ћерион Ќетворкс

7 минут чтени€

 огда читаете данную статью, браузер подключаетс€ к провайдеру (или ISP) а пакеты, отправленные с компьютера, наход€т путь до сервера, на котором размещен этот веб-сайт. BGP (Border Gateway Protocol, протокол граничного шлюза) решает, по какому пути следует идти пакетам.

≈сли маршрутизатор не работает или слишком нагружен, пакеты проход€т по другому маршруту. BGP по умолчанию принимает объ€вленные маршруты от других соседей BGP. Ќет объ€влени€ о пути или владельце, что оставл€ет серьезную проблему безопасности.

¬ этой статье описываетс€ протокол RPKI, как решение дл€ безопасной маршрутизации BGP.

ќбучайс€ в Merion Academy

ѕройди курс по
сетевым технологи€м

Ќачать

„то такое BGP?

ѕротокол BGP Ц основной протокол, который используетс€ дл€ обмена маршрутами в »нтернете. ѕакеты передаютс€ по всему миру децентрализованным образом с автоматизированной маршрутизацией. ѕо мере передачи данных с одного маршрутизатора на другой информаци€ перемещаетс€ ближе к пункту назначени€.

 аждый маршрутизатор поддерживает локальную таблицу наилучших путей дл€ каждой группы префиксов IP-адресов. AS (Autonomous System - автономна€ система) владеет группами префиксов и определ€ет, как происходит обмен маршрутизацией.  ажда€ AS имеет уникальный идентификатор (Number), и протокол BGP определ€ет, как автономные системы обмениваютс€ информацией о маршрутах.

 аждый ASN (Autonomous System Number) объ€вл€ет префиксы, по которым он может доставл€ть данные. Ќапример, AS отвечающа€ за подсеть 1.0.0.0/8, будет передавать этот префикс сосед€м и другим провайдерам.


Ќедостатки BGP

ѕрием маршрута BGP зависит от проектировани€ ISP. —ложно прин€ть во внимание все сценарии: ошибки ввода, ошибки автоматизации или злой умысел - это лишь некоторые примеры проблем, которые трудно предотвратить. ¬ конечном счете, суть проблемы заключаетс€ в том, что нет никакого видени€ того, кто должен объ€вл€ть маршрут или кто насто€щий владелец.

”гоны префиксов равной длины

”гон префикса равной длины происходит, когда тот, кто не €вл€етс€ владельцем, объ€вл€ет об этом же префиксе. Ќапример:

  • »сходна€ AS отправл€ет данные, предназначенные дл€ 1.0.0.0/8
  • AS назначени€ объ€вл€ет 1.0.0.0/8
  • ƒруга€ AS также объ€вл€ет 1.0.0.0/8

¬ случае объ€влени€ равной длины BGP должен выбрать маршрут. –ешение сводитс€ к конфигурации AS.

”гоны префиксов равной длины

»сточник AS замечает небольшое падение трафика. ѕадение трафика €вл€етс€ обычным €влением, которое может произойти по любому числу причин. «а счет этого угон BGP остаетс€ незамеченным.

”гон определенного префикса

«ахват определенного префикса происходит, когда злонамеренный ASN объ€вл€ет более конкретный префикс. ќба префикса добавл€ютс€ в таблицу маршрутизации BGP, но более конкретный адрес выбираетс€ в качестве наилучшего пути к сети.

Ќапример:

  • »сточник отправл€ет данные, предназначенные дл€ 1.0.0.0/8
  • AS назначени€ объ€вл€ет 1.0.0.0/8
  • ƒруга€ AS объ€вл€ет более конкретный 1.2.3.0/24
”гон определенного префикса

ѕоскольку 1.2.3.0/24 лучше соответствует, все данные в диапазоне 1.2.3.0 поступают в нелегитимную сеть.


„то такое RPKI?

RPKI (Resource Public Key Infrastructure) - уровень безопасности в протоколе BGP, обеспечивающий полное криптографическое доверие владельцу, где последний имеет общедоступный идентификатор. ¬ BGP пон€ти€ владельца не существует. Ћюбому разрешаетс€ анонсировать лучший маршрут, будь то злонамеренно или случайно.

RPKI основан на существующем стандарте PKI - RFC6480. —уществует много ссылок на существующие методологии криптографии дл€ безопасной св€зи.


ѕочему RPKI важен?

»нфраструктура открытого ключа ресурсов делает BGP более безопасным и надежным. »з-за особенностей работы BGP, у€звимость интернета €вл€етс€ систематической проблемой. — ростом »нтернета последстви€ заметнее.

ћаршрутизаци€ информации в небольшую сеть создает перегрузку. ¬редоносна€ маршрутизаци€ доставл€ет конфиденциальную информацию не туда. ќшибки BGP могут привести к мошенничеству и крупномасштабным сбо€м. »звестны следующие случаи:

  • Amazon - маршрут 53 BGP угнал DNS Amazon дл€ кражи криптовалют.
  • Google - неправильна€ настройка фильтрации BGP во врем€ обновлени€ маршрутизировал весь трафик в  итай, –оссию и Ќигерию.
  • Mastercard, Visa и крупные банки - произошла утечка 36 префиксов платежных услуг.
  • YouTube - ѕопытка заблокировать сайт YouTube в ѕакистане в итоге положила его.

 акую форму защиты предлагает RPKI?

ѕроблемы BGP возникают по многочисленным причинам:

  • Ќет надежного плана обеспечени€ безопасности
  • ќшибки перераспределени€
  • ќпечатки
  • ѕреступное намерение

Ќаиболее распространенным фактором €вл€етс€ человеческа€ ошибка.

 риптографическа€ модель RPKI обеспечивает аутентификацию владельца через открытый ключ и инфраструктуру сертификатов без наличи€ в них идентифицирующей информации. —ертификаты добавл€ют уровень сетевой безопасности к префиксам IPv4 и IPv6. —ертификаты RPKI продлеваютс€ каждый год. HTTP использует аналогичное шифрование дл€ защиты веб-страниц.

’от€ весь путь не защищен, RPKI провер€ет идентичность источника и предоставл€ет способ подтвердить, что они €вл€ютс€ теми, кем они €вл€ютс€. RPKI €вл€етс€ шагом в обеспечении безопасности в маршрутизации BGP, где мы знаем происхождение вход€щей информации и кто владеет каким пространством.

Ўирокое распространение делает его еще более эффективным в предотвращении угонов в целом.


 ак работает RPKI?

RIR (Regional Internet Registry) обеспечивает корневое доверие в модели криптографии RPKI. IANA (Internet Assigned Numbers Authority) €вл€етс€ частью ICANN (Internet Corporation for Assigned Names and Numbers), котора€ владеет адресными пространствами IPv4 и IPv6.

IANA распредел€ет порции IP пространства дл€ RIR. Ћокальные RIR затем распредел€ют пространство IP дл€ сетей, которые далее распредел€ют дл€ сетей меньшего размера. Ётот путь создает доверенную цепочку в сертификатах подписи. –егионы RIR дел€тс€ на п€ть географических районов:

–егионы RIR

ROA

«аключительной частью цепочки €вл€етс€ ROA (Route Origin Authorization - авторизаци€ источника маршрута). ROA представл€ет собой простой документ с двум€ част€ми информации:

  •  акой маршрут и максимальна€ длина.
  • AS, объ€вивша€ маршрут.
ROA

Ќапример, если AS65005 объ€вл€ет маршрут в диапазоне от 1.0.0.0/8 до 1.0.0.0/12, ROA содержит область и идентификатор AS65005, провер€€, кто €вл€етс€ реальным владельцем информации с полным доверием.

 ажда€ ROA специфична дл€ каждого из существующих RIR.


 ак развертываетс€ RPKI?

"P" в RPKI означает, что сертификаты и ROA доступны в публичных (public) хранилищах. Ёта информаци€ используетс€ дл€ формировани€ списков префиксов, которые относ€тс€ к конкретному ASN.

ѕодписи сертификатов и срок действи€ ROA провер€ютс€ каждой сетью независимо. ≈сли какой-либо из следующих ошибок завершаетс€ неуспешно, ROA игнорируетс€:

  • ƒата начала или дата окончани€ ROA и прив€зки сертификатов к корню наход€тс€ в прошлом или будущем.
  • Ћюба€ из подписей недействительна или отозвана.

¬се ROA, которые прошли тест сохран€ютс€ в списке проверенных. ‘ильтр генерируетс€ и выгружаетс€ на маршрутизаторы на основе проверенного списка кэша. ћаршрутизаторы провер€ют объ€влени€ BGP через фильтр и получает один из трех результатов:

  • ƒействительное - ROA присутствует. ƒлина префикса и номер AS совпадают.
  • Ќедопустимое - присутствует ROA. ƒлина префикса или номер AS не совпадают.
  • Ќе найдено или неизвестно - ROA отсутствует.
RPKI

ћаршрутизатор действует на основе состо€ни€ префикса, сгенерированного фильтром.

ѕодпись префиксов

RIR предлагают онлайн-инструменты дл€ подписи префиксов. ѕри этом префикс и длина префикса св€зываютс€ с AS. ѕосле подписани€ префикса другие пользователи, реализовавшие проверку RPKI, могут проверить префиксы.

ѕодписание сертификата предотвращает захват префиксов (намеренно или непреднамеренно). ѕодписанные сертификаты €вл€ютс€ €дром ROA. RPKI не предлагает проверки пути, и атаки Ђчеловек в серединеї по-прежнему возможны.

ѕроверка префиксов

–еализаци€ проверки зависит от сведений о сети. ќбщие шаги при настройке сети дл€ проверки префиксов:

  • ”становка средств проверки RPKI - программное обеспечение, которое извлекает данные RPKI из всех реестров маршрутизации »нтернет (IRR) и провер€ет подписи.
  • Ќастройка проверки на пограничных маршрутизаторах с помощью средства проверки маршрута - маршрутизаторы заполн€ют кэш проверки комбинаци€ми проверенных префиксов, длин префиксов и исходных ASN.
  • –еализаци€ фильтров BGP дл€ внешних сеансов BGP - добавление политики дл€ всех сеансов BGP (одноранговых, транзитных и клиентов) дл€ отклонени€ любого префикса, который €вл€етс€ недопустимым с точки зрени€ RPKI.

«аключение

RPKI предлагает дополнительный уровень в защите BGP маршрутизации. Ѕольшинство маршрутизаторов имеют встроенные возможности проверки и развертывани€ RPKI.


 ажетс€, ћарион запуталс€ в сет€х, пока пыталс€ в них разобратьс€!

≈му нужна тво€ помощь! ѕомоги решить задачу, чтобы спасти принцессу

ћаршрутизатор состоит из многих внутренних компонентов.  акой компонент хранит копию файла конфигурации?

 ака€ особенность поддерживает высокую пропускную способность в коммутируемых сет€х, объедин€€ несколько каналов в один?

 акой уровень модели OSI требуетс€ дл€ конфигурировани€ соединени€ между устройствами в различных виртуальных локальных сет€х?

“ы помог ћариону спасти принцессу!

«а это он дарит тебе дополнительные 15% скидки на курс по сет€м!

ѕолучить

”пс, кажетс€ промах. ѕопробуй в следующий раз!

x