Bài tập nhóm border gateway protocol (bgp) môn học kỹ thuật liên mạng

- eBGP External Border Gateway Protocol là một giao thức định tuyến được sử dụng để trao đổi thông tin định tuyến giữa các hệ thống tự trị AS khác nhau trong mạng Internet.. Nó là một p

KHOA CÔNG NGHỆ THÔNG TIN

BÀI TẬP NHÓM BORDER GATEWAY PROTOCOL (BGP)

MÔN HỌC: KỸ THUẬT LIÊN MẠNG Ngành: Truyền thông và mạng máy tính Giáo viên: NGUYỄN ĐÌNH NGA

Sinh viên:

1 Nguyễn Quang Huy

2 Phan Gia Bảo

3 Lê Ngọc Sơn

4 Nguyễn Đức Lộc

5 Lê Hồng Tuyên

MỤC LỤC

BẢNG PHÂN CÔNG 3

PHẦN 1: CƠ SỞ LÝ THUYẾT 4

1.1 Giới thiệu về Border Gateway Protocol 4

1.2 Cơ chế hoạt động của Border Gateway Protocol 4

1.3 Ưu điểm và nhược điểm của Border Gateway Protocol 7

1.4 Ứng dụng của Border Gateway Protocol 8

1.5 Các vấn đề bảo mật và giải pháp bảo mật trong Border Gateway Protocol .9

PHẦN 2: MÔ HÌNH MẠNG DEMO 11

PHẦN 3: TRIỂN KHAI VÀ KẾT QUẢ 13

KẾT LUẬN 14

TÀI LIỆU THAM KHẢO 15

BẢNG PHÂN CÔNG

mức độ đóng góp

Ghi chú

1 73DCTM23189 Nguyễn Quang

Huy

Các vấn đề bảo mật và giải pháp bảo mật trong BGP

trưởng

2 73DCTM22112 Phan Gia Bảo Ứng dụng của

BGP trong thực

tế

19/11 19%

3 73DCTM23239 Lê Ngọc Sơn Ưu điểm và

nhược điểm của BGP

19/11 19%

4 73DCTM22146 Nguyễn Đức Lộc Giới thiệu về

5 73DCTM23279 Lê Hồng Tuyên Cơ chế hoạt động

của BGP 19/11 24%

PHẦN 1: CƠ SỞ LÝ THUYẾT 1.1 Giới thiệu về Border Gateway Protocol

- BGP (Border Gateway Protocol) là giao thức cho phép hệ thống định tuyến toàn cầu của internet Nó quản lý cách các gói tin được định tuyến từ mạng này sang mạng khác bằng cách trao đổi thông tin định tuyến và khả năng tiếp cận giữa các bộ định tuyến biên

- BGP cho phép peering gửi các gói tin giữa các hệ thống tự trị ( ASes ), là các mạng được quản lý bởi một doanh nghiệp hoặc nhà cung cấp dịch vụ duy nhất Cùng nhau, các ASes này tạo nên internet công cộng

- BGP tạo ra sự ổn định của mạng bằng cách đảm bảo rằng các bộ định tuyến có thể thích ứng với các lỗi tuyến đường Khi một đường dẫn bị hỏng, BGP sẽ nhanh chóng tìm thấy một đường dẫn mới BGP đưa ra quyết định định tuyến dựa trên các đường dẫn, được xác định bởi các quy tắc hoặc chính sách mạng do quản trị viên mạng đặt ra

1.2 Cơ chế hoạt động của Border Gateway Protocol

BGP hoạt động như thế nào?

- Giao thức Border Gateway Protocol là cơ chế định tuyến lưu lượng truy cập

qua Internet Hầu hết các nhà mạng không có tuyến đường mặc định, mà chỉ có đường đi đến tất cả các tiền tố (prefix) BGP đánh giá các đường dẫn đến một tuyến đường nhất định và chọn đường tốt nhất giữa các router nhằm xác định đường dẫn tới tất cả các điểm đến

- Router không thể chọn mạng tối ưu để gửi dữ liệu khi có nhiều mạng liên kết với nó Để truyền lưu lượng đến router gần đích nhất, BGP đánh giá tất cả các đối tác peering của router thông qua thông tin định tuyến của các đối tác

peering Thông tin định tuyến được lưu giữ trong Bảng định tuyến (RIB –

Routing Information Base)

- Mỗi router hoặc host lưu trữ một bảng RIB chứa thông tin về khoảng cách hoặc tuyến đường đến mạng đích để hỗ trợ kiểm soát hướng đi của các gói dữ liệu RIB sử dụng dữ liệu từ cả các đối tác peering nội bộ lẫn đối tác bên ngoài Các đối tác peering này đều kết nối trực tiếp với nhau RIB liên tục cập nhật khi

có các thay đổi dựa trên các chính sách về tuyến đường được sử dụng và thông tin công bố

BGP chọn đường dẫn tối ưu nhất trong vô số đường dẫn có sẵn.

- Hình minh họa ở trên mô tả cách BGP có thể quyết định tuyến đường tốt nhất

để phân bố lưu lượng AS1 có thể gửi gói dữ liệu đến AS6 qua 3 đường dẫn:

 Định tuyến qua AS2 để đến AS6

 Định tuyến qua AS3 để đến AS6

 Định tuyến qua AS4, AS5 để đến AS6

- Sự lựa chọn khá rõ ràng trong ví dụ này – định tuyến qua AS3 là tuyến hiệu quả nhất, chỉ cần 2 hop thay vì 3 hop qua AS4 Tuyến đường này cũng không phải thông qua AS2 hiện đang bị tắc nghẽn

BGP sử dụng giao thức định tuyến nào?

- Mục tiêu của các giao thức định tuyến là thiết lập các bảng định tuyến, tìm hiểu các tuyến khả dụng và đưa ra các quyết định định tuyến So với các hệ thống định tuyến động (dynamic routing) khác, BGP sử dụng TCP/IP (hay còn biết tới là TCP) để vận chuyển gói dữ liệu BGP là loại cấu trúc liên kết lưới (mesh topology) sử dụng TCP để xác định đường dẫn tối ưu để giao tiếp giữa các router

- OSPF và BGP là hai trong số các giao thức định tuyến phổ biến nhất Sự khác biệt chính giữa OSPF và BGP là OSPF là giao thức định tuyến nội miền (intra-domain) trong khi BGP là giao thức định tuyến liên miền (inter-(intra-domain) BGP

đề xuất các đường dẫn từ bên trong một AS, với internal BGP, hoặc từ bên ngoài AS, với external BGP

Phân Loại BGP: Có hai loại BGP là external BGP (eBGP) và internal BGP

(iBGP)

- eBGP (External Border Gateway Protocol) là một giao thức định tuyến được

sử dụng để trao đổi thông tin định tuyến giữa các hệ thống tự trị (AS) khác nhau trong mạng Internet Nó là một phần quan trọng của giao thức BGP và được sử dụng để kết nối các mạng của các tổ chức hoặc nhà cung cấp dịch vụ Internet (ISP) với nhau iBGP được sử dụng trong một hệ thống tự trị (AS) để trao đổi thông tin định tuyến giữa các bộ định tuyến trong cùng một AS Đây là lựa chọn chủ yếu khi cần duy trì thông tin định tuyến nội bộ

- iBGP (Internal Border Gateway Protocol) là một phiên bản của giao thức Border Gateway Protocol (BGP), nhưng hoạt động trong phạm vi một hệ thống

tự trị (AS) Trong khi eBGP được sử dụng để trao đổi thông tin định tuyến giữa

các hệ thống tự trị khác nhau, iBGP chỉ được sử dụng để trao đổi thông tin định

tuyến giữa các bộ định tuyến trong cùng một AS.

- Các thiết bị hoặc mạng lân cận trong cùng một AS có thể sử dụng Internal BGP để định tuyến qua các mạng nội bộ iBGP không giao tiếp với các AS khác

vì quy trình chỉ xảy ra giữa hai đối tác peering nội bộ Để liên kết các router trên mạng nội bộ, các AS có thể chọn từ các giao thức nội bộ khác:

+ External BGP là phần mở rộng của BGP eBGP được sử dụng để truyền thông tin trao đổi giữa các hệ thống tự trị riêng biệt Điều này có nghĩa là BGP yêu cầu sử dụng các router biên (edge) để hai AS giao tiếp Sử dụng eBGP không yêu cầu cần sử dụng iBGP

iBGP chạy giữa các bộ định tuyến trong cùng một AS & eBGP hoạt động giữa

các bộ định tuyến trong các AS khác nhau.

Giải thích về eBGP và iBGP

- Điểm khác nhau giữa iBGP và eBGP có thể so sánh như sự khác biệt giữa gửi thư trong nước và gửi thư quốc tế External BGP tương tự như gửi thư quốc tế Khi gửi thư ra nước ngoài, có một số quy định phải tuân theo

- Thư trong nước chỉ di chuyển một khoảng cách ngắn đến một địa chỉ trong cùng quốc gia và không bị chuyển tới bưu điện phân loại khu vực hay quốc gia khác

- Mọi loại thư nào muốn đến đích cuối, đều phải trước tiên được gửi tới quốc gia cần đến Sau đó, thư mới tiếp tuc được dịch vụ chuyển phát thư địa phương đưa đến địa chỉ cuối Tương tự như cách mọi quốc gia có hệ thống bưu chính nội bộ của riêng mình, các hệ thống tự trị cũng có các giao thức định tuyến nội

bộ riêng

- Để định tuyến hiệu quả, internal BGP luôn được ưu tiên sử dụng vì iBGP ít xảy ra routing loop hơn external BGP

So sánh iBGP và eBGP

Phạm vi

hoạt động

Trong một hệ thống tự trị (AS) Giữa các hệ thống tự trị

khác nhau

Yêu cầu

kết nối

Không bắt buộc nếu có giao thức nội

bộ thay thế (OSPF, RIP)

Bắt buộc để kết nối với Internet

Ứng dụng Đồng bộ hóa thông tin định tuyến nội

bộ

Kết nối doanh nghiệp với mạng Internet toàn cầu

1.3 Ưu điểm và nhược điểm của Border Gateway Protocol

- Ưu điểm của BGP:

+ Khả năng mở rộng cao: BGP được thiết kế để hoạt động trong các mô-đun mạng lớn như Internet, với khả năng xử lý đường triệu tuyến

+ Kiểm tra định tuyến tốt: BGP cung cấp các hoạt động tuyến định tuyến chính, cho phép quản trị viên kiểm soát Kiểm soát cách lưu lượng định tuyến qua mạng của họ thông qua các thuộc tính như local preference, AS path, …

+ Hỗ trợ đa kết nối: BGP cho phép tổ chức kết nối với nhiều nhà cung cấp dịch

vụ Internet (ISP) khác nhau để đảm bảo tính dự phòng

+ Hỗ trợ theo chính sách định tuyến: BGP cho phép các nhà quản trị áp dụng các công cụ định tuyến chính sách dựa trên các yêu cầu kinh doanh, ở mức độ

ưu tiên của một đường truyền tốt nhất

+ Tính ổn định cao: BGP sử dụng cơ chế cập nhật gia tăng (cập nhật gia tăng), giúp giảm lưu lượng định tuyến thông tin và duy trì tốc độ

+ Khả năng hỗ trợ nhiều giao thức: BGP hỗ trợ IPv4, IPv6 và các giao thức bổ sung như MP-BGP (Multiprotocol BGP) để mở rộng các tính năng, cải tiến trong MPLS VPN

- Nhược điểm của BGP:

+ Cấu hình và quản lý phức tạp: Cấu hình BGP đòi hỏi kiến thức chuyên sâu, người quản trị yêu cầu phải hiểu về giá trị hệ thống kiến trúc (AS), định tuyến chính sách và các thứ Sai sót trong cấu hình có thể gây ra các vấn đề lớn, ảnh hưởng không chỉ đến nội bộ mạng

+ Phụ thuộc vào con người: BGP không tự động phát hiện các tuyến đường tốt nhất mà yêu cầu quản trị viên thiết lập chính sách định tuyến thủ công Điều này

có thể gây ra lỗi nếu cấu hình không

+ Thời gian hội tụ chậm: Vì vậy, với các nội bộ định tuyến giao thức (IGP) như OSPF hoặc EIGRP, BGP có thời gian hội tụ lâu hơn sau khi xảy ra sự thay đổi trong mạng

+ Rủi ro bảo mật: BGP thiếu các cơ chế bảo mật mạnh mẽ, dễ bị tấn công như chiếm quyền điều khiển BGP, rò rỉ tuyến đường hoặc các cuộc tấn công khác nếu không được bảo vệ bằng các giải pháp như RPKI (Cơ sở hạ tầng khóa công khai tài nguyên)

+ Cao hệ thống tài nguyên: BGP chạy tuyến định tuyến cần nhiều tài nguyên (bộ nhớ và CPU) để xử lý tuyến định tuyến lớn nhất và các tuyến định tuyến chính trong danh sách

+ Nội dung tải xuống cân bằng không được hỗ trợ: BGP không hỗ trợ tải xuống cân bằng tự động hỗ trợ trên nhiều tuyến đường chi phí mà cần phải cấu hình bổ sung để thực hiện

- Kết Luận:

BGP không thể thiếu giao thức để đảm bảo hoạt động ổn định và kết nối giữa các mạng lớn như Internet Tuy nhiên, việc phát triển khai báo BGP Yêu cầu hiểu biết về chiều sâu và cần hợp lý cơ chế bảo mật để giảm thiểu rủi ro

1.4 Ứng dụng của Border Gateway Protocol

- Ứng dụng trong mạng máy tính:

+ Kết nối liên mạng của các nhà cung cấp dịch vụ: Kết nối các hệ thống tự trị (AS) – BGP được sử dụng để kết nối các hệ thống tự trị thuộc về các nhà cung cấp dịch vụ viễn thông khác nhau, cho phép trao đổi lưu lượng IP giữa các mạng này

+ Định tuyến lưu lượng Internet: Định tuyến liên miền – BGP là giao thức định tuyến liên miền chiếm ưu thế, được sử dụng để định hướng lưu lượng IP giữa các AS khác nhau trên Internet

+ Quản lý chất lượng dịch vụ (QoS): Kỹ thuật chất lượng dịch vụ – BGP, kết hợp với các cơ chế khác, có thể được sử dụng để triển khai các chính sách chất lượng dịch vụ, cho phép các nhà cung cấp ưu tiên các loại lưu lượng khác nhau

và đảm bảo mức độ dịch vụ cụ thể cho các ứng dụng quan trọng

+ Định tuyến lưu lượng VPN: Định tuyến VPN – BGP được sử dụng để thiết lập và duy trì các đường hầm VPN, cho phép các tổ chức mở rộng mạng riêng của họ trên Internet một cách an toàn

+ Định tuyến lưu lượng multicast: Định tuyến multicast IP – BGP được sử dụng

để phân phối lưu lượng multicast một cách hiệu quả đến nhiều người nhận trên Internet

+ Định tuyến lưu lượng IPv6: Định tuyến IPv6 – BGP cũng được sử dụng để định tuyến lưu lượng IPv6, giao thức Internet thế hệ mới, giúp chuyển đổi sang kiến trúc Internet mới

- Ứng dụng trong thực tế:

+ Nhà cung cấp dịch vụ Internet (ISP): BGP được sử dụng để định tuyến lưu lượng man giữa các nhà cung cấp dịch vụ Internet (ISP) ISP sử dụng BGP để trao đổi thông tin về các mạng con mà họ quản lý, giúp dữ liệu di chuyển qua

lý các kết nối mạng phức tạp cũng như đảm bảo rằng dữ liệu của họ được định tuyến qua các đường truyền Internet tối ưu nhất

+ Trung tâm dữ liệu và trung tâm điều khiển mạng: BGP được sử dụng trong các trung tâm dữ liệu và trung tâm điều khiển mạng của các công ty hosting để quản lý lưu lượng, đảm bảo khả năng mở rộng và độ tin cậy của mạng

+ Trường học và tổ chức giáo dục: Các trường học và tổ chức giáo dục cũng sử dụng BGP để quản lý mạng trong các môi trường đòi hỏi nhiều kết nối Internet

và yêu cầu độ tin cậy cao Nhờ vào BGP, mỗi người dùng Internet có thể trải nghiệm một môi trường trực tuyến an toàn và liên tục, giúp thế giới trực tuyến trở nên gần gũi hơn, thông tin được chia sẻ một cách nhanh chóng và an toàn hơn Nhìn chung, sự ổn định và hiệu quả của hạ tầng mạng lưới Internet phụ thuộc lớn vào cách BGP được triển khai và quản lý

1.5 Các vấn đề bảo mật và giải pháp bảo mật trong Border Gateway

Protocol

- Các vấn đề bảo mật trong BGP

+ BGP Hijacking (Chiếm quyền điều khiển đường dẫn): BGP Hijacking xảy ra khi một hệ thống tự trị (AS) công bố sai lệch quyền sở hữu các dải địa chỉ IP Điều này có thể dẫn đến việc lưu lượng truy cập bị chuyển hướng qua các mạng không mong muốn hoặc bị chặn hoàn toàn Ví dụ, năm 2008, một ISP ở

Pakistan đã vô tình công bố các đường dẫn IP của YouTube, khiến dịch vụ này

bị gián đoạn trên toàn cầu

+ BGP Route Leaks (Rò rỉ đường dẫn): Route Leaks xảy ra khi một AS chia sẻ thông tin định tuyến không đúng với các đối tác hoặc vượt ngoài phạm vi chính sách định tuyến Kết quả là lưu lượng mạng có thể bị chuyển qua các khu vực không an toàn, gây ảnh hưởng đến bảo mật và hiệu suất

+ BGP Session Hijacking: BGP Session Hijacking là cuộc tấn công trong đó hacker chiếm quyền kiểm soát một phiên BGP hợp lệ bằng cách giả mạo địa chỉ

IP và thông tin TCP Điều này cho phép hacker gửi các thông báo định tuyến giả mạo, thay đổi hướng đi của lưu lượng mạng

+ Thiếu cơ chế xác thực: Giao thức BGP không có cơ chế xác thực mạnh tích hợp, khiến thông tin định tuyến dễ bị giả mạo hoặc bị sử dụng sai mục đích

+ Tấn công DoS/DDoS nhắm vào BGP: DoS hoặc DDoS là các cuộc tấn công làm gián đoạn hoạt động của BGP bằng cách làm ngập cổng TCP 179, khiến các router không thể thiết lập hoặc duy trì phiên BGP

- Giải pháp bảo mật trong BGP

+ Sử dụng RPKI (Resource Public Key Infrastructure): RPKI là một cơ chế xác thực quyền sở hữu các dải địa chỉ IP và AS bằng cách sử dụng khóa công khai

Nó giúp giảm nguy cơ BGP Hijacking bằng cách chỉ cho phép các AS hợp lệ công bố thông tin định tuyến

+ Lọc định tuyến (Route Filtering): Route Filtering được sử dụng để lọc các thông tin định tuyến sai lệch Ví dụ, sử dụng danh sách prefix tin cậy (Prefix List) để ngăn chặn các thông báo định tuyến không hợp lệ

+ Xác thực phiên BGP: Sử dụng các giao thức như TCP MD5 hoặc TCP-AO để bảo vệ các phiên BGP khỏi bị chiếm quyền kiểm soát Việc này giúp ngăn chặn các cuộc tấn công giả mạo phiên

+ Công cụ giám sát BGP: Các công cụ như BGPMon và ARTEMIS giúp giám sát các thông báo định tuyến, phát hiện và cảnh báo khi xảy ra các bất thường hoặc tấn công

+ Sử dụng BGPsec: BGPsec là một phần mở rộng của BGP, cung cấp cơ chế chữ ký số để xác thực các thông báo định tuyến Nó giúp bảo vệ dữ liệu định tuyến khỏi bị giả mạo, tăng cường tính an toàn cho BGP

- Kết luận: BGP là giao thức quan trọng nhưng tồn tại nhiều lỗ hổng bảo mật

nghiêm trọng Để đảm bảo an ninh mạng, cần áp dụng các giải pháp như RPKI, BGPsec, và giám sát định tuyến chặt chẽ Các tổ chức cũng nên triển khai chính sách bảo mật phù hợp để giảm thiểu rủi ro