پرو ہوسٹر > بلاگ > انتظامیہ > Yandex RPKI کو نافذ کرتا ہے۔

Yandex RPKI کو نافذ کرتا ہے۔

ہیلو، میرا نام الیگزینڈر عظیموف ہے۔ Yandex میں، میں مختلف نگرانی کے نظام کے ساتھ ساتھ نقل و حمل کے نیٹ ورک کی ساخت تیار کرتا ہوں۔ لیکن آج ہم BGP پروٹوکول کے بارے میں بات کریں گے۔

Yandex RPKI کو نافذ کرتا ہے۔

ایک ہفتہ پہلے، Yandex نے تمام ہم آہنگ شراکت داروں کے ساتھ ساتھ ٹریفک ایکسچینج پوائنٹس کے ساتھ انٹرفیس پر ROV (روٹ اوریجن کی توثیق) کو فعال کیا۔ ذیل میں پڑھیں کہ ایسا کیوں کیا گیا اور یہ ٹیلی کام آپریٹرز کے ساتھ بات چیت کو کیسے متاثر کرے گا۔

BGP اور اس میں کیا غلط ہے؟

آپ شاید جانتے ہوں گے کہ BGP کو انٹر ڈومین روٹنگ پروٹوکول کے طور پر ڈیزائن کیا گیا تھا۔ تاہم، راستے میں، استعمال کے کیسز کی تعداد بڑھنے میں کامیاب ہوئی: آج، بی جی پی، متعدد ایکسٹینشنز کی بدولت، ایک میسج بس میں تبدیل ہو گیا ہے، جس میں آپریٹر VPN سے لے کر اب فیشن ایبل SD-WAN تک کے کاموں کا احاطہ کیا گیا ہے، اور یہاں تک کہ اسے ایپلی کیشن بھی مل گئی ہے۔ SDN نما کنٹرولر کے لیے ایک ٹرانسپورٹ، فاصلاتی ویکٹر BGP کو لنک سیٹ پروٹوکول سے ملتی جلتی چیز میں تبدیل کرتا ہے۔

Yandex RPKI کو نافذ کرتا ہے۔

انجیر 1۔ بی جی پی سیفی

بی جی پی کو اتنے زیادہ استعمال کیوں ملے ہیں (اور ملتے رہتے ہیں)؟ اس کی دو اہم وجوہات ہیں:

  • BGP واحد پروٹوکول ہے جو خود مختار نظام (AS) کے درمیان کام کرتا ہے۔
  • BGP TLV (قسم کی لمبائی-قدر) فارمیٹ میں صفات کو سپورٹ کرتا ہے۔ ہاں، پروٹوکول اس میں اکیلا نہیں ہے، لیکن چونکہ ٹیلی کام آپریٹرز کے درمیان جنکشن پر اسے تبدیل کرنے کے لیے کچھ بھی نہیں ہے، اس لیے یہ ہمیشہ ایک اضافی روٹنگ پروٹوکول کو سپورٹ کرنے کے بجائے اس کے ساتھ کسی اور فنکشنل عنصر کو منسلک کرنا زیادہ منافع بخش ثابت ہوتا ہے۔

اس کے ساتھ کیا مسئلہ ہے؟ مختصراً، پروٹوکول میں موصول ہونے والی معلومات کی درستگی کو جانچنے کے لیے بلٹ ان میکانزم نہیں ہے۔ یعنی، BGP ایک ترجیحی ٹرسٹ پروٹوکول ہے: اگر آپ دنیا کو بتانا چاہتے ہیں کہ اب آپ Rostelecom، MTS یا Yandex کے نیٹ ورک کے مالک ہیں، تو براہ کرم!

IRRDB پر مبنی فلٹر - بدترین میں سے بہترین

سوال یہ پیدا ہوتا ہے کہ ایسی صورت حال میں انٹرنیٹ اب بھی کیوں کام کرتا ہے؟ ہاں، یہ زیادہ تر وقت کام کرتا ہے، لیکن اس کے ساتھ ساتھ یہ وقتاً فوقتاً پھٹتا رہتا ہے، جس سے پورے قومی طبقات تک رسائی ممکن نہیں ہوتی۔ اگرچہ BGP میں ہیکر کی سرگرمی بھی بڑھ رہی ہے، لیکن زیادہ تر بے ضابطگیاں اب بھی کیڑے کی وجہ سے ہوتی ہیں۔ اس سال کی مثال ہے۔ آپریٹر کی چھوٹی غلطی بیلاروس میں، جس نے انٹرنیٹ کے ایک اہم حصے کو میگا فون صارفین کے لیے آدھے گھنٹے تک ناقابل رسائی بنا دیا۔ ایک اور مثال - پاگل بی جی پی آپٹیمائزر دنیا کے سب سے بڑے CDN نیٹ ورکس میں سے ایک کو توڑ دیا۔

Yandex RPKI کو نافذ کرتا ہے۔

چاول۔ 2. Cloudflare ٹریفک رکاوٹ

لیکن پھر بھی، اس طرح کی بے ضابطگیاں ہر چھ ماہ میں ایک بار کیوں ہوتی ہیں، ہر روز نہیں؟ کیونکہ کیریئرز روٹنگ کی معلومات کے بیرونی ڈیٹا بیس کا استعمال اس بات کی تصدیق کے لیے کرتے ہیں کہ وہ BGP پڑوسیوں سے کیا وصول کرتے ہیں۔ اس طرح کے بہت سے ڈیٹا بیس ہیں، ان میں سے کچھ کا انتظام رجسٹرار (RIPE، APNIC، ARIN، AFRINIC) کرتے ہیں، کچھ آزاد کھلاڑی ہیں (سب سے زیادہ مشہور RADB ہے)، اور رجسٹراروں کا ایک مکمل سیٹ بھی ہے جو بڑی کمپنیوں کی ملکیت ہے (Level3) ، NTT، وغیرہ)۔ یہ ان ڈیٹا بیس کی بدولت ہے کہ انٹر ڈومین روٹنگ اپنے آپریشن کے نسبتاً استحکام کو برقرار رکھتی ہے۔

تاہم، باریکیاں ہیں. روٹنگ کی معلومات کو ROUTE-OBJECTS اور AS-SET اشیاء کی بنیاد پر چیک کیا جاتا ہے۔ اور اگر پہلا مطلب IRRDB کے حصے کے لیے اجازت دیتا ہے، تو دوسری کلاس کے لیے بطور کلاس کوئی اجازت نہیں ہے۔ یعنی، کوئی بھی کسی کو بھی اپنے سیٹ میں شامل کرسکتا ہے اور اس طرح اپ اسٹریم فراہم کنندگان کے فلٹرز کو نظرانداز کرسکتا ہے۔ مزید برآں، مختلف IRR اڈوں کے درمیان AS-SET نام کی انفرادیت کی ضمانت نہیں دی جاتی ہے، جو ٹیلی کام آپریٹر کے لیے اچانک رابطے میں کمی کے ساتھ حیران کن اثرات کا باعث بن سکتا ہے، جس نے، اپنی طرف سے، کچھ بھی تبدیل نہیں کیا۔

ایک اضافی چیلنج AS-SET کے استعمال کا نمونہ ہے۔ یہاں دو نکات ہیں:

  • جب آپریٹر کو نیا کلائنٹ ملتا ہے، تو وہ اسے اپنے AS-SET میں شامل کرتا ہے، لیکن تقریباً اسے کبھی نہیں ہٹاتا ہے۔
  • فلٹرز خود صرف کلائنٹس کے ساتھ انٹرفیس پر ترتیب دیئے گئے ہیں۔

نتیجتاً، BGP فلٹرز کا جدید فارمیٹ کلائنٹس کے ساتھ انٹرفیس پر بتدریج انحطاط پذیر فلٹرز پر مشتمل ہے اور پیئرنگ پارٹنرز اور آئی پی ٹرانزٹ فراہم کنندگان کی طرف سے آنے والی چیزوں پر ترجیحی اعتماد ہے۔

AS-SET کی بنیاد پر پریفکس فلٹرز کی جگہ کیا ہے؟ سب سے دلچسپ بات یہ ہے کہ مختصر مدت میں - کچھ بھی نہیں۔ لیکن اضافی میکانزم ابھر رہے ہیں جو IRRDB پر مبنی فلٹرز کے کام کی تکمیل کرتے ہیں، اور سب سے پہلے، یہ یقیناً RPKI ہے۔

آر پی کے آئی

ایک آسان طریقے سے، RPKI فن تعمیر کو ایک تقسیم شدہ ڈیٹا بیس کے طور پر سوچا جا سکتا ہے جس کے ریکارڈ کی خفیہ طور پر تصدیق کی جا سکتی ہے۔ ROA (روٹ آبجیکٹ کی اجازت) کے معاملے میں، دستخط کنندہ ایڈریس اسپیس کا مالک ہے، اور ریکارڈ خود ایک ٹرپل (سابقہ، asn، max_length) ہے۔ بنیادی طور پر، یہ اندراج مندرجہ ذیل کو پیش کرتا ہے: $prefix ایڈریس اسپیس کے مالک نے AS نمبر $asn کو اختیار دیا ہے کہ وہ سابقے کی تشہیر کرے جس کی لمبائی $max_length سے زیادہ نہ ہو۔ اور راؤٹرز، RPKI کیشے کا استعمال کرتے ہوئے، تعمیل کے لیے جوڑے کو چیک کرنے کے قابل ہیں۔ سابقہ ​​- راستے میں پہلا اسپیکر.

Yandex RPKI کو نافذ کرتا ہے۔

شکل 3. RPKI فن تعمیر

ROA اشیاء کو کافی عرصے سے معیاری بنایا گیا ہے، لیکن حال ہی میں وہ دراصل IETF جرنل میں صرف کاغذ پر ہی رہے۔ میری رائے میں، اس کی وجہ خوفناک لگتی ہے - بری مارکیٹنگ۔ معیاری کاری مکمل ہونے کے بعد، ترغیب یہ تھی کہ ROA نے BGP ہائی جیکنگ کے خلاف تحفظ فراہم کیا - جو درست نہیں تھا۔ حملہ آور راستے کے شروع میں صحیح AC نمبر ڈال کر آسانی سے ROA پر مبنی فلٹرز کو نظرانداز کر سکتے ہیں۔ اور جیسے ہی یہ احساس ہوا، اگلا منطقی قدم ROA کے استعمال کو ترک کرنا تھا۔ اور واقعی، ہمیں ٹیکنالوجی کی ضرورت کیوں ہے اگر یہ کام نہیں کرتی ہے؟

اپنا خیال بدلنے کا وقت کیوں ہے؟ کیونکہ یہ پوری حقیقت نہیں ہے۔ ROA BGP میں ہیکر کی سرگرمی سے تحفظ نہیں دیتا، لیکن حادثاتی ٹریفک ہائی جیکنگ سے بچاتا ہے۔، مثال کے طور پر BGP میں جامد لیک سے، جو زیادہ عام ہوتا جا رہا ہے۔ اس کے علاوہ، IRR پر مبنی فلٹرز کے برعکس، ROV کو نہ صرف کلائنٹس کے ساتھ انٹرفیس پر استعمال کیا جا سکتا ہے، بلکہ ساتھیوں اور upstream فراہم کرنے والوں کے ساتھ انٹرفیس پر بھی استعمال کیا جا سکتا ہے۔ یعنی، RPKI کے متعارف ہونے کے ساتھ ہی، BGP سے ایک ترجیحی اعتماد آہستہ آہستہ ختم ہو رہا ہے۔

اب، ROA پر مبنی راستوں کی جانچ پڑتال آہستہ آہستہ کلیدی کھلاڑیوں کے ذریعے کی جا رہی ہے: سب سے بڑا یورپی IX پہلے ہی Tier-1 آپریٹرز کے درمیان غلط راستوں کو مسترد کر رہا ہے، یہ AT&T کو نمایاں کرنے کے قابل ہے، جس نے اپنے ہم عمر شراکت داروں کے ساتھ انٹرفیس پر فلٹرز کو فعال کیا ہے۔ سب سے بڑے مواد فراہم کرنے والے بھی اس منصوبے سے رجوع کر رہے ہیں۔ اور درجنوں درمیانے درجے کے ٹرانزٹ آپریٹرز پہلے ہی خاموشی سے اس پر عمل درآمد کر چکے ہیں، اس کے بارے میں کسی کو بتائے بغیر۔ یہ تمام آپریٹرز RPKI کو کیوں نافذ کر رہے ہیں؟ جواب آسان ہے: اپنے باہر جانے والے ٹریفک کو دوسرے لوگوں کی غلطیوں سے بچانے کے لیے۔ یہی وجہ ہے کہ Yandex روسی فیڈریشن میں اپنے نیٹ ورک کے کنارے پر ROV کو شامل کرنے والے پہلے اداروں میں سے ایک ہے۔

آگے کیا ہوگا؟

اب ہم نے ٹریفک ایکسچینج پوائنٹس اور پرائیویٹ پیئرنگ کے ساتھ انٹرفیس پر روٹنگ کی معلومات کی جانچ کو فعال کر دیا ہے۔ مستقبل قریب میں، اپ اسٹریم ٹریفک فراہم کرنے والوں کے ساتھ تصدیق کو بھی فعال کیا جائے گا۔

Yandex RPKI کو نافذ کرتا ہے۔

اس سے آپ کو کیا فرق پڑتا ہے؟ اگر آپ اپنے نیٹ ورک اور Yandex کے درمیان ٹریفک روٹنگ کی حفاظت کو بڑھانا چاہتے ہیں، تو ہم تجویز کرتے ہیں:

  • اپنے پتہ کی جگہ پر دستخط کریں۔ RIPE پورٹل میں - یہ آسان ہے، اوسطاً 5-10 منٹ لگتے ہیں۔ یہ اس صورت میں ہمارے رابطے کی حفاظت کرے گا کہ کوئی انجانے میں آپ کے ایڈریس کی جگہ چرا لے (اور یہ یقینی طور پر جلد یا بدیر ہو جائے گا)؛
  • اوپن سورس RPKI کیچز میں سے ایک انسٹال کریں (پختہ تصدیق کرنے والا, روٹینیٹر) اور نیٹ ورک بارڈر پر روٹ چیکنگ کو فعال کریں - اس میں مزید وقت لگے گا، لیکن دوبارہ، اس سے کوئی تکنیکی دشواری نہیں ہوگی۔

Yandex نئے RPKI آبجیکٹ پر مبنی فلٹرنگ سسٹم کی ترقی کی بھی حمایت کرتا ہے۔ ASPA (خود مختار نظام فراہم کنندہ کی اجازت)۔ ASPA اور ROA اشیاء پر مبنی فلٹرز نہ صرف "لیکی" AS-SETs کی جگہ لے سکتے ہیں، بلکہ BGP کا استعمال کرتے ہوئے MiTM حملوں کے مسائل کو بھی بند کر سکتے ہیں۔

میں اگلی ہاپ کانفرنس میں ایک ماہ میں ASPA کے بارے میں تفصیل سے بات کروں گا۔ Netflix، Facebook، Dropbox، Juniper، Mellanox اور Yandex کے ساتھی بھی وہاں بات کریں گے۔ اگر آپ مستقبل میں نیٹ ورک اسٹیک اور اس کی ترقی میں دلچسپی رکھتے ہیں تو آئیں رجسٹریشن کھلا ہے.

ماخذ: www.habr.com

نیا تبصرہ شامل کریں