Xin chào, tên tôi là Alexander Azimov. Tại Yandex, tôi phát triển nhiều hệ thống giám sát khác nhau cũng như kiến trúc mạng lưới giao thông. Nhưng hôm nay chúng ta sẽ nói về giao thức BGP.
Một tuần trước, Yandex đã kích hoạt ROV (Xác thực nguồn gốc tuyến đường) tại các giao diện với tất cả các đối tác ngang hàng, cũng như các điểm trao đổi lưu lượng. Hãy đọc phần bên dưới để biết lý do điều này được thực hiện và nó sẽ ảnh hưởng như thế nào đến sự tương tác với các nhà khai thác viễn thông.
BGP và nó có vấn đề gì
Bạn có thể biết rằng BGP được thiết kế như một giao thức định tuyến liên miền. Tuy nhiên, trong quá trình đó, số lượng trường hợp sử dụng đã tăng lên: ngày nay, BGP, nhờ có nhiều tiện ích mở rộng, đã biến thành một bus tin nhắn, bao gồm các nhiệm vụ từ nhà điều hành VPN đến SD-WAN thời thượng hiện nay và thậm chí còn tìm thấy ứng dụng như một phương thức vận chuyển cho bộ điều khiển giống SDN, biến BGP vectơ khoảng cách thành một thứ tương tự như giao thức sat liên kết.
Hình 1.
Tại sao BGP lại nhận được (và tiếp tục nhận được) nhiều công dụng đến vậy? Có hai lý do chính:
- BGP là giao thức duy nhất hoạt động giữa các hệ thống tự trị (AS);
- BGP hỗ trợ các thuộc tính ở định dạng TLV (loại-độ dài-giá trị). Đúng, giao thức không đơn độc trong vấn đề này, nhưng vì không có gì có thể thay thế nó tại các điểm nối giữa các nhà khai thác viễn thông, nên việc gắn một yếu tố chức năng khác vào nó luôn mang lại lợi nhuận cao hơn là hỗ trợ một giao thức định tuyến bổ sung.
Có chuyện gì với anh ấy vậy? Nói tóm lại, giao thức không có cơ chế tích hợp để kiểm tra tính chính xác của thông tin nhận được. Nghĩa là, BGP là một giao thức tin cậy tiên nghiệm: nếu bạn muốn cho cả thế giới biết rằng bạn hiện sở hữu mạng lưới của Rostelecom, MTS hoặc Yandex, vui lòng!
Bộ lọc dựa trên IRRDB - bộ lọc tốt nhất trong số những thứ tồi tệ nhất
Câu hỏi được đặt ra: tại sao Internet vẫn hoạt động trong tình trạng như vậy? Có, nó hoạt động hầu hết thời gian, nhưng đồng thời nó phát nổ định kỳ, khiến toàn bộ phân khúc quốc gia không thể truy cập được. Mặc dù hoạt động của hacker trong BGP cũng ngày càng gia tăng nhưng hầu hết các bất thường vẫn là do lỗi gây ra. Ví dụ năm nay là ở Belarus, nơi khiến một phần đáng kể Internet không thể truy cập được đối với người dùng MegaFon trong nửa giờ. Một vi dụ khac - đã phá vỡ một trong những mạng CDN lớn nhất thế giới.
Cơm. 2. Chặn lưu lượng truy cập trên Cloudflare
Tuy nhiên, tại sao những bất thường như vậy lại xảy ra sáu tháng một lần chứ không phải hàng ngày? Bởi vì các nhà cung cấp dịch vụ sử dụng cơ sở dữ liệu thông tin định tuyến bên ngoài để xác minh những gì họ nhận được từ các nước láng giềng BGP. Có rất nhiều cơ sở dữ liệu như vậy, một số được quản lý bởi các nhà đăng ký (RIPE, APNIC, ARIN, AFRINIC), một số là những người chơi độc lập (nổi tiếng nhất là RADB), và cũng có cả một tập hợp các nhà đăng ký thuộc sở hữu của các công ty lớn (Cấp 3 , NTT, v.v.). Nhờ những cơ sở dữ liệu này mà việc định tuyến giữa các miền duy trì được sự ổn định tương đối trong hoạt động của nó.
Tuy nhiên, có những sắc thái. Thông tin định tuyến được kiểm tra dựa trên các đối tượng ROUTE-OBJECTS và AS-SET. Và nếu ủy quyền ngụ ý đầu tiên cho một phần của IRRDB, thì đối với lớp thứ hai, không có ủy quyền nào là một lớp. Nghĩa là, bất kỳ ai cũng có thể thêm bất kỳ ai vào nhóm của mình và do đó bỏ qua bộ lọc của các nhà cung cấp ngược dòng. Hơn nữa, tính duy nhất của cách đặt tên AS-SET giữa các cơ sở IRR khác nhau không được đảm bảo, điều này có thể dẫn đến những tác động đáng ngạc nhiên là mất kết nối đột ngột đối với nhà khai thác viễn thông, về phần mình, họ không thay đổi gì cả.
Một thách thức nữa là cách sử dụng AS-SET. Có hai điểm ở đây:
- Khi nhà điều hành có được một máy khách mới, nó sẽ thêm nó vào AS-SET của mình, nhưng hầu như không bao giờ xóa nó;
- Bản thân các bộ lọc chỉ được cấu hình tại các giao diện với máy khách.
Kết quả là, định dạng hiện đại của bộ lọc BGP bao gồm các bộ lọc xuống cấp dần dần ở các giao diện với máy khách và sự tin tưởng ưu tiên vào những gì đến từ các đối tác ngang hàng và nhà cung cấp dịch vụ truyền tải IP.
Điều gì đang thay thế các bộ lọc tiền tố dựa trên AS-SET? Điều thú vị nhất là trong ngắn hạn - không có gì. Nhưng các cơ chế bổ sung đang xuất hiện để bổ sung cho hoạt động của các bộ lọc dựa trên IRRDB và trước hết, tất nhiên, đây là RPKI.
RKI
Nói một cách đơn giản, kiến trúc RPKI có thể được coi là một cơ sở dữ liệu phân tán có các bản ghi có thể được xác minh bằng mật mã. Trong trường hợp ROA (Ủy quyền đối tượng tuyến đường), người ký là chủ sở hữu của không gian địa chỉ và bản thân bản ghi là bộ ba (tiền tố, asn, max_length). Về cơ bản, mục này quy định như sau: chủ sở hữu không gian địa chỉ tiền tố $ đã ủy quyền cho số AS $asn để quảng cáo các tiền tố có độ dài không lớn hơn $max_length. Và các bộ định tuyến, sử dụng bộ đệm RPKI, có thể kiểm tra xem cặp này có tuân thủ không tiền tố - diễn giả đầu tiên trên đường đi.
Hình 3. Kiến trúc RPKI
Các đối tượng ROA đã được chuẩn hóa trong một thời gian khá dài, nhưng cho đến gần đây chúng thực sự chỉ còn nằm trên giấy trong tạp chí IETF. Theo tôi, lý do cho điều này nghe có vẻ đáng sợ - tiếp thị kém. Sau khi quá trình tiêu chuẩn hóa hoàn tất, động lực là ROA được bảo vệ khỏi việc chiếm quyền điều khiển BGP - điều này không đúng. Những kẻ tấn công có thể dễ dàng vượt qua các bộ lọc dựa trên ROA bằng cách chèn số AC chính xác vào đầu đường dẫn. Và ngay khi nhận ra điều này, bước hợp lý tiếp theo là từ bỏ việc sử dụng ROA. Và thực sự, tại sao chúng ta cần công nghệ nếu nó không hoạt động?
Tại sao đã đến lúc bạn phải thay đổi suy nghĩ? Bởi vì đây không phải là toàn bộ sự thật. ROA không bảo vệ chống lại hoạt động của hacker trong BGP, nhưng bảo vệ chống lại các vụ cướp giao thông vô tình, ví dụ như rò rỉ tĩnh trong BGP, hiện tượng này đang trở nên phổ biến hơn. Ngoài ra, không giống như các bộ lọc dựa trên IRR, ROV có thể được sử dụng không chỉ ở các giao diện với khách hàng mà còn ở các giao diện với các nhà cung cấp ngang hàng và ngược dòng. Nghĩa là, cùng với sự ra đời của RPKI, niềm tin tiên nghiệm đang dần biến mất khỏi BGP.
Giờ đây, việc kiểm tra các tuyến đường dựa trên ROA đang dần được những người chơi chính triển khai: IX lớn nhất châu Âu đã loại bỏ các tuyến đường không chính xác; trong số các nhà khai thác Cấp 1, cần nêu bật AT&T, công ty đã bật bộ lọc tại các giao diện với các đối tác ngang hàng của nó. Các nhà cung cấp nội dung lớn nhất cũng đang tiếp cận dự án. Và hàng chục nhà khai thác vận tải quy mô trung bình đã âm thầm thực hiện nó mà không nói cho ai biết về nó. Tại sao tất cả các nhà khai thác này đều triển khai RPKI? Câu trả lời rất đơn giản: để bảo vệ lưu lượng truy cập đi của bạn khỏi những sai lầm của người khác. Đó là lý do tại sao Yandex là một trong những công ty đầu tiên ở Liên bang Nga đưa ROV vào mạng lưới của mình.
Chuyện gì sẽ xảy ra tiếp theo?
Hiện chúng tôi đã kích hoạt kiểm tra thông tin định tuyến tại các giao diện với các điểm trao đổi lưu lượng và các kết nối ngang hàng riêng tư. Trong tương lai gần, tính năng xác minh cũng sẽ được kích hoạt với các nhà cung cấp lưu lượng truy cập ngược dòng.
Điều này tạo ra sự khác biệt gì cho bạn? Nếu bạn muốn tăng tính bảo mật của việc định tuyến lưu lượng giữa mạng của bạn và Yandex, chúng tôi khuyên bạn nên:
- Ký tên vào không gian địa chỉ của bạn - thật đơn giản, trung bình mất 5-10 phút. Điều này sẽ bảo vệ kết nối của chúng tôi trong trường hợp ai đó vô tình đánh cắp không gian địa chỉ của bạn (và điều này chắc chắn sẽ xảy ra sớm hay muộn);
- Cài đặt một trong các bộ đệm RPKI nguồn mở (, ) và kích hoạt tính năng kiểm tra tuyến đường ở biên giới mạng - việc này sẽ mất nhiều thời gian hơn, nhưng một lần nữa, nó sẽ không gây ra bất kỳ khó khăn kỹ thuật nào.
Yandex cũng hỗ trợ phát triển hệ thống lọc dựa trên đối tượng RPKI mới - (Ủy quyền của nhà cung cấp hệ thống tự trị). Các bộ lọc dựa trên các đối tượng ASPA và ROA không chỉ có thể thay thế các AS-SET “bị rò rỉ” mà còn giải quyết các vấn đề về các cuộc tấn công MiTM bằng BGP.
Tôi sẽ nói chi tiết về ASPA sau một tháng nữa tại hội nghị Next Hop. Các đồng nghiệp từ Netflix, Facebook, Dropbox, Juniper, Mellanox và Yandex cũng sẽ phát biểu ở đó. Nếu bạn quan tâm đến ngăn xếp mạng và sự phát triển của nó trong tương lai, hãy đến .
Nguồn: www.habr.com