Il y a deux jours, le 5 mai de l'année 2019, nous avons vu une panne BGP particulière, affectant les systèmes autonomes dans le cône client d'un AS très spécifique portant le numéro 721.
Dès le début, nous devons décrire quelques détails à nos lecteurs:
- Tous les numéros de système autonome de moins de 1000 sont appelés «ASN inférieurs», car ce sont les premiers systèmes autonomes sur Internet, enregistrés par l'IANA dans les premiers jours (la fin des années 80) du réseau mondial. Aujourd'hui, ils représentent principalement des ministères et des organisations gouvernementales, qui ont été impliqués dans la recherche et la création Internet dans les années 70-90.
- Nos lecteurs doivent se rappeler qu'Internet n'est devenu public qu'après que le Département américain de la Défense, qui a financé l'ARPANET initial, l'a remis à la Defense Communication Agency et, plus tard en 1981, l'a connecté au CSNET avec le TCP ( RFC675 ) / IP (RFC791) sur X.25. Quelques années plus tard, en 1986, NSF a troqué le CSNET en faveur de NSFNET, qui s'est développé si rapidement qu'il a rendu possible la mise hors service d'ARPANET en 1990.
- L'IANA a été créée en 1988 et soi-disant à cette époque, les ASN existants étaient enregistrés par les RIR. Il n'est pas surprenant que l'organisation qui a financé la recherche initiale et la création de l'ARPANET, l'a transféré à un autre département en raison de sa taille opérationnelle et de sa croissance, seulement après l'avoir diversifié en 4 réseaux différents (Wiki mentionne MILNET, NIPRNET, SIPRNET et JWICS , au-dessus duquel le NIPRNET exclusivement militaire ne disposait pas de passerelles de sécurité contrôlées vers l'Internet public).
Après la création d'une des fonctions de l'ICANN sous la forme de l'IANA (Internet Assigned Numbers Authority), elle a commencé à distribuer des ASN aux organisations qui faisaient partie de cette création de réseau depuis le début. Il est intéressant de noter que les premiers ASN ont été pris en compte post factum par
divers registres du monde entier, ce qui permet de supposer que les services officiels des différents pays ont fait partie de la création d'Internet dans les années 80. Nous savons que de nombreuses idées nouvelles sont venues du CERN, qui a commencé l'installation de TCP / IP entre les années 84 et 88, et a été interconnecté au reste des réseaux en 1989.
Que s'est-il donc passé le 5 mai?
Comme on peut le supposer, tous ces réseaux qui existaient au sein de l'ARPANET et d'ailleurs qui n'avaient pas cessé d'exister. Après que l'adressage IP moderne a pris sa place et que les premiers préfixes IP ont été attribués, les ressources réseau étaient déjà dans ces réseaux.
Après avoir établi l'ICANN, l'IANA et les RIR, il a été nécessaire d '«enregistrer» toutes ces adresses et préfixes et de les corréler avec le système autonome correspondant - un terme introduit dans le
projet EGP de 1982. Il n'est donc pas surprenant que le département des États-Unis de la Défense qui, une fois de plus, a financé la recherche initiale d'ARPANET, a obtenu de nombreux «ASN inférieurs» pour leurs besoins. Aujourd'hui, 70 ASN appartiennent à différents départements du DoD, dont l'USAF, l'ISC, le NAVY NNIC et le DNIC. Qu'est-ce qui les unit et rend la situation si unique?
La réponse est - ils en ont tous un en amont du monde sous la forme d'
AS721 .
Pourquoi est-ce particulier? Citons le rapport
national 2018 sur la fiabilité du segment Internet :
À strictement parler, lorsque le BGP et le monde du routage interdomaine étaient au stade de la conception, les créateurs ont supposé que chaque AS non transit aurait au moins deux fournisseurs en amont pour garantir la tolérance aux pannes en cas de panne. Cependant, la réalité est différente: plus de 45% des FAI n'ont qu'une seule connexion avec un fournisseur en amont.
La possibilité de voir un FAI débordé de trafic est la plupart du temps sur la table. Pour nous, il est assez surprenant qu'une organisation d'État aussi sérieuse, comme le ministère de la Défense, n'ait pas mis à jour son image de la façon dont un réseau devrait s'interconnecter depuis la fin des années 80. Tout ce qui se connecte à travers le monde extérieur via l'AS721 repose sur lui comme le seul moyen de connectivité qui pourrait, et les événements du dimanche montrent qu'une telle fonctionnalité serait exploitée.
Un tel réseau, servant à des fins internes et n'essayant pas de gagner de l'argent en transit, devrait avoir des amonts beaucoup plus contrôlables pour être fiable et tolérant aux pannes. L'option de n'avoir qu'une seule passerelle externe critique pourrait sembler facile à contrôler et donc sécurisée, bien qu'en fin de compte, elle remette en question la capacité d'un tel réseau, et donc de l'organisation à laquelle il appartient, de maintenir le niveau de connectivité nécessaire.
AS721, comme
on le voit sur le graphique radar , se connecte à Internet uniquement avec l'aide d'un fournisseur de transport en commun - CenturyLink. Encore une fois, nous devons citer le rapport de fiabilité 2018:
Cependant, la grande nouvelle concernant Cogent vient des États-Unis. Pendant deux ans - 2016 et 2017 - nous avons identifié l'AS 174 de Cogent comme étant le plus important pour ce marché. Ce n'est plus le cas - en 2018, le CenturyLink AS 209 a remplacé Cogent, et le changement a placé les États-Unis en haut de la liste par trois places, à la 7e place.
Cependant, même dans le cas d'un FAI fiable - une seule connexion externe est le point douloureux pour toute infrastructure Internet IRL. En cas d'urgence, de défaillance technique, d'erreur ou de catastrophe, un tel lien unique devrait échouer, ou tout au moins subir une dégradation. C'est pourquoi Qrator Labs et le projet Radar doivent, encore une fois, rappeler un simple verbe d'un mot pour 2019: diversifier.