BGP vẫn chưa an toàn sao?

 (isbgpsafeyet.com)
2 điểm bởi GN⁺ 19 ngày trước | 1 bình luận | Chia sẻ qua WhatsApp
  • BGP (Border Gateway Protocol), giao thức định tuyến cốt lõi của Internet, chịu trách nhiệm chọn đường đi nhưng không tích hợp sẵn cơ chế xác minh bảo mật
  • Vì vậy, nếu thông tin định tuyến sai bị phát tán, có thể xảy ra chiếm đoạt lưu lượng hoặc sự cố trên diện rộng; để ngăn chặn điều này, RPKI (Resource Public Key Infrastructure) đã được đưa vào sử dụng
  • RPKI xác minh tính xác thực của tuyến đường bằng mật mã học, có thể đánh dấu các tuyến sai là invalid và chặn chúng
  • Cloudflare theo dõi và công khai tình trạng áp dụng RPKI của các ISP và nhà cung cấp transit lớn trên toàn cầu, và một số nhà mạng vẫn còn ở trạng thái unsafe
  • Internet chỉ có thể định tuyến an toàn khi mọi nhà mạng lớn triển khai đầy đủ RPKI và cơ chế lọc

BGP vẫn chưa an toàn sao?

  • Border Gateway Protocol (BGP) là “dịch vụ bưu chính” của Internet, đảm nhiệm vai trò chọn đường đi tối ưu trong số các tuyến mà dữ liệu có thể di chuyển
  • Tuy nhiên, vì không tích hợp sẵn tính năng bảo mật, nếu thông tin định tuyến sai bị lan truyền thì có thể gây ra sự cố Internet quy mô lớn hoặc chiếm đoạt lưu lượng
  • Để giải quyết vấn đề này, việc áp dụng cơ chế xác thực Resource Public Key Infrastructure (RPKI) cho phép xác minh tính xác thực của tuyến đường
  • Nhiều ISP và nhà cung cấp transit toàn cầu đang triển khai RPKI, và Cloudflare đang theo dõi, công khai tình trạng này
  • Internet chỉ có thể định tuyến an toàn khi tất cả các nhà mạng lớn áp dụng RPKI

Cập nhật mới nhất

  • Ngày 3 tháng 2 năm 2026, nhà cung cấp transit Tier-1 toàn cầu Sparkle (AS6762) từ chối các prefix RPKI-invalid
  • Ngày 1 tháng 10 năm 2025, nhà cung cấp transit lớn của Slovakia Energotel (AS31117) bắt đầu lọc các tuyến RPKI-invalid
  • Ngày 28 tháng 8 năm 2025, ISP lớn của Canada Bell Canada (AS577) lọc các tuyến RPKI-invalid trong mạng của mình
  • Ngày 22 tháng 2 năm 2024, Deutsche Telekom (AS3320), một trong những ISP lớn nhất châu Âu, áp dụng RPKI Origin Validation trên mạng toàn cầu
  • Ngày 24 tháng 1 năm 2024, Verizon (AS701) của Mỹ triển khai hoàn chỉnh RPKI Origin Validation trên toàn bộ mạng

Trạng thái của các nhà mạng lớn

  • Cloudflare công khai trạng thái ký RPKI và lọc tuyến của 31 nhà mạng lớn
  • Các nhà cung cấp transit lớn như Lumen, Arelion, Cogent, NTT, Sparkle, Hurricane Electric, GTT, TATA, Zayo, Vodafone đều ở trạng thái safe
  • Các ISP lớn như Comcast, AT&T, Verizon, Deutsche Telekom, KPN, Swisscom, Bell Canada cũng đã hoàn tất ký và lọc
  • Một số nhà mạng (Google, IIJ, OCN, Vivacom, v.v.) mới chỉ triển khai một phần nên được phân loại là partially safe
  • China Telecom, KT, SK Broadband, TurkTelekom, Vodafone DE, PLDT, IBM Cloud, OVH, v.v. vẫn còn ở trạng thái unsafe

BGP hijacking là gì

  • Internet là một cấu trúc mạng phân tán gồm hàng nghìn hệ tự trị (AS)
  • Mỗi nút quyết định tuyến đường chỉ dựa trên thông tin nhận được từ các nút kết nối trực tiếp với mình
  • BGP hijacking là hành vi một nút độc hại phát tán thông tin định tuyến sai để chặn hoặc chiếm lưu lượng
  • Nếu không có giao thức bảo mật, thông tin sai này có thể lan ra toàn cầu, khiến dữ liệu được gửi theo các tuyến đường không chính xác
  • RPKI cho phép vô hiệu hóa và chặn các tuyến sai như vậy thông qua xác minh bằng mật mã học

Vai trò của RPKI

  • RPKI (Resource Public Key Infrastructure) là một khung bảo mật xác minh bằng cách liên kết tuyến đường và hệ tự trị bằng mật mã học
  • Việc xác minh thủ công hơn 800.000 tuyến Internet là điều không thể, vì vậy RPKI tự động hóa công việc này
  • Khi RPKI được kích hoạt, ngay cả khi thông tin định tuyến sai bị phát tán, router vẫn có thể đánh giá là invalid và từ chối
  • Blog của Cloudflare giải thích chi tiết cơ chế hoạt động và các trường hợp triển khai của RPKI

Vì sao BGP không an toàn

  • Về bản chất, BGP không được tích hợp sẵn giao thức bảo mật
  • Mỗi hệ tự trị phải tự thực hiện lọc các tuyến sai
  • Rò rỉ tuyến (route leak) có thể xảy ra do cấu hình sai hoặc hành vi ác ý, và có thể khiến một phần Internet không thể truy cập
  • BGP hijacking có thể điều hướng lưu lượng sang hệ thống khác, tạo điều kiện cho đánh cắp thông tin hoặc nghe lén
  • Chỉ khi mọi AS chỉ công bố các tuyến hợp lệ và thực hiện lọc, việc định tuyến mới có thể an toàn

Cách kiểm tra

  • Cloudflare cung cấp tính năng kiểm tra xem ISP có triển khai BGP an toàn hay không
  • Họ công bố một tuyến hợp lệ nhưng cố ý được đánh dấu là invalid, rồi kiểm tra người dùng có thể truy cập trang web đó hay không
  • Nếu vẫn truy cập được, điều đó có nghĩa ISP tương ứng đang chấp nhận các tuyến sai

Các nỗ lực bảo mật bổ sung

  • Các nhà vận hành mạng và nhà phát triển đang tiến hành công việc tiêu chuẩn hóa nhằm cải thiện các giao thức định tuyến không an toàn
  • Cloudflare tham gia sáng kiến MANRS (Mutually Agreed Norms for Routing Security)
    • MANRS là một cộng đồng toàn cầu nhằm tăng cường hạ tầng định tuyến, trong đó các thành viên đồng ý triển khai các cơ chế lọc
  • Càng có nhiều nhà mạng tham gia, mức độ an toàn định tuyến của toàn bộ Internet càng được cải thiện

Người dùng có thể làm gì

  • Có thể chia sẻ trang isbgpsafeyet.com để lan tỏa rộng rãi sự cần thiết của việc triển khai RPKI
  • Có thể yêu cầu ISP hoặc nhà cung cấp hosting của mình triển khai RPKI và tham gia MANRS
  • Internet nói chung chỉ có thể an toàn khi các ISP lớn áp dụng RPKI
  • Cloudflare nhấn mạnh thông điệp: “Khi Internet an toàn hơn, tất cả mọi người đều được hưởng lợi”

Bài viết liên quan

1 bình luận

 
GN⁺ 19 ngày trước
Các ý kiến trên Hacker News

  • RPKI không làm BGP trở nên an toàn hoàn toàn, mà chỉ khiến nó an toàn hơn
    BGP hijacking vẫn có thể xảy ra, và RPKI chỉ xác minh quyền sở hữu prefix chứ không bảo vệ chính tuyến đường
    Kẻ tấn công vẫn có thể giả vờ nằm trên đường đi của AS nạn nhân để chặn lưu lượng
    BGPSec, vốn được đề xuất để giải quyết vấn đề này, được đánh giá là khó triển khai trên thực tế

    • Proof-Carrying Data được đề xuất như một cách để giải quyết vấn đề bảo mật của BGP
      Mỗi thông điệp sẽ bao gồm bằng chứng mật mã cho thấy nó được tạo ra đúng cách, và thời gian xác minh là hằng số bất kể kích thước mạng hay số hop
      BGP không quá nhạy cảm với độ trễ và giao thức cũng đơn giản, nên cách tiếp cận này có thể khả thi trong thực tế
      Xem thêm trong bài viết trên rot256.dev
      RPKI vẫn cần thiết nhưng BGPSec sẽ trở nên không cần nữa
    • Hiện có nỗ lực ASPA nhằm giảm nhẹ vấn đề này
      Vẫn còn cả chặng đường dài, nhưng các tổ chức lớn đang tham gia
      Liên kết bản thảo IETF
    • RPKI cho phép xác minh quyền sở hữu prefix, nhưng tuyến đường vẫn dựa trên niềm tin
      Cảm giác như chỉ phần nào dễ xác minh mới được tăng cường
    • Trạng thái lý tưởng là “an toàn” là điều không thể đạt được
      Cuối cùng mọi hệ thống mật mã đều phụ thuộc vào sự tin cậy đối với registry hoặc tổ chức do con người vận hành
      RPKI tốt hơn là không có, nhưng cách diễn giải kiểu “giờ đã đủ an toàn rồi” thì rất nguy hiểm

  • Nhìn vào việc các ISP lớn của Mỹ và các nhà mạng di động hỗ trợ tính năng này, có vẻ tỷ lệ phổ cập khá cao
    Nhưng vẫn thắc mắc cần bao nhiêu ISP, và có khác biệt theo khu vực hay không, thì mới đủ để gọi là ‘an toàn’

    • Có vẻ chỉ cần các transit ISP lớn đều áp dụng là đủ
      Nếu các tuyến không dùng RPKI không thể đi qua transit thì tự nhiên chúng sẽ trở nên vô nghĩa
    • Trên thực tế có tới 254 nhà mạng bị đánh dấu là ‘unsafe’, nhiều hơn rất nhiều so với 4
      Phải nhấn ‘Show all’ mới thấy toàn bộ danh sách
    • Tôi đang dùng Sky ở Anh và nó bị đánh dấu là ‘unsafe’
      Sẽ hay hơn nếu có bảng cho phép lọc theo quốc gia và loại nhà mạng
    • T-Mobile USA có kết quả kiểm tra vừa hiện pass vừa hiện fail, khá khó hiểu
    • Các nhà mạng lớn như British Telecom, NTT Docomo, Vodafone Espana, Starlink, Rogers cũng hiện là ‘unsafe’
      Chỉ có 31 đơn vị an toàn là một bức tranh quá lạc quan

  • Việc đây là một trang do Cloudflare tạo ra nghe khá mỉa mai
    Có thể họ lại là bên có khả năng cao nhất làm hỏng Internet vào năm 2026

    • Dạo này chuyện các công ty mở chiến dịch thuyết phục công chúng theo hướng có lợi cho mình là điều rất phổ biến
      Nếu RPKI có lợi cho họ thì họ quảng bá nó là ‘công nghệ thiết yếu cho an toàn Internet’,
      còn nếu cần xác thực danh tính thì họ sẽ nêu khẩu hiệu ‘bảo vệ trẻ em’
      Kiểu marketing này đã lặp đi lặp lại trong các ngành vaccine, vũ khí và thuốc lá

  • RPKI giờ không còn chỉ là ROA đơn thuần nữa
    BGP hijacking có thể xảy ra tại những điểm không phải hop đầu tiên hoặc hop cuối cùng
    Trang này nên được cập nhật để kiểm tra cả ASPA-invalid prefix

  • ISP Free SAS bị đánh dấu là ‘unsafe’ nhưng trong bài test thực tế thì lại thành công
    valid.rpki.isbgpsafeyet.com xử lý đúng prefix hợp lệ,
    invalid.rpki.isbgpsafeyet.com cũng xử lý đúng prefix không hợp lệ

  • ISP bị đánh dấu là unsafe trong bảng nhưng bài test lại cho kết quả an toàn

    • Bản cập nhật cuối cùng của bảng là ngày 3 tháng 2, nên có vẻ RPKI đã được triển khai trong thời gian sau đó

  • Hình minh họa kẻ tấn công định tuyến lưu lượng sang một trang độc hại có phần hơi gây hiểu nhầm
    Nếu chứng chỉ SSL không hợp lệ thì trình duyệt sẽ chặn, nên thiệt hại thực tế sẽ bị giới hạn
    Tuy vậy, nó vẫn có thể bị lạm dụng cho tấn công từ chối dịch vụ (DoS)

    • Kẻ tấn công kiểm soát được đích đến cũng có thể lấy chứng chỉ SSL hợp lệ từ Let’s Encrypt hoặc nơi tương tự

  • RPKI và ASPA giúp an toàn hơn trước các mạng khác, nhưng lại làm tăng sự phụ thuộc vào registry
    Nếu quốc gia của bạn bị trừng phạt và bị chặn truy cập registry, bạn sẽ không thể cập nhật bản ghi

    • Thực ra registry từ trước đến nay vẫn luôn có thể thu hồi việc cấp phát số
      RPKI chỉ khiến quyền lực đó mạnh hơn mà thôi
      Rốt cuộc chúng ta vẫn đang làm mạng dưới sự phê chuẩn của IANA,
      và nếu muốn thoát khỏi điều đó thì phải thiết kế lại hoàn toàn hệ thống cấp phát ASN và IP

  • BGP có lẽ chỉ thực sự an toàn khi chúng ta bỏ nó và dùng SCION
    Xem bài viết trên Wikipedia về SCION

    • Nhưng SCION bị các nhà vận hành mạng xem là snake oil
      Cấu trúc xoay quanh một vendor duy nhất, không hỗ trợ ASIC, gắn với blockchain và greenwashing nên đã mất uy tín
      Ở Thụy Sĩ nó đang được thử nghiệm, nhưng trên toàn ngành thì không được nhìn nhận nghiêm túc
    • Muốn thực sự an toàn thì phải chuyển sang kiến trúc định tuyến mới như Yggdrasil
      Xem dự án Yggdrasil
    • Thật khó hiểu vì sao sự chuyển đổi kiểu này vẫn chưa xảy ra

  • RPKI chỉ khiến BGP an toàn hơn một chút, chứ không phải lời giải hoàn chỉnh
    Nó ngăn được một phần hijacking, nhưng rốt cuộc vẫn chỉ là một miếng vá tạm trên một hệ thống dựa vào niềm tin mà thôi