Merhaba, adım Alexander Azimov. Yandex'de çeşitli izleme sistemlerinin yanı sıra ulaşım ağı mimarisini de geliştiriyorum. Ancak bugün BGP protokolünden bahsedeceğiz.
Bir hafta önce Yandex, tüm eş ortaklarla olan arayüzlerde ve trafik değişim noktalarında ROV'yi (Rota Başlangıç Doğrulaması) etkinleştirdi. Bunun neden yapıldığını ve telekom operatörleriyle etkileşimi nasıl etkileyeceğini aşağıda okuyun.
BGP ve bunun nesi var?
Muhtemelen BGP'nin alanlar arası yönlendirme protokolü olarak tasarlandığını biliyorsunuzdur. Bununla birlikte, kullanım senaryolarının sayısı da artmayı başardı: bugün BGP, çok sayıda uzantı sayesinde, operatör VPN'sinden artık moda olan SD-WAN'a kadar görevleri kapsayan bir mesaj veriyoluna dönüştü ve hatta şu şekilde uygulama buldu: SDN benzeri bir denetleyici için bir aktarım, mesafe vektörü BGP'yi bağlantıların sat protokolüne benzer bir şeye dönüştürüyor.
Şek. 1.
BGP neden bu kadar çok kullanım alanı buldu (ve almaya devam ediyor)? İki ana nedeni var:
- BGP, otonom sistemler (AS) arasında çalışan tek protokoldür;
- BGP, TLV (tür-uzunluk-değer) biçimindeki nitelikleri destekler. Evet, protokol bu konuda yalnız değil, ancak telekom operatörleri arasındaki bağlantı noktalarında yerini alacak hiçbir şey olmadığından, ona başka bir işlevsel öğe eklemek, ek bir yönlendirme protokolünü desteklemekten her zaman daha karlı olduğu ortaya çıkıyor.
O'nun nesi var? Kısacası protokol, alınan bilgilerin doğruluğunu kontrol etmek için yerleşik mekanizmalara sahip değildir. Yani BGP bir önsel güven protokolüdür: dünyaya artık Rostelecom, MTS veya Yandex ağının sahibi olduğunuzu söylemek istiyorsanız, lütfen!
IRRDB tabanlı filtre - kötünün iyisi
Şu soru ortaya çıkıyor: İnternet neden böyle bir durumda hala çalışıyor? Evet, çoğu zaman işe yarıyor ama aynı zamanda periyodik olarak patlayarak tüm ulusal kesimleri erişilemez hale getiriyor. BGP'deki hacker faaliyetleri de artıyor olsa da çoğu anormallik hâlâ hatalardan kaynaklanıyor. Bu senenin örneği Belarus'ta internetin önemli bir bölümünü MegaFon kullanıcıları için yarım saat boyunca erişilemez hale getirdi. Başka bir örnek - dünyanın en büyük CDN ağlarından birini kırdı.
Pirinç. 2. Cloudflare trafik müdahalesi
Ama yine de bu tür anormallikler neden her gün değil de altı ayda bir ortaya çıkıyor? Çünkü taşıyıcılar, BGP komşularından ne aldıklarını doğrulamak için yönlendirme bilgilerinin harici veritabanlarını kullanır. Bu tür pek çok veritabanı var, bazıları kayıt şirketleri tarafından yönetiliyor (RIPE, APNIC, ARIN, AFRINIC), bazıları bağımsız oyuncular (en ünlüsü RADB) ve ayrıca büyük şirketlerin sahip olduğu bir dizi kayıt şirketi de var (Seviye3) , NTT, vb.). Bu veritabanları sayesinde alanlar arası yönlendirme işleminin göreceli istikrarını korur.
Ancak nüanslar var. Yönlendirme bilgileri ROUTE-OBJECTS ve AS-SET nesnelerine göre kontrol edilir. Ve eğer ilki IRRDB'nin bir kısmı için yetkilendirmeyi ima ediyorsa, o zaman ikinci sınıf için sınıf olarak yetkilendirme yoktur. Yani, herkes istediği kişiyi setlerine ekleyebilir ve böylece yukarı akış sağlayıcılarının filtrelerini atlayabilir. Ayrıca, farklı IRR tabanları arasındaki AS-SET adlandırmalarının benzersizliği garanti edilmez; bu, kendi adına hiçbir değişiklik yapmayan telekom operatörü için ani bir bağlantı kaybıyla şaşırtıcı etkilere yol açabilir.
AS-SET'in kullanım şekli de bir diğer zorluktur. Burada iki nokta var:
- Bir operatör yeni bir istemci aldığında onu AS-SET'ine ekler ancak neredeyse hiçbir zaman kaldırmaz;
- Filtrelerin kendisi yalnızca istemcilerle olan arayüzlerde yapılandırılır.
Sonuç olarak, BGP filtrelerinin modern formatı, istemcilerle olan arayüzlerde kademeli olarak bozulan filtrelerden ve eş ortaklardan ve IP aktarım sağlayıcılarından gelenlere öncelikli güvenden oluşur.
AS-SET'e dayalı önek filtrelerinin yerini ne alıyor? En ilginç olanı ise kısa vadede hiçbir şey olmamasıdır. Ancak IRRDB tabanlı filtrelerin çalışmasını tamamlayan ek mekanizmalar ortaya çıkıyor ve her şeyden önce bu elbette RPKI.
RPKİ
Basitleştirilmiş bir şekilde RPKI mimarisi, kayıtları kriptografik olarak doğrulanabilen dağıtılmış bir veritabanı olarak düşünülebilir. ROA (Rota Nesnesi Yetkilendirmesi) durumunda, imzalayan adres alanının sahibidir ve kaydın kendisi üçlüdür (önek, asn, maksimum_uzunluk). Temel olarak, bu giriş aşağıdakileri varsayar: $prefix adres alanının sahibi, $asn AS numarasına uzunluğu $max_length'den büyük olmayan öneklerin reklamını yapması için yetki verdi. Ve RPKI önbelleğini kullanan yönlendiriciler çiftin uyumluluğunu kontrol edebilir önek - yolda ilk konuşmacı.
Şekil 3. RPKI mimarisi
ROA nesneleri oldukça uzun bir süredir standartlaştırılmıştır ancak yakın zamana kadar aslında IETF dergisinde yalnızca kağıt üzerinde kalmıştır. Bana göre bunun nedeni kulağa korkutucu geliyor; kötü pazarlama. Standardizasyon tamamlandıktan sonra teşvik, ROA'nın BGP'nin ele geçirilmesine karşı korunmasıydı; bu doğru değildi. Saldırganlar, yolun başına doğru AC numarasını girerek ROA tabanlı filtreleri kolayca atlayabilir. Ve bu farkına varılır varılmaz bir sonraki mantıklı adım ROA kullanımından vazgeçmek oldu. Ve gerçekten, eğer işe yaramıyorsa neden teknolojiye ihtiyacımız var?
Neden fikrinizi değiştirmenin zamanı geldi? Çünkü gerçeğin tamamı bu değil. ROA, BGP'deki hacker faaliyetlerine karşı koruma sağlamaz ancak kazara trafik kaçırmalara karşı koruma sağlarörneğin BGP'deki statik sızıntılardan kaynaklanıyor ki bu daha yaygın hale geliyor. Ayrıca, IRR tabanlı filtrelerden farklı olarak ROV, yalnızca istemcilerle olan arayüzlerde değil, aynı zamanda eşler ve yukarı akış sağlayıcılarla olan arayüzlerde de kullanılabilir. Yani, RPKI'nin tanıtılmasıyla birlikte, önsel güven BGP'den yavaş yavaş kayboluyor.
Artık rotaların ROA'ya dayalı olarak kontrol edilmesi kilit oyuncular tarafından yavaş yavaş uygulanıyor: Avrupa'nın en büyük IX'u zaten yanlış rotaları atıyor; Seviye 1 operatörleri arasında, eş ortaklarıyla arayüzlerde filtreleri etkinleştiren AT&T'yi vurgulamakta fayda var. En büyük içerik sağlayıcılar da projeye yaklaşıyor. Ve düzinelerce orta ölçekli toplu taşıma operatörü bunu kimseye söylemeden sessizce uygulamaya koydu. Neden tüm bu operatörler RPKI uyguluyor? Cevap basit: Giden trafiğinizi diğer insanların hatalarından korumak. Bu nedenle Yandex, ROV'u ağının ucuna dahil eden Rusya Federasyonu'ndaki ilk şirketlerden biridir.
Sonra ne olacak?
Artık trafik değişim noktaları ve özel eşlemeler içeren arayüzlerdeki yönlendirme bilgilerinin kontrol edilmesini etkinleştirdik. Yakın gelecekte, yukarı akış trafik sağlayıcılarıyla doğrulama da etkinleştirilecektir.
Bu sizin için ne gibi bir fark yaratıyor? Ağınız ile Yandex arasındaki trafik yönlendirmesinin güvenliğini artırmak istiyorsanız şunları öneririz:
- Adres alanınızı imzalayın - basittir, ortalama 5-10 dakika sürer. Bu, birisinin farkında olmadan adres alanınızı çalması durumunda bağlantımızı koruyacaktır (ve bu kesinlikle er ya da geç gerçekleşecektir);
- Açık kaynaklı RPKI önbelleklerinden birini yükleyin (, ) ve ağ sınırında rota kontrolünü etkinleştirin - bu daha fazla zaman alacaktır ancak yine de herhangi bir teknik zorluğa neden olmayacaktır.
Yandex ayrıca yeni RPKI nesnesini temel alan bir filtreleme sisteminin geliştirilmesini de destekliyor. (Otonom Sistem Sağlayıcı Yetkisi). ASPA ve ROA nesnelerine dayalı filtreler yalnızca "sızdıran" AS-SET'lerin yerini almakla kalmaz, aynı zamanda BGP kullanan MiTM saldırılarının sorunlarını da ortadan kaldırır.
Bir ay sonra Next Hop konferansında ASPA'yı detaylı olarak anlatacağım. Netflix, Facebook, Dropbox, Juniper, Mellanox ve Yandex'den meslektaşlarımız da orada konuşacak. Ağ yığını ve gelecekteki gelişimiyle ilgileniyorsanız, gelin .
Kaynak: habr.com