5.2.1. Mục đích thử nghiệm
Việc thử nghiệm mô phỏng trước khi triển khai chính thức sẽ đem lại đánh giá chi tiết nhất về giải pháp RPKI, từ đó đội ngũ nghiên cứu có thể xây dựng những policy – chính sách định tuyến phù hợp với hạ tầng, khách hàng của Viettel. RPKI được xác định với vai trò cơ sở dữ liệu tham chiếu để xây dựng nền chính sách định tuyến chiều vào với các peer eBGP – Import Policy.
Hình 5.4: Xây dựng Import Policy dựa trên cơ sở dữ liệu xác thực ROA
bá định tuyến mà bộ định tuyến nhận được, bao gồm 3 trạng thái:
VALID: thể hiện dải địa chỉ được công bố trong bản ghi ROA của một số hiệu mạng (ASN) sở hữu hợp pháp vùng địa chỉ.
INVALID : thể hiện việc quảng bá định tuyến có chiều dài của tiền tố địa chỉ lớn hơn độ dài cho phép quảng bá xác định trong bản ghi ROA hoặc được quảng bá từ AS không phải chủ sở hữu của dải địa chỉ đó. UNKNOWN: thể hiện thông tin quảng bá là không xác định
(UNKNOWN) nếu dải địa chỉ không được công bố trong bản ghi ROA nào. Điều này là do các chủ thể sở hữu các dải địa này chưa thực hiện khai báo ROA và đăng ký triển khai RPKI với các neo tin cậy tương ứng.
Đối với các dải mạng ở trạng thái INVALID, Viettel sẽ từ chối nhận thông tin quảng bá từ peer eBGP để tránh quảng bá sai lệch, tấn công BGP Hijacking. Đối với các các dải mạng ở trạng thái VALID, Viettel sẽ chấp nhận và quảng bá vào mạng core. Vì tỉ lệ triển khai RPKI còn thấp, nên số lượng dải mạng ở trạng thái UNKOWN là rất lớn, để tránh việc bỏ sót thông tin định tuyến, Viettel sẽ chấp nhận và quảng bá các dải mạng này vào mạng core.
5.2.2. Công cụ hỗ trợ mô phỏng RPKI
Do là hệ thống phục vụ cộng đồng, được toàn bộ các tổ chức quản lý địa chỉ khu vực (RIR), một số nhà phát triển phần mềm nguồn mở và một số nhà cung cấp thiết bị định tuyến lớn tham gia phát triển, hiện nay, các tiêu chuẩn sử dụng cho RPKI đã được xây dựng tương đối đầy đủ, kèm theo đó là các phần mềm nguồn mở, môi trường thử nghiệm, mô phỏng cung cấp miễn phí để khuyến khích, thúc đẩy việc nghiên cứu ứng dụng RPKI dành cho cộng đồng. Để sử dụng thông tin định tuyến có xác thực RPKI để xây dựng chính sách lọc định tuyến, mạng của thành viên cần có hai thành phần thiết bị như sau: bộ định tuyến hỗ trợ RPKI và RPKI Validator (RPKI Server).
không nhất thiết cần các thiết bị định tuyến có hỗ trợ RPKI. Tuy nhiên, trong trường hợp tổ chức vận hành mạng lưới muốn sử dụng các thông tin RPKI để xây dựng chính sách lọc định tuyến cho mạng lưới của mình thì bắt buộc phải có các bộ định tuyến hỗ trợ RPKI Hiện các dòng thiết bị định tuyến phổ biến đều hỗ trợ RPKI. Cisco chính thức hỗ trợ RPKI với nhiều nền tảng, trong các bài lab sau sẽ sử dụng bộ định tuyến CSR 1000v.
RPKI Validator (RPKI Server): Các phần mềm này cho phép tải xuống và xác thực bộ dữ liệu RPKI toàn cầu (Global RPKI: Dữ liệu có thẩm quyền được phát hành trên server của IANA, RIR, NIR, ISP, …) để sử dụng trong quá trình tạo chính sách định tuyến BGP. Để đảm bảo RPKI Cache (Cache: là một bản sao dữ liệu được phát hành bởi RPKI Global, được tìm nạp, làm mới định kỳ sử dụng giao thức rsync (RFC 5781) và dựa vào phần mềm bên thứ 3 để thu thập và xác thực dữ liệu được phân phối bởi RPKI Global tới Cache) có thể cập nhật tất cả các thông tin RPKI Global đã được ký, RPKI Cache sẽ sử dụng giao thức rsync để lấy thông tin khởi tạo tuyến ROA từ RPKI Global (RFC5781).
Các bước triển khai RPKI cho một hệ thống mạng: Bước 1: Chuẩn bị:
Xây dựng RPKI Vadilator (RPKI Server) đồng bộ thông tin các bản ghi ROA từ APNIC RIPE NCC, ARIN…
Nâng cấp bộ định tuyến chạy RPKI và nhận bảng định tuyến toàn cầu từ các ISP
Bước 2: Đăng ký bản ghi ROA trên đến các tổ chức quản lý tài nguyên: ASN và IPv4, IPv6 của hệ thống mạng đăng ký bản ghi ROA trên
tổ chức quản lý tài nguyên với chiều dài prefix được phân bổ theo quy định.
Bước 3: Triển khai RPKI trên các bộ định tuyến biên. Thiết lập chính sách với các dải mạng có giá trị INVALID sẽ bị vô hiệu trong bảng định tuyến BGP.
5.3.3. Nội dung kịch bản
Giữa các bộ định tuyến R1 và R2 có phiên eBGP peer với nhau (vì thuộc AS khác nhau) thông qua địa chỉ kết nối trực tiếp.
Về mặt quảng bá, R1 sẽ quảng bá tất cả các dải mạng nội bộ và trực tiếp của mình bao gồm các địa chỉ cổng loopback, các địa chỉ của các cổng vật lý của R1 cho R2. Từ đó, R2 sẽ nhận các dải mạng từ R1 sau đó dựa vào cơ sở dữ liệu mà RPKI Validator để tiến hành lọc định tuyến, chỉ chấp nhận các dải mạng VALID và UNKNOWN, từ chối dải mạng INVALID. Sau đó R2 sẽ quảng bá là các dải mạng hợp lệ đó cho R3 để R3 quảng bá vào hệ thống mạng bên trong của mình.
Trong AS131429, các bộ định tuyến R2 và R3 sẽ có phiên iBGP peer với nhau thông qua địa chỉ cổng vật lý kết nối trực tiếp. Sau khi cấu hình phiên RPKI giữa R2 và RPKI Validator, tiến hành kiểm tra dải mạng học được bộ định tuyến R3 để kiểm tra cách thức hoạt động và hiệu quả khi sử dụng hạ tầng khóa công khai tài nguyên RPKI trong mạng lưới.
5.3.4. Các bước thực hiện kịch bản
Để đảm bảo bài mô phỏng có thể hoạt động bình thường, cần thực hiện các bước khai báo sau:
- Thực hiện đặt địa chỉ IP cho các giao diện đấu nối và giao diện Loopback. Lưu ý cần thực hiện câu lệnh “No shutdown” đề các giao diện này có thể hoạt động bình thường. Có thể kiềm tra bằng các lệnh Ping giữa các địa chỉ đấu nối.
- Tiếp tục cấu hình các phiên iBGP, eBGP cho các bộ định tuyến theo từng vùng đảm bảo đúng theo yêu cầu.
- Kích hoạt phiên RPKI giữa R2 và RPKI Validator trong BGP bằng câu lệnh “bgp rpki server tcp x.x.x.x port 3323 refresh 600”, trong đó x.x.x.x là đại chỉ IP của RPKI Cache đại tại máy ảo Ubuntu, refresh time là khoảng thời gian hệ thống thư mục được làm mới, ở đây ta cấu hình là 600 giây.
- Đồng thời trên RPKI Cache đặt tại máy ảo Ubuntu, thiết lập phiên RTR để lấy thông tin xác thực ROA từ RPKI Global bằng câu lệnh “routinator server --rtr x.x.x.x:3323 --refresh=600”
- Tiếp theo ta cấu hình chính sách lọc dải mạng dựa trên cơ sở dữ liệu nhận được từ RPKI cache validator. Chấp nhận các dải mạng VALID, UNKNOWN, loại bỏ dải mạng INVALID.
- Thực hiện các câu lệnh kiểm tra kết quả sau khai báo cấu hình.
Các câu lệnh khai báo cấu hình cho kịch bản này được trình bày chi tiết trong phụ lục I.
5.3.5. Cấu hình trên kịch bản thiết lập mô hình thử nghiệm
Hình 5.5: Mô hình triển khai thử nghiệm RPKI
Mô hình thử nghiệm gồm 3 bộ định tuyến thuộc 2 AS khác nhau AS 135533 và AS131429. Bộ định tuyến R1 thuộc AS135533 sẽ có nhiệm vụ quảng bá các dải mạng đến bộ định tuyến R2 thông qua giao thức BGP với phiên eBGP. Bộ
định tuyến R2 có phiên xác thực với RPKI Validator. RPKI Validator sẽ thực hiện xác thực các dải mạng hợp lệ học được từ bộ định tuyến R1, từ đó bộ định tuyến R2 quảng bá lại cho bộ định tuyến R3 để đi vào mạng bên trong hệ thống mạng của mình. Mô hình thử nghiệm này nhằm mục đích: xây dựng một mô hình đơn giản, sử dụng RPKI điển hình. Từ đó, giúp người quản trị nắm rõ các cấu hình, thiết lập các phiên iBGP, eBGP, phiên RTR (RPKI To Bộ định tuyến). Cuối cùng, sau khi đã thử nghiệm triển khai một mô hình triển khai đơn giản, từ đó giúp các ISP có thể chủ động mở rộng mô hình, áp dụng vào mô hình mạng thực tế của mình, từ đó giảm thiểu các cuộc tấn công định tuyến. Quy hoạch đại chỉ IP cho các bộ định tuyến như sau:
Bộ định tuyến R1:
Interface e0/1: 172.16.12.1/24
Interface loopback0: 61.45.248.1/24 – đóng vai trò là dải mạng VALID
Interface loopback1: 1.6.12.1/22 – đóng vai trò là dải mạng INVALID Interface loopback2: 192.168.1.1/24 – đóng vai trò là dải mạng
UNKNOWN Bộ định tuyến R2: Interface Gi1: 192.168.149.133/24 Interface Gi2: 172.16.12.2/24 Interface Gi3: 172.16.23.2/24 Interface loopback0: 103.53.252.2/22 Bộ định tuyến R3: Interface e0/0: 172.16.23.3/24 Interface loopback0: 45.125.208.3/22 Cấu hình khai báo chi tiết trên R1:
R1#show running-config hostname R1
interface Loopback0
! interface Loopback1 ip address 1.6.12.1 255.255.252.0 ! interface Loopback2 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/1 ip address 172.16.12.1 255.255.255.0 ! router bgp 135533 bgp log-neighbor-changes network 1.6.12.0 mask 255.255.252.0 network 61.45.248.0 mask 255.255.255.0 network 192.168.1.0 neighbor 172.16.12.2 remote-as 131429 ! end
Cấu hình khai báo chi tiết trên R2: R2#show running-config hostname R2 interface Loopback0 ip address 103.53.252.2 255.255.252.0 ! interface GigabitEthernet2 ip address 172.16.12.2 255.255.255.0 negotiation auto ! interface GigabitEthernet3 ip address 172.16.23.2 255.255.255.0 negotiation auto !
router bgp 131429
bgp log-neighbor-changes
bgp rpki server tcp 192.168.149.129 port 3323 refresh 900 network 103.53.252.0 mask 255.255.252.0 neighbor 172.16.12.1 remote-as 135533 neighbor 172.16.23.3 remote-as 131429 neighbor 172.16.23.3 next-hop-self ! end
Cấu hình khai báo chi tiết trên R3: R3#show running-config hostname R3 interface Loopback0 ip address 45.125.208.3 255.255.252.0 ! interface Ethernet0/0 ip address 172.16.23.3 255.255.255.0 ! router bgp 131429 bgp log-neighbor-changes network 45.125.208.0 mask 255.255.252.0 neighbor 172.16.23.2 remote-as 131429 ! end 5.3.5. Kết quả đạt được
Kiểm tra bảng định tuyến trên R2 và R3, trong đó chú ý vào dải mạng đóng vai trò là dải mạng INVALID thu được kết quả sau:
Hình 5.6: Bảng định tuyến của R2 trước khi cấu hình RPKI
Nhìn vào hình 3.4 và 3.5, ta thấy R2 nhận tất cả các dải mạng được quảng bá đến từ R1 thông qua giao thức eBGP, các dải mạng này chưa được xác thực nên đều được coi mặc đinh là dải mạng hợp lệ và được các bộ định tuyến ghi vào bảng định tuyến của R2 trong đó có cả dải mạng INVALID. Sau đó R2 quảng bá tất cả các bá tất cả các dải mạng này cho R3, R3 cũng chấp nhận học tất cả các dải mạng này và đưa vào bảng định tuyến. Việc này cho thấy nguy cơ tấn công BGP Hijacking, vì R2 học các dải mạng mà R1 quảng bá đến cho dù dải mạng đó là dải mạng giả mạo hoặc bị quảng bá sai.
Hình 5.7: Bảng định tuyến của R3 trước khi cấu hình RPKI
Áp dụng Import policy sử dụng RPKI cho các dải mạng nhận từ peer eBGP
Hình 5.8: Câu lệnh thiết lập phiên RPKI giữa R2 và RPKI Cache
Hình 5.7 và 5.8 là quá trình thiết lập RPKI đối với những dải mạng mà R2 học được từ R1 qua eBGP. Trong đó, ta cần thiết lập phiên TCP đến server RPKI Cache với port là 3323, đồng thời server RPKI Cache cũng cần lấy thông tin xác thực ROA từ RPKI Global qua phần mềm RPKI Validator, trong bài lab sử dụng là phần mềm Routinator.
Hình 5.9: Câu lệnh kiểm tra kết nối từ R2 đến server RPKI Cache
Hình 5.10: Thông tin ROA mà R2 nhận được từ RPKI Validator
Hình 5.11: Bảng định tuyến BGP của R2 sau khi cấu hình RPKI
Hình 5.12: Bảng định tuyến BGP của R3 sau khi cấu hình RPKI
Sau khi cấu hình RPKI trên dải mạng biên R2, lúc này R2 đã nhận được thông tin ROA từ RPKI Validator. R2 sau khi có được thông tin đó, nhận thấy dải mạng 1.6.12.0/22 nó học được từ R1 thì không phải là dải mạng hợp lệ mà AS135533 được phép quảng bá, vì dải mạng này khi tra cứu trên RPKI table thì
R2 nhận thấy nó thuộc quyền sở hữu của AS9583, vì thế có được kết quả như hình 3.9. Hình 3.9 chỉ ra được những dải mạng mà R2 học được là thuộc nhóm nào: VALID (V), INVALID (I) hay là UNKNOWN (N – Not found). Mặc định thiết bị của Cisco sẽ không cho phép ghi những dải mạng INVALID (I) vào bảng định tuyến.
Hình 5.14: Bảng định tuyến của R3 sau khi cấu hình RPKI
Như vậy, lúc này R2 đã loại bỏ hoàn toàn được dải mạng INVALID ra khỏi bảng định tuyến của mình, chính vì thế những dải mạng không hợp lệ này cũng không được quảng bá cho các BGP peer khác. Kiểm tra bảng định tuyến trên R3 ta cũng không thấy mạng 1.6.12.0/22 được R2 quảng bá sang, điều này cho thấy RPKI đã được cấu hình thành công và mang lại hiệu quả rõ rệt một cách tức thời, điều này mang lại sự an toàn và bảo mật cho các hoạt động định tuyến trong không gian mạng lớn như Internet hiện nay, giúp các ISP tránh được những sự cố, rủi ro cũng như những cuộc tấn công định tuyến nhằm mục đích xấu, từ đó giúp khách hàng của mình có được trải nghiệm sử dụng Internet an toàn và hiệu quả.
KẾT LUẬN
1.Kết quả đạt được
Mục đích của đồ án này là tập trung vào việc tìm hiểu “Tìm hiểu và triển khai hệ thống mạng với giao thức BGP” . Qua nội dung của bốn chương của đồ án trên kết hợp với phần mềm mô phỏng kịch bản triển khai, ta đã tìm hiểu được Tổng quan về mạng máy tính: khái niệm, lịch sử phát triển, lợi ích, phân
loại mạng máy tính và kiến trúc mạng máy tính
Định tuyến trong mạng máy tính: định nghĩa Router, bảng định tuyến, giao thức, khái niệm định tuyến, phân loại định tuyến và cuối cùng là tìm hiểu về phần mềm mô phỏng giả lập GNS3.
Giao thức định tuyến BGP: Khái niệm cơ bản về BGP, hoạt động của BGP và các thuộc tính cơ bản, thứ tự chọn đường đi trong BGP và một số lỗi và cách xử lí ở bản tin header của BGP.
Mô phỏng được hệ thống sử dụng giao thức BGP trên phần giả lập GNS3. Từ đó mô phỏng kịch bản triển khai hạ tầng khóa công khai tài nguyên
RKPI trong mạng truyền tải sử dụng giao thức BGP
Hiện nay, BGP làm một giao thức định tuyến được sử dụng rất rộng rãi. Nó được sử dụng chủ yếu cho mạng Internet và một số mạng lớn khác mà các giao thức khác không đáp ứng được. Kể từ khi ra đời, BGP vẫn luôn luôn được nghiên cứu và phát triển. Nó ngàycàng đáp ứng được nhu cầu sử dụng của con người.
Cho đến bây giờ vẫn chưa có một giao thức nào được phát triển và thay thế vị trí của BGP. Điều này chứng tỏ rằng BGP có nhiều tính năng nổi bật. Một trong những tính năng nổi bật đó là:
BGP hỗ trợ tìm đường phi phân lớp (CIDR Classless Inter-Domain Routing) và dùng kỹ thuật kết hợp đường đi để giảm kích thước bảng tìm đường (ví dụ nếu một mạng chiếm 255 địa chỉ lớp C từ 203.162.0.0/24 – 203.162.254.0/24 thì chỉ dùng 1 địa chỉ203.162.0.0/16 để định dạng mạng).
Ngoài việc sử dụng để định tuyến giữa các AS. BGP có thể sử dụng trong các mạng riêng quy mô lớn do OSPF không đáp ứng được.
2.Quá trình phát triển tương lai
Trong quá trình tìm hiểu về đề tài, vì định tuyến BGP là một giao thức định tuyến khá phức tạp, cũng như thời gian, điều kiện thực tế và đặc biệt là kiến thức của em còn nhiều hạn chế, do đó để tài chỉ dừng ở mức cung cấp những kiến thức cơ bản nhất về BGP. Việc triển khai giao thức định tuyến BGP trên một hệ thống mạng nhỏ bằng công cụ giả lập do đó chưa thể đánh giá hết được những ưu nhược