Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 37 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
37
Dung lượng
1,19 MB
Nội dung
BỘ THÔNG TIN VÀ TRUYỀN THÔNG TRUNG TÂM INTERNET VIỆT NAM TÀI LIỆU HƯỚNG DẪN THÀNH VIÊN ĐỊA CHỈ VỀ KHĨA CƠNG KHAI TÀI NGUN (RPKI) TRONG BẢO MẬT THƠNG TIN ĐỊNH TUYẾN Hà Nội, tháng 10 năm 2018 MỤC LỤC MỤC LỤC PHẦN TỔNG QUAN VỀ KHĨA CƠNG KHAI TÀI NGUN (RPKI) TRONG BẢO MẬT THÔNG TIN ĐỊNH TUYẾN I ĐỊNH TUYẾN TRÊN MẠNG INTERNET VÀ VẤN ĐỀ NẢY SINH CẦN SỰ BẢO MẬT THÔNG TIN ĐỊNH TUYẾN 1.1 Cơ sở liệu quản lý IP/ASN sở liệu quản lý thông tin định tuyến (Internet Routing Registry – IRR) 1.2 Hạn chế mơ hình định tuyến cần thiết bảo mật thông tin định tuyến II HẠ TẦNG KHĨA CƠNG KHAI TÀI NGUN (RPKI) ĐỂ BẢO MẬT THÔNG TIN ĐỊNH TUYẾN 2.1 Nguyên tắc cấu trúc tổng quan 2.2 Kiến trúc tổng thể hệ thống cung cấp dịch vụ RPKI 11 2.2.1 Các thành phần khối cung cấp dịch vụ RPKI 12 2.2.2 Các thành phần khối sử dụng thông tin RPKI để xây dựng sách định tuyến có xác thực 18 2.3 Thay đổi mô hình định tuyến ứng dụng RPKI 19 III HIỆN TRẠNG ỨNG DỤNG RPKI TOÀN CẦU 20 3.1 Hiện trạng cung cấp dịch vụ RPKI APNIC NIR khu vực Châu Á – Thái Bình Dương 20 3.2 Hiện trạng triển khai cơng nghệ RPKI tồn cầu 22 3.2.1 Tỉ lệ ứng dụng RPKI định tuyến toàn cầu 22 3.2.2 Dự án tích hợp liệu RPKI toàn cầu RIR 23 3.3 Phần mềm, công cụ hỗ trợ triển khai dịch vụ RPKI 24 3.3.1 Hỗ trợ RPKI thiết bị định tuyến 24 3.3.2 Phần mềm RPKI Validator (RPKI cache) 25 3.3.3 Môi trường giả lập hỗ trợ xây dựng hệ thống chứng thực (CA) riêng 25 PHẦN 2: CUNG CẤP VÀ ĐĂNG KÝ SỬ DỤNG DỊCH VỤ RPKI TRONG QUẢN LÝ ĐỊA CHỈ IP/ASN TẠI VIỆT NAM 27 IV MÔ HÌNH TRIỂN KHAI DỊCH VỤ RPKI TRONG CƠNG TÁC QUẢN LÝ ĐỊA CHỈ IP/SỐ HIỆU MẠNG ASN TẠI VIỆT NAM 28 V HƯỚNG DẪN THÀNH VIÊN ĐỊA CHỈ ĐĂNG KÝ KHAI BÁO BẢN GHI ĐỊNH TUYẾN CÓ XÁC THỰC (RPKI) 30 5.1 Nguyên tắc thực 30 5.2 Các thông tin cung cấp yêu cầu khai báo ROA 31 5.3 Nội dung đề nghị Thành viên gửi VNNIC 31 5.4 Quy trình thực (áp dụng cho thành viên) 31 VI HƯỚNG DẪN THÀNH VIÊN ĐỊA CHỈ SỬ DỤNG THƠNG TIN ĐỊNH TUYẾN CĨ XÁC THỰC (RPKI) ĐỂ XÂY DỰNG CHÍNH SÁCH LỌC ĐỊNH TUYẾN 34 6.1 Các thành phần cần có để khai thác thơng tin định tuyến có xác thực xây dựng sách lọc định tuyến 34 6.2 Các bước thực 34 VII THÔNG TIN LIÊN HỆ, HỖ TRỢ 34 PHẦN TỔNG QUAN VỀ KHĨA CƠNG KHAI TÀI NGUN (RPKI) TRONG BẢO MẬT THÔNG TIN ĐỊNH TUYẾN I ĐỊNH TUYẾN TRÊN MẠNG INTERNET VÀ VẤN ĐỀ NẢY SINH CẦN SỰ BẢO MẬT THÔNG TIN ĐỊNH TUYẾN 1.1 Cơ sở liệu quản lý IP/ASN sở liệu quản lý thông tin định tuyến (Internet Routing Registry – IRR) Các tổ chức quản lý tài nguyên (RIR, NIR) trì sở liệu quản lý thơng tin vùng địa IP, số hiệu mạng ASN cấp chủ thể sử dụng tài nguyên để phục vụ cho công tác quản lý phục vụ nhu cầu tìm kiếm thơng tin cộng đồng Tồn tổ chức quản lý địa cấp vùng (RIR) có hệ thống sở liệu quản lý IP/ASN khu vực Trong trường hợp khu vực có NIR, thông tin thành viên NIR vùng địa cấp cho thành viên NIR trì đồng sở liệu tổ chức cấp vùng Bản ghi vùng địa csdl quản lý khu vực Bên cạnh việc lưu trữ thông tin quản lý vùng địa chỉ, số hiệu mạng ASN, tổ chức RIR (và số NIR) trì sở liệu quản lý thông tin định tuyến (Internet Routing Registry – IRR) lưu ghi mơ tả sách định tuyến Ngoài IRR tổ chức quản lý địa chỉ, có số sở liệu định tuyến uy tín khác sử dụng rộng rãi khai báo tra cứu thông tin định tuyến tồn cầu, ví dụ IRR RADB Hiện IRR RADB IRR năm RIR ánh xạ đồng với để đảm bảo thống đồng thông tin định tuyến toàn cầu Xét mặt kỹ thuật đơn thuần, để cấu hình quảng bá thơng tin định tuyến, tổ chức sở hữu địa chỉ cần thiết lập thơng số thiết bị định tuyến Tuy nhiên, để đảm bảo tính xác, đồng hoạt động định tuyến toàn cầu, tổ chức tham gia hoạt động Internet toàn cầu thống tuân thủ theo số sách thống nhất, đồng thuận, ví dụ kích thước vùng địa tối thiểu quảng bá bảng thông tin định tuyến toàn cầu vùng /24 (đối với IPv4), /48 (đối với IPv6); Thống không quảng bá định tuyến riêng vùng địa phụ thuộc Để đảm bảo phần tính xác thực hoạt động cấu hình định tuyến, nhà vận hành mạng tham khảo thông tin tra cứu từ sở liệu quản lý IP/ASN tổ chức quản lý địa hệ thống sở liệu quản lý thông tin định tuyến (IRR) trước chấp nhận quảng bá định tuyến cho vùng địa Các sở liệu quản lý IP/ASN sở liệu quản lý thơng tin định tuyến (IRR) có vai trị quan trọng việc kiểm tra, xác thực thơng tin phục vụ cho hoạt động dịnh tuyến mạng Bản ghi đối tượng định tuyến (route object) csdl APNIC Như ví dụ hình, ghi đối tượng định tuyến csdl khu vực APNIC xác định vùng địa 203.162.48.0/20 khởi tạo tuyến số hiệu mạng ASN vùng địa VNPT Kết hợp với thông tin đối tượng vùng địa ASN csdl, tổ chức cung cấp dịch vụ kết nối cấp định việc quảng bá thông tin định tuyến cho vùng địa số hiệu mạng Tại Việt Nam, sở liệu quản lý IP/ASN VNNIC sử dụng cho mục đích quản lý thơng tin nội Để tạo ghi liệu, ghi định tuyến phục vụ yêu cầu thành viên khai báo ghi ngược, VNNIC tiếp nhận yêu cầu thành viên sử dụng trực tiếp hệ thống công cụ dành cho NIR APNIC để thao tác thực tạo thông tin, liệu sở liệu khu vực 1.2 Hạn chế mơ hình định tuyến cần thiết bảo mật thông tin định tuyến Định tuyến hoạt động cốt lõi kết nối Internet Thơng qua giao thức định tuyến, việc cấu hình sử dụng vùng địa IP, số hiệu mạng ASN thông tin định tuyến hoạt động thiết bị định tuyến (router) mà mạng sử dụng tài nguyên kết nối, trao đổi lưu lượng với Giao thức định tuyến liên mạng phổ biến toàn cầu BGP Hiện có khoảng 550.000 tuyến quảng bá Internet Giao thức định tuyến liên mạng BGP đánh giá yếu mặt bảo mật trước công định tuyến chưa có cách thức để xác thực thông tin định tuyến Trên thực tế, BGP chấp nhận tuyến mà thiết bị định tuyến học từ thiết bị định tuyến lân cận BGP khơng có khả xác thực thực thể thực thể có quyền sử dụng hợp pháp vùng địa khơng có khả xác thực người có quyền khởi tạo định tuyến vùng địa định Chính vậy, sai lệch nhầm lẫn, đồng giả mạo trong việc quảng bá định tuyến dễ dàng xảy Lỗi định tuyến phổ biến thường gặp sai lầm tiền tố quảng bá định tuyến, có nghĩa vơ tình thơng báo tiền tố IP mà họ chủ sở hữu, nhiều trường hợp, việc quảng bá sai tiền tố IP hoạt động cơng có chủ đích Các sai lệch, giả mạo việc quảng bá định tuyến thường gây tác động lớn với hoạt động mạng lưới Trong nhiều trường hợp, ảnh hưởng có quy mơ lớn thơng tin định tuyến sai lệch chuyển tiếp phạm vi toàn cầu Mơ hình định tuyến Internet đánh giá cịn thiếu an tồn Thời gian vừa qua có nhiều vụ cơng nhầm lẫn dẫn tới sai lệch quảng bá định tuyến, gây tác động diện rộng tới tổ chức, người sử dụng tham gia hoạt động Internet Dưới số vụ việc điển hình: Vụ việc chiếm quyền điều khiển vùng IP YouTube Pakistan Telecom thực Vụ việc xảy từ năm 2008 số hiệu mạng AS17557 Pakistan Telecom thực quảng bá định tuyến trái phép vùng địa 208.65.153.0/24 YouTube Theo nguyên tắc kiểm tra định tuyến thông thường, nhà cung cấp dịch vụ cấp Pakistan Telecom kiểm tra thông tin liệu quản lý IP ghi định tuyến tổ chức khơng cho phép quảng bá tiếp thông tin định tuyến sai lệch mức tồn cầu khơng phải vùng địa Pakistan Telecom Tuy nhiên, trường hợp này, lọc định tuyến nhà cung cấp dịch vụ cấp (PCCW Global) khơng cấu hình cách khiến cho tuyến quảng bá trái phép vùng địa 208.65.153.0/24 truyền bá toàn Internet Kết vùng IP YouTube truy cập Lưu lượng Youtube gắn với vùng địa 208.65.153.0/24 Youtube thay chuyển tiếp mạng Youtube (với số hiệu mạng 36561) bị lái Pakistan (qua số hiệu mạng 17557) Lỗi định tuyến Google khiến kết nối Internet Nhật Bản bị ảnh hưởng Giữa tháng 8/2017, gần nửa số người sử dụng Internet Nhật Bản truy cập Internet lỗi Google Lỗi Google phát sửa vòng vài phút khả kết nối vùng bị ảnh hưởng Internet Nhật Bản phục hồi vòng hiệu ứng vụ việc khiến kết nối Internet Nhật Bản chậm nhiều Các ngành công nghiệp bị ảnh hưởng gồm có tài giao dịch trực tuyến bị dừng lại vận chuyển – khách hàng Công ty Đường sắt Đông Nhật Bản mua vé qua mạng Các nhà cung cấp dịch vụ Internet bị ảnh hưởng nhiều KDDI Corp, NTT Communications với triệu khách hàng Ảnh hưởng lớn đến mức Bộ Nội vụ Truyền thông Nhật Bản thực điều tra vấn đề Lỗi xảy Google cấu hình định tuyến nhầm lượng lớn địa IP nhà ISP Nhật Bản chuyển lưu lượng qua Google Theo cấu hình định tuyến Google, nhà cung cấp dịch vụ Internet lớn Verizon chuyển lưu lượng Internet phải Nhật Bản tới Google Do Google nhà cung cấp dịch vụ nên lưu lượng Internet không chuyển tiếp tới đâu khiến người sử dụng Internet Nhật Bản truy cập Internet Vụ công MyEtherWallet Gần nhất, tháng 4/2018, vụ công chuyển hướng định tuyến kèm giả mạo DNS, công vào hệ thống dịch vụ web Amazon để lấy cắp lượng tiền ảo từ trang web tiền điện tử trực tuyến MyEtherWallet.com Nhà phát triển ví Ethereum xác nhận kẻ trộm chuyển hướng tra cứu DNS đến trang web độc hại giả mạo Điều có nghĩa số người đăng nhập vào MyEtherWallet.com thực kết nối với trang web khơng có thật giao dịch chuyển tiền ảo họ cho bọn tội phạm, kẻ sau nhanh chóng rút ETH khỏi ví nạn nhân Hậu đợt công tên cướp tích lũy lượng tiền ảo Ethereum tương ứng 17 triệu la trong ví MyEtherWallet.com sử dụng dịch vụ Route 53 DNS Amazon Cuộc công xảy kẻ công quảng bá trái phép vùng địa /24 thuộc khối /23 Route 53 Sau lừa lưu lượng truy cập Internet, máy chủ DNS giả mạo đặt vùng địa giả mạo trả lời truy vấn DNS với địa IP trang web lừa đảo lưu trữ Nga, giả mạo trang MyEtherWallet.com Vì vậy, người sử dụng truy cập vào trang giả mạo kẻ công tạo nên giao dịch chuyển tiền ảo vào ví điện tử mà không hay biết lừa đảo Trong cấu trúc định tuyến thông thường nay, tổ chức tham gia hoạt động Internet tạo lưu trữ ghi phục vụ thông tin định tuyến ví dụ ghi route object hệ thống thông tin định tuyến IRR (Internet Routing Registry) sở liệu whois tổ chức quản lý địa Tuy nhiên, việc sử dụng hệ thống thông tin định tuyến IRR loại bỏ liệu quảng bá sai, liệu rác khơng cịn giá trị sử dụng, hoạt động quảng bá IP trái phép Trước yêu cầu ngày cao việc đảm bảo an toàn, bảo mật cho hoạt động mạng lưới dịch vụ Quảng bá thơng tin định tuyến với vai trị đặc biệt quan trọng cần phương án bảo mật hiệu Việc đảm bảo tuyệt đối tính xác thực quảng bá thông tin định tuyến mà yếu tố đem lại kết nối Internet xác thực, an tồn Để thực việc này, mơ hình bảo mật xác thực thông tin định tuyến thông qua hệ thống chứng thực tài nguyên (Resource Public Key Infrastructure – RPKI) phát triển để hệ thống tổ chức quản lý tài nguyên địa (cấp cao nhât - IANA, cấp vùng - RIR, cấp quốc gia - NIR) xác thực thơng tin chủ sở hữu vùng địa - thực thể hợp pháp quảng bá thông tin định tuyến qua đem đến mơ hình quảng bá định tuyến an toàn, bảo mật Tại Việt Nam, với phát triển Internet, nhu cầu sử dụng địa IP tổ chức ngày cao Trong năm qua, số lượng thành viên địa tăng liên tục, bình quân tăng thêm 30-40 thành viên năm Sự tăng lên số lượng tài nguyên IP/ASN song hành với việc yêu cầu liên quan tới quản lý, sử dụng tài nguyên Việt Nam tăng lên Trong thời gian vừa qua, VNNIC xử lý nhiều vụ việc sai lầm thông tin định tuyến gây ảnh hưởng tới hoạt động mạng lưới, dịch vụ tổ chức thành viên địa VNNIC Tới nay, có số thành viên địa nêu yêu cầu đề nghị VNNIC nghiên cứu hỗ trợ thành viên khai báo thông tin định tuyến có xác thực Trong xu chung xúc tiến triển khai cơng nghệ tăng cường tính an toàn, bảo mật hoạt động mạng lưới, dịch vụ, nhu cầu phổ biến, xúc tiến tiếp cận công nghệ bảo mật khóa cơng khai tài ngun (RPKI) cho thành viên địa Việt Nam yêu cầu cần thiết Số lượng yêu cầu sử dụng RPKI Việt Nam thời gian đầu chưa nhiều, chưa đại trà với vai trò NIR, VNNIC cần phải sẵn sàng đủ khả cung cấp dịch vụ cho thành viên II HẠ TẦNG KHĨA CƠNG KHAI TÀI NGUYÊN (RPKI) ĐỂ BẢO MẬT THÔNG TIN ĐỊNH TUYẾN 2.1 Nguyên tắc cấu trúc tổng quan Việc phân bổ địa IP thực theo mơ hình phân cấp Gốc hệ thống phân cấp IANA Dưới IANA năm tổ chức quản lý địa cấp khu vực (RIR) Tại vài RIR, điển hình khu vực Châu Á – Thái Bình Dương, tầng thứ ba hệ thống phân cấp bao gồm tổ chức quản lý địa cấp quốc gia (NIR) Ở khu vực khác, không tồn cấp NIR mà gồm LIR (thường ISP) Chủ thể khối không gian địa IP phân bổ tiếp vùng địa phía cho khách hàng sử dụng cho mạng lưới Do cấu trúc này, phân bổ địa IP mơ tả tự nhiên sở hạ tầng khóa cơng khai phân cấp, chứng chứng thực phân bổ địa IP chứng nhận cấp tương ứng với phân bổ phía Hệ thống cấu trúc PKI sử dụng chứng thực tài nguyên gọi "Hạ tầng khóa cơng khai tài nguyên - Resource Public Key Infrastructure (RPKI)” RPKI (Resource Public Key Infrastructure) cấu trúc hạ tầng khóa cơng khai tạo dựng dành cho hệ thống tài nguyên, gọi hệ thống chứng thực tài nguyên nhằm xác thực thông tin chủ sở hữu vùng địa - thực thể hợp pháp quảng bá thông tin định tuyến Câu hỏi mà RPKI cố gắng trả lời là: “Đây có phải quảng bá lộ trình định tuyến chủ sở hữu hợp pháp không gian địa công bố hay không?” Các tổ chức quản lý địa (IANA, RIR, NIR) đầu mối xác thực xác tổ chức cấp vùng IP quyền quảng bá định tuyến Vì vậy, phải tổ chức cung cấp dịch vụ tạo ghi định tuyến có chứng thực nguồn cơng bố thơng tin quảng bá định tuyến có chứng thực Thực tiễn IANA khơng thực trì hệ thống quản lý liệu IP/ASN tới người sử dụng Vì vậy, gốc hệ thống chứng thực tài nguyên năm tổ chức quản lý địa cấp vùng RIR Do cấu trúc phân tầng, tổ chức cấp (RIR) ủy quyền chứng thực cho tổ chức cấp (NIR, LIR) để tổ chức cấp tự xây dựng hệ thống chứng thực thực cấp chứng thực tài nguyên phạm vi địa mà ủy quyền quản lý CA tự ký “Root” (Self-signed CA) … … .… … AFNIC ARIN RIPE NCC … … .… … Phát hành chứng số phù hợp với phân bổ IP NIR1 … … .… … ISP1 … … .… … … … .… … APNIC LANIC … … .… … … … .… … … … .… … ISP2 … … .… … … … .… … NIR2 … … .… … ISP3 … … .… … … … .… … … … .… … ISP4 ISP ISP ISP Mơ hình chứng thực ủy quyền chứng thực quyền sở hữu tài nguyên địa RPKI Hiện nay, năm tổ chức quản lý tài nguyên cấp vùng Regional Internet Registry – RIR, tổ chức chứng thực gốc cấu trúc chứng thực tài nguyên, cung cấp khả ứng dụng RPKI cho tổ chức thành viên cấp vùng địa để thống chứng thực tài nguyên, tiêu chuẩn hóa RFC6492 - A Protocol for Provisioning Resource Certificates Cơ chế tương tác bảo mật RPKI APNIC APNIC khuyên khích tổ chức thành viên khu vực, tổ chức quản lý địa cấp quốc gia NIR nghiên cứu triển khai sớm việc ứng dụng RPKI để góp phần đảm bảo an tồn thơng tin tồn cầu Với công cụ APNIC cung cấp, NIR khu vực cung cấp dịch vụ RPKI cho thành viên địa thơng qua hai mơ hình: - Sử dụng hồn tồn hệ thống RPKI APNIC: NIR đại diện cho thành viên địa để thiết lập liệu định tuyến, thông tin xác thực thông qua công cụ mà APNIC dành cho NIR để bổ sung liệu vào hệ thống liệu RPKI APNIC Dữ liệu sử dụng cho ISP có sử dụng dịch vụ RPKI để xác minh thơng tin đính tuyến phù hợp hay khơng - NIR tự thiết lập hệ thống RPKI riêng (như JPNIC, CNNIC) Dữ liệu từ thành viên địa tạo dựng tích hợp với liệu RPKI APNIC Hiện nay, số NIR khu vực Châu Á – Thái Bình Dương, NIR triển khai RPKI gồm có: KRNIC (Hàn Quốc), CNNIC (Trung Quốc), JPNIC (Nhật Bản), IDNIC (Indonesia) TWNIC (Đài Loan) Trong đó, KRNIC, CNNIC, JPNIC xây dựng hệ thơng riêng cung cấp dịch vụ RPKI; IDNIC, TWNIC cung cấp dịch vụ 21 RPKI cho thành viên địa thông qua sử dụng công cụ kỹ thuật mà APNIC cung cho NIR để hỗ trợ công tác quản lý IP/ASN quốc gia 3.2 Hiện trạng triển khai công nghệ RPKI toàn cầu 3.2.1 Tỉ lệ ứng dụng RPKI định tuyến toàn cầu Hiện tỉ lệ ứng dụng RPKI internet nói chung cịn thấp Theo số liệu thống kê Viện tiêu chuẩn hóa Hoa Kỳ - NIST, tính tới tháng 8/2018, tỉ lệ ứng dụng RPKI khoảng 10% so với tổng không gian địa Tuy nhiên gần đây, tỉ lệ gia tốc ứng dụng RPKI có chiều hướng tăng lên, đặc biệt khu vực Châu Âu Việc gia tốc quan sát rõ theo số liệu thống kê Tổ chức quản lý địa Châu Âu – RIPE Tỉ lệ ứng dụng RPKI định tuyến toàn cầu (cơng bố Viện tiêu chuẩn hóa Hoa Kỳ - NIST địa https://rpki-monitor.antd.nist.gov) Thống kê số ASN ứng dụng RPKI khu vực Châu Âu (công bố RIPE NCC: https://certification-stats.ripe.net/ 22 Các số hiệu mạng có mức độ ứng dụng RPKI nhiều tồn cầu (cơng bố NIST địa https://rpki-monitor.antd.nist.gov) 3.2.2 Dự án tích hợp liệu RPKI tồn cầu RIR Bắt đầu từ 14/9/2017, tổ chức quản lý địa cấp vùng –RIR triển khai đồng tích hợp tồn liệu RPKI năm RIR để có tồn vẹn tổng thể liệu RPKI tồn cầu Theo mơ hình này, thay RIR trì Neo Tin cậy (Trust Anchor - TA) cho vùng địa RIR quản lý, RIR chuyển sang mơ hình áp dụng đồng toàn tất vùng địa toàn cầu Trust Anchor RIR Việc tích hợp đồng giúp cho việc xác thực định tuyến dễ dàng hơn, giảm thiểu nguy không xác thực thông tin định tuyến tuyến hợp pháp phạm vi xác thực vượt vùng thông tin RIR Việc xây dựng hệ thống liệu RPKI tích hợp tồn RIR cho thấy tâm tổ chức quản lý địa cấp khu vực việc thúc đẩy ứng dụng công nghệ RPKI để xây dựng mơ hình định tuyến an tồn Neo tin cậy (Trust Anchor – TA) chứng cao hệ thống chứng thực khóa cơng khai (PKI) Đối với chứng thực tài nguyên, TA tự ký chứa tất tài nguyên Internet phạm vi quản lý tổ chức sở hữu TA Theo mơ hình quản lý địa IP/ASN, năm RIR quản lý vùng địa riêng biệt trước đây, RIR trì TA mình, chứa tồn thông tin chứng thực cho tài nguyên IANA phân bổ cho RIR tương ứng Các hệ thống RPKI RIR hoạt động độc lập với Để đảm bảo khơng có chồng chéo nguồn thơng tin 23 TA tương ứng, RIR trao đổi với để rà soát mặt liệu Tuy nhiên, gần đây, tình hình chuyển nhượng IPv4 liên vùng khiến việc đảm bảo thông tin đồng bộ, thông suốt trở nên khó khăn Vì lí đó, việc tổ chức đồng nguồn liệu RPKI chung cho toàn vùng tài nguyên địa hoạt động Internet toàn cầu giảm thiểu rủi ro giảm bớt nguy đồng sai lệch hoạt động định tuyến Kể từ 14/9/2017, RIR chuyển đổi áp dụng TA thống Một Trust Anchor mở rộng, bao gồm “tất tài ngun” tồn RIR Với mơ hình này, hệ thống thơng tin RPKI tồn cầu khơng bị phân tán mà tập hợp hệ thống RIR phát hành chứng để ký chứng thực trì TA khơng cần ký lại thay đổi nhiều lần có vùng tài nguyên chuyển nhượng Các vùng tài nguyên chuyển nhượng khu vực giữ chứng thực định tuyến chuyển khỏi khu vực, RIR xóa bỏ thơng tin chứng thực tài nguyên khỏi hệ thống 3.3 Phần mềm, công cụ hỗ trợ triển khai dịch vụ RPKI Do hệ thống phục vụ cộng đồng, toàn Tổ chức quản lý địa khu vực (RIR), số nhà phát triển phần mềm nguồn mở số nhà cung cấp thiết bị định tuyến lớn tham gia phát triển, nay, tiêu chuẩn sử dụng cho RPKI xây dựng tương đối đầy đủ, kèm theo phần mềm nguồn mở, môi trường thử nghiệm, mô cung cấp miễn phí để khuyến khích, thúc đẩy việc nghiên cứu ứng dụng RPKI dành cho cộng đồng 3.3.1 Hỗ trợ RPKI thiết bị định tuyến Hiện dòng thiết bị định tuyến phổ biến hỗ trợ RPKI: - Juniper thức hỗ trợ RPKI từ phiên hệ điều hành RPKI release 12.2 - Cisco thức hỗ trợ RPKI platform đây: + Bộ định tuyến tầm cao trung chạy IOS-XR: Phiên tối thiểu XR 4.2.1: CRS-1, CRS-3, CRS-x; ASR9000; c12000 + Đối với dòng chạy hệ điều hành XR 5.1.1: NCS6000 (router quang); XRv (virtual router x86) + Router chạy hệ điều hành IOS-XE: tối thiểu cần hệ điều hành phiên XE 3.5: c7200, c7600, ASR1000; CSR1000v (Virtual Router x86); ASR901, ASR903, ASR907; ME3600, ME3800 + Thiết bị định tuyến ASR1000 CSR1000v hỗ trợ chức RPKI - Alcatel – Lucent: Thiết bị định tuyến Alcatel – Lucent hỗ trợ RPKI từ phiên hệ điều hành 12.0 R4 24 Toàn hướng dẫn chi tiết cấu hình sử dụng RPKI router Cisco, Juniper tham khảo địa chỉ: https://www.ripe.net/manage-ips-and-asns/resourcemanagement/certification/router-configuration Nội dung chi tiết cung cấp phụ lục kèm theo báo cáo 3.3.2 Phần mềm RPKI Validator (RPKI cache) Download tại: https://www.ripe.net/manage-ips-and-asns/resource- management/certification/tools-and-resources Ứng dụng cho phép nhà khai thác tải xuống xác thực liệu RPKI toàn cầu để sử dụng q trình tạo sách định tuyến BGP u cầu hệ thống: hệ điều hành UNIX, Java 8, rsync nhớ miễn phí 2GB Để cài đặt, cần giải nén tệp lưu trữ chạy "rpki-validator.sh" Mặt định, giao diện Web để cấu hình, xem thông số truy vấn thông tin port 8080 Các router hỗ trợ RPKI kết nối tới RPKI Validator port 8282 để lấy liệu ROA mặc định Phần mềm cấu hình mặc định kết nối với Trust Anchor RIR cấu hình để thêm, bớt tùy theo người sử dụng Giao diện mặc dịnh RIPE NCC RPKI Validator 3.3.3 Môi trường giả lập hỗ trợ xây dựng hệ thống chứng thực (CA) riêng 25 Dragon Research Labs cung cấp gói phần mềm để tổ chức thử tạo hệ thống chứng thực (CA) riêng giao tiếp với hệ thống cha RIPE NCC Bằng cách này, tổ chức có tồn quyền kiểm sốt chứng tài ngun khóa riêng tương ứng chọn nơi xuất chứng ROA Đây khơng phải dịch vụ thương mại mà môi trường giả lập để hỗ trợ cho tổ chức thử nghiệm việc xây dựng trì hệ thống chứng thực (CA) riêng vùng tài nguyên Các hướng dẫn danh sách phần mềm nguồn mở hỗ trợ cho việc cung cấp sử dụng dịch vụ RPKI tham khảo địa đây: https://www.ripe.net/manage-ips-and-asns/resourcemanagement/certification/tools-and-resources 26 PHẦN 2: CUNG CẤP VÀ ĐĂNG KÝ SỬ DỤNG DỊCH VỤ RPKI TRONG QUẢN LÝ ĐỊA CHỈ IP/ASN TẠI VIỆT NAM 27 IV MƠ HÌNH TRIỂN KHAI DỊCH VỤ RPKI TRONG CÔNG TÁC QUẢN LÝ ĐỊA CHỈ IP/SỐ HIỆU MẠNG ASN TẠI VIỆT NAM Hiện nay, VNNIC sử dụng hệ thống công cụ giao diện Web dành cho NIR APNIC để thực thao tác nghiệp vụ phục vụ cho thành viên địa khai báo tên miền ngược, báo ghi sở liệu ghi định tuyến (route object…) Trong việc cung cấp dịch vụ RPKI cho thành viên địa chỉ, VNNIC sử dụng công cụ dành cho NIR APNIC để cung cấp khả sử dụng RPKI cho thành viên Mơ hình cung cấp dịch vụ RPKI cho thành viên địa công tác quản lý IP/ASN Việt Nam sau: Các tổ chức vận hành mạng lưới Việt Nam sử dụng liệu RPKI để xây dựng sách lọc định tuyến RPKI validator Router Hệ thống thư mục Công cụ ký số CA RPKI DB Hệ thống kỹ thuật APNIC Registry DB - Tạo chứng số - Tạo ký số ghi ROA cho thành viên địa Xuất thông tin kho liệu khu vực Khai Thành viên địa Giao diện dành cho NIR (MYAPNIC) Chức thực thi lệnh điều khiển VNNIC Thành viên địa Thành viên địa Cung cấp cho thành viên địa chỉ: - Các hướng dẫn RPKI - Quy trình nghiệp vụ để gửi u cầu tạo thơng tin định tuyến có chứng thực RPKI cho thành viên địa - Đào tạo, truyền thông, hỗ trợ thành viên địa Mô hình cung cấp dịch vụ RPKI VNNIC 28 ISP ISP Khách hàng Thành viên mạng đa hướng ISP Khác h Khác h Khác h ISP VNNIC APNIC Neo tin cậy Thành viên mạng đa hướng Tương tác thành viên, VNNIC, APNIC khởi tạo sử dụng thơng tin định tuyến có chứng thực Vai trị tương tác mơ hình cung cấp dịch vụ RPKI cho thành viên địa VNNIC sau: a) VNNIC: + Với vai trò NIR, VNNIC cung cấp tới thành viên địa Việt Nam khả khởi tạo, quản lý ghi định tuyến có xác thực (ROA) thơng qua việc tiếp nhận yêu cầu tạo thông tin định tuyến có chứng thực từ thành viên địa Giao tiếp VNNIC thành viên địa sử dụng kênh giao tiếp VNNIC – thành viên (thông qua thư điện tử, gửi nhận từ địa email đăng ký thành viên) Mẫu email thông tin cần cung cấp quy định cụ thể tới thành viên địa phần quy trình Phụ lục đính kèm + Sau tiếp nhận u cầu khởi tạo/ điều chỉnh/ xóa bỏ thơng tin định tuyến có xác thực từ thành viên địa chỉ, VNNIC sử dụng công cụ dành cho NIR APNIC cung cấp để tạo chứng số, tạo ghi xác thực khởi tạo tuyến (ROA), ký số ghi xuất thông tin ROA thành viên hệ thống thư mục khu vực b) Các thành viên địa chỉ: + Để tạo thơng tin định tuyến có chứng thực cho vùng địa mà phân bổ, thành viên địa gửi yêu cầu tới VNNIC qua kênh nghiệp vụ quản lý IP/ASN theo mẫu cung cấp thông tin cần thiết + Đối với thành viên địa ISP: Một số lưu ý sau: * Bản ghi ROA tạo phù hợp với sách định tuyến thực tế vùng địa phân bổ tới ISP 29 * Nếu ISP có nhiều số hiệu mạng (AS) cần phải đăng ký khai báo nhiều ghi ROA để khởi tạo tuyến từ AS * ISP không đăng ký tạo ROA cho khách hàng sử dụng địa phụ thuộc ISP ghi ROA xác định tuyến quảng bá vùng địa ISP bao gồm tiền tố địa khách hàng * Do đặc thù mô hình quản lý IP/ASN Việt Nam, tổ chức sử dụng địa IP độc lập thành viên địa VNNIC Do khách hàng ISP có sử dụng IP độc lập tự liên lạc yêu cầu VNNIC khởi tạo ghi ROA cho vùng địa Trường hợp quảng bá vùng địa độc lập qua số hiệu mạng ASN ISP, VNNIC liên lạc xác minh với ISP số hiệu mạng trường hợp cần thiết ISP đề nghị VNNIC tạo ghi ROA thay khách hàng + Đối với thành viên tổ chức kết nối đa hướng, cần lưu ý thành viên kết nối đa hướng có địa IP độc lập cần đăng ký khai báo nhiều ghi ROA tương ứng với tuyến quảng bá vùng IP để xác định ISP mà kết nối có quyền quảng bá vùng địa thành viên c) Sử dụng thơng tin RPKI để xây dựng sách lọc định tuyến Toàn tổ chức vận hành mạng lưới Việt Nam sử dụng thơng tin định tuyến có chứng thực cơng bố Neo tin cậy APNIC (và RIR khác) để xây dựng sách lọc định tuyến cho thiết bị định tuyến biên Trường hợp muốn sử dụng thơng tin định tuyến có xác thực RPKI, tổ chức thiết lập thiết bị RPKI validator kết nối tới Neo tin cậy sử dụng thiết bị định tuyến có hỗ trợ RPKI để tạo sách lọc định tuyến V HƯỚNG DẪN THÀNH VIÊN ĐỊA CHỈ ĐĂNG KÝ KHAI BÁO BẢN GHI ĐỊNH TUYẾN CÓ XÁC THỰC (RPKI) Để đăng ký khai báo ghi định tuyến có xác thực (RPKI), thành viên địa VNNIC gửi yêu cầu qua đường thư điện tử tới hộp thư nghiệp vụ VNNIC theo quy trình đăng ký thực khai báo thơng tin định tuyến có xác thực RPKI đây: 5.1 Nguyên tắc thực - Yêu cầu xuất phát từ thành viên địa chỉ, email yêu cầu email đại diện thành viên đăng ký sở liệu quản lý VNNIC - Email yêu cầu gửi tới địa nghiệp vụ IP/ASN VNNIC info@vnnic.vn (đã thông báo rộng rãi tới thành viên địa chỉ) 30 - Khi yêu cầu khai báo ghi xác thực thông tin dịnh tuyến (ROA - Route Origin Authorization), thành viên phải cung cấp đầy đủ thông tin theo yêu cầu VNNIC 5.2 Các thông tin cung cấp yêu cầu khai báo ROA - Prefix: (Thông tin địa IPv4 IPv6) - Origin AS: (ASN muốn quảng bá cho vùng địa IP) - Most specific annoucement: (Kích cỡ quảng bá tối thiểu) - descr: (Tên mạng thành viên) - notify: (email thông báo thành viên) - notify-2: (email đại diện quản lý ASN) 5.3 Nội dung đề nghị Thành viên gửi VNNIC Mẫu nội dung đề nghị: Chủ đề: [TENMANG-VN] Hỗ trợ khai báo ghi RoA Nội dung: Thành viên “tên mạng” kính đề nghị VNNIC hỗ trợ khai báo ghi RoA hệ thống APNIC với thông tin cụ thể sau: - Prefix: (Thông tin địa IPv4 IPv6) - Origin AS: (ASN muốn quảng bá cho vùng địa IP) - Most specific annoucement: (Kích cỡ quảng bá tối thiểu) - descr: (Tên mạng thành viên) - notify: (email thông báo thành viên) - notify-2: (email đại diện quản lý ASN) Đề nghị VNNIC hỗ trợ khai báo, kích hoạt trạng thái cho ghi RoA hoạt động liệu RPKI đồng liệu Whois cho ghi Route tương ứng 5.4 Quy trình thực (áp dụng cho thành viên) Áp dung theo quy trình khai báo nghiệp vụ dành cho thành viên địa 31 Bổ sung, điểu chỉnh Thành viên gửi yêu cầu tới VNNIC Tạo/Cập nhật ghi Thông báo cho Thành viên Thông báo cho tổ chức liên quan Thành viên kiểm tra lại Tổ chức liên quan kiểm tra lại Không đồng ý Yêu cầu không hợp lệ VNNIC thẩm định yêu cầu Thông báo/Kết thúc Nội dung công việc Người thực Thời lượng TT Thủ tục Thành viên Thành viên gửi yêu cầu từ địa Thành viên gửi yêu email đại diện thành viên, cầu đăng ký lưu hệ thống quản lý thành viên địa VNNIC, gửi yêu cầu tới địa info@vnnic.vn Thẩm định VNNIC thẩm định yêu cầu: VNNIC yêu cầu - Yêu cầu xuất phát từ địa email đại diện Thành viên 01 ngày làm việc - Nội dung cung cấp thông tin 32 ghi đầy đủ; Thẩm định phù hợp, chuyển sang bước Trường hợp yêu cầu thiếu không hợp lý, VNNIC có phản hồi lại vịng ngày làm việc Tạo/ nhật ghi Cập VNNIC thực tạo cập VNNIC nhật ghi sở liệu APNIC 01 ngày làm việc Thông báo Thông báo kết ghi VNNIC kết cho thành viên địa sau cho thành khai báo thành cơng viên Ngay hồn thành việc tạo ghi Thông báo tới tổ chức có liên quan Trường hợp thơng tin ghi có VNNIC ASN tổ chức khác, VNNIC có thơng báo cho tổ chức liên quan Thành viên Thành viên kiểm tra lại kết kiểm tra cập nhật, trường hợp cần thiết lại phản hồi lại VNNIC Trường hợp có u cầu điều chỉnh, quy trình chuyển sang bước Tổ chức Tổ chức kiểm tra lại, có liên quan khơng đồng ý với việc tạo kiểm tra ghi phản hồi lại VNNIC, quy lại trình chuyển sang bước Kết thúc 33 VI HƯỚNG DẪN THÀNH VIÊN ĐỊA CHỈ SỬ DỤNG THÔNG TIN ĐỊNH TUYẾN CĨ XÁC THỰC (RPKI) ĐỂ XÂY DỰNG CHÍNH SÁCH LỌC ĐỊNH TUYẾN 6.1 Các thành phần cần có để khai thác thơng tin định tuyến có xác thực xây dựng sách lọc định tuyến Để sử dụng thơng tin định tuyến có xác thực RPKI để xây dựng sách lọc định tuyến, mạng thành viên cần có hai thành phần thiết bị sau: - RPKI Vadilator (RPKI Server): Thông tin phần mềm RPKI Validator, hướng dẫn danh sách phần mềm nguồn mở hỗ trợ cho việc cung cấp sử dụng dịch vụ RPKI tham khảo địa đây: https://www.ripe.net/manage-ips-and-asns/resourcemanagement/certification/tools-and-resources - Router hỗ trợ RPKI Thông tin router hỗ trợ RPKI hướng dẫn chi tiết cấu hình sử dụng RPKI router Cisco, Juniper tham khảo địa chỉ: https://www.ripe.net/manage-ips-and-asns/resource-management/certification/routerconfiguration 6.2 Các bước thực Bước 1: Chuẩn bị: - Xây dựng RPKI vadilator (RPKI Server) đồng thông tin ghi ROA từ APNIC RIPE NCC, ARIN… - Nâng cấp Router chạy RPKI nhận bảng định tuyến toàn cầu từ ISP Bước 2: Đăng ký với VNNIC để khai báo ghi ROA APNIC - Thành viên địa thực nội dung theo quy trình mục V Bước 3: Triển khai RPKI định tuyến biên Thiết lập sách với prefix có giá trị invalid bị vơ hiệu bảng định tuyến BGP VII THÔNG TIN LIÊN HỆ, HỖ TRỢ Trong qúa trình quản lý, sử dụng vùng địa phân bổ, thành viên cần hỗ trợ tư vấn liên hệ đơn vị đầu mối VNNIC theo thông tin sau: 34 - Phòng Hợp tác – Quản lý tài nguyên - Trung tâm Internet Việt Nam (VNNIC) (Email nghiệp vụ: info@vnnic.vn, Điện thoại: 024-35564944 số máy lẻ 105, 102) Hiện thông tin, tài liệu hỗ trợ thành viên công tác quản lý, sử dụng IP/ASN VNNIC công bố chuyên trang quản lý IP/ASN quốc gia địa www.diachiip.vn Một số lưu ý thành viên địa chỉ: Sau phân bổ IP, tổ chức tự xây dựng sách định tuyến chủ động đưa địa IP vào sử dụng, thực công tác sau: - Khai báo tên miền ngược; - Khai báo ghi route object; - Xử lý phishing spam vùng địa quản lý - Cập nhật thơng tin sử dụng, thông tin liên hệ cho Trung tâm Internet Việt Nam có thay đổi - Nộp phí trì hàng năm cho tồn vùng địa cấp trì, sử dụng theo quy định Bộ Tài TRUNG TÂM INTERNET VIỆT NAM (VNNIC) 35