BỘ THÔNG TIN VÀ TRUYỀN THÔNG TRUNG TÂM INTERNET VIỆT NAM TÀI LIỆU HƯỚNG DẪN THÀNH VIÊN ĐỊA CHỈ VỀ KHĨA CƠNG KHAI TÀI NGUN (RPKI) TRONG BẢO MẬT THƠNG TIN ĐỊNH TUYẾN Hà Nội, tháng 10 năm 2018 MỤC LỤC MỤC LỤC PHẦN TỔNG QUAN VỀ KHĨA CƠNG KHAI TÀI NGUN (RPKI) TRONG BẢO MẬT THÔNG TIN ĐỊNH TUYẾN I ĐỊNH TUYẾN TRÊN MẠNG INTERNET VÀ VẤN ĐỀ NẢY SINH CẦN SỰ BẢO MẬT THÔNG TIN ĐỊNH TUYẾN 1.1 Cơ sở liệu quản lý IP/ASN sở liệu quản lý thông tin định tuyến (Internet Routing Registry – IRR) 1.2 Hạn chế mơ hình định tuyến cần thiết bảo mật thông tin định tuyến II HẠ TẦNG KHĨA CƠNG KHAI TÀI NGUYÊN (RPKI) ĐỂ BẢO MẬT THÔNG TIN ĐỊNH TUYẾN 2.1 Nguyên tắc cấu trúc tổng quan 2.2 Kiến trúc tổng thể hệ thống cung cấp dịch vụ RPKI 11 2.2.1 Các thành phần khối cung cấp dịch vụ RPKI 12 2.2.2 Các thành phần khối sử dụng thông tin RPKI để xây dựng sách định tuyến có xác thực 18 2.3 Thay đổi mơ hình định tuyến ứng dụng RPKI 19 III HIỆN TRẠNG ỨNG DỤNG RPKI TOÀN CẦU 20 3.1 Hiện trạng cung cấp dịch vụ RPKI APNIC NIR khu vực Châu Á – Thái Bình Dương 20 3.2 Hiện trạng triển khai cơng nghệ RPKI tồn cầu 22 3.2.1 Tỉ lệ ứng dụng RPKI định tuyến toàn cầu 22 3.2.2 Dự án tích hợp liệu RPKI toàn cầu RIR 23 3.3 Phần mềm, công cụ hỗ trợ triển khai dịch vụ RPKI 24 3.3.1 Hỗ trợ RPKI thiết bị định tuyến 24 3.3.2 Phần mềm RPKI Validator (RPKI cache) 25 3.3.3 Môi trường giả lập hỗ trợ xây dựng hệ thống chứng thực (CA) riêng 25 PHẦN 2: CUNG CẤP VÀ ĐĂNG KÝ SỬ DỤNG DỊCH VỤ RPKI TRONG QUẢN LÝ ĐỊA CHỈ IP/ASN TẠI VIỆT NAM 27 IV MƠ HÌNH TRIỂN KHAI DỊCH VỤ RPKI TRONG CÔNG TÁC QUẢN LÝ ĐỊA CHỈ IP/SỐ HIỆU MẠNG ASN TẠI VIỆT NAM 28 V HƯỚNG DẪN THÀNH VIÊN ĐỊA CHỈ ĐĂNG KÝ KHAI BÁO BẢN GHI ĐỊNH TUYẾN CÓ XÁC THỰC (RPKI) 30 5.1 Nguyên tắc thực 30 5.2 Các thông tin cung cấp yêu cầu khai báo ROA 31 5.3 Nội dung đề nghị Thành viên gửi VNNIC 31 5.4 Quy trình thực (áp dụng cho thành viên) 31 VI HƯỚNG DẪN THÀNH VIÊN ĐỊA CHỈ SỬ DỤNG THÔNG TIN ĐỊNH TUYẾN CĨ XÁC THỰC (RPKI) ĐỂ XÂY DỰNG CHÍNH SÁCH LỌC ĐỊNH TUYẾN 34 6.1 Các thành phần cần có để khai thác thơng tin định tuyến có xác thực xây dựng sách lọc định tuyến 34 6.2 Các bước thực 34 6.3 Tham khảo mơ hình thử nghiệm giải pháp ứng dụng RPKI cho trạm trung chuyển lưu lượng quốc gia VNIX 34 VII THÔNG TIN LIÊN HỆ, HỖ TRỢ 35 PHẦN TỔNG QUAN VỀ KHĨA CƠNG KHAI TÀI NGUN (RPKI) TRONG BẢO MẬT THÔNG TIN ĐỊNH TUYẾN I ĐỊNH TUYẾN TRÊN MẠNG INTERNET VÀ VẤN ĐỀ NẢY SINH CẦN SỰ BẢO MẬT THÔNG TIN ĐỊNH TUYẾN 1.1 Cơ sở liệu quản lý IP/ASN sở liệu quản lý thông tin định tuyến (Internet Routing Registry – IRR) Các tổ chức quản lý tài nguyên (RIR, NIR) trì sở liệu quản lý thơng tin vùng địa IP, số hiệu mạng ASN cấp chủ thể sử dụng tài nguyên để phục vụ cho công tác quản lý phục vụ nhu cầu tìm kiếm thơng tin cộng đồng Tồn tổ chức quản lý địa cấp vùng (RIR) có hệ thống sở liệu quản lý IP/ASN khu vực Trong trường hợp khu vực có NIR, thông tin thành viên NIR vùng địa cấp cho thành viên NIR trì đồng sở liệu tổ chức cấp vùng Bản ghi vùng địa csdl quản lý khu vực Bên cạnh việc lưu trữ thông tin quản lý vùng địa chỉ, số hiệu mạng ASN, tổ chức RIR (và số NIR) trì sở liệu quản lý thông tin định tuyến (Internet Routing Registry – IRR) lưu ghi mơ tả sách định tuyến Ngoài IRR tổ chức quản lý địa chỉ, có số sở liệu định tuyến uy tín khác sử dụng rộng rãi khai báo tra cứu thông tin định tuyến tồn cầu, ví dụ IRR RADB Hiện IRR RADB IRR năm RIR ánh xạ đồng với để đảm bảo thống đồng thơng tin định tuyến tồn cầu Xét mặt kỹ thuật đơn thuần, để cấu hình quảng bá thơng tin định tuyến, tổ chức sở hữu địa chỉ cần thiết lập thông số thiết bị định tuyến Tuy nhiên, để đảm bảo tính xác, đồng hoạt động định tuyến toàn cầu, tổ chức tham gia hoạt động Internet toàn cầu thống tuân thủ theo số sách thống nhất, đồng thuận, ví dụ kích thước vùng địa tối thiểu quảng bá bảng thông tin định tuyến toàn cầu vùng /24 (đối với IPv4), /48 (đối với IPv6); Thống không quảng bá định tuyến riêng vùng địa phụ thuộc Để đảm bảo phần tính xác thực hoạt động cấu hình định tuyến, nhà vận hành mạng tham khảo thông tin tra cứu từ sở liệu quản lý IP/ASN tổ chức quản lý địa hệ thống sở liệu quản lý thông tin định tuyến (IRR) trước chấp nhận quảng bá định tuyến cho vùng địa Các sở liệu quản lý IP/ASN sở liệu quản lý thơng tin định tuyến (IRR) có vai trò quan trọng việc kiểm tra, xác thực thông tin phục vụ cho hoạt động dịnh tuyến mạng Bản ghi đối tượng định tuyến (route object) csdl APNIC Như ví dụ hình, ghi đối tượng định tuyến csdl khu vực APNIC xác định vùng địa 203.162.48.0/20 khởi tạo tuyến số hiệu mạng ASN vùng địa VNPT Kết hợp với thông tin đối tượng vùng địa ASN csdl, tổ chức cung cấp dịch vụ kết nối cấp định việc quảng bá thông tin định tuyến cho vùng địa số hiệu mạng Tại Việt Nam, sở liệu quản lý IP/ASN VNNIC sử dụng cho mục đích quản lý thơng tin nội Để tạo ghi liệu, ghi định tuyến phục vụ yêu cầu thành viên khai báo ghi ngược, VNNIC tiếp nhận yêu cầu thành viên sử dụng trực tiếp hệ thống công cụ dành cho NIR APNIC để thao tác thực tạo thông tin, liệu sở liệu khu vực 1.2 Hạn chế mơ hình định tuyến cần thiết bảo mật thông tin định tuyến Định tuyến hoạt động cốt lõi kết nối Internet Thông qua giao thức định tuyến, việc cấu hình sử dụng vùng địa IP, số hiệu mạng ASN thông tin định tuyến hoạt động thiết bị định tuyến (router) mà mạng sử dụng tài nguyên kết nối, trao đổi lưu lượng với Giao thức định tuyến liên mạng phổ biến tồn cầu BGP Hiện có khoảng 550.000 tuyến quảng bá Internet Giao thức định tuyến liên mạng BGP đánh giá yếu mặt bảo mật trước công định tuyến chưa có cách thức để xác thực thông tin định tuyến Trên thực tế, BGP chấp nhận tuyến mà thiết bị định tuyến học từ thiết bị định tuyến lân cận BGP khơng có khả xác thực thực thể thực thể có quyền sử dụng hợp pháp vùng địa khơng có khả xác thực người có quyền khởi tạo định tuyến vùng địa định Chính vậy, sai lệch nhầm lẫn, đồng giả mạo trong việc quảng bá định tuyến dễ dàng xảy Lỗi định tuyến phổ biến thường gặp sai lầm tiền tố quảng bá định tuyến, có nghĩa vơ tình thơng báo tiền tố IP mà họ chủ sở hữu, nhiều trường hợp, việc quảng bá sai tiền tố IP hoạt động cơng có chủ đích Các sai lệch, giả mạo việc quảng bá định tuyến thường gây tác động lớn với hoạt động mạng lưới Trong nhiều trường hợp, ảnh hưởng có quy mơ lớn thơng tin định tuyến sai lệch chuyển tiếp phạm vi toàn cầu Mơ hình định tuyến Internet đánh giá thiếu an tồn Thời gian vừa qua có nhiều vụ cơng nhầm lẫn dẫn tới sai lệch quảng bá định tuyến, gây tác động diện rộng tới tổ chức, người sử dụng tham gia hoạt động Internet Dưới số vụ việc điển hình: Vụ việc chiếm quyền điều khiển vùng IP YouTube Pakistan Telecom thực Vụ việc xảy từ năm 2008 số hiệu mạng AS17557 Pakistan Telecom thực quảng bá định tuyến trái phép vùng địa 208.65.153.0/24 YouTube Theo nguyên tắc kiểm tra định tuyến thông thường, nhà cung cấp dịch vụ cấp Pakistan Telecom kiểm tra thông tin liệu quản lý IP ghi định tuyến tổ chức khơng cho phép quảng bá tiếp thơng tin định tuyến sai lệch mức tồn cầu vùng địa Pakistan Telecom Tuy nhiên, trường hợp này, lọc định tuyến nhà cung cấp dịch vụ cấp (PCCW Global) khơng cấu hình cách khiến cho tuyến quảng bá trái phép vùng địa 208.65.153.0/24 truyền bá toàn Internet Kết vùng IP YouTube truy cập Lưu lượng Youtube gắn với vùng địa 208.65.153.0/24 Youtube thay chuyển tiếp mạng Youtube (với số hiệu mạng 36561) bị lái Pakistan (qua số hiệu mạng 17557) Lỗi định tuyến Google khiến kết nối Internet Nhật Bản bị ảnh hưởng Giữa tháng 8/2017, gần nửa số người sử dụng Internet Nhật Bản truy cập Internet lỗi Google Lỗi Google phát sửa vòng vài phút khả kết nối vùng bị ảnh hưởng Internet Nhật Bản phục hồi vòng hiệu ứng vụ việc khiến kết nối Internet Nhật Bản chậm nhiều Các ngành công nghiệp bị ảnh hưởng gồm có tài giao dịch trực tuyến bị dừng lại vận chuyển – khách hàng Công ty Đường sắt Đông Nhật Bản mua vé qua mạng Các nhà cung cấp dịch vụ Internet bị ảnh hưởng nhiều KDDI Corp, NTT Communications với triệu khách hàng Ảnh hưởng lớn đến mức Bộ Nội vụ Truyền thông Nhật Bản thực điều tra vấn đề Lỗi xảy Google cấu hình định tuyến nhầm lượng lớn địa IP nhà ISP Nhật Bản chuyển lưu lượng qua Google Theo cấu hình định tuyến Google, nhà cung cấp dịch vụ Internet lớn Verizon chuyển lưu lượng Internet phải Nhật Bản tới Google Do Google nhà cung cấp dịch vụ nên lưu lượng Internet không chuyển tiếp tới đâu khiến người sử dụng Internet Nhật Bản truy cập Internet Vụ công MyEtherWallet Gần nhất, tháng 4/2018, vụ công chuyển hướng định tuyến kèm giả mạo DNS, công vào hệ thống dịch vụ web Amazon để lấy cắp lượng tiền ảo từ trang web tiền điện tử trực tuyến MyEtherWallet.com Nhà phát triển ví Ethereum xác nhận kẻ trộm chuyển hướng tra cứu DNS đến trang web độc hại giả mạo Điều có nghĩa số người đăng nhập vào MyEtherWallet.com thực kết nối với trang web khơng có thật giao dịch chuyển tiền ảo họ cho bọn tội phạm, kẻ sau nhanh chóng rút ETH khỏi ví nạn nhân Hậu đợt công tên cướp tích lũy lượng tiền ảo Ethereum tương ứng 17 triệu la trong ví MyEtherWallet.com sử dụng dịch vụ Route 53 DNS Amazon Cuộc công xảy kẻ công quảng bá trái phép vùng địa /24 thuộc khối /23 Route 53 Sau lừa lưu lượng truy cập Internet, máy chủ DNS giả mạo đặt vùng địa giả mạo trả lời truy vấn DNS với địa IP trang web lừa đảo lưu trữ Nga, giả mạo trang MyEtherWallet.com Vì vậy, người sử dụng truy cập vào trang giả mạo kẻ công tạo nên giao dịch chuyển tiền ảo vào ví điện tử mà không hay biết lừa đảo Trong cấu trúc định tuyến thông thường nay, tổ chức tham gia hoạt động Internet tạo lưu trữ ghi phục vụ thông tin định tuyến ví dụ ghi route object hệ thống thông tin định tuyến IRR (Internet Routing Registry) sở liệu whois tổ chức quản lý địa Tuy nhiên, việc sử dụng hệ thống thông tin định tuyến IRR loại bỏ liệu quảng bá sai, liệu rác khơng giá trị sử dụng, hoạt động quảng bá IP trái phép Trước yêu cầu ngày cao việc đảm bảo an toàn, bảo mật cho hoạt động mạng lưới dịch vụ Quảng bá thơng tin định tuyến với vai trò đặc biệt quan trọng cần phương án bảo mật hiệu Việc đảm bảo tuyệt đối tính xác thực quảng bá thông tin định tuyến mà yếu tố đem lại kết nối Internet xác thực, an tồn Để thực việc này, mơ hình bảo mật xác thực thông tin định tuyến thông qua hệ thống chứng thực tài nguyên (Resource Public Key Infrastructure – RPKI) phát triển để hệ thống tổ chức quản lý tài nguyên địa (cấp cao nhât - IANA, cấp vùng - RIR, cấp quốc gia - NIR) xác thực thơng tin chủ sở hữu vùng địa - thực thể hợp pháp quảng bá thơng tin định tuyến qua đem đến mơ hình quảng bá định tuyến an toàn, bảo mật Tại Việt Nam, với phát triển Internet, nhu cầu sử dụng địa IP tổ chức ngày cao Trong năm qua, số lượng thành viên địa tăng liên tục, bình quân tăng thêm 30-40 thành viên năm Sự tăng lên số lượng tài nguyên IP/ASN song hành với việc yêu cầu liên quan tới quản lý, sử dụng tài nguyên Việt Nam tăng lên Trong thời gian vừa qua, VNNIC xử lý nhiều vụ việc sai lầm thông tin định tuyến gây ảnh hưởng tới hoạt động mạng lưới, dịch vụ tổ chức thành viên địa VNNIC Tới nay, có số thành viên địa nêu yêu cầu đề nghị VNNIC nghiên cứu hỗ trợ thành viên khai báo thông tin định tuyến có xác thực Trong xu chung xúc tiến triển khai cơng nghệ tăng cường tính an toàn, bảo mật hoạt động mạng lưới, dịch vụ, nhu cầu phổ biến, xúc tiến tiếp cận công nghệ bảo mật khóa cơng khai tài ngun (RPKI) cho thành viên địa Việt Nam yêu cầu cần thiết Số lượng yêu cầu sử dụng RPKI Việt Nam thời gian đầu chưa nhiều, chưa đại trà với vai trò NIR, VNNIC cần phải sẵn sàng đủ khả cung cấp dịch vụ cho thành viên II HẠ TẦNG KHĨA CƠNG KHAI TÀI NGUYÊN (RPKI) ĐỂ BẢO MẬT THÔNG TIN ĐỊNH TUYẾN 2.1 Nguyên tắc cấu trúc tổng quan Việc phân bổ địa IP thực theo mơ hình phân cấp Gốc hệ thống phân cấp IANA Dưới IANA năm tổ chức quản lý địa cấp khu vực (RIR) Tại vài RIR, điển hình khu vực Châu Á – Thái Bình Dương, tầng thứ ba hệ thống phân cấp bao gồm tổ chức quản lý địa cấp quốc gia (NIR) Ở khu vực khác, không tồn cấp NIR mà gồm LIR (thường ISP) Chủ thể khối không gian địa IP phân bổ tiếp vùng địa phía cho khách hàng sử dụng cho mạng lưới Do cấu trúc này, phân bổ địa IP mơ tả tự nhiên sở hạ tầng khóa cơng khai phân cấp, chứng chứng thực phân bổ địa IP chứng nhận cấp tương ứng với phân bổ phía Hệ thống cấu trúc PKI sử dụng chứng thực tài nguyên gọi "Hạ tầng khóa cơng khai tài ngun - Resource Public Key Infrastructure (RPKI)” RPKI (Resource Public Key Infrastructure) cấu trúc hạ tầng khóa cơng khai tạo dựng dành cho hệ thống tài nguyên, gọi hệ thống chứng thực tài nguyên nhằm xác thực thông tin chủ sở hữu vùng địa - thực thể hợp pháp quảng bá thông tin định tuyến Câu hỏi mà RPKI cố gắng trả lời là: “Đây có phải quảng bá lộ trình định tuyến chủ sở hữu hợp pháp không gian địa công bố hay không?” Các tổ chức quản lý địa (IANA, RIR, NIR) đầu mối xác thực xác tổ chức cấp vùng IP quyền quảng bá định tuyến Vì vậy, phải tổ chức cung cấp dịch vụ tạo ghi định tuyến có chứng thực nguồn cơng bố thơng tin quảng bá định tuyến có chứng thực Thực tiễn IANA khơng thực trì hệ thống quản lý liệu IP/ASN tới người sử dụng Vì vậy, gốc hệ thống chứng thực tài nguyên năm tổ chức quản lý địa cấp vùng RIR Do cấu trúc phân tầng, tổ chức cấp (RIR) ủy quyền chứng thực cho tổ chức cấp (NIR, LIR) để tổ chức cấp tự xây dựng hệ thống chứng thực thực cấp chứng thực tài nguyên phạm vi địa mà ủy quyền quản lý CA tự ký “Root” (Self-signed CA) … … .… … AFNIC ARIN RIPE NCC … … .… … Phát hành chứng số phù hợp với phân bổ IP NIR1 … … .… … ISP1 … … .… … … … .… … APNIC LANIC … … .… … … … .… … … … .… … ISP2 … … .… … … … .… … NIR2 … … .… … ISP3 … … .… … … … .… … … … .… … ISP4 ISP ISP ISP Mô hình chứng thực ủy quyền chứng thực quyền sở hữu tài nguyên địa RPKI Hiện nay, năm tổ chức quản lý tài nguyên cấp vùng Regional Internet Registry – RIR, tổ chức chứng thực gốc cấu trúc chứng thực tài nguyên, cung cấp khả ứng dụng RPKI cho tổ chức thành viên cấp vùng địa để - Khi yêu cầu khai báo ghi xác thực thông tin dịnh tuyến (ROA - Route Origin Authorization), thành viên phải cung cấp đầy đủ thông tin theo yêu cầu VNNIC 5.2 Các thông tin cung cấp yêu cầu khai báo ROA - Prefix: (Thông tin địa IPv4 IPv6) - Origin AS: (ASN muốn quảng bá cho vùng địa IP) - Most specific annoucement: (Kích cỡ quảng bá tối thiểu) - descr: (Tên mạng thành viên) - notify: (email thông báo thành viên) - notify-2: (email đại diện quản lý ASN) 5.3 Nội dung đề nghị Thành viên gửi VNNIC Mẫu nội dung đề nghị: Chủ đề: [TENMANG-VN] Hỗ trợ khai báo ghi RoA Nội dung: Thành viên “tên mạng” kính đề nghị VNNIC hỗ trợ khai báo ghi RoA hệ thống APNIC với thông tin cụ thể sau: - Prefix: (Thông tin địa IPv4 IPv6) - Origin AS: (ASN muốn quảng bá cho vùng địa IP) - Most specific annoucement: (Kích cỡ quảng bá tối thiểu) - descr: (Tên mạng thành viên) - notify: (email thông báo thành viên) - notify-2: (email đại diện quản lý ASN) Đề nghị VNNIC hỗ trợ khai báo, kích hoạt trạng thái cho ghi RoA hoạt động liệu RPKI đồng liệu Whois cho ghi Route tương ứng 5.4 Quy trình thực (áp dụng cho thành viên) Áp dung theo quy trình khai báo nghiệp vụ dành cho thành viên địa 31 Bổ sung, điểu chỉnh Thành viên gửi yêu cầu tới VNNIC Tạo/Cập nhật ghi Thông báo cho Thành viên Thông báo cho tổ chức liên quan Thành viên kiểm tra lại Tổ chức liên quan kiểm tra lại Không đồng ý Yêu cầu không hợp lệ VNNIC thẩm định yêu cầu Thông báo/Kết thúc Nội dung công việc Người thực Thời lượng TT Thủ tục Thành viên Thành viên gửi yêu cầu từ địa Thành viên gửi yêu email đại diện thành viên, cầu đăng ký lưu hệ thống quản lý thành viên địa VNNIC, gửi yêu cầu tới địa info@vnnic.vn Thẩm định VNNIC thẩm định yêu cầu: VNNIC yêu cầu - Yêu cầu xuất phát từ địa email đại diện Thành viên 01 ngày làm việc - Nội dung cung cấp thông tin 32 ghi đầy đủ; Thẩm định phù hợp, chuyển sang bước Trường hợp yêu cầu thiếu khơng hợp lý, VNNIC có phản hồi lại vòng ngày làm việc Tạo/ nhật ghi Cập VNNIC thực tạo cập VNNIC nhật ghi sở liệu APNIC 01 ngày làm việc Thông báo Thông báo kết ghi VNNIC kết cho thành viên địa sau cho thành khai báo thành công viên Ngay hồn thành việc tạo ghi Thơng báo tới tổ chức có liên quan Trường hợp thơng tin ghi có VNNIC ASN tổ chức khác, VNNIC có thơng báo cho tổ chức liên quan Thành viên Thành viên kiểm tra lại kết kiểm tra cập nhật, trường hợp cần thiết lại phản hồi lại VNNIC Trường hợp có yêu cầu điều chỉnh, quy trình chuyển sang bước Tổ chức Tổ chức kiểm tra lại, có liên quan khơng đồng ý với việc tạo kiểm tra ghi phản hồi lại VNNIC, quy lại trình chuyển sang bước Kết thúc 33 VI HƯỚNG DẪN THÀNH VIÊN ĐỊA CHỈ SỬ DỤNG THƠNG TIN ĐỊNH TUYẾN CĨ XÁC THỰC (RPKI) ĐỂ XÂY DỰNG CHÍNH SÁCH LỌC ĐỊNH TUYẾN 6.1 Các thành phần cần có để khai thác thơng tin định tuyến có xác thực xây dựng sách lọc định tuyến Để sử dụng thông tin định tuyến có xác thực RPKI để xây dựng sách lọc định tuyến, mạng thành viên cần có hai thành phần thiết bị sau: - RPKI Vadilator (RPKI Server): Thông tin phần mềm RPKI Validator, hướng dẫn danh sách phần mềm nguồn mở hỗ trợ cho việc cung cấp sử dụng dịch vụ RPKI tham khảo địa đây: https://www.ripe.net/manage-ips-and-asns/resourcemanagement/certification/tools-and-resources - Router hỗ trợ RPKI Thông tin router hỗ trợ RPKI hướng dẫn chi tiết cấu hình sử dụng RPKI router Cisco, Juniper tham khảo địa chỉ: https://www.ripe.net/manage-ips-and-asns/resource-management/certification/routerconfiguration 6.2 Các bước thực Bước 1: Chuẩn bị: - Xây dựng RPKI vadilator (RPKI Server) đồng thông tin ghi ROA từ APNIC RIPE NCC, ARIN… - Nâng cấp Router chạy RPKI nhận bảng định tuyến toàn cầu từ ISP Bước 2: Đăng ký với VNNIC để khai báo ghi ROA APNIC - Thành viên địa thực nội dung theo quy trình mục V Bước 3: Triển khai RPKI định tuyến biên Thiết lập sách với prefix có giá trị invalid bị vô hiệu bảng định tuyến BGP 6.3 Tham khảo mơ hình thử nghiệm giải pháp ứng dụng RPKI cho trạm trung chuyển lưu lượng quốc gia VNIX Thành viên tham khảo Phụ lục đính kèm 34 VII THÔNG TIN LIÊN HỆ, HỖ TRỢ Trong qúa trình quản lý, sử dụng vùng địa phân bổ, thành viên cần hỗ trợ tư vấn liên hệ đơn vị đầu mối VNNIC theo thơng tin sau: - Phòng Hợp tác – Quản lý tài nguyên - Trung tâm Internet Việt Nam (VNNIC) (Email nghiệp vụ: info@vnnic.vn, Điện thoại: 024-35564944 số máy lẻ 105, 102) Hiện thông tin, tài liệu hỗ trợ thành viên công tác quản lý, sử dụng IP/ASN VNNIC công bố chuyên trang quản lý IP/ASN quốc gia địa www.diachiip.vn.Một số lưu ý thành viên địa chỉ: Sau phân bổ IP, tổ chức tự xây dựng sách định tuyến chủ động đưa địa IP vào sử dụng, thực công tác sau: - Khai báo tên miền ngược; - Khai báo ghi route object; - Xử lý phishing spam vùng địa quản lý - Cập nhật thông tin sử dụng, thông tin liên hệ cho Trung tâm Internet Việt Nam có thay đổi - Nộp phí trì hàng năm cho tồn vùng địa cấp trì, sử dụng theo quy định Bộ Tài TRUNG TÂM INTERNET VIỆT NAM (VNNIC) 35 PHỤ LỤC: Mơ hình thử nghiệm ứng dụng RPKI cho mạng VNNIC giải pháp ứng dụng RPKI cho trạm trung chuyển lưu lượng quốc gia VNIX hệ thống mạng DNS quốc gia Mô hình thử nghiệm VNNIC s site RPKI Vadilator APNIC s site rtr – RPKI protocols RPKI system Router (support RPKI) R1 AS:2 IP: 120.28.3.0/24 R2 E1:10.1.1.1 E1:10.1.1.2 AS: 1281 IP: 103.10.232.0/24 Vadilator Server 10.1.1.6 Mơ hình thử nghiệm Mơ tả: Hệ thống thử nghiệm gồm miền định tuyến: - Miền định tuyến AS: 2, quảng bá IP:120.28.3.0/24 khai báo ghi ROA APNIC 36 R1 có hai giao diện: E0: 120.28.3.1/24; E1: 10.1.1.1/24 - Miền định tuyến AS: 1281, IP:103.10.232.0/24 khai báo ghi ROA APNIC R2 có hai giao diện: E0: 103.10.232.1/24; E1: 10.1.1.2/24 RPKI Vadilator có IP: 10.1.1.6 Cơng cụ thử nghiệm RPKI Vadilator Software (https://www.ripe.net/manage-ips-andasns/resource-management/certification/tools-and-resources) Đây phần mềm cho phép thực download xác nhận tới tập liệu RPKI toàn cầu Các yêu cầu hệ thống: Hệ điều hành UNIX-like OS, Java 8, rsync 2GB free memory Cài đặt cách giải nén phần mềm chạy "rpkivalidator.sh" từ thư mục - Phần mềm Quagga rtrlib/tree/temporary/rebase) với RPKI (https://github.com/rtrlib/quagga- Cài đặt ghi ROA (https://www.apnic.net/wpcontent/uploads/2017/01/GuideResourceCertificationForMyAPNIC.pdf) Cài đặt, cấu hình hệ thống a) Cài đặt, cấu hình máy chủ RPKI Cache (Validator) Thiết lập máy chủ: - HĐH: Ubuntu-16.04.3-desktop - IP: Phân mạng R&D - RAM: 2G - HDD: 10G Phần mềm sử dụng: rpki-validator-app-2.23-dist.tar.gz, nguồn phần mềm: https://www.ripe.net Cài đặt, cấu hình: - Cài đặt HĐH, cài lưu ý chọn gói Java, ssh, rsync - Kiểm tra phiên Java, yêu cầu phiên $ java –version - Khai báo biến mơi trường $JAVA_HOME/bin/java 37 Download gói phần mềm cài đặt (https://rrdp.ripe.net/certification/content/static/validator/rpki-validator-app2.23-dist.tar.gz) Giải nén: #tar –zxvf rpki-validator-app-2.23-dist.tar.gz Kiểm tra thơng tin cấu hình file conf tiến hành start dịch vụ ./rpki-validator.sh start -c /conf/configuration.conf root@ virtual-machine:/home/huybac/Public/rpki-validator-app-2.23# /rpkivalidator.sh start /conf/rpki-validator.conf [ info ] Starting rpki-validator [ info ] writing logs under log directory [ info ] Web user interface is available on port 8080 [ info ] Routers can connect on port 8282 [ info ] Writing PID 19732 to validator.pid root@virtual-machine:/home/huybac/Public/rpki-validator-app-2.23# Test kiểm hệ thống: b) Cài đặt Quagga Bước 1: Cấu hình router 38 Cấu hình kết nối với RPKI Vadilator R1#show running-config | begin bgp router bgp bgp log-neighbor-changes bgp rpki server tcp 10.1.1.6 port 8282 refresh 600 R2#show running-config | begin bgp router bgp bgp log-neighbor-changes bgp rpki server tcp 10.1.1.6 port 8282 refresh 600 Xác định sách cho route tương ứng với trạng thái RPKI ! route-map rpki-loc-pref permit 10 match rpki invalid set local-preference 90 ! route-map rpki-loc-pref permit 20 match rpki not-found set local-preference 100 ! route-map rpki-loc-pref permit 30 match rpki valid set local-preference 110 Cấu hình BGP neighbor sách R1#show running-config | begin bgp router bgp bgp log-neighbor-changes bgp rpki server tcp 10.1.1.6 port 8282 refresh network 120.28.3.1/24 neighbor 10.1.1.2 remote-as 1281 neighbor 10.1.1.2 route-map rpki-loc-pref in ! R3#show running-config | begin bgp router bgp 1281 bgp log-neighbor-changes bgp rpki server tcp 10.1.1.6 port 8282 refresh network 103.10.232.0/24 network 103.10.232.0/23 39 network 203.119.8.0/22 neighbor 10.1.1.2 remote-as 1281 neighbor 10.1.1.2 route-map rpki-loc-pref in Bước 2: Kiêm tra kết nối Router tới RPKI Vadilator R1>show ip bgp rpki server BGP SOVC neighbor is 10.1.1.6/8282 connected to port 8282 Flags 64, Refresh time is 300, Serial number is 4, Nonce is 9169 InQ has messages, OutQ has messages, formatted msg Session IO flags 3, Session flags 4008 Neighbor Statistics: Prefixes 1391 Connection attempts: 32 Connection failures: Errors sent: Errors received: Bước 3: Xác định sách áp dụng (Kết thử nghiệm) R1>sh ip bgp 103.10.232.0/24 BGP routing table entry for 103.10.232.0/24, version 8995350 Paths: (1 available, best #1, table default) Not advertised to any peer Refresh Epoch 1281, (received & used) from 10.1.1.2 (10.1.1.2) Origin IGP, localpref 110, valid, external, best path 51012284 RPKI State valid R1>sh ip bgp 103.10.232.0/23 BGP routing table entry for 103.10.232.1/23, version 8995351 Paths: (1 available, no best path) Not advertised to any peer Refresh Epoch 1281, (received & used) from 10.1.1.2 (10.1.1.2) Origin IGP, localpref 90, valid, external path 510122C8 RPKI State invalid R1>sh ip bgp 203.119.8.0/22 BGP routing table entry for 203.119.8.0/22, version 5427340 Paths: (1 available, best #1, table default) Not advertised to any peer Refresh Epoch 1281, (received & used) from 10.1.1.2 (10.1.1.2) Origin IGP, localpref 100, valid, external, best path 2609454C RPKI State not found R2>sh ip bgp 120.28.3.1/24 40 BGP routing table entry for 120.28.3.1/24, version 8995350 Paths: (1 available, best #1, table default) Not advertised to any peer Refresh Epoch 2, (received & used) from 10.1.1.1 (10.1.1.1) Origin IGP, localpref 110, valid, external, best path 51012284 RPKI State valid Thơng qua kết thử nghiệm, nhận thấy số hiệu mạng (as) tiền tố địa (prefix) khai báo ROA, hệ thống định tuyến xác nhận thông tin quảng bá định tuyến Đối với prefix chưa khai báo, rủi ro việc xác nhận thơng tin định tuyến Tuy nhiên, việc cấu hình sách lọc định tuyến cho phép điều chỉnh uyển chuyển việc áp dụng chấp nhận quảng bá định tuyến có trạng thái unknown, tức chưa khai báo ứng dụng RPKI Kết thử nghiệm cho thấy việc cấu hình hoạt động thiết bị RPKI validator ổn định với thông số thiết bị nêu Hoạt động thiết bị router ổn định, tải tăng không đánh kể không hoạt động với chế độ ứng dụng RPKI bật tính định tuyến với RPKI Giải pháp triển khai ứng dụng RPKI cho trạm trung chuyển VNIX Hệ thống VNIX hoạt động dựa mơ hình chuyển mạch lớp Mỗi điểm có AS độc lập Với mơ hình doanh nghiệp ISP kết nối với VNIX thiết lập kết nối eBGP ngang hàng (peering) với Router Server (RS) Router Server quản lý thực việc trao đổi thông tin định tuyến với định tuyến biên doanh nghiệp ISP kết nối với VNIX Lưu lượng Internet lưu chuyển trực tiếp định tuyến biên doanh nghiệp (qua chuyển mạch trung tâm VNIX, không qua RS) Hệ thống VNIX xây dựng, vận hành, quản lý năm 2003 Đến hệ thống triển khai điểm/3 miền nước (trong có điểm dự phòng Hòa Lạc - HN), hỗ trợ IPv4/v6 hỗ trợ kết nối tốc độ cao Kết nối trực tiếp mạng doanh nghiệp ISP với hệ thống máy chủ DNS quốc gia (.VN) Trung tâm VNNIC VNIX có đặc thù phân tán miền (HN, HCM, ĐN) chưa có hệ thống phòng chống vấn đề Prefix Hijacks gây ra, hệ thống RPKI triển khai cần đáp ứng yêu cầu sau: - Đảm bảo thông tin AS/IP hợp lệ trao đổi qua VNIX - Đảm bảo tính xác thơng tin AS/IP ISP trao đổi qua VNIX 41 - Phù hợp với sách VNIX - Đảm bảo tính dự phòng - Đảm bảo tính an toàn - Đáp ứng truy vấn, kết nối cho ISP miền tình Phương án triển khai Mơ hình triển khai RPKI trạm trung chuyển quốc gia gồm thành phần triển khai điểm VNIX nhằm tăng cường tính dự phòng, đảm bảo an tồn cho hệ thống, đáp ứng truy vấn ISP tình - RPKI Vadilator (RPKI Server) - Router hỗ trợ RPKI APNIC RPKI Repository RPKI Vadilator Router ROA RPKI/RTR Protocol Validated Prefixes & Origin ASNs RIPE RPKI Repository RPKI/RTR Protocol ROA Global RPKI Trusted Local Caches RPKI/RTR-enable Router Mô hình triển khai RPKI cho VNIX Các bước thực triển khai: Bước 1: Chuẩn bị - Xây dựng RPKI vadilator (RPKI Server) đồng thông tin ghi ROA từ APNIC RIPE NCC, ARIN… - Nâng cấp Router chạy RPKI - Thông báo ISP kế hoạch triển khai RPKI hướng dẫn thực 42 Bước 2: Triển khai RPKI định tuyến biên Thiết lập sách với prefix có giá trị invalid bị vô hiệu bảng định tuyến BGP ISP A RPKI Validator MẠNG GS VNIX ĐN VNIX ĐN APNIC’s site RPKI Validator MẠNG GS VNIX HN VNIX HN ISP B RPKI system RPKI Validator MẠNG GS VNIX HCM VNIX HCM ISP C Sơ đồ triển khai triển khai RPKI phân mạng VNIX Giải pháp triển khai ứng dụng RPKI cho hệ thống mạng DNS quốc gia Hệ thống mạng DNS quốc gia triển khai phục vụ cho máy chủ tên miền quốc gia vn, với mục tiêu thiết kế đảm bảo an toàn sẵn sàng 24/24 Hệ thống mạng chia làm phân mạng đặt phân tán miền Hà Nội, TP.HCM Đà Nẵng Mạng sử dụng ASN IP độc lập kết nối đa hướng sử dụng giao thức BGP qua ISP trạm trung chuyển quốc gia VNIX Các định tuyến biên phân mạng quảng bá phân mạng cho ISP kết nối nhận bảng định tuyến internet từ ISP kết nối quảng bá sang Yêu cầu triển khai RPKI - Đảm bảo thông tin định tuyến quảng bá mạng Internet tin cậy - Đảm bảo thông tin định tuyến nhận từ ISP xác thực - Đảm bảo tính an tồn dự phòng triển khai Mơ hình triển khai cho mạng DNS quốc gia 43 APNIC RPKI Repository RPKI Vadilator Router ROA RPKI/RTR Protocol Validated Prefixes & Origin ASNs RIPE RPKI Repository RPKI/RTR Protocol ROA Global RPKI Trusted Local Caches RPKI/RTR-enable Router Mơ hình triển khai RPKI cho mạng DNS quốc gia Mơ hình triển khai RPKI mạng DNS quốc gia gồm thành phần: - RPKI Vadilator (RPKI Server) - Router hỗ trợ RPKI Các bước thực hiện: Bước 1: Chuẩn bị: - Xây dựng RPKI vadilator (RPKI Server) đồng thông tin ghi ROA từ APNIC RIPE NCC, ARIN… - Nâng cấp Router chạy RPKI nhận bảng định tuyến toàn cầu từ ISP Bước 2: Đăng ký ghi ROA APNIC - ASN IPv4, IPv6 mạng DNS quốc gia miền đăng ký ghi ROA APNIC với chiều dài prefix với IPv4 /24 IPv6 /48 Bước 3: Triển khai RPKI định tuyến biên Thiết lập sách với prefix có giá trị invalid bị vô hiệu bảng định tuyến BGP Sơ đồ triển khai phân mạng DNS quốc gia 44 IDC TP.HCM eBGP eBGP INTERNET IDC ĐÀ NẴNG ISP ISP ISP eBGP RPKI Vadilator RPKI Vadilator IDC HÀ NỘI RPKI Vadilator Sơ đồ triển khai RPKI phân mạng DNS quốc gia 45