Bảo mật BGP: Tại sao việc thực thi ‘First AS’ là bắt buộc để ngăn chặn Hijack?
Các cuộc tấn công chiếm quyền điều khiển lộ trình (route hijack) thông qua việc giả mạo AS_PATH đang trở nên tinh vi hơn. Cloudflare phân tích tầm quan trọng của việc kiểm tra 'First AS' trong BGP để...
Gần đây, các báo cáo từ Spamhaus đã chỉ ra một xu hướng đáng lo ngại trong các cuộc tấn công chiếm quyền điều khiển lộ trình (route hijack). Kẻ tấn công thường lợi dụng các Autonomous System Number (ASN) không sử dụng để tạo ra các AS_PATH giả mạo, nhằm điều hướng lưu lượng truy cập đến các đích đến không mong muốn hoặc che giấu danh tính thực sự.
Table Of Content
Cơ chế giả mạo AS_PATH
Trong giao thức BGP, kẻ tấn công có thể cắt bỏ thông tin mạng để giả danh là nguồn gốc của một BGP prefix. Bằng cách tạo ra các AS_PATH bất hợp lý, chúng đánh lừa các nhà cung cấp dịch vụ internet (ISP) rằng lưu lượng đang đi qua một lộ trình hợp lệ. Một ví dụ điển hình là việc kẻ tấn công chèn các ASN của các tổ chức lớn vào AS_PATH giả mạo, dù thực tế không có sự kết nối nào giữa các mạng này.
Giải pháp cho vấn đề này nằm ở một cơ chế cơ bản nhưng quan trọng: Kiểm tra và thực thi First AS. Theo quy tắc này, hệ thống mạng phải xác minh rằng AS đầu tiên trong AS_PATH nhận được phải khớp với ASN của đối tác BGP (peer) gửi thông báo đó.
Tại sao First AS lại quan trọng?
BGP được xây dựng dựa trên sự tin tưởng, và AS_PATH là thuộc tính dễ bị thao túng nhất. Kẻ tấn công có thể sử dụng hai chiến thuật chính:
- Giả mạo nguồn gốc (Forged origin): Kẻ tấn công bỏ qua ASN của chính mình trong AS_PATH để giả danh là một mạng hợp lệ, ngay cả khi nạn nhân đã sử dụng RPKI để bảo vệ.
- Rút ngắn AS_PATH: Thao túng lộ trình để trở thành đường đi ngắn nhất, từ đó thu hút lưu lượng truy cập một cách bất hợp pháp.
RFC 4271 (mục 6.3) đã nêu rõ rằng hệ thống có thể kiểm tra tính hợp lệ của AS đầu tiên. Nếu không khớp, thông báo BGP phải bị coi là sai lệch (Malformed AS_PATH). RFC 7606 sau đó đã cải tiến quy trình này bằng cách cho phép router loại bỏ các prefix bị lỗi mà không làm gián đoạn toàn bộ phiên BGP (treat-as-withdraw).
Thực trạng triển khai trên Internet
Cloudflare đã tiến hành thử nghiệm bằng cách cố tình vi phạm quy tắc First AS trên các kết nối BGP với các mạng Tier 1. Kết quả cho thấy một thực tế đáng báo động: khoảng một nửa số mạng Tier 1 hiện nay không thực thi kiểm tra First AS, khiến chúng dễ bị tổn thương trước các cuộc tấn công giả mạo lộ trình.
Sự khác biệt này thường xuất phát từ cấu hình mặc định của các nhà cung cấp thiết bị mạng. Trong khi Cisco, Arista hay Huawei có xu hướng bật tính năng này mặc định, thì nhiều nền tảng khác như Junos OS (Juniper), Nokia SR OS hay BIRD lại để ở trạng thái tắt. Điều này tạo ra lỗ hổng lớn cho các mạng không chủ động cấu hình lại thiết bị.
Kết luận
Việc thực thi First AS là một bước đi thiết yếu để củng cố an ninh mạng toàn cầu. Mặc dù các công nghệ như ASPA (Autonomous System Provider Authorization) sẽ giúp ích trong tương lai, nhưng việc kiểm tra First AS ngay tại biên mạng là hàng rào phòng thủ đầu tiên mà mọi quản trị viên hệ thống cần ưu tiên triển khai ngay hôm nay.
Nguồn tham khảo: Cloudflare Blog
No Comment! Be the first one.