ProHoster > Блог > Isakoso > Yandex ṣe ohun elo RPKI

Yandex ṣe ohun elo RPKI

Kaabo, orukọ mi ni Alexander Azimov. Ni Yandex, Mo ṣe agbekalẹ ọpọlọpọ awọn eto ibojuwo, bakanna bi faaji nẹtiwọọki gbigbe. Ṣugbọn loni a yoo sọrọ nipa ilana BGP.

Yandex ṣe ohun elo RPKI

Ni ọsẹ kan sẹhin, Yandex ṣiṣẹ ROV (Ifọwọsi Oti Oti) ni awọn atọkun pẹlu gbogbo awọn alabaṣiṣẹpọ ẹlẹgbẹ, ati awọn aaye paṣipaarọ iṣowo. Ka ni isalẹ nipa idi ti eyi fi ṣe ati bii yoo ṣe kan ibaraenisepo pẹlu awọn oniṣẹ tẹlifoonu.

BGP ati kini aṣiṣe pẹlu rẹ

O ṣee ṣe ki o mọ pe BGP jẹ apẹrẹ bi ilana ipa-ọna interdomain. Bibẹẹkọ, ni ọna, nọmba awọn ọran lilo ti ṣakoso lati dagba: loni, BGP, o ṣeun si ọpọlọpọ awọn amugbooro, ti yipada si ọkọ akero ifiranṣẹ kan, ti o bo awọn iṣẹ ṣiṣe lati ọdọ oniṣẹ VPN si SD-WAN ti asiko, ati paapaa rii ohun elo bi a irinna fun ohun SDN-bi oludari, titan ijinna fekito BGP sinu nkankan iru si awọn ọna asopọ joko Ilana.

Yandex ṣe ohun elo RPKI

Eeya. ọkan. BGP SAFI

Kini idi ti BGP ti gba (ati tẹsiwaju lati gba) ọpọlọpọ awọn lilo? Awọn idi pataki meji wa:

  • BGP jẹ ilana nikan ti o ṣiṣẹ laarin awọn eto adase (AS);
  • BGP ṣe atilẹyin awọn abuda ni ọna kika TLV (iru-ipari-iye). Bẹẹni, Ilana naa kii ṣe nikan ni eyi, ṣugbọn niwọn igba ti ko si nkankan lati rọpo rẹ ni awọn ọna asopọ laarin awọn oniṣẹ tẹlifoonu, nigbagbogbo wa ni anfani diẹ sii lati so nkan iṣẹ ṣiṣe miiran si rẹ ju lati ṣe atilẹyin ilana ilana afisona afikun.

Kini aṣiṣe pẹlu rẹ? Ni kukuru, ilana naa ko ni awọn ọna ṣiṣe ti a ṣe sinu rẹ lati ṣayẹwo deede alaye ti o gba. Iyẹn ni, BGP jẹ ilana igbẹkẹle iṣaaju: ti o ba fẹ sọ fun agbaye pe o ni nẹtiwọọki ti Rostelecom, MTS tabi Yandex, jọwọ!

Ajọ orisun IRRDB - o dara julọ ti o buru julọ

Ibeere naa waye: kilode ti Intanẹẹti tun ṣiṣẹ ni iru ipo bẹẹ? Bẹẹni, o ṣiṣẹ ni ọpọlọpọ igba, ṣugbọn ni akoko kanna o gbamu lorekore, ti o jẹ ki gbogbo awọn abala orilẹ-ede ko le wọle si. Botilẹjẹpe iṣẹ agbonaeburuwole ni BGP tun wa ni igbega, pupọ julọ awọn aiṣedeede tun fa nipasẹ awọn idun. Apeere odun yi ni kekere oniṣẹ aṣiṣe ni Belarus, eyiti o jẹ ki apakan pataki ti Intanẹẹti ko wọle si awọn olumulo MegaFon fun idaji wakati kan. Apẹẹrẹ miiran - irikuri BGP optimizer bu ọkan ninu awọn nẹtiwọki CDN ti o tobi julọ ni agbaye.

Yandex ṣe ohun elo RPKI

Iresi. 2. Cloudflare ijabọ interception

Ṣugbọn sibẹsibẹ, kilode ti iru awọn aiṣedeede bẹ waye lẹẹkan ni gbogbo oṣu mẹfa, kii ṣe lojoojumọ? Nitori awọn aruwo lo awọn apoti isura infomesonu ita ti alaye ipa-ọna lati mọ daju ohun ti wọn gba lati ọdọ awọn aladugbo BGP. Ọpọlọpọ awọn apoti isura infomesonu bẹ, diẹ ninu wọn ni iṣakoso nipasẹ awọn iforukọsilẹ (RIPE, APNIC, ARIN, AFRINIC), diẹ ninu awọn oṣere ominira (olokiki julọ ni RADB), ati pe gbogbo awọn iforukọsilẹ tun wa ti awọn ile-iṣẹ nla jẹ (Level3). NTT, ati bẹbẹ lọ). O ṣeun si awọn apoti isura infomesonu wọnyi ti ipa-ọna laarin-ašẹ n ṣetọju iduroṣinṣin ibatan ti iṣẹ rẹ.

Sibẹsibẹ, awọn nuances wa. Alaye ipa-ọna jẹ ayẹwo ti o da lori ROUTE-OBJECTS ati awọn nkan AS-SET. Ati pe ti akọkọ ba tumọ si aṣẹ fun apakan IRRDB, lẹhinna fun kilasi keji ko si aṣẹ bi kilasi kan. Iyẹn ni, ẹnikẹni le ṣafikun ẹnikẹni si awọn eto wọn ati nitorinaa fori awọn asẹ ti awọn olupese oke. Pẹlupẹlu, iyasọtọ ti AS-SET lorukọ laarin awọn oriṣiriṣi awọn ipilẹ IRR ko ni idaniloju, eyiti o le ja si awọn ipa iyalẹnu pẹlu isonu ti asopọ lojiji fun oniṣẹ telecom, ẹniti, fun apakan rẹ, ko yi ohunkohun pada.

Ipenija afikun ni ilana lilo ti AS-SET. Awọn aaye meji wa nibi:

  • Nigbati oniṣẹ ba gba alabara tuntun kan, yoo ṣafikun si AS-SET rẹ, ṣugbọn o fẹrẹ ma yọ kuro;
  • Awọn asẹ funrararẹ ni tunto ni awọn atọkun pẹlu awọn alabara.

Gẹgẹbi abajade, ọna kika ode oni ti awọn asẹ BGP ni awọn asẹ abuku diẹdiẹ ni awọn atọkun pẹlu awọn alabara ati igbẹkẹle iṣaaju ninu ohun ti o wa lati ọdọ awọn alabaṣiṣẹpọ ẹlẹgbẹ ati awọn olupese irekọja IP.

Kini n rọpo awọn asẹ iṣaaju ti o da lori AS-SET? Ohun ti o nifẹ julọ ni pe ni kukuru kukuru - ko si nkankan. Ṣugbọn awọn ọna ṣiṣe afikun n yọ jade ti o ṣe iranlowo iṣẹ ti awọn asẹ-orisun IRRDB, ati ni akọkọ, eyi ni, dajudaju, RPKI.

RPKI

Ni ọna ti o rọrun, faaji RPKI ni a le ronu bi ibi-ipamọ data ti a pin kaakiri eyiti awọn igbasilẹ rẹ le jẹ ijẹrisi cryptographically. Ninu ọran ti ROA (Aṣẹ Nkan Ọna), olufọwọsi jẹ oniwun aaye adirẹsi, ati igbasilẹ funrararẹ jẹ ẹẹmẹta (iṣaaju, asn, max_length). Ni pataki, titẹ sii yii gbejade atẹle naa: eni to ni aaye adirẹsi $ipejuwe ti fun ni aṣẹ nọmba AS $asn lati polowo awọn ami-iṣaaju pẹlu ipari ti ko tobi ju $max_length lọ. Ati awọn olulana, lilo kaṣe RPKI, ni anfani lati ṣayẹwo bata naa fun ibamu ìpele - akọkọ agbọrọsọ lori ona.

Yandex ṣe ohun elo RPKI

olusin 3. RPKI faaji

Awọn nkan ROA ti ni idiwon fun igba pipẹ, ṣugbọn titi di aipẹ wọn wa gangan lori iwe nikan ni iwe iroyin IETF. Ni ero mi, idi fun eyi dun ẹru - titaja buburu. Lẹhin ti isọdọtun ti pari, imoriya ni pe ROA ni aabo lodi si jija BGP - eyiti kii ṣe otitọ. Awọn ikọlu le ni irọrun fori awọn asẹ ti o da lori ROA nipa fifi sii nọmba AC to pe ni ibẹrẹ ọna naa. Ati ni kete ti riri yii ti de, igbesẹ ọgbọn ti o tẹle ni lati kọ lilo ROA silẹ. Ati ni otitọ, kilode ti a nilo imọ-ẹrọ ti ko ba ṣiṣẹ?

Kilode ti o to akoko lati yi ọkan rẹ pada? Nitori eyi kii ṣe gbogbo otitọ. ROA ko ni aabo lodi si iṣẹ agbonaeburuwole ni BGP, ṣugbọn ṣe aabo lodi si awọn jija ijabọ lairotẹlẹ, fun apẹẹrẹ lati aimi n jo ni BGP, eyi ti o ti di diẹ wọpọ. Paapaa, ko dabi awọn asẹ ti o da lori IRR, ROV le ṣee lo kii ṣe ni awọn atọkun nikan pẹlu awọn alabara, ṣugbọn tun ni awọn atọkun pẹlu awọn ẹlẹgbẹ ati awọn olupese oke. Iyẹn ni, pẹlu iṣafihan RPKI, igbẹkẹle iṣaaju kan n parẹ diẹdiẹ lati BGP.

Ni bayi, awọn ipa-ọna ti o da lori ROA ti wa ni imuse diẹdiẹ nipasẹ awọn oṣere pataki: European IX ti o tobi julọ ti sọ awọn ipa-ọna ti ko tọ silẹ; Awọn olupese akoonu ti o tobi julọ tun sunmọ iṣẹ naa. Ati awọn dosinni ti awọn oniṣẹ irekọja ti iwọn alabọde ti ṣe imuse ni idakẹjẹ tẹlẹ, laisi sisọ fun ẹnikẹni nipa rẹ. Kini idi ti gbogbo awọn oniṣẹ wọnyi n ṣe imuse RPKI? Idahun si jẹ rọrun: lati daabobo ijabọ ti njade lati awọn aṣiṣe eniyan miiran. Ti o ni idi ti Yandex jẹ ọkan ninu awọn akọkọ ni Russian Federation lati ni ROV ni awọn eti ti awọn oniwe-nẹtiwọki.

Kini yoo ṣẹlẹ nigbamii?

A ti ṣiṣẹ ni bayi ṣiṣayẹwo alaye ipa-ọna ni awọn atọkun pẹlu awọn aaye paṣipaarọ ijabọ ati awọn ẹlẹgbẹ ikọkọ. Ni ọjọ iwaju to sunmọ, ijẹrisi yoo tun ṣiṣẹ pẹlu awọn olupese ijabọ oke.

Yandex ṣe ohun elo RPKI

Iyatọ wo ni eyi ṣe fun ọ? Ti o ba fẹ mu aabo ti ipa ọna opopona laarin nẹtiwọọki rẹ ati Yandex, a ṣeduro:

  • Wole aaye adirẹsi rẹ ni RIPE portal - o rọrun, gba iṣẹju 5-10 ni apapọ. Eyi yoo daabobo Asopọmọra wa ni iṣẹlẹ ti ẹnikan lairotẹlẹ ji aaye adirẹsi rẹ (ati pe eyi yoo ṣẹlẹ laipẹ tabi ya);
  • Fi ọkan ninu awọn kaṣe RPKI orisun ṣiṣi silẹ (pọn-validator, olulana) ati ṣiṣe ayẹwo ipa ọna ni aala nẹtiwọọki - eyi yoo gba akoko diẹ sii, ṣugbọn lẹẹkansi, kii yoo fa awọn iṣoro imọ-ẹrọ eyikeyi.

Yandex tun ṣe atilẹyin idagbasoke ti eto sisẹ ti o da lori nkan RPKI tuntun - ASPA (Aṣẹ Olupese Eto Aladani). Awọn asẹ ti o da lori ASPA ati awọn ohun ROA ko le rọpo awọn “leaky” AS-SETs nikan, ṣugbọn tun pa awọn ọran ti awọn ikọlu MiTM nipa lilo BGP.

Emi yoo sọrọ ni alaye nipa ASPA ni oṣu kan ni apejọ Hop Next. Awọn ẹlẹgbẹ lati Netflix, Facebook, Dropbox, Juniper, Mellanox ati Yandex yoo tun sọrọ nibẹ. Ti o ba nifẹ si akopọ nẹtiwọki ati idagbasoke rẹ ni ọjọ iwaju, wa ìforúkọsílẹ wa ni sisi.

orisun: www.habr.com

Fi ọrọìwòye kun