Internet cần đảm bảo thông tin định tuyến được xác thực toàn vẹn, tin cậy

Hoạt động định tuyến Internet thời gian qua 

Internet hoạt động dựa trên nền tảng IP thông qua việc kết nối trao đổi thông tin giữa các mạng (AS), dữ liệu được chuyển tiếp giữa các điểm dựa vào thông tin các tuyến đường đi trong bảng định tuyến được xây dựng bởi giao thức định tuyến liên mạng BGP. 

Do đó, có thể nói rằng hoạt động Internet dựa trên hoạt động định tuyến và cụ thể đây là việc kết nối trao đổi thông tin định tuyến giữa các AS với giao thức BGP. Nên để đảm bảo an toàn trong hoạt động Internet thì việc đảm bảo an toàn định tuyến Internet là cực kỳ quan trọng và cũng là thách thức đối với các quốc gia, vùng lãnh thổ trên toàn thế giới.

BGP hoạt động dựa trên kết nối TCP/IP giữa 2 bộ định tuyến (router), trao đổi thông tin định tuyến dựa trên “sự tin cậy” giữa các router mà không có các cơ chế xác thực thông tin định tuyến trong chính giao thức BGP. Đây là lỗ hổng gây ra các vấn đề trong hoạt động định tuyến, không chỉ xuất phát từ chủ quan do lỗi cấu hình mà còn xuất phát từ việc lợi dụng các lỗ hổng xác thực để thực hiện các cuộc tấn công có chủ đích làm thay đổi hay điều khiển lưu lượng trao đổi trên Internet gây thiệt hại lớn về kinh tế và xã hội.

Trong thời gian qua đã có hàng nghìn vụ tấn công lừa đảo, chiếm quyền điều khiển xảy ra trên phạm vi toàn cầu, điển hình như sự cố định tuyến xảy ra tại Nhật Bản vào tháng 8/2017 do Google cấu hình định tuyến nhầm một lượng lớn địa chỉ IP của các nhà cung cấp dịch vụ (ISP) Nhật Bản. Điều đó dẫn đến lưu lượng Internet tại Nhật bị chuyển hướng qua Google gây ra ảnh hưởng gần một nửa số người dùng Nhật Bản không thể truy cập Internet.

Tại Việt Nam, các tổ chức, doanh nghiệp ISP Việt Nam đã gặp phải một số cuộc tấn công làm sai lệch định tuyến, ảnh hưởng đến hoạt động mạng lưới và dịch vụ. Theo số liệu thống kê từ các tổ chức quốc tế từ năm 2022 đến 2023, Internet Việt Nam đã xảy ra 117 vụ tấn công định tuyến trên Internet, ảnh hưởng tới mạng, dịch vụ của 69 cơ quan, tổ chức, doanh nghiệp. Xuất phát từ những yếu tố khác nhau, mục đích khác nhau mà các cuộc tấn công định tuyến diễn ra bắt nguồn từ việc “lạm dụng” lỗ hổng xác thực thông tin định tuyến trong hoạt động định tuyến Internet.

Giải pháp công nghệ RPKI xác thực thông tin định tuyến Internet

Hiện nay, giải pháp công nghệ đảm bảo thông tin định tuyến được xác thực sự toàn vẹn, tin cậy, các tuyến đường không bị sai lệch gồm:

BGPSec (BGP Security Protocol) được mô tả theo RFC8205 thực hiện bổ sung thuộc tính BGPSec_Path thay vì AS_Path trong hoạt động của BGP, tuy nhiên BGPSec triển khai rất phức tạp, chưa được áp dụng thực tế và đang trong quá trình nghiên cứu, phát triển hoàn thiện.

RPKI (Resource Public Key Infrastructure) là công nghệ mã hóa và xác thực thông tin vùng IP, độ dài tiền tố mạng (Prefix Length) và số hiệu mạng ASN tương ứng. Đây là công nghệ xác thực dựa trên hạ tầng mã hóa với khóa công khai (Public Key Infrastructure-PKI).

Tổ chức tiêu chuẩn Internet IETF đã nghiên cứu và đưa ra giải pháp xác thực định tuyến RPKI, công nghệ ký số tài nguyên Internet (IP, ASN), giúp xác thực thông tin, dữ liệu định tuyến trên mạng.

Đây là một cấu trúc hạ tầng khóa công khai được tạo dựng dành cho hệ thống tài nguyên, được gọi là hệ thống chứng thực tài nguyên nhằm xác thực thông tin về chủ sở hữu các vùng địa chỉ gắn với thực thể hợp pháp được quảng bá. RPKI được định nghĩa trong RFC7115, dựa vào cơ sở hạ tầng khóa công khai để xác thực rằng AS quảng cáo tuyến đường đến đích (không gian địa chỉ IP) là chủ sở hữu hợp pháp của các địa chỉ IP đó.

Hệ thống RPKI ánh xạ cây phân bổ của tài nguyên số trên mạng (Internet Number Resources - INRs) địa chỉ IP và số hiệu mạng AS, trong đó tài nguyên được phân phối từ IANA (Internet Assigned Numbers Authority), tới các khu vực (RIRs) và xuống các cấp thấp hơn như NIRs, nhà cung cấp dịch vụ Internet ISPs.

Trong RPKI tài nguyên được gắn kèm theo chứng nhận X.509 để tạo thành một chuỗi sự tin tưởng từ các cấp quản lý, cấp phát. Cơ quan chứng nhận (Certification Authority - CA) tương ứng với một thực thể có thể phân bổ lại các tài nguyên và phân quyền sử dụng các chứng chỉ tài nguyên. CA (đơn vị/tổ chức có chức năng cấp phát tài nguyên) sử dụng chứng chỉ tài nguyên "Certification Authority Certificate - CA certificate’’ để cấp phát/phân bổ tài nguyên. Chứng chỉ EE (End Entity certificate) là loại chứng chỉ tài nguyên khác được sử dụng để cho phép các đơn vị ủy thác quyền sử dụng. Các chứng chỉ và cơ quan này được công bố ở các kho lưu trữ của RPKI tương ứng với mỗi CA.

Mỗi CA trong RPKI thường xuyên công bố danh sách chứng chỉ bị thu hồi (Certificate Revocation Lists - CRLs) để thu hồi các chứng chỉ không hợp lệ. Tập hợp của tất cả các kho dữ liệu phân tán từ tất cả các CA hình thành RPKI toàn cầu. Các Relying Parties (RP) có thể dễ dàng truy xuất để xác nhận tính hợp lệ của một chứng chỉ hoặc thẩm quyền sử dụng chứng chỉ.

Với khung bảo mật như vậy, AS có thể lấy các chứng chỉ cho các tài nguyên mà họ sở hữu từ các cơ quan phân bổ tài nguyên liên quan. ROA sử dụng các chứng chỉ này để cung cấp khả năng an toàn cho việc trao đổi thông tin, như vậy bên nhận có thể xác minh các chứng chỉ thông qua sự trợ giúp của RPKI. Khi đó một AS thông báo rằng một dải IP (IP prefix) là thuộc sở hữu của nó, RP có thể xác minh xem thông báo này có hợp pháp hay không thông qua RPKI. RP truy vấn RPKI để xác nhận liệu có tồn tại ROA cho tài nguyên IP được công bố với AS đã quảng bá có hợp lệ hay không (AS có đúng là chủ sở hữu hợp pháp của dải IP đó hay không). Phản hồi của truy vấn từ RPKI có thể được sử dụng để thay đổi quá trình của BGP, theo chính sách riêng của AS để ngăn chặn các vấn đề lỗi định tuyến trên Internet.

Trước nguy cơ tấn công định tuyến Internet gây hậu quả nghiêm trọng, với các ưu thế của công nghệ RPKI, các quốc gia, các tổ chức quản lý IP/ASN cấp khu vực (RIR), tổ chức quản lý cấp quốc gia (NIR) và các ISP lớn toàn cầu đều rất quan tâm, chú trọng hoạt động thúc đẩy, ứng dụng RPKI để chống tấn công định tuyến. Hiện nay, RPKI được ứng dụng triển khai với tỷ lệ ROA/RPKI đạt 43%, ROV/RPKI đạt 15%.

Công nghệ RPKI cần được mở rộng tại Việt Nam

Trước sự phát triển mạnh mẽ của Internet Việt Nam, thì vấn đề đảm bảo hoạt động Internet Việt Nam rất quan trọng và việc hoạt động định tuyến Internet, các tài nguyên IP/ASN Việt Nam cần được an toàn, thông tin chính xác. 

Với xu thế ứng dụng RPKI trong đảm bảo an toàn mạng hoạt động định tuyến trên toàn cầu và kết quả mà RPKI mang lại trong việc khắc phục, giảm thiểu sự cố định tuyến Internet thì việc đẩy mạnh, nhanh chóng ứng dụng toàn bộ RPKI trong hạ tầng Internet Việt Nam là cần thiết.

Triển khai RPKI cần thực hiện qua 2 giai đoạn: ký số ROA/RPKI cho toàn bộ tài nguyên Internet Việt Nam và triển khai xác thực định tuyến ROV/RPKI trên hạ tầng Internet Việt Nam.

Nhằm nâng cao an toàn hoạt động định tuyến đảm bảo hoạt động Internet Việt Nam chúng ta cần các tổ chức, doanh nghiệp nâng cao nhận thức về việc xác thực tài nguyên Internet trước khi quảng bá thông tin định tuyến; khai báo ROA/RPKI đạt 100% tài nguyên IP/ASN. Các ISP triển khai ROV/RPKI đồng loạt trên hạ tầng mạng lưới của mình. Và cuối cùng, tăng cường tham gia các diễn đàn, chia sẻ công nghệ, Ckinh nghiệm và cùng nhau giám sát định tuyến, an toàn định tuyến mạng Internet Việt Nam./.