Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 114 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
114
Dung lượng
2,79 MB
Nội dung
Nghiên cứu vấn đề bảo mật giao thức BGP MỤC LỤC LỜI CAM ĐOAN LỜI NÓI ĐẦU PHẦN MỞ ĐẦU Chƣơng I: BẢO MẬT TRÊN GIAO THỨC ĐỊNH TUYẾN BGP 1.1 Bảo mật giao thức định tuyến .6 1.2 Bảo mật giao thức BGP .6 1.2.1 Sự cố tắc nghẽn Internet từ AS7007 1.2.2 Sự cố YouTube bị tắc nghẽn PTA .8 1.3 Tấn công vào TCP .8 1.3.1 SYN Flooding .9 1.3.2 TCP RST 10 1.4 Các công nhằm vào giao thức BGP 10 1.5 Vấn đề bảo mật BGP 11 1.5.1 Cập nhật định tuyến khơng xác 11 1.5.2 Khử tập kết .12 1.5.3 Thao tác thuộc tính đƣờng dẫn 13 1.5.4 Hố đen .13 1.5.5 Nghe trộm 14 1.5.6 Tắc nghẽn, chậm trễ vòng lặp 14 Chƣơng II: PHƢƠNG PHÁP BẢO MẬT TRÊN BGP 15 2.1 Xác minh thiết bị đồng cấp .15 2.2 Bảo mật BGP (S-BGP) 15 2.3 Bảo mật BGP gốc (SoBGP) .18 2.4 Các giải pháp thực tế khả thi 19 2.4.1 Gia cố định tuyến .19 2.4.2 Cơ chế bảo mật TTL tổng quát .20 2.4.3 Chống chập bất ổn cho định tuyến 22 2.4.4 Hạn chế tối đa địa mạng .23 Nghiên cứu vấn đề bảo mật giao thức BGP 2.4.5 Hạn chế chiều dài AS_Path 25 2.4.6 Lọc địa mạng 26 2.4.7 Lọc Bogons .27 2.4.8 Tái đảm bảo lọc thiết bị cấp 29 Chƣơng III: DEMO BÀI TOÁN BẢO MẬT TRÊN BGP 30 Bài toán .30 3.1 Các thuộc tính đƣờng dẫn BGP Chính sách định tuyến .30 3.2 Chính sách định tuyến sử dụng thuộc tính BGP .31 3.2.1 Chính sách định tuyến cho lƣu lƣợng 31 3.2.2 Chính sách định tuyến cho lƣu lƣợng đến 33 3.2.3 Kết luận kết 33 Bài toán .34 3.3 iBGP - Định tuyến lỗ đen Black Hole quy tắc đồng hóa .34 3.3.1 Phân chia ngang iBGP .37 3.3.2 Bộ phản xạ tuyến 42 Bài toán .43 3.4 Tấn cơng BGP cấu hình sai mạng mẫu 43 3.6 Các vấn đề xảy 49 3.6.1 Khởi phát thông tin sai lệch 50 3.6.2 Khử tập kết .53 Bài toán .56 3.7 Thực giải pháp bảo mật thiết thực cho mạng BGP 56 KẾT LUẬN 66 TÀI LIỆU THAM KHẢO 70 PHỤ LỤC 71 Nghiên cứu vấn đề bảo mật giao thức BGP DANH MỤC CÁC HÌNH VẼ Hình Bắt tay TCP Hình Ví dụ khử tập kết 12 Hình Độ lớn bảng định tuyến định tuyến lõi 17 Hình BGP TTL hack 21 Hình Định tuyến khơng ổn định 22 Hình Độ dài AS_Path 25 Hình Danh sách Bogon địa IP 28 Hình Tái đảm bảo trình lọc 29 Hình Sơ đồ cấu trúc liên kết toán 30 Hình 10 ISP chuyển tiếp yêu cầu iBGP 34 Hình 11 Sơ đồ cấu trúc liên kết toán 35 Hình 12 Bảng định tuyến định tuyến A 36 Hình 13 Bảng định tuyến định tuyến A 37 Hình 14 Bảng định tuyến định tuyến B (có tất tuyến) 38 Hình 15 Bảng định tuyến C (có tuyến đƣợc hiểu) 39 Hình 16 Bảng định tuyến A (khơng có iBGP) 40 Hình 17 Thử nghiệm kết nối (ping trace route) từ định tuyến C 41 Hình 18 BGP đƣợc cấu hình mắt lƣới 42 Hình 19 Bộ phản xạ tuyến BGP 43 Hình 20 Sơ đồ cấu trúc liên kết toán 44 Hình 21 Tên định tuyến bảng số AS tƣơng ứng 45 Hình 22 Bảng định tuyến hoàn thiện ban đầu định tuyến A (ASN số 1) 46 Hình 23 Kiểm tra ping thành cơng từ A 47 Hình 24 Bảng định tuyến hồn thiện ban đầu B 48 Hình 25 Kiểm tra kết nối thành công từ B 49 Hình 26 Bộ định tuyến F khởi phát thông tin sai lệch 50 Hình 27 Thơng tin sai lệch từ F đƣợc nhận C 51 Hình 28 Kiểm tra ping bị lỗi từ định tuyến C 52 Hình 29 Kiểm tra kết nối thành cơng từ định tuyến B 53 Nghiên cứu vấn đề bảo mật giao thức BGP Hình 30 Bộ định tuyến với thông tin sai lệch đƣợc khử tập kết 54 Hình 31 Bảng định tuyến kết ping từ định tuyến C 55 Hình 32 Sơ đồ cấu trúc liên kết toán 56 Hình 33 Bộ định tuyến F tạo thông tin sai lệch 58 Hình 34 Bộ định tuyến G quảng cáo tuyến khơng thể tiếp cận đƣợc 59 Hình 35 Bộ định tuyến H quảng cáo tuyến tiếp cận đƣợc 60 Hình 36 Bộ định tuyến I tránh tuyến bị sai 61 Hình 37 Bảng đinh tuyến định tuyến C kiểm tra kết nối thành cơng 62 Hình 38 Bộ định tuyến E có kết nối 63 Hình 39 Bảng định tuyến định tuyến A hợp lệ 64 Hình 40 Kết ping thành cơng bảng định tuyến B 65 Nghiên cứu vấn đề bảo mật giao thức BGP DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Từ viết tắt Viết đầy đủ Ý nghĩa BGP Border Gateway Protocol Giao thức (định tuyến) cổng biên ISP Internet Service Provider Nhà cung cấp dịch vụ mạng Đề nghị duyệt thảo bình luận RFC Request for Comments (tập hợp nghiên cứu mới) Hệ thống tự trị (tập hợp thiết AS Autonomous System bị chung sách quản lý) TCP Transmission Control Protocol Giao thức điều khiển truyền vận TTL Time to live Thời gian sống Internal Border Gateway Giao thức (định tuyến) cổng biên Protocol nội vùng External Border Gateway Giao thức (định tuyến) cổng biên Protocol ngoại vùng iBGP eBGP Nghiên cứu vấn đề bảo mật giao thức BGP CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập-Tự do-Hạnh phúc LỜI CAM ĐOAN Họ tên học viên: Dƣơng Ngọc Sơn SHHV: CB130046 Lớp: 13BMTTT Khóa : 2013B Cơ quan cơng tác: Cục Kỹ thuật nghiệp vụ I – Tổng cục An ninh I – Bộ Công an Hệ thạc sĩ: Kỹ thuật Chuyên ngành: Công nghệ thông tin Đề tài: Nghiên cứu vấn đề bảo mật giao thức BGP Ngƣời hƣớng dẫn: TS Trần Hoàng Hải Theo Quyết định giao đề tài số 2212 /QĐ-ĐHBK-SĐH Hiệu trƣởng trƣờng Đại học Bách khoa Hà Nội ngày 29 tháng năm 2014 Tôi xin cam đoan nội dung Luận văn viết, tài liệu tham khảo đƣợc ghi rõ mục Tài liệu tham khảo Ngồi ra, tơi khơng th ngƣời viết nhƣ không chép từ nguồn Nếu sai, xin chịu trách nhiệm trƣớc hội đồng nhà trƣờng Trân trọng cảm ơn! Học viên Dƣơng Ngọc Sơn Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP LỜI NĨI ĐẦU Trong thời đại cơng nghệ thơng tin phát triển bùng nổ nay, Internet phần quan trọng thiếu ngƣời làm kỹ thuật mà tất ngƣời Từ những công việc hàng ngày nhƣ việc tìm tài liệu, giải trí, nghe nhạc xem phim hay text chat trƣớc đây, đƣợc nâng lên thành kho lƣu trữ, giải trí khơng giới hạn, đàm thoại hội nghị truyền hình, cịn nữa, Internet đáp ứng hầu hết nhu cầu ngƣời sử dụng Mọi ngƣời giải trí làm việc nơi đâu Đó phía ngƣời sử dụng, cịn phía nhà cung cấp dịch vụ (ISP), mà cơng nghệ ngày phát triển dịch vụ phải phát triển không ngừng Từ trƣớc dial-up, ADSL, VDSL, tới cơng nghệ FTTH, theo nhà cung cấp dịch vụ phải tự phát triển để đáp ứng, khơng đƣờng truyền, tốc độ, mà công nghệ, giao thức, nhƣ cách thức quản lý, bảo mật cách tối ƣu nhất, hạn chế tình sai sót bị cơng dẫn đến hậu gián đoạn đƣờng truyền, ảnh hƣởng đến ngƣời sử dụng BGP (Border Gateway Protocol) giao thức định tuyến nòng cốt Internet, đời từ năm 1994, đƣợc sử dụng hầu hết hệ thống mạng ISP Từ năm 2006, BGP phiên đƣợc hệ thống hóa (RFC4271), có nhiều đề tài nghiên cứu BGP nhiên bảo mật giao thức BGP lại vấn đề mẻ Nhiều trƣờng hợp bảo mật không tốt BGP dẫn đến tắc nghẽn mạng lƣợng lớn ngƣời sử dụng, việc khắc phục khơng khó nhƣng nhiều thời gian, chƣa tính đến trƣờng hợp bị công, khai thác vào lỗ hổng bảo mật BGP Vậy nên, không đƣợc nghiên cứu, đƣa biện pháp ngăn ngừa tình hồn tồn lặp lại Nhận thấy yếu tố quan trọng mẻ đề tài nên định nghiên cứu thực luận văn là: “Nghiên cứu vấn đề bảo mật giao thức BGP” Trong luận văn việc trình bày tìm hiểu cách thức bảo mật BGP, xây dựng mô mơ hình hệ thống mạng thực bải tốn bảo mật BGP mơ hình Để thực đƣợc Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP luận văn này, xin gửi lời cảm ơn sâu sắc đến thầy giáo hƣớng dẫn, Tiến sỹ Trần Hoàng Hải, ngƣời trực tiếp hƣớng dẫn tôi, định hƣớng cho để thực luận văn hoàn thiện Học viên Dƣơng Ngọc Sơn Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP PHẦN MỞ ĐẦU Lý chọn đề tài BGP giao thức đƣợc sử dụng rộng rãi đƣợc nghiên cứu từ lâu, nhiên vấn đề bảo mật giao thức BGP lại vấn đề mẻ mà qua thời gian ngày xuất lỗ hổng dẫn đến việc bị công cách cấu hình sai dẫn đến cố Hiện bảo mật BGP đƣợc đề cập đến số báo đề tài nghiên cứu nƣớc ngồi, cịn Việt Nam vấn đề đƣợc quan tâm, kể khóa học BGP, phần bảo mật BGP phần nhỏ, không đƣợc nhắc đến nhiều Với nội dung nghiên cứu, thử nghiệm toán bảo mật giao thức BGP, luận văn trình bày tìm hiểu nguy an toàn, nhƣ phƣơng pháp, phân tích phƣơng pháp bảo mật giao thức BGP Tiếp theo, tơi xây dựng mơ hình hệ thống mạng phần mềm giả lập, sau đƣa toán bảo mật giao thức BGP xử lý tốn Mục đích luận văn trình bày đƣợc khải niệm nhƣ phân tích đƣợc cách thức bảo mật giao thức BGP ứng dụng cho ISP Tạo đƣợc mơ hình hệ thống mạng mơ hệ thống mạng thực tế, xây dựng xử lý bải tốn mơ hình đó, đáp ứng đƣợc yêu cầu đặt ra… Ngoài phải phân tích đƣợc ƣu nhƣợc điểm phƣơng pháp để đƣa cách thức tối ƣu Phạm vi nghiên cứu Trong phạm vi luận văn này, xin phép đƣợc nghiên cứu vấn đề sau: - Vấn đề bảo mật giao thức BGP - Các phƣơng pháp bảo mật giao thức BGP - Xây dựng mô hệ thống mạng thực tốn bảo mật BGP mơ hình - Kết quả, đánh giá hƣớng phát triển Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP Bố cục luận văn Bố cục luận văn bao gồm phần sau đây: Chƣơng I: Bảo mật giao thức định tuyến BGP - Vấn đề bảo mật giao thức BGP - Các nguy đe dọa đến bảo mật giao thức BGP - Một số trƣờng hợp cụ thể Chƣơng II: Phƣơng pháp bảo mật BGP - Các phƣơng pháp tăng tính bảo mật BGP - Giải pháp bảo mật với tính khả thi cao Chƣơng III: Demo toán bảo mật BGP - Thực mơ tốn giả lập BGP phần mềm giả lập GNS3 - Kiểm tra kết Sau đây, tơi xin trình bày luận văn với nội dung: “Nghiên cứu vấn đề bảo mật giao thức BGP” Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP no ip redirects no ip unreachables no ip proxy-arp clockrate 2000000 ! router eigrp network 99.0.0.0 no auto-summary ! router bgp no synchronization bgp log-neighbor-changes bgp maxas-limit 20 network 184.1.0.0 aggregate-address 184.1.0.0 255.255.255.0 summary-only neighbor 99.99.99.42 remote-as neighbor 99.99.99.42 ebgp-multihop neighbor 99.99.99.42 update-source Loopback0 neighbor 99.99.99.42 prefix-list b2e in neighbor 99.99.99.42 prefix-list e2b out neighbor 99.99.99.42 password 060506324F41584B56 neighbor 99.99.99.42 maximum-prefix 100 neighbor 99.99.99.49 remote-as neighbor 99.99.99.49 ebgp-multihop neighbor 99.99.99.49 update-source Loopback0 neighbor 99.99.99.49 prefix-list i2e in neighbor 99.99.99.49 prefix-list e2i out neighbor 99.99.99.49 password 00071A1507545A545C neighbor 99.99.99.49 maximum-prefix 100 no auto-summary ! no ip http server ip classless ip route 184.1.0.0 255.255.0.0 Null0 ! ip prefix-list b2e seq permit 184.0.0.0/5 ip prefix-list b2e seq 10 permit 172.0.0.0/6 ip prefix-list b2e seq 15 deny 5.0.0.0/8 ip prefix-list b2e seq 20 deny 10.0.0.0/8 ip prefix-list b2e seq 25 deny 23.0.0.0/8 ip prefix-list b2e seq 30 deny 37.0.0.0/8 ip prefix-list b2e seq 35 deny 39.0.0.0/8 ip prefix-list b2e seq 40 deny 100.0.0.0/8 ip prefix-list b2e seq 45 deny 102.0.0.0/8 ip prefix-list b2e seq 50 deny 105.0.0.0/8 ip prefix-list b2e seq 55 deny 107.0.0.0/8 ip prefix-list b2e seq 60 deny 127.0.0.0/8 ip prefix-list b2e seq 65 deny 169.254.0.0/16 ip prefix-list b2e seq 70 deny 172.16.0.0/12 ip prefix-list b2e seq 75 deny 179.0.0.0/8 ip prefix-list b2e seq 80 deny 192.0.0.0/24 ip prefix-list b2e seq 85 deny 192.0.2.0/24 ip prefix-list b2e seq 90 deny 198.18.0.0/15 ip prefix-list b2e seq 95 deny 192.168.0.0/16 ip prefix-list b2e seq 100 deny 203.0.113.0/24 Học viên: DƢƠNG NGỌC SƠN 95 Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP ip prefix-list b2e seq 105 deny 198.51.100.0/24 ip prefix-list b2e seq 110 deny 0.0.0.0/0 le 32 ! ip prefix-list e2b seq permit 184.1.0.0/16 ip prefix-list e2b seq 10 deny 5.0.0.0/8 ip prefix-list e2b seq 15 deny 10.0.0.0/8 ip prefix-list e2b seq 20 deny 23.0.0.0/8 ip prefix-list e2b seq 25 deny 37.0.0.0/8 ip prefix-list e2b seq 30 deny 39.0.0.0/8 ip prefix-list e2b seq 35 deny 100.0.0.0/8 ip prefix-list e2b seq 40 deny 102.0.0.0/8 ip prefix-list e2b seq 45 deny 105.0.0.0/8 ip prefix-list e2b seq 50 deny 107.0.0.0/8 ip prefix-list e2b seq 55 deny 127.0.0.0/8 ip prefix-list e2b seq 60 deny 169.254.0.0/16 ip prefix-list e2b seq 65 deny 172.16.0.0/12 ip prefix-list e2b seq 70 deny 179.0.0.0/8 ip prefix-list e2b seq 75 deny 192.0.0.0/24 ip prefix-list e2b seq 80 deny 192.0.2.0/24 ip prefix-list e2b seq 85 deny 198.18.0.0/15 ip prefix-list e2b seq 90 deny 192.168.0.0/16 ip prefix-list e2b seq 95 deny 203.0.113.0/24 ip prefix-list e2b seq 100 deny 198.51.100.0/24 ip prefix-list e2b seq 105 deny 0.0.0.0/0 le 32 ! ip prefix-list e2i seq permit 184.0.0.0/5 ip prefix-list e2i seq 10 permit 172.0.0.0/6 ip prefix-list e2i seq 15 deny 5.0.0.0/8 ip prefix-list e2i seq 20 deny 10.0.0.0/8 ip prefix-list e2i seq 25 deny 23.0.0.0/8 ip prefix-list e2i seq 30 deny 37.0.0.0/8 ip prefix-list e2i seq 35 deny 39.0.0.0/8 ip prefix-list e2i seq 40 deny 100.0.0.0/8 ip prefix-list e2i seq 45 deny 102.0.0.0/8 ip prefix-list e2i seq 50 deny 105.0.0.0/8 ip prefix-list e2i seq 55 deny 107.0.0.0/8 ip prefix-list e2i seq 60 deny 127.0.0.0/8 ip prefix-list e2i seq 65 deny 169.254.0.0/16 ip prefix-list e2i seq 70 deny 172.16.0.0/12 ip prefix-list e2i seq 75 deny 179.0.0.0/8 ip prefix-list e2i seq 80 deny 192.0.0.0/24 ip prefix-list e2i seq 85 deny 192.0.2.0/24 ip prefix-list e2i seq 90 deny 198.18.0.0/15 ip prefix-list e2i seq 95 deny 192.168.0.0/16 ip prefix-list e2i seq 100 deny 203.0.113.0/24 ip prefix-list e2i seq 105 deny 198.51.100.0/24 ip prefix-list e2i seq 110 deny 0.0.0.0/0 le 32 ! ip prefix-list i2e seq permit 184.1.1.0/24 ip prefix-list i2e seq 10 permit 194.1.1.0/24 ip prefix-list i2e seq 15 deny 5.0.0.0/8 ip prefix-list i2e seq 20 deny 10.0.0.0/8 ip prefix-list i2e seq 25 deny 23.0.0.0/8 Học viên: DƢƠNG NGỌC SƠN 96 Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP ip prefix-list i2e seq 30 deny 37.0.0.0/8 ip prefix-list i2e seq 35 deny 39.0.0.0/8 ip prefix-list i2e seq 40 deny 100.0.0.0/8 ip prefix-list i2e seq 45 deny 102.0.0.0/8 ip prefix-list i2e seq 50 deny 105.0.0.0/8 ip prefix-list i2e seq 55 deny 107.0.0.0/8 ip prefix-list i2e seq 60 deny 127.0.0.0/8 ip prefix-list i2e seq 65 deny 169.254.0.0/16 ip prefix-list i2e seq 70 deny 172.16.0.0/12 ip prefix-list i2e seq 75 deny 179.0.0.0/8 ip prefix-list i2e seq 80 deny 192.0.0.0/24 ip prefix-list i2e seq 85 deny 192.0.2.0/24 ip prefix-list i2e seq 90 deny 198.18.0.0/15 ip prefix-list i2e seq 95 deny 192.168.0.0/16 ip prefix-list i2e seq 100 deny 203.0.113.0/24 ip prefix-list i2e seq 105 deny 198.51.100.0/24 ip prefix-list i2e seq 110 deny 0.0.0.0/0 le 32 logging trap debugging logging facility local2 no cdp run banner motd ^C this router is prtectred, so please stay away ^C ! line exec-timeout login authentication local_auth transport preferred all transport output telnet line aux login authentication local_auth transport preferred all transport output telnet line vty login authentication local_auth transport preferred all transport input telnet transport output all ! end Router F version 12.3 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname F ! boot-start-marker boot-end-marker Học viên: DƢƠNG NGỌC SƠN 97 Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP ! security authentication failure rate 10 log security passwords min-length logging buffered 4096 debugging logging console critical enable secret $1$Avur$XU6dnu5qUEPTTh9isn2V90 enable password 0014120D0D481F0701 ! username user1 password 12090404011C03162E7A aaa new-model ! aaa authentication login local_auth local aaa session-id common ip subnet-zero no ip source-route no ip gratuitous-arps ! ip cef no ip bootp server ! interface Loopback0 ip address 99.99.99.46 255.255.255.255 ! interface Loopback1 ip address 174.1.1.1 255.255.255.128 ! interface FastEthernet0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown duplex auto speed auto ! interface Serial0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown clockrate 2000000 ! interface FastEthernet0/1 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown duplex auto speed auto ! interface Serial0/1 ip address 99.99.99.14 255.255.255.252 Học viên: DƢƠNG NGỌC SƠN 98 Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP no ip redirects no ip unreachables no ip proxy-arp clockrate 2000000 ! router eigrp network 99.0.0.0 no auto-summary ! router bgp no synchronization bgp log-neighbor-changes bgp maxas-limit 20 network 174.1.1.0 mask 255.255.255.128 network 174.1.1.128 mask 255.255.255.128 network 184.1.1.0 mask 255.255.255.0 aggregate-address 174.1.1.0 255.255.255.0 summary-only neighbor 99.99.99.43 remote-as neighbor 99.99.99.43 ebgp-multihop neighbor 99.99.99.43 update-source Loopback0 neighbor 99.99.99.43 prefix-list c2f in neighbor 99.99.99.43 prefix-list f2c out neighbor 99.99.99.43 route-map asextend out neighbor 99.99.99.43 password 104D000A061843595F neighbor 99.99.99.43 maximum-prefix 100 no auto-summary ! no ip http server ip classless ip route 174.1.1.0 255.255.255.0 Null0 ip route 184.1.1.0 255.255.255.0 Null0 ! ip prefix-list c2f seq permit 172.0.0.0/6 ip prefix-list c2f seq 10 permit 184.0.0.0/5 ip prefix-list c2f seq 15 deny 5.0.0.0/8 ip prefix-list c2f seq 20 deny 10.0.0.0/8 ip prefix-list c2f seq 25 deny 23.0.0.0/8 ip prefix-list c2f seq 30 deny 37.0.0.0/8 ip prefix-list c2f seq 35 deny 39.0.0.0/8 ip prefix-list c2f seq 40 deny 100.0.0.0/8 ip prefix-list c2f seq 45 deny 102.0.0.0/8 ip prefix-list c2f seq 50 deny 105.0.0.0/8 ip prefix-list c2f seq 55 deny 107.0.0.0/8 ip prefix-list c2f seq 60 deny 127.0.0.0/8 ip prefix-list c2f seq 65 deny 169.254.0.0/16 ip prefix-list c2f seq 70 deny 172.16.0.0/12 ip prefix-list c2f seq 75 deny 179.0.0.0/8 ip prefix-list c2f seq 80 deny 192.0.0.0/24 ip prefix-list c2f seq 85 deny 192.0.2.0/24 ip prefix-list c2f seq 90 deny 198.18.0.0/15 ip prefix-list c2f seq 95 deny 192.168.0.0/16 ip prefix-list c2f seq 100 deny 203.0.113.0/24 ip prefix-list c2f seq 105 deny 198.51.100.0/24 ip prefix-list c2f seq 110 deny 0.0.0.0/0 le 32 ! ip prefix-list f2c seq permit 174.1.1.0/24 Học viên: DƢƠNG NGỌC SƠN 99 Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP ip prefix-list f2c seq 10 deny 5.0.0.0/8 ip prefix-list f2c seq 15 deny 10.0.0.0/8 ip prefix-list f2c seq 20 deny 23.0.0.0/8 ip prefix-list f2c seq 25 deny 37.0.0.0/8 ip prefix-list f2c seq 30 deny 39.0.0.0/8 ip prefix-list f2c seq 35 deny 100.0.0.0/8 ip prefix-list f2c seq 40 deny 102.0.0.0/8 ip prefix-list f2c seq 45 deny 105.0.0.0/8 ip prefix-list f2c seq 50 deny 107.0.0.0/8 ip prefix-list f2c seq 55 deny 127.0.0.0/8 ip prefix-list f2c seq 60 deny 169.254.0.0/16 ip prefix-list f2c seq 65 deny 172.16.0.0/12 ip prefix-list f2c seq 70 deny 179.0.0.0/8 ip prefix-list f2c seq 75 deny 192.0.0.0/24 ip prefix-list f2c seq 80 deny 192.0.2.0/24 ip prefix-list f2c seq 85 deny 198.18.0.0/15 ip prefix-list f2c seq 90 deny 192.168.0.0/16 ip prefix-list f2c seq 95 deny 203.0.113.0/24 ip prefix-list f2c seq 100 deny 198.51.100.0/24 ip prefix-list f2c seq 105 deny 0.0.0.0/0 le 32 logging trap debugging logging facility local2 no cdp run banner motd ^C this router is protected, so please stay away ^C ! line exec-timeout login authentication local_auth transport preferred all transport output telnet line aux login authentication local_auth transport preferred all transport output telnet line vty login authentication local_auth transport preferred all transport input telnet transport output all ! end Router G version 12.3 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! Học viên: DƢƠNG NGỌC SƠN 100 Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP hostname G ! boot-start-marker boot-end-marker ! security authentication failure rate 10 log security passwords min-length logging buffered 4096 debugging logging console critical enable secret $1$YITn$fVJMgf5xpMfLBkrdc4tpb/ enable password 0103070F5218120E2F ! username user1 password 01030717481C091D251D aaa new-model aaa authentication login local_auth local aaa session-id common ip subnet-zero no ip source-route no ip gratuitous-arps ip cef no ip bootp server ! interface Loopback0 ip address 99.99.99.47 255.255.255.255 ! interface Loopback1 ip address 174.1.2.1 255.255.255.128 ! interface FastEthernet0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown duplex auto speed auto ! interface Serial0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown clockrate 2000000 ! interface FastEthernet0/1 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown duplex auto speed auto Học viên: DƢƠNG NGỌC SƠN 101 Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP ! interface Serial0/1 ip address 99.99.99.18 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp clockrate 2000000 ! router eigrp network 99.0.0.0 no auto-summary ! router bgp no synchronization bgp log-neighbor-changes bgp maxas-limit 20 network 174.1.2.0 mask 255.255.255.128 network 174.1.2.128 mask 255.255.255.128 network 184.1.1.0 mask 255.255.255.0 aggregate-address 174.1.2.0 255.255.255.0 summary-only neighbor 99.99.99.43 remote-as neighbor 99.99.99.43 ebgp-multihop neighbor 99.99.99.43 update-source Loopback0 neighbor 99.99.99.43 prefix-list c2g in neighbor 99.99.99.43 prefix-list g2c out neighbor 99.99.99.43 password 1511021F07257A767B neighbor 99.99.99.43 maximum-prefix 100 no auto-summary ! no ip http server ip classless ip route 174.1.2.0 255.255.255.0 Null0 ip route 184.1.1.0 255.255.255.0 Null0 ! ip prefix-list c2g seq permit 172.0.0.0/6 ip prefix-list c2g seq 10 permit 184.0.0.0/5 ip prefix-list c2g seq 15 deny 5.0.0.0/8 ip prefix-list c2g seq 20 deny 10.0.0.0/8 ip prefix-list c2g seq 25 deny 23.0.0.0/8 ip prefix-list c2g seq 30 deny 37.0.0.0/8 ip prefix-list c2g seq 35 deny 39.0.0.0/8 ip prefix-list c2g seq 40 deny 100.0.0.0/8 ip prefix-list c2g seq 45 deny 102.0.0.0/8 ip prefix-list c2g seq 50 deny 105.0.0.0/8 ip prefix-list c2g seq 55 deny 107.0.0.0/8 ip prefix-list c2g seq 60 deny 127.0.0.0/8 ip prefix-list c2g seq 65 deny 169.254.0.0/16 ip prefix-list c2g seq 70 deny 172.16.0.0/12 ip prefix-list c2g seq 75 deny 179.0.0.0/8 ip prefix-list c2g seq 80 deny 192.0.0.0/24 ip prefix-list c2g seq 85 deny 192.0.2.0/24 ip prefix-list c2g seq 90 deny 198.18.0.0/15 ip prefix-list c2g seq 95 deny 192.168.0.0/16 ip prefix-list c2g seq 100 deny 203.0.113.0/24 ip prefix-list c2g seq 105 deny 198.51.100.0/24 Học viên: DƢƠNG NGỌC SƠN 102 Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP ip prefix-list c2g seq 110 deny 0.0.0.0/0 le 32 ! ip prefix-list g2c seq permit 174.1.2.0/24 ip prefix-list g2c seq 10 deny 5.0.0.0/8 ip prefix-list g2c seq 15 deny 10.0.0.0/8 ip prefix-list g2c seq 20 deny 23.0.0.0/8 ip prefix-list g2c seq 25 deny 37.0.0.0/8 ip prefix-list g2c seq 30 deny 39.0.0.0/8 ip prefix-list g2c seq 35 deny 100.0.0.0/8 ip prefix-list g2c seq 40 deny 102.0.0.0/8 ip prefix-list g2c seq 45 deny 105.0.0.0/8 ip prefix-list g2c seq 50 deny 107.0.0.0/8 ip prefix-list g2c seq 55 deny 127.0.0.0/8 ip prefix-list g2c seq 60 deny 169.254.0.0/16 ip prefix-list g2c seq 65 deny 172.16.0.0/12 ip prefix-list g2c seq 70 deny 179.0.0.0/8 ip prefix-list g2c seq 75 deny 192.0.0.0/24 ip prefix-list g2c seq 80 deny 192.0.2.0/24 ip prefix-list g2c seq 85 deny 198.18.0.0/15 ip prefix-list g2c seq 90 deny 192.168.0.0/16 ip prefix-list g2c seq 95 deny 203.0.113.0/24 ip prefix-list g2c seq 100 deny 198.51.100.0/24 ip prefix-list g2c seq 105 deny 0.0.0.0/0 le 32 logging trap debugging logging facility local2 no cdp run banner motd ^C this router is protected, so please stay away ^C ! line exec-timeout login authentication local_auth transport preferred all transport output telnet line aux login authentication local_auth transport preferred all transport output telnet line vty login authentication local_auth transport preferred all transport input telnet transport output all ! end Router H version 12.3 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone Học viên: DƢƠNG NGỌC SƠN 103 Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP service password-encryption service sequence-numbers ! hostname H ! boot-start-marker boot-end-marker ! security authentication failure rate 10 log security passwords min-length logging buffered 4096 debugging logging console critical enable secret $1$FoBm$DWVd7.ckiSaIG4Urcab86 enable password 15020A070D393F2526 ! username user1 password 13151601181B0B382F75 aaa new-model aaa authentication login local_auth local aaa session-id common ip subnet-zero no ip source-route no ip gratuitous-arps ! ip cef no ip bootp server ! interface Loopback0 ip address 99.99.99.48 255.255.255.255 ! interface Loopback1 ip address 175.1.1.1 255.255.255.128 ! interface FastEthernet0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown duplex auto speed auto ! interface Serial0/0 ip address 99.99.99.26 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp clockrate 2000000 ! interface FastEthernet0/1 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown duplex auto speed auto Học viên: DƢƠNG NGỌC SƠN 104 Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP ! interface Serial0/1 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown ! clockrate 2000000 router eigrp network 99.0.0.0 no auto-summary ! router bgp no synchronization bgp log-neighbor-changes bgp maxas-limit 20 network 175.1.1.0 mask 255.255.255.128 network 175.1.1.128 mask 255.255.255.128 network 184.1.1.0 mask 255.255.255.0 aggregate-address 175.1.1.0 255.255.255.0 summary-only neighbor 99.99.99.44 remote-as neighbor 99.99.99.44 ebgp-multihop neighbor 99.99.99.44 update-source Loopback0 neighbor 99.99.99.44 prefix-list d2h in neighbor 99.99.99.44 prefix-list h2d out neighbor 99.99.99.44 password 13061E010803557878 neighbor 99.99.99.44 maximum-prefix 100 no auto-summary ! no ip http server ip classless ip route 175.1.0.0 255.255.255.0 Null0 ip route 184.1.1.0 255.255.255.0 Null0 ! ip prefix-list d2h seq permit 172.0.0.0/6 ip prefix-list d2h seq 10 permit 184.0.0.0/5 ip prefix-list d2h seq 15 deny 5.0.0.0/8 ip prefix-list d2h seq 20 deny 10.0.0.0/8 ip prefix-list d2h seq 25 deny 23.0.0.0/8 ip prefix-list d2h seq 30 deny 37.0.0.0/8 ip prefix-list d2h seq 35 deny 39.0.0.0/8 ip prefix-list d2h seq 40 deny 100.0.0.0/8 ip prefix-list d2h seq 45 deny 102.0.0.0/8 ip prefix-list d2h seq 50 deny 105.0.0.0/8 ip prefix-list d2h seq 55 deny 107.0.0.0/8 ip prefix-list d2h seq 60 deny 127.0.0.0/8 ip prefix-list d2h seq 65 deny 169.254.0.0/16 ip prefix-list d2h seq 70 deny 172.16.0.0/12 ip prefix-list d2h seq 75 deny 179.0.0.0/8 ip prefix-list d2h seq 80 deny 192.0.0.0/24 ip prefix-list d2h seq 85 deny 192.0.2.0/24 ip prefix-list d2h seq 90 deny 198.18.0.0/15 ip prefix-list d2h seq 95 deny 192.168.0.0/16 Học viên: DƢƠNG NGỌC SƠN 105 Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP ip prefix-list d2h seq 100 deny 203.0.113.0/24 ip prefix-list d2h seq 105 deny 198.51.100.0/24 ip prefix-list d2h seq 110 deny 0.0.0.0/0 le 32 ! ip prefix-list h2d seq permit 175.1.1.0/24 ip prefix-list h2d seq 10 deny 5.0.0.0/8 ip prefix-list h2d seq 15 deny 10.0.0.0/8 ip prefix-list h2d seq 20 deny 23.0.0.0/8 ip prefix-list h2d seq 25 deny 37.0.0.0/8 ip prefix-list h2d seq 30 deny 39.0.0.0/8 ip prefix-list h2d seq 35 deny 100.0.0.0/8 ip prefix-list h2d seq 40 deny 102.0.0.0/8 ip prefix-list h2d seq 45 deny 105.0.0.0/8 ip prefix-list h2d seq 50 deny 107.0.0.0/8 ip prefix-list h2d seq 55 deny 127.0.0.0/8 ip prefix-list h2d seq 60 deny 169.254.0.0/16 ip prefix-list h2d seq 65 deny 172.16.0.0/12 ip prefix-list h2d seq 70 deny 179.0.0.0/8 ip prefix-list h2d seq 75 deny 192.0.0.0/24 ip prefix-list h2d seq 80 deny 192.0.2.0/24 ip prefix-list h2d seq 85 deny 198.18.0.0/15 ip prefix-list h2d seq 90 deny 192.168.0.0/16 ip prefix-list h2d seq 95 deny 203.0.113.0/24 ip prefix-list h2d seq 100 deny 198.51.100.0/24 ip prefix-list h2d seq 105 deny 0.0.0.0/0 le 32 logging trap debugging logging facility local2 no cdp run banner motd ^C this rouer is protected, so please stay away ^C ! line exec-timeout login authentication local_auth transport preferred all transport output telnet line aux login authentication local_auth transport preferred all transport output telnet line vty login authentication local_auth transport preferred all transport input telnet transport output all ! end Router I version 12.3 no service pad service tcp-keepalives-in service tcp-keepalives-out Học viên: DƢƠNG NGỌC SƠN 106 Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname I ! boot-start-marker boot-end-marker ! security authentication failure rate 10 log security passwords min-length logging buffered 4096 debugging logging console critical enable secret $1$FoBm$DWVd7.ckiSaIG4Urcab86 enable password 15020A070D393F2526 ! username user1 password 13151601181B0B382F75 aaa new-model aaa authentication login local_auth local aaa session-id common ip subnet-zero no ip source-route no ip gratuitous-arps ! ip cef ! no ip bootp server interface Loopback0 ip address 99.99.99.49 255.255.255.255 ! interface Loopback1 ip address 184.1.1.1 255.255.255.128 ! interface FastEthernet0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown duplex auto speed auto ! interface Serial0/0 ip address 99.99.99.38 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp clockrate 2000000 ! interface FastEthernet0/1 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown Học viên: DƢƠNG NGỌC SƠN 107 Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP duplex auto speed auto ! interface Serial0/1 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown clockrate 2000000 ! router eigrp network 99.0.0.0 no auto-summary router bgp no synchronization bgp log-neighbor-changes bgp maxas-limit 20 network 184.1.1.0 mask 255.255.255.128 network 184.1.1.128 mask 255.255.255.128 network 175.1.1.0 mask 255.255.255.0 aggregate-address 184.1.1.0 255.255.255.0 summary-only neighbor 99.99.99.45 remote-as neighbor 99.99.99.45 ebgp-multihop neighbor 99.99.99.45 update-source Loopback0 neighbor 99.99.99.45 prefix-list e2i in neighbor 99.99.99.45 prefix-list e2i out neighbor 99.99.99.45 password 13061E010803557878 neighbor 99.99.99.45 maximum-prefix 100 no auto-summary ! no ip http server ip classless ip route 184.1.0.0 255.255.255.0 Null0 ip route 175.1.0.0 255.255.0.0 Null0 ! ip prefix-list e2i seq permit 184.0.0.0/5 ip prefix-list e2i seq 10 permit 172.0.0.0/6 ip prefix-list e2i seq 15 deny 5.0.0.0/8 ip prefix-list e2i seq 20 deny 10.0.0.0/8 ip prefix-list e2i seq 25 deny 23.0.0.0/8 ip prefix-list e2i seq 30 deny 37.0.0.0/8 ip prefix-list e2i seq 35 deny 39.0.0.0/8 ip prefix-list e2i seq 40 deny 100.0.0.0/8 ip prefix-list e2i seq 45 deny 102.0.0.0/8 ip prefix-list e2i seq 50 deny 105.0.0.0/8 ip prefix-list e2i seq 55 deny 107.0.0.0/8 ip prefix-list e2i seq 60 deny 127.0.0.0/8 ip prefix-list e2i seq 65 deny 169.254.0.0/16 ip prefix-list e2i seq 70 deny 172.16.0.0/12 ip prefix-list e2i seq 75 deny 179.0.0.0/8 ip prefix-list e2i seq 80 deny 192.0.0.0/24 ip prefix-list e2i seq 85 deny 192.0.2.0/24 ip prefix-list e2i seq 90 deny 198.18.0.0/15 Học viên: DƢƠNG NGỌC SƠN 108 Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP ip prefix-list e2i seq 95 deny 192.168.0.0/16 ip prefix-list e2i seq 100 deny 203.0.113.0/24 ip prefix-list e2i seq 105 deny 198.51.100.0/24 ip prefix-list e2i seq 110 deny 0.0.0.0/0 le 32 ! ip prefix-list i2e seq permit 184.1.1.0/24 ip prefix-list i2e seq 10 permit 194.1.1.0/24 ip prefix-list i2e seq 15 deny 5.0.0.0/8 ip prefix-list i2e seq 20 deny 10.0.0.0/8 ip prefix-list i2e seq 25 deny 23.0.0.0/8 ip prefix-list i2e seq 30 deny 37.0.0.0/8 ip prefix-list i2e seq 35 deny 39.0.0.0/8 ip prefix-list i2e seq 40 deny 100.0.0.0/8 ip prefix-list i2e seq 45 deny 102.0.0.0/8 ip prefix-list i2e seq 50 deny 105.0.0.0/8 ip prefix-list i2e seq 55 deny 107.0.0.0/8 ip prefix-list i2e seq 60 deny 127.0.0.0/8 ip prefix-list i2e seq 65 deny 169.254.0.0/16 ip prefix-list i2e seq 70 deny 172.16.0.0/12 ip prefix-list i2e seq 75 deny 179.0.0.0/8 ip prefix-list i2e seq 80 deny 192.0.0.0/24 ip prefix-list i2e seq 85 deny 192.0.2.0/24 ip prefix-list i2e seq 90 deny 198.18.0.0/15 ip prefix-list i2e seq 95 deny 192.168.0.0/16 ip prefix-list i2e seq 100 deny 203.0.113.0/24 ip prefix-list i2e seq 105 deny 198.51.100.0/24 ip prefix-list i2e seq 110 deny 0.0.0.0/0 le 32 logging trap debugging logging facility local2 no cdp run banner motd ^C this rouer is protected, so please stay away ^C ! line exec-timeout login authentication local_auth transport preferred all transport output telnet line aux login authentication local_auth transport preferred all transport output telnet line vty login authentication local_auth transport preferred all transport input telnet transport output all ! end Học viên: DƢƠNG NGỌC SƠN 109 Lớp: 13BMTTT ... dung: ? ?Nghiên cứu vấn đề bảo mật giao thức BGP? ?? Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP Chƣơng I BẢO MẬT TRÊN GIAO THỨC ĐỊNH TUYẾN BGP 1.1 Bảo mật giao thức. .. Lớp: 13BMTTT Nghiên cứu vấn đề bảo mật giao thức BGP PHẦN MỞ ĐẦU Lý chọn đề tài BGP giao thức đƣợc sử dụng rộng rãi đƣợc nghiên cứu từ lâu, nhiên vấn đề bảo mật giao thức BGP lại vấn đề mẻ mà qua... Chƣơng I: Bảo mật giao thức định tuyến BGP - Vấn đề bảo mật giao thức BGP - Các nguy đe dọa đến bảo mật giao thức BGP - Một số trƣờng hợp cụ thể Chƣơng II: Phƣơng pháp bảo mật BGP - Các phƣơng