« Home « Kết quả tìm kiếm

Nghiên cứu các vấn đề bảo mật trên giao thức BGP.

Tóm tắt Xem thử

- Nghiên cứu các vấn đề bảo mật trên giao thức BGP MỤC LỤC LỜI CAM ĐOAN.
- 4 Chƣơng I: BẢO MẬT TRÊN GIAO THỨC ĐỊNH TUYẾN BGP.
- 6 1.1 Bảo mật của giao thức định tuyến.
- 6 1.2 Bảo mật giao thức BGP.
- 10 1.4 Các tấn công nhằm vào giao thức BGP.
- 10 1.5 Vấn đề bảo mật trong BGP.
- 11 1.5.1 Cập nhật định tuyến không chính xác.
- 14 Chƣơng II: PHƢƠNG PHÁP BẢO MẬT TRÊN BGP.
- 15 2.2 Bảo mật BGP (S-BGP.
- 15 2.3 Bảo mật BGP gốc (SoBGP.
- 19 2.4.1 Gia cố bộ định tuyến.
- 19 2.4.2 Cơ chế bảo mật TTL tổng quát.
- 20 2.4.3 Chống chập bất ổn cho định tuyến.
- 23 Nghiên cứu các vấn đề bảo mật trên giao thức BGP 2.4.5 Hạn chế chiều dài AS_Path.
- 29 Chƣơng III: DEMO BÀI TOÁN BẢO MẬT TRÊN BGP.
- 30 3.1 Các thuộc tính đƣờng dẫn BGP và Chính sách định tuyến.
- 30 3.2 Chính sách định tuyến sử dụng các thuộc tính BGP.
- 31 3.2.1 Chính sách định tuyến cho lƣu lƣợng đi.
- 31 3.2.2 Chính sách định tuyến cho lƣu lƣợng đến.
- 34 3.3 iBGP - Định tuyến lỗ đen Black Hole và quy tắc đồng bộ hóa.
- 56 3.7 Thực hiện các giải pháp bảo mật thiết thực cho mạng BGP.
- 71 Nghiên cứu các vấn đề bảo mật trên giao thức BGP DANH MỤC CÁC HÌNH VẼ Hình 1.
- Độ lớn của bảng định tuyến trong các bộ định tuyến lõi.
- Định tuyến không ổn định.
- Bảng định tuyến của bộ định tuyến A.
- Bảng định tuyến của bộ định tuyến B (có tất cả các tuyến.
- Bảng định tuyến của C (có các tuyến đã đƣợc hiểu.
- Bảng định tuyến của A (không có iBGP.
- Thử nghiệm kết nối (ping và trace route) từ bộ định tuyến C.
- Tên bộ định tuyến và bảng số AS tƣơng ứng.
- Bảng định tuyến hoàn thiện ban đầu của bộ định tuyến A (ASN số 1.
- Bảng định tuyến hoàn thiện ban đầu của B.
- Bộ định tuyến F khởi phát thông tin sai lệch.
- Kiểm tra ping bị lỗi từ bộ định tuyến C.
- Kiểm tra kết nối thành công từ bộ định tuyến B.
- 53 Nghiên cứu các vấn đề bảo mật trên giao thức BGP Hình 30.
- Bộ định tuyến với thông tin sai lệch đƣợc khử tập kết.
- Bảng định tuyến và kết quả ping từ bộ định tuyến C.
- Bộ định tuyến F tạo ra thông tin sai lệch.
- Bộ định tuyến G quảng cáo tuyến không thể tiếp cận đƣợc.
- Bộ định tuyến H quảng cáo tuyến không thể tiếp cận đƣợc.
- Bộ định tuyến I tránh các tuyến bị sai.
- Bảng đinh tuyến của bộ định tuyến C và kiểm tra kết nối thành công 62 Hình 38.
- Bộ định tuyến E vẫn có kết nối.
- Bảng định tuyến của bộ định tuyến A hợp lệ.
- Kết quả ping thành công bảng định tuyến của B.
- 65 Nghiên cứu các vấn đề bảo mật trên giao thức BGP DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Từ viết tắt Viết đầy đủ Ý nghĩa BGP Border Gateway Protocol Giao thức (định tuyến) cổng biên ISP Internet Service Provider Nhà cung cấp dịch vụ mạng RFC Request for Comments Đề nghị duyệt thảo và bình luận (tập hợp những nghiên cứu mới) AS Autonomous System Hệ thống tự trị (tập hợp các thiết bị chung chính sách quản lý) TCP Transmission Control Protocol Giao thức điều khiển truyền vận TTL Time to live Thời gian sống iBGP Internal Border Gateway Protocol Giao thức (định tuyến) cổng biên nội vùng eBGP External Border Gateway Protocol Giao thức (định tuyến) cổng biên ngoại vùng Nghiên cứu các vấn đề bảo mật trên giao thức BGP Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT 1 CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập-Tự do-Hạnh phúc LỜI CAM ĐOAN Họ và tên học viên: Dƣơng Ngọc Sơn.
- Đề tài: Nghiên cứu các vấn đề bảo mật trên giao thức BGP.
- Trân trọng cảm ơn! Học viên Dƣơng Ngọc Sơn Nghiên cứu các vấn đề bảo mật trên giao thức BGP Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT 2 LỜI NÓI ĐẦU Trong thời đại công nghệ thông tin đang phát triển bùng nổ hiện nay, Internet đã là một phần quan trọng không thể thiếu của không chỉ những ngƣời làm kỹ thuật mà của cả tất cả mọi ngƣời.
- BGP (Border Gateway Protocol) là giao thức định tuyến nòng cốt trên Internet, ra đời từ năm 1994, nó đƣợc sử dụng trong hầu hết các hệ thống mạng của ISP.
- Từ năm 2006, BGP phiên bản 4 mới đƣợc hệ thống hóa (RFC4271), cho đến nay đã có nhiều đề tài nghiên cứu về BGP tuy nhiên bảo mật trên giao thức BGP lại là vấn đề khá mới mẻ.
- Nhận thấy yếu tố quan trọng và mới mẻ của đề tài nên tôi quyết định nghiên cứu và thực hiện trong luận văn này là: “Nghiên cứu các vấn đề bảo mật trên giao thức BGP”.
- Để thực hiện đƣợc Nghiên cứu các vấn đề bảo mật trên giao thức BGP Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT 3 luận văn này, tôi xin gửi lời cảm ơn sâu sắc nhất đến thầy giáo hƣớng dẫn, Tiến sỹ Trần Hoàng Hải, ngƣời đã trực tiếp hƣớng dẫn tôi, định hƣớng cho tôi để thực hiện luận văn hoàn thiện nhất.
- Học viên Dƣơng Ngọc Sơn Nghiên cứu các vấn đề bảo mật trên giao thức BGP Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT 4 PHẦN MỞ ĐẦU Lý do chọn đề tài BGP là một giao thức đƣợc sử dụng rộng rãi và đã đƣợc nghiên cứu từ lâu, tuy nhiên vấn đề bảo mật trên giao thức BGP lại là vấn đề khá mới mẻ mà qua thời gian ngày càng xuất hiện những lỗ hổng dẫn đến việc bị tấn công hoặc đôi khi là những cách cấu hình sai cũng dẫn đến sự cố.
- Với nội dung nghiên cứu, thử nghiệm các bài toán về bảo mật trên giao thức BGP, trong luận văn này tôi sẽ trình bày những tìm hiểu của mình về các nguy cơ mất an toàn, cũng nhƣ các phƣơng pháp, phân tích các phƣơng pháp bảo mật trên giao thức BGP.
- Tiếp theo, tôi sẽ xây dựng mô hình 1 hệ thống mạng bằng phần mềm giả lập, sau đó đƣa ra các bài toán về bảo mật trên giao thức BGP và xử lý các bài toán đó.
- Mục đích của luận văn là trình bày đƣợc các khải niệm cũng nhƣ phân tích đƣợc các cách thức bảo mật trên giao thức BGP ứng dụng cho các ISP hiện nay.
- Vấn đề bảo mật trên giao thức BGP.
- Các phƣơng pháp bảo mật trên giao thức BGP.
- Xây dựng mô phỏng hệ thống mạng và thực hiện các bài toán bảo mật BGP trên mô hình.
- Kết quả, đánh giá và hƣớng phát triển Nghiên cứu các vấn đề bảo mật trên giao thức BGP Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT 5 Bố cục luận văn Bố cục luận văn bao gồm các phần sau đây.
- Chƣơng I: Bảo mật trên giao thức định tuyến BGP.
- Các nguy cơ đe dọa đến bảo mật trên giao thức BGP.
- Chƣơng II: Phƣơng pháp bảo mật trên BGP.
- Các phƣơng pháp tăng tính bảo mật trên BGP.
- Giải pháp bảo mật với tính khả thi cao.
- Chƣơng III: Demo bài toán bảo mật trên BGP.
- Sau đây, tôi xin trình bày luận văn của mình với nội dung: “Nghiên cứu các vấn đề bảo mật trên giao thức BGP”.
- Nghiên cứu các vấn đề bảo mật trên giao thức BGP Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT 6 Chƣơng I BẢO MẬT TRÊN GIAO THỨC ĐỊNH TUYẾN BGP 1.1 Bảo mật của giao thức định tuyến Giao thức định tuyến đƣợc dùng để truyền dẫn thông tin giữa các bộ định tuyến tham gia, bất kỳ lỗi hay tấn công nào vào giao thức định tuyến sẽ dẫn đến việc mất hoặc lỗi thông tin định tuyến, điều này sẽ gây ảnh hƣởng nghiêm trọng tới truyền tải trong mạng.
- Có rất nhiều điểm yếu và có thể bị đe dọa liên quan tới các giao thức định tuyến.
- Các điểm yếu của giao thức định tuyến có thể đến từ 3 khía cạnh: thứ nhất, điểm yếu nằm ở các giao thức nền tảng đang sử dụng, thứ hai từ việc sai cấu hình và lỗi do con ngƣời, và cuối cùng là từ bộ định tuyến tin cậy.
- Ví dụ khi một kẻ tấn công và kiểm soát một số bộ định tuyến sau đó sử dụng mối quan hệ tin tƣởng lẫn nhau giữa các bộ định tuyến đã thỏa thuận và các thiết bị cùng cấp để phát tán thông tin sai lệch.
- Vì vậy có thể nói giao thức định tuyến là thực thể có độ bảo mật yếu nhất trong miền định tuyến.
- 1.2 Bảo mật giao thức BGP BGP kế thừa những vấn đề chung về bảo mật của giao thức định tuyến nhƣng những vấn đề nhƣ vậy trong BGP có ảnh hƣởng lớn do có cơ sở cài đặt và miền sử dụng lớn.
- BGP là giao thức định tuyến ngoại biên trong Internet có liên quan tới hàng nghìn định tuyến tham gia, với các dữ liệu của thiết bị cùng cấp luôn luôn đến và đi, dẫn tới sự thay đổi thƣờng xuyên của mô hình BGP tin cậy.
- BGP V4 đã đƣợc thiết kế để cung cấp giao thức định tuyến có thể cân bằng và kiểm soát đƣợc các vấn đề về bảo mật nhƣng bản thân BGP không cung cấp chức năng bảo mật nào.
- Tuy nhiên cũng có thể tìm ra bộ định tuyến yếu trong miền BGP và sử dụng nó để tung ra cuộc tấn công vào định tuyến trong Internet.
- Thêm vào đó, BGP là giao thức định tuyến phức tạp nhất, khó cấu hình và bảo trì và thậm chí lỗi nhỏ nhất Nghiên cứu các vấn đề bảo mật trên giao thức BGP Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT 7 trong cấu hình của nó cũng có thể gây rắc rối.
- Giao thức định tuyến BGP thiếu rất nhiều bƣớc kiểm tra an toàn để cung cấp những cam kết bảo mật, một số bƣớc kiểm tra bị thiếu đƣợc liệt kê dƣới đây.
- BGP không có các công cụ để đảm bảo rằng các cập nhật định tuyến nhận đƣợc trong bản tin cập nhật là không bị chỉnh sửa.
- 1.2.1 Sự cố tắc nghẽn Internet từ AS7007 Vào ngày 25 tháng 4 năm 1997, "Con-Ed Steals the Net" là một sự cố mà thông tin sai lệch đã đƣợc các bộ định tuyến tin tƣởng và tiếp tục quảng cáo dẫn đến làm sai các bảng định tuyến và sai quyết định định tuyến trong mạng Internet trên toàn cầu.
- AS7007 nhận đƣợc bản cập nhật định tuyến từ luồng dữ liệu xuống của nhà cung cấp dịch vụ internet (ISP) và quảng cáo chúng tới các thiết bị cùng cấp bằng luồng dữ liệu lên, các thiết bị cùng cấp tin những cập nhật này là chính xác.
- AS7007 không thực thi Nghiên cứu các vấn đề bảo mật trên giao thức BGP Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT 8 bất cứ cơ chế bảo mật nào nhƣ lọc tuyến để xác định và ngăn chặn các lỗi hoặc các cuộc tấn công nhƣ trên, kết quả là chuyển tiếp thông tin độc hại vào luồng thông tin lên của các ISP.
- Các bộ định tuyến nhận đƣợc thông tin độc hại này, bắt đầu chuyển tiếp các gói dữ liệu tới AS7007, nơi trở thành một hố đen của các luồng thông tin.
- Tất cả các bộ định tuyến trên mạng Internet tiếp nhận thông tin này ƣu tiên tuyến cụ thể hơn cho lƣu lƣợng truy cập YouTube và bắt đầu chuyển tiếp các gói tin có ý định tới YouTube làm cho tuyến thông tin cụ thể hơn.
- 1.3 Tấn công vào TCP BGP dựa trên TCP, cũng kế thừa những điểm yếu về an ninh của TCP, các vấn đề TCP có thể đƣợc khai thác làm gián đoạn giao thức định tuyến BGP.
- RST TCP Nghiên cứu các vấn đề bảo mật trên giao thức BGP Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT 9 1.3.1 SYN Flooding SYN Flooding là một dạng tấn công từ chối dịch vụ nhằm vào giao thức TCP.
- Nếu bộ định tuyến BGP đƣợc đặt dƣới sự tấn công của SYN Flooding, nó không thể thiết lập kết nối TCP với các thiết bị cùng cấp hợp lệ và do đó sẽ không thiết lập mối quan hệ cùng cấp dẫn đến thiếu thông tin hoặc từ chối dịch vụ.
- Giao thức lớp vận chuyển mới hơn đƣợc đề xuất đã giải quyết vấn đề này bằng cách thay thế bắt tay 3 bƣớc bằng bắt tay 4 Nghiên cứu các vấn đề bảo mật trên giao thức BGP Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT 10 bƣớc.
- Khi bộ định tuyến nhận đƣợc gói tin TCP RST, kết nối TCP tƣơng ứng đƣợc đóng lại.
- Khi kết nối TCP bị lỗi, bộ định tuyến BGP xóa các mối quan hệ của các thiết bị cùng cấp tƣơng ứng và tất cả các định tuyến đi qua thiết bị ngang hàng này đều bị loại bỏ ra khỏi cơ sở dữ liệu định tuyến.
- Bộ định tuyến cũng rút các định tuyến liên quan mà nó đã quảng cáo với các thiết bị cùng cấp khác và gây ra hiệu ứng lan truyền.
- Kết nối TCP có thể quay lại một lần nữa và mối quan hệ thiết bị cùng cấp BGP đƣợc thiết lập, lúc này các định tuyến đƣợc quảng cáo một lần nữa, điều này có thể dẫn đến định tuyến chập chờn.
- các liên kết giao tiếp và bộ phận xử lý bộ định tuyến sẽ chịu nhiều tải hơn.
- 1.4 Các tấn công nhằm vào giao thức BGP Có rất nhiều cuộc tấn công và các vấn đề có thể xảy ra do lỗ hổng và thiếu kiểm tra an ninh trong chính giao thức BGP.
- Các vấn đề khác là do sự yếu kém Nghiên cứu các vấn đề bảo mật trên giao thức BGP Học viên: DƢƠNG NGỌC SƠN Lớp: 13BMTTT 11 trong cách thức hoạt động của các giao thức.
- ví dụ nhƣ việc bất kỳ thiết bị cùng cấp BGP nào có thiết lập các kết nối BGP thì cũng có thể gửi bản tin thông báo đƣợc nhận, điều này dẫn tới quá trình xử lý trên bộ định tuyến và hoạt động của tuyến bị chập chờn.
- Lỗ hổng trong hệ điều hành của bộ định tuyến.
- 1.5 Vấn đề bảo mật trong BGP Có rất nhiều nguyên nhân có thể ảnh hƣởng đến sự lựa chọn đƣờng dẫn thông tin trong giao thức BGP và có nhiều lý do để làm nhƣ vậy.
- 1.5.1 Cập nhật định tuyến không chính xác Một thiết bị cùng cấp BGP có thể là nơi xuất phát của các cập nhật định tuyến sai lệch, tức là một quảng cáo của tuyến thông báo sẽ tiếp cận địa chỉ mạng mà nó không sở hữu và không thể tiếp cận hoặc quảng cáo các địa chỉ mạng cụ thể hơn

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt