“

Tóm tắt:
- Sự phát triển nhanh chóng của Internet phát sinh nhiều rủi ro.
- Công nghệ xác thực thông tin định tuyến đảm bảo an toàn hoạt động Internet (RPKI) đã có nhiều giải pháp
đáng tin cậy như: BGPSec (BGP Security Protocol); RPKI (Resource Public Key Infrastructure)...
- Công nghệ mã hóa và xác thực thông tin vùng IP (RPKI) đã được Tổ chức tiêu chuẩn Internet IETF chuẩn hóa
đưa vào sử dụng.
- Ứng dụng RPKI trong đảm bảo hoạt động định tuyến.
- Mở rộng triển khai RPKI trên hạ tầng Internet Việt Nam.

Định tuyến Internet gắn liền với hạ tầng Internet Việt Nam

Năm 1997, Việt Nam chính thức khai trương và kết nối mạng Internet toàn cầu, trong giai đoạn đầu. Khi đó, lưu lượng trao đổi trong nước còn hạn chế, thông tin dữ liệu chuyển tiếp giữa các mạng phần lớn tập trung vào dịch vụ của các ISP; hạ tầng kết nối chưa hoàn chỉnh dẫn đến lưu lượng trao đổi trong nước phải đi vòng quốc tế.

Đến nay, Internet Việt Nam đã có sự phát triển mạnh mẽ không ngừng; có hơn 700 mạng độc lập (là các mạng của các doanh nghiệp ISP, cơ quan, tổ chức: như VNPT, Viettel, CMC, FPT, các Bộ ngành, trường đại học, viện nghiên cứu ...), và hơn 20.688 vùng địa chỉ IPv4, 9.513 vùng địa chỉ IPv6. Trong đó, hạ tầng kết nối mạng tập trung vào các doanh nghiệp viễn thông có hạ tầng với hai kiểu kết nối chính là trong nước và quốc tế. Hoạt động kết nối và trao đổi thông tin định tuyến hiện này dựa trên các kênh peering trực tiếp (đối với các doanh nghiệp viễn thông lớn) và kênh transit (đối với các hệ thống mạng nhỏ).

Các ISP trong nước kết nối và trao đổi lưu lượng với nhau qua hệ thống VNIX đồng thời duy trì các kết nối riêng (private peering) với nhau. Các hệ thống mạng của các Tổ chức, doanh nghiệp, các nhà cung cấp dịch vụ nội dung (ICP), các cơ quan nhà nước (CQNN), trung tâm dữ liệu, trường học... thực hiện kết nối ngang hàng (peering) hoặc ký sinh (transit) với 1 hoặc nhiều ISP, thông qua đó kết nối Internet trong nước và Internet quốc tế.

Các hệ thống mạng này thường được gọi là hệ thống mạng khách hàng (Customer network), có thể đã được cấp số hiệu mạng (ASN) độc lập hoặc chưa. Trường hợp đã được cấp ASN độc lập, mạng khách hàng có thể thiết lập các kênh kết nối ngang hàng (đơn hướng, đa hướng) với các ISP sử dụng giao thức định tuyến liên mạng (BGP). Trường hợp chưa được cấp ASN độc lập, mạng khách hàng có thể kết nối và ký sinh (transit) lưu lượng qua hệ thống mạng của các ISP.

Sau hơn 20 năm hình thành và phát triển, nay Internet trong nước đã đa dạng, phong phú hơn từ hạ tầng kết nối đến các dịch vụ. Hạ tầng Internet với kết nối trong nước và quốc tế gồm nhiều thành phần; chất lượng kết nối, dịch vụ tăng cao với các dịch vụ mới như 5G, IoT... Trước sự phát triển mạnh mẽ của Internet Việt Nam, vấn đề đảm bảo hoạt động toàn hệ thống rất quan trọng và việc hoạt động định tuyến Internet, các tài nguyên IP/ASN Việt Nam cần được an toàn, thông tin chính xác.

Hoạt động định tuyến Internet và các sự cố định tuyến xảy ra trong thời gian qua

Internet hoạt động dựa trên nền tảng IP thông qua việc kết nối trao đổi thông tin giữa các mạng (AS), dữ liệu được chuyển tiếp giữa các điểm dựa vào thông tin các tuyến đường đi trong bảng định tuyến được xây dựng bởi giao thức định tuyến liên mạng BGP. Do đó, có thể nói rằng hoạt động Internet dựa trên hoạt động định tuyến và cụ thể đây là việc kết nối trao đổi thông tin định tuyến giữa các AS với giao thức BGP. Nên để đảm bảo an toàn trong hoạt động Internet thì việc đảm bảo an toàn định tuyến Internet là cực kỳ quan trọng và cũng là thách thức đối với các quốc gia, vùng lãnh thổ trên toàn thế giới.

BGP hoạt động dựa trên kết nối TCP/IP giữa 2 bộ định tuyến (router), trao đổi thông tin định tuyến dựa trên “sự tin cậy” giữa các router mà không có các cơ chế xác thực thông tin định tuyến trong chính giao thức BGP. Đây là lỗ hổng gây ra các vấn đề trong hoạt động định tuyến, không chỉ xuất phát từ chủ quan do lỗi cấu hình mà còn xuất phát từ việc lợi dụng các lỗ hổng xác thực để thực hiện các cuộc tấn công có chủ đích làm thay đổi hay điều khiển lưu lượng trao đổi trên Internet gây thiệt hại lớn về kinh tế và xã hội.

Trong thời gian qua đã có hàng nghìn vụ tấn công lừa đảo, chiếm quyền điều khiển xảy ra trên phạm vi toàn cầu, điển hình như sự cố định tuyến xảy ra tại Nhật Bản vào tháng 8/2017 do Google cấu hình định tuyến nhầm một lượng lớn địa chỉ IP của các nhà cung cấp dịch vụ (ISP) Nhật Bản. Điều đó dẫn đến lưu lượng Internet tại Nhật bị chuyển hướng qua Google gây ra ảnh hưởng gần một nửa số người dùng Nhật Bản không thể truy cập Internet.

Cuộc tấn công dưới dạng BGP hijack nhằm vào Amazon năm 2018, khi lưu lượng truy cập đến máy chủ DNS Authoritative (máy chủ DNS có thẩm quyền) của Amazon bị chuyển hướng đến ví tiền điện tử dựa trên web “myetherwallet.com” mạo danh. Cuộc tấn công này dẫn đến các thông tin của người dùng, cùng với nội dung trong ví tiền điện tử bị lấy cắp làm cho lượng lớn tiền ảo (tương đương 17 triệu USD) bị lấy đi. Sự cố của sàn giao dịch điện tử KLAYswap vào tháng 2/2022 bị tấn công chiếm quyền điều khiển định tuyến (BGP hijack) trong suốt 2 giờ.

Sự cố này xuất phát từ việc kẻ tấn công đã thực hiện thay đổi các thông tin định tuyến (IP/ASN, AS Path) trong các bản tin BGP update làm sai lệch thông tin định tuyến, dẫn đến việc các router BGP cập nhật lại thông tin trong bảng định tuyến của mình dẫn đến các lưu lượng giao dịch điện tử của sàn bị thay đổi đã làm cho KLAYswap tổn thất 1,9 triệu USD.

Đặc biệt, vụ việc liên quan đến chiến tranh giữa Nga và Ukraine vào năm 2022 đã làm cho người dùng Internet của các nước này không thể truy cập được vào các trang mạng xã hội như Twitter, Facebook,... Nguyên nhân là các nhà cung cấp dịch vụ viễn thông của các quốc gia này đã chặn truy cập vào các trang mạng xã hội bằng cách sử dụng tấn công định tuyến BGP hijack để đẩy lưu lượng vào hố đen nhằm ngăn chặn việc phát tán các hình ảnh, thông tin “nhạy cảm” của chiến tranh.

Tại Việt Nam, các tổ chức, doanh nghiệp ISP Việt Nam đã gặp phải một số cuộc tấn công làm sai lệch định tuyến, ảnh hưởng đến hoạt động mạng lưới và dịch vụ. Theo số liệu thống kê từ các tổ chức quốc tế từ năm 2022 đến 2023, Internet Việt Nam đã xảy ra 117 vụ tấn công định tuyến trên Internet, ảnh hưởng tới mạng, dịch vụ của 69 cơ quan, tổ chức, doanh nghiệp. Xuất phát từ những yếu tố khác nhau, mục đích khác nhau mà các cuộc tấn công định tuyến diễn ra bắt nguồn từ việc “lạm dụng” lỗ hổng xác thực thông tin định tuyến trong hoạt động định tuyến Internet.

RPKI – Công nghệ xác thực thông tin định tuyến đảm bảo an toàn hoạt động Internet

Như chúng ta đã biết, Internet hoạt động dựa trên các tài nguyên Internet trong đó IP/ASN là 2 tài nguyên cơ bản giúp cho việc truyền tải thông tin dữ liệu giữa các đối tượng trên mạng thông qua các tuyến đường được xây dựng bởi giao thức BGP. Theo RFC4271, BGP thực hiện việc trao đổi, xây dựng bảng định tuyến dựa trên các thuộc tính. BGP xác định các tuyến đường tốt nhất dựa vào AS_Path như vậy các tuyến đường truyền tải dữ liệu giữa các mạng sẽ là các tuyến đường ngắn nhất, tối ưu nhất. Thông tin AS_Path này được các router BGP cập nhật liên tục qua bản tin BGP update mà không biết rằng thông tin trong bản tin đó có “đáng tin cậy” hay không.

Hiện nay, giải pháp công nghệ đảm bảo thông tin định tuyến được xác thực sự toàn vẹn, tin cậy, các tuyến đường không bị sai lệch:

- BGPSec (BGP Security Protocol) được mô tả theo RFC8205 thực hiện bổ sung thuộc tính BGPSec_Path thay vì AS_Path trong hoạt động của BGP, tuy nhiên BGPSec triển khai rất phức tạp, chưa được áp dụng thực tế và đang trong quá trình nghiên cứu, phát triển hoàn thiện.

- RPKI (Resource Public Key Infrastructure) là công nghệ mã hóa và xác thực thông tin vùng IP, độ dài tiền tố mạng (Prefix Length) và số hiệu mạng ASN tương ứng. Đây là công nghệ xác thực dựa trên hạ tầng mã hóa với khóa công khai (Public Key Infrastructure-PKI).

Tổ chức tiêu chuẩn Internet IETF đã nghiên cứu và đưa ra giải pháp xác thực định tuyến RPKI, công nghệ ký số tài nguyên Internet (IP, ASN), giúp xác thực thông tin, dữ liệu định tuyến trên mạng. Đây là một cấu trúc hạ tầng khóa công khai được tạo dựng dành cho hệ thống tài nguyên, được gọi là hệ thống chứng thực tài nguyên nhằm xác thực thông tin về chủ sở hữu các vùng địa chỉ gắn với thực thể hợp pháp được quảng bá. RPKI được định nghĩa trong RFC7115, dựa vào cơ sở hạ tầng khóa công khai để xác thực rằng AS quảng cáo tuyến đường đến đích (không gian địa chỉ IP) là chủ sở hữu hợp pháp của các địa chỉ IP đó.

Hệ thống RPKI ánh xạ cây phân bổ của tài nguyên số trên mạng (Internet Number Resources - INRs) địa chỉ IP và số hiệu mạng AS, trong đó tài nguyên được phân phối từ IANA (Internet Assigned Numbers Authority), tới các khu vực (RIRs) và xuống các cấp thấp hơn như NIRs, nhà cung cấp dịch vụ Internet ISPs.

Trong RPKI tài nguyên được gắn kèm theo chứng nhận X.509 để tạo thành một chuỗi sự tin tưởng từ các cấp quản lý, cấp phát. Cơ quan chứng nhận (Certification Authority- CA) tương ứng với một thực thể có thể phân bổ lại các tài nguyên và phân quyền sử dụng các chứng chỉ tài nguyên. CA (đơn vị/tổ chức có chức năng cấp phát tài nguyên) sử dụng chứng chỉ tài nguyên "Certification Authority Certificate - CA certificate’’ để cấp phát/phân bổ tài nguyên. Chứng chỉ EE (End Entity certificate) là loại chứng chỉ tài nguyên khác được sử dụng để cho phép các đơn vị ủy thác quyền sử dụng. Các chứng chỉ và cơ quan này được công bố ở các kho lưu trữ của RPKI tương ứng với mỗi CA.

Mỗi CA trong RPKI thường xuyên công bố danh sách chứng chỉ bị thu hồi (Certificate Revocation Lists - CRLs) để thu hồi các chứng chỉ không hợp lệ. Tập hợp của tất cả các kho dữ liệu phân tán từ tất cả các CA hình thành RPKI toàn cầu. Các Relying Parties (RP) có thể dễ dàng truy xuất để xác nhận tính hợp lệ của một chứng chỉ hoặc thẩm quyền sử dụng chứng chỉ.

Với khung bảo mật như vậy, AS có thể lấy các chứng chỉ cho các tài nguyên mà họ sở hữu từ các cơ quan phân bổ tài nguyên liên quan. ROA sử dụng các chứng chỉ này để cung cấp khả năng an toàn cho việc trao đổi thông tin, như vậy bên nhận có thể xác minh các chứng chỉ thông qua sự trợ giúp của RPKI. Khi đó một AS thông báo rằng một dải IP (IP prefix) là thuộc sở hữu của nó, RP có thể xác minh xem thông báo này có hợp pháp hay không thông qua RPKI. RP truy vấn RPKI để xác nhận liệu có tồn tại ROA cho tài nguyên IP được công bố với AS đã quảng bá có hợp lệ hay không (AS có đúng là chủ sở hữu hợp pháp của dải IP đó hay không). Phản hồi của truy vấn từ RPKI có thể được sử dụng để thay đổi quá trình của BGP, theo chính sách riêng của AS để ngăn chặn các vấn đề lỗi định tuyến trên Internet.

Công nghệ RPKI được thực hiện bởi 2 giai đoạn ROA/RPKI và ROV/RPKI:

- Ký số tài nguyên Internet (ROA – Route Origin Authorization): Các tổ chức ký số để xác thực quyền sở hữu định tuyến đối với các vùng IP do mình sở hữu. Các tổ chức quản lý cấp vùng (RIR), các tổ chức quản lý cấp quốc gia (NIR) quản lý và cấp chứng thư số tài nguyên, xác thực quyền định tuyến các vùng IP trong phạm vi quản lý.

- Xác thực định tuyến ROV (Route Origin Validation), được mô tả theo RFC 6483, là tiến trình các doanh nghiệp, tổ chức khi định tuyến, triển khai xác thực trên các thiết bị định tuyến (Router) để xác thực và lọc định tuyến; nhận đúng thông tin định tuyến, qua đó đảm bảo an toàn chống tấn công, giả mạo trên Internet.

Ứng dụng RPKI trong đảm bảo hoạt động định tuyến

Trước nguy cơ tấn công định tuyến Internet gây hậu quả nghiêm trọng, với các ưu thế của công nghệ RPKI, các quốc gia, các tổ chức quản lý IP/ASN cấp khu vực (RIR), tổ chức quản lý cấp quốc gia (NIR) và các ISP lớn toàn cầu đều rất quan tâm, chú trọng hoạt động thúc đẩy, ứng dụng RPKI để chống tấn công định tuyến. Hiện nay, RPKI được ứng dụng triển khai với tỷ lệ ROA/RPKI đạt 43%, ROV/RPKI đạt 15%.

Các tổ chức quản lý tài nguyên cấp khu vực (RIR) đã nghiên cứu, triển khai giải pháp này. RIPE tại châu Âu là RIR đầu tiên nghiên cứu triển khai RPKI từ 2011. Song song đó, tổ chức này đã xây dựng hệ thống giám sát định tuyến kết hợp với công nghệ RPKI; tổ chức ký số ROA/ RPKI cho các thành viên trong khu vực và cung cấp phần mềm cho các các doanh nghiệp triển khai xác thực ROV/RPKI cấu hình lọc định tuyến theo nguồn dữ liệu mở. Tỷ lệ ký số ROA tại châu Âu cao nhất trong các khu vực, đạt 49%.

APNIC tại khu vực châu Á - Thái Bình Dương, đã triển khai Chương trình “ready to ROA” để khuyến khích các tổ chức, doanh nghiệp ký số tài nguyên ROA/RPKI. Đến nay, APNIC đã triển khai ký số được cho 40% vùng địa chỉ IP trên Internet khu vực. ARIN tại Bắc Mỹ và LACNIC tại Mỹ La-tinh, đã triển khai RPKI ký số cho 33% các vùng tài nguyên trong khu vực.

Các tập đoàn công nghệ, ISP lớn trên thế giới đã triển khai ký số ROA/RPKI, đạt tỷ lệ xác thực cao trên 90%, như: Amazon, Viasat, CXA, Google, Charter (Hoa Kỳ); Softbank, NTT, KDDI (Nhật Bản); TTNet, TELLCOM (Thổ Nhĩ Kỳ); NIB, Reliance Jio (Ấn Độ)... Các ISP lớn cũng đồng loạt triển khai ROV/RPKI: AT&T, Telia (2019). Từ năm 2020 đến nay, có thêm nhiều ISP lớn triển khai RPKI như: NTT, Cogent, Telstra, Quadranet, HE, IDnet, Worldstream, GTT... Bắt đầu từ năm 2024, các Upstream Tier -1 quốc tế từ chối định tuyến nếu không có RPKI (invalid), như: CloudFlare, COGENT, LUMEN, Hurricane Electric (HE),...