҳар кас метавонад ҳар касро ба маҷмӯаҳои худ илова кунад ва ба ин васила аз филтрҳои провайдерҳои болооб гузарад. Гузашта аз ин, беҳамтоии номгузории AS-SET байни пойгоҳҳои гуногуни IRR кафолат дода намешавад, ки метавонад ба оқибатҳои тааҷҷубовар бо талафоти ногаҳонии пайвастшавӣ барои оператори телекоммуникатсионӣ оварда расонад, ки дар навбати худ чизеро тағир надодааст.
Мушкилоти иловагӣ намунаи истифодаи AS-SET мебошад. Дар ин ҷо ду нукта вуҷуд дорад:
- Вақте ки оператор муштарии нав мегирад, онро ба AS-SET-и худ илова мекунад, аммо қариб ҳеҷ гоҳ онро хориҷ намекунад;
- Худи филтрҳо танҳо дар интерфейс бо мизоҷон танзим карда мешаванд.
Дар натиҷа, формати муосири филтрҳои BGP аз филтрҳои тадриҷан таҳқиршаванда дар интерфейс бо мизоҷон ва эътимоди априорӣ ба он чизе, ки аз шарикони ҳамсол ва провайдерҳои транзити IP меояд, иборат аст.
Иваз кардани филтрҳои префикс дар асоси AS-SET чист? Аз ҳама ҷолиб он аст, ки дар муддати кӯтоҳ - ҳеҷ чиз. Аммо механизмҳои иловагӣ пайдо мешаванд, ки кори филтрҳои IRRDB-ро пурра мекунанд ва пеш аз ҳама, ин, албатта, RPKI аст.
РПКИ
Бо роҳи соддашуда, меъмории RPKI-ро метавон ҳамчун пойгоҳи додаҳои тақсимшуда баррасӣ кард, ки сабтҳои онро бо роҳи криптографӣ тасдиқ кардан мумкин аст. Дар мавриди ROA (Authorization Object Route), имзогузор соҳиби фазои суроға аст ва худи сабт сегона аст (префикс, asn, max_length). Аслан, ин навиштаҷот чунин пешниҳод мекунад: соҳиби фазои суроғаи $prefix ба рақами AS $asn иҷозат додааст, то префиксҳоро бо дарозии на бештар аз $max_length таблиғ кунад. Ва роутерҳо, бо истифода аз кэши RPKI, қодиранд, ки ҷуфтро мувофиқат кунанд префикс - сухангӯи аввал дар роҳ.
Расми 3. Меъмории RPKI
Объектҳои ROA муддати тӯлонӣ стандартизатсия шуда буданд, аммо то ба наздикӣ онҳо дар маҷаллаи IETF танҳо дар рӯи коғаз боқӣ мемонданд. Ба андешаи ман, сабаби ин даҳшатнок аст - маркетинги бад. Пас аз ба итмом расидани стандартизатсия, ангеза ин буд, ки ROA аз дуздии BGP муҳофизат мекард - ин дуруст нест. Ҳамлагарон метавонанд тавассути ворид кардани рақами дурусти AC дар оғози роҳ филтрҳои ROA-ро ба осонӣ гузаранд. Ва ҳамин ки ин амалӣ шуд, қадами навбатии мантиқӣ даст кашидан аз истифодаи ROA буд. Ва дар ҳақиқат, чаро ба мо технология лозим аст, агар он кор накунад?
Чаро вақти он расидааст, ки фикри худро тағир диҳед? Зеро ин ҳама ҳақиқат нест. ROA аз фаъолияти ҳакерҳо дар BGP муҳофизат намекунад, аммо аз рабудани тасодуфии наклиёт мухофизат мекунад, масалан, аз ихроҷи статикӣ дар BGP, ки бештар маъмул мешавад. Инчунин, бар хилофи филтрҳои IRR асосёфта, ROV-ро на танҳо дар интерфейс бо муштариён, балки дар интерфейс бо ҳамсолон ва провайдерҳои болооб низ истифода бурдан мумкин аст. Яъне, дар баробари ҷорӣ шудани RPKI, эътимоди априори аз BGP тадриҷан аз байн меравад.
Ҳоло, санҷиши хатсайрҳо дар асоси ROA тадриҷан аз ҷониби бозигарони калидӣ амалӣ карда мешавад: бузургтарин IX аврупоӣ аллакай масирҳои нодурустро рад мекунад; дар байни операторони Tier-1, AT&T-ро таъкид кардан лозим аст, ки филтрҳоро дар интерфейс бо шарикони ҳамсолаш фаъол кардааст. Бузургтарин провайдерҳои мундариҷа низ ба лоиҳа наздик мешаванд. Ва даҳҳо операторони транзити миёна онро аллакай оромона иҷро кардаанд, бидуни он ки дар ин бора ба касе чизе нагӯянд. Чаро ҳамаи ин операторҳо RPKI-ро татбиқ мекунанд? Ҷавоб оддӣ аст: барои муҳофизат кардани трафики содиротии худ аз хатогиҳои дигарон. Аз ин рӯ, Яндекс яке аз аввалинҳоест, ки дар Федератсияи Русия ROV-ро дар канори шабакаи худ дохил мекунад.
Баъд чӣ мешавад?
Мо ҳоло тафтиши маълумоти масирро дар интерфейсҳо бо нуқтаҳои мубодилаи трафик ва пирингҳои хусусӣ фаъол кардем. Дар ояндаи наздик санҷиш бо провайдерҳои трафики болооб низ фаъол карда мешавад.
Ин барои шумо чӣ фарқияте дорад? Агар шумо хоҳед, ки амнияти масири трафикро байни шабакаи худ ва Яндекс зиёд кунед, тавсия медиҳем:
- Фазои суроғаи худро имзо кунед - ин оддӣ аст, ба ҳисоби миёна 5-10 дақиқа мегирад. Ин пайвастагии моро дар ҳолате муҳофизат мекунад, ки касе фазои суроғаи шуморо нохост дуздад (ва ин бешубҳа дер ё зуд рӯй медиҳад);
- Яке аз кэшҳои кушодаи RPKI -ро насб кунед (, ) ва тафтиши хатсайрро дар сарҳади шабака фаъол созед - ин вақти бештарро талаб мекунад, аммо боз ҳам ҳеҷ мушкили техникӣ ба вуҷуд намеорад.
Яндекс инчунин таҳияи системаи филтрро дар асоси объекти нави RPKI дастгирӣ мекунад - (Авторизатсияи провайдери системаҳои мустақил). Филтрҳо дар асоси объектҳои ASPA ва ROA на танҳо метавонанд AS-SET-ҳои “шоқ”-ро иваз кунанд, балки масъалаҳои ҳамлаҳои MiTM-ро бо истифода аз BGP пӯшанд.
Ман дар як моҳ дар конфронси Next Hop дар бораи ASPA муфассал сӯҳбат мекунам. Дар он ҷо ҳамкорон аз Netflix, Facebook, Dropbox, Juniper, Mellanox ва Yandex низ суханронӣ мекунанд. Агар шумо ба стеки шабакавӣ ва рушди он дар оянда таваҷҷӯҳ дошта бошед, биёед .
Манбаъ: will.com