Salom, mening ismim Aleksandr Azimov. Yandex-da men turli xil monitoring tizimlarini, shuningdek, transport tarmog'i arxitekturasini ishlab chiqaman. Ammo bugun biz BGP protokoli haqida gaplashamiz.
Bir hafta oldin Yandex barcha tengdosh hamkorlar, shuningdek, trafik almashinuv punktlari bilan interfeyslarda ROV (Route Origin Validation) ni yoqdi. Bu nima uchun qilinganligi va bu aloqa operatorlari bilan o'zaro munosabatlarga qanday ta'sir qilishi haqida quyida o'qing.
BGP va u bilan nima noto'g'ri
Ehtimol, BGP domenlararo marshrutlash protokoli sifatida ishlab chiqilganligini bilasiz. Biroq, bu yo'lda foydalanish holatlari soni o'sishga muvaffaq bo'ldi: bugungi kunda BGP ko'plab kengaytmalar tufayli VPN operatoridan hozirgi moda SD-WANgacha bo'lgan vazifalarni qamrab oluvchi xabarlar avtobusiga aylandi va hatto dastur sifatida ham topildi. SDN-ga o'xshash kontroller uchun transport, BGP masofa vektorini ulanishlar protokoliga o'xshash narsaga aylantiradi.
Fig. 1.
Nima uchun BGP juda ko'p foydalanishni oldi (va olishda davom etmoqda)? Ikkita asosiy sabab bor:
- BGP - avtonom tizimlar (AS) o'rtasida ishlaydigan yagona protokol;
- BGP atributlarni TLV (turi-uzunligi-qiymati) formatida qo'llab-quvvatlaydi. Ha, bunda protokol yolg'iz emas, lekin aloqa operatorlari o'rtasidagi bog'lanish joylarida uni almashtiradigan hech narsa yo'qligi sababli, qo'shimcha marshrutlash protokolini qo'llab-quvvatlashdan ko'ra, unga boshqa funktsional elementni biriktirish har doim foydaliroq bo'lib chiqadi.
Unga nima bo'ldi? Muxtasar qilib aytganda, protokolda olingan ma'lumotlarning to'g'riligini tekshirish uchun o'rnatilgan mexanizmlar mavjud emas. Ya'ni, BGP - bu apriori ishonch protokoli: agar siz dunyoga Rostelecom, MTS yoki Yandex tarmog'iga ega ekanligingizni aytmoqchi bo'lsangiz, iltimos!
IRRDB asosidagi filtr - eng yomonning eng yaxshisi
Savol tug'iladi: nima uchun Internet hali ham bunday vaziyatda ishlaydi? Ha, u ko'pincha ishlaydi, lekin ayni paytda vaqti-vaqti bilan portlab ketadi va butun milliy segmentlarga kirish imkoni bo'lmaydi. BGP-da xakerlar faolligi ham oshib borayotgan bo'lsa-da, aksariyat anomaliyalar hali ham xatolar tufayli yuzaga keladi. Bu yilgi misol Belarusiyada, bu MegaFon foydalanuvchilari uchun Internetning muhim qismini yarim soat davomida foydalana olmadi. Yana bir misol - dunyodagi eng katta CDN tarmoqlaridan birini buzdi.
Guruch. 2. Cloudflare trafikni ushlab turish
Lekin shunga qaramay, nima uchun bunday anomaliyalar har kuni emas, balki har olti oyda bir marta sodir bo'ladi? Chunki tashuvchilar BGP qo'shnilaridan olganlarini tekshirish uchun marshrut ma'lumotlarining tashqi ma'lumotlar bazalaridan foydalanadilar. Bunday ma'lumotlar bazalari juda ko'p, ularning ba'zilari ro'yxatga oluvchilar (RIPE, APNIC, ARIN, AFRINIC) tomonidan boshqariladi, ba'zilari mustaqil o'yinchilar (eng mashhuri RADB), shuningdek yirik kompaniyalarga tegishli ro'yxatga oluvchilarning butun to'plami mavjud (3-darajali). , NTT va boshqalar). Ushbu ma'lumotlar bazalari tufayli domenlararo marshrutlash o'z faoliyatining nisbiy barqarorligini saqlaydi.
Biroq, nuanslar mavjud. Marshrutlash ma'lumotlari ROUTE-OBJECTS va AS-SET obyektlari asosida tekshiriladi. Va agar birinchisi IRRDBning bir qismi uchun avtorizatsiyani nazarda tutsa, ikkinchi sinf uchun sinf sifatida ruxsat yo'q. Ya'ni, har kim o'z to'plamlariga har kimni qo'shishi va shu bilan yuqori oqim provayderlarining filtrlarini chetlab o'tishi mumkin. Bundan tashqari, turli xil IRR bazalari o'rtasida AS-SET nomlanishining o'ziga xosligi kafolatlanmaydi, bu esa o'z navbatida hech narsani o'zgartirmagan aloqa operatori uchun ulanishning to'satdan yo'qolishi bilan ajablantiradigan oqibatlarga olib kelishi mumkin.
Qo'shimcha qiyinchilik - AS-SET-dan foydalanish sxemasi. Bu erda ikkita nuqta bor:
- Operator yangi mijozni olganda, uni o'zining AS-SET-ga qo'shadi, lekin deyarli hech qachon olib tashlamaydi;
- Filtrlarning o'zi faqat mijozlar bilan interfeyslarda sozlangan.
Natijada, BGP filtrlarining zamonaviy formati mijozlar bilan o'zaro aloqada filtrlarni asta-sekin yomonlashtirib, hamkorlar va IP tranzit provayderlaridan keladigan narsalarga apriori ishonchni o'z ichiga oladi.
AS-SET asosidagi prefiks filtrlarini nima almashtirish kerak? Eng qizig'i shundaki, qisqa muddatda - hech narsa. Ammo IRRDB asosidagi filtrlarning ishini to'ldiradigan qo'shimcha mexanizmlar paydo bo'ladi va birinchi navbatda, bu, albatta, RPKI.
RPKI
Soddalashtirilgan tarzda, RPKI arxitekturasini yozuvlari kriptografik tekshirish mumkin bo'lgan taqsimlangan ma'lumotlar bazasi sifatida ko'rish mumkin. ROA (Route Object Authorization) holatida imzolovchi manzil maydonining egasi, yozuvning o‘zi esa uchlik (prefiks, asn, max_length) hisoblanadi. Asosan, bu yozuvda quyidagi postulatlar mavjud: $prefiks manzil maydonining egasi $asn AS raqamiga uzunligi $max_length dan oshmaydigan prefikslarni reklama qilish uchun ruxsat bergan. Va marshrutizatorlar RPKI keshidan foydalanib, juftlikni muvofiqligini tekshirishlari mumkin prefiks - yo'lda birinchi ma'ruzachi.
3-rasm. RPKI arxitekturasi
ROA ob'ektlari ancha vaqtdan beri standartlashtirilgan, ammo yaqin vaqtgacha ular IETF jurnalida faqat qog'ozda qolib ketgan. Menimcha, buning sababi qo'rqinchli ko'rinadi - yomon marketing. Standartlashtirish tugallangandan so'ng, ROA BGP o'g'irlanishidan himoyalanganligi rag'batlantirildi - bu haqiqat emas. Buzg'unchilar yo'lning boshiga to'g'ri AC raqamini kiritish orqali ROA asosidagi filtrlarni osongina chetlab o'tishlari mumkin. Va bu amalga oshishi bilanoq, keyingi mantiqiy qadam ROA-dan foydalanishdan voz kechish edi. Va haqiqatan ham, agar u ishlamasa, nima uchun bizga texnologiya kerak?
Nega fikringizni o'zgartirish vaqti keldi? Chunki bu butun haqiqat emas. ROA BGPda xakerlar faoliyatidan himoya qilmaydi, lekin transport vositalarini tasodifiy o'g'irlashdan himoya qiladi, masalan, keng tarqalgan bo'lib borayotgan BGPdagi statik qochqinlardan. Bundan tashqari, IRR-ga asoslangan filtrlardan farqli o'laroq, ROV nafaqat mijozlar bilan interfeyslarda, balki tengdoshlar va yuqori oqim provayderlari bilan interfeyslarda ham qo'llanilishi mumkin. Ya'ni, RPKI joriy etilishi bilan birga, apriori ishonch BGPdan asta-sekin yo'qolib bormoqda.
Endi ROA asosida marshrutlarni tekshirish asta-sekin asosiy o'yinchilar tomonidan amalga oshirilmoqda: eng yirik Evropa IX allaqachon noto'g'ri marshrutlardan voz kechmoqda; Tier-1 operatorlari orasida o'zining tengdoshlari bilan interfeyslarda filtrlarni faollashtirgan AT&T-ni ta'kidlash kerak. Loyihaga eng yirik kontent provayderlari ham yaqinlashmoqda. Va o'nlab o'rta tranzit operatorlari buni hech kimga aytmasdan, jimgina amalga oshirdilar. Nima uchun barcha operatorlar RPKI-ni qo'llaydilar? Javob oddiy: chiquvchi trafikingizni boshqa odamlarning xatolaridan himoya qilish. Shuning uchun Yandex Rossiya Federatsiyasida birinchilardan bo'lib ROVni o'z tarmog'ining chekkasiga kiritdi.
Keyingi nima bo'ladi?
Endi biz trafik almashish nuqtalari va shaxsiy peerings interfeyslarida marshrutlash ma'lumotlarini tekshirishni yoqdik. Yaqin kelajakda tekshirish yuqori oqimdagi trafik provayderlari bilan ham yoqiladi.
Bu siz uchun qanday farq qiladi? Agar siz o'z tarmog'ingiz va Yandex o'rtasidagi trafik marshruti xavfsizligini oshirishni istasangiz, biz quyidagilarni tavsiya qilamiz:
- Manzil maydoniga imzo cheking - bu oddiy, o'rtacha 5-10 daqiqa davom etadi. Bu bizning ulanishimizni himoya qiladi, agar kimdir beixtiyor manzil maydonini o'g'irlagan bo'lsa (va bu albatta ertami-kechmi sodir bo'ladi);
- Ochiq manbali RPKI keshlaridan birini o'rnating (, ) va tarmoq chegarasida marshrutni tekshirishni yoqing - bu ko'proq vaqt talab etadi, lekin yana hech qanday texnik qiyinchiliklarga olib kelmaydi.
Yandex shuningdek, yangi RPKI ob'ekti asosida filtrlash tizimini ishlab chiqishni qo'llab-quvvatlaydi - (Avtonom tizim provayderi avtorizatsiyasi). ASPA va ROA obyektlariga asoslangan filtrlar nafaqat “oqish” AS-SETlarni almashtiribgina qolmay, balki BGP yordamida MiTM hujumlari bilan bog‘liq muammolarni ham yopishi mumkin.
Men bir oy ichida Next Hop konferensiyasida ASPA haqida batafsil gapirib beraman. Netflix, Facebook, Dropbox, Juniper, Mellanox va Yandex hamkasblari ham u yerda so‘zlashadi. Agar siz tarmoq stekiga va kelajakda uning rivojlanishiga qiziqsangiz, keling .
Manba: www.habr.com