Kategóriák
Hírek

Bemutatjuk az új DNS-infrastruktúrát: a biztonság és a DDoS támadások elleni védelem új szintjét

A webhosting nem csupán a tárhelyről és a domainekről szól. Annak érdekében, hogy a szolgáltatásunk még jobban és stabilabban működjön, új infrastruktúrát készítünk elő a DNS-szolgáltatások számára. Tarts velünk és tudj meg többet arról, hogy ügyfélként mit nyersz ezzel az innovációval.

Ebben a bejegyzésben Tomáš Hála-val beszélgettünk, aki a Websupport CEE IT Biztonsági vezetője.

A beszélgetésből kiderül, hogy:

– hogyan lehet javítani a szolgáltatások biztonságát a DDoS támadások ellen
– milyen hatással van a DNS gyorsasága a honlap betöltési sebességére 
– milyen technológiákat alkalmaz majd az új infrastruktúránk
– mi az IP anycast
– a világ mely részén vannak a szerver stack-ek

Mi a DNS és mire szolgál?

A DNS-szolgáltatás a domain neveket (például éncégem.hu) ún. IP-címekké alakítja át, amelyeket a számítógépek (mobiltelefonok, szerverek, stb.) megértenek. Ez gyakorlatilag az internet szolgáltatás alapja – honlapok, e -mailek, mobilalkalmazások, üzenetküldés, videók, online konferenciák, internetbanki szolgáltatások, postafiókok, felhőszolgáltatások vagy közösségi hálózatok – szinte minden így működik az online térben.

Hogyan nyilvánul meg a DNS-szolgáltatások (rossz) minősége?

Ha a DNS-szolgáltatás megfelelően működik, az szinte észrevehetetlen. Viszont ha gond van vele, az lassú válaszidőben, az internetszolgáltatások leállásában, vagy egyéb biztonsági problémák formájában nyilvánul meg. Ezért fontos, hogy te is megbízható DNS-szolgáltatóval rendelkezz, amely gyakran az a cég, ahol magát a domaint regisztráltad.

Hol tartunk most?

Jelenleg három független ún. hiteles DNS-szerver üzemelteti a nálunk regisztrált domaineket. Támogatjuk a DNSSEC biztonsági bővítményeit is, amely megvédi a rendszert a DNS-válaszokkal való visszaéléstől és az ebből eredő biztonsági problémáktól. 

Mi a változtatás oka és mit jelent mindez számunkra?

Alapvetően három oka van annak, hogy miért támogatjuk jelentős mértékben a DNS-t (anyagi és fejlesztési szempontból is):

  1. Egyre több és erősebb ún. DDoS támadásokkal szembesülünk, amelyek célja működésképtelenné tenni a DNS-rendszert. Szeretnénk úgy módosítani az infrastruktúrát, hogy az a lehető legerősebb legyen, és biztosítsa az összes általunk üzemeltetett domain megbízható kiszolgálását, még akkor is, ha épp nagyon erős támadások célpontjai vagyunk.
  2. A hosting csoportunknál végzett akvizíciós tevékenységeknek köszönhetően gyorsan növekedünk, és egyre több domain van nálunk (a több százezer domainből átléptünk a milliós darabszámhoz, tehát ez tízszeres növekedést jelent nagyon rövid idő alatt). Biztosak akarunk lenni abban, hogy infrastruktúránk gond nélkül képes kezelni ezt a robbanásszerű növekedést.
  3. Nem csak Európában, hanem a világ többi részén is biztosítjuk a DNS-szolgáltatások gyors válaszidejét (csökkenteni a késést). A gyors DNS-válasz az összes szolgáltatás gyorsabb működését eredményezi, pl. gyorsabb weboldal betöltési sebességet.

Hogyan történt az infrastruktúra átalakítása? Hogyan valósult meg a fejlesztés és mit teszteltünk?

Teljesen új DNS-infrastruktúrát hoztunk létre. Ez az infrastruktúra ún. különböző méretű DNS-stackeket használ, amelyek a világ különböző pontjain találhatóak. Minden stack egy különálló egység, amely nemcsak átlagos mennyiségű DNS-kérést képes kezelni, hanem nagyságrenddel nagyobb forgalmat is a DDoS támadások során. A tesztek több szinten zajlanak:
– alapvető funkciók tesztelése (DNS-kérésekre adott válaszok, módosítások elősegítése stb.),
– teljesítmény tesztelése (nagy mennyiségű zónára vonatkozó nagy mennyiségű lekérdezés kezelése és a változások sebessége)
– redundancia tesztek (azaz a működés fenntartása részleges, ill. teljes leállás esetén).

Milyen további előnyökkel jár a bevezetés?

A DDoS támadásokkal szembeni lényegesen nagyobb ellenállást emelném ki. De, emellett érdemes említeni a menet közbeni szervizelhetőséget, azaz az infrastruktúra egyes részeinek leállítását a karbantartás (frissítések stb.) során anélkül, hogy ez befolyásolná a DNS-szolgáltatás elérhetőségét.

Hogyan zajlik a monitoring?

Az alap monitoring mellett, amely a Zabbix rendszeren és a külső Pingdom monitoringon alapul, a RIPE Atlas projekt infrastruktúráját használjuk. Az infrastruktúra segítségével a világ számos pontjáról tudjuk mérni a rendelkezésre állást, így a lehető legrészletesebb áttekintést kapjuk a teljes rendszer működéséről.

Milyen új technológiát alkalmazunk?

A legfőbb változás az IP anycast technológia bevezetése. Normál körülmények között egy IP-cím egyetlen szervert rejt egy helyen. Az IP anycast technológia segítségével gyakorlatilag korlátlan számú szervert elrejthethetsz a világ számos pontján egyetlen IP-cím mögé. Ezáltal az ügyfél mindig a hálózat szempontjából legközelebb eső helyről kap választ. Elérhetetlenség esetén a célállomás szerepét automatikusan egy másik célállomás veszi át, így magas szintű rendelkezésre állást érhetünk el.

Milyen előnyökkel jár ez a megoldás a hálózat jövője, stabilitása és a bővítési lehetőségek szempontjából? 

A megoldás lehetővé teszi a már említett menet közbeni szervizelhetőséget, a magas rendelkezésre állást és gyakorlatilag a korlátlan számú bővítést. Ugyanakkor gyorsabb válaszokat biztosít a DNS-lekérdezésekre, mert a fizikát nem lehet becsapni! Egy Európa és Amerika közötti lekérdezés megválaszolása több száz ms-ot vesz igénybe, és ezt már nem lehet gyorsítani. Viszont, ha egy amerikai lekérdezésre Amerika válaszol, 10x gyorsabb válasz érkezik.

További előnye a DDoS védelem – mi az a DDoS?

A DDoS támadás elve egyszerű – megpróbálja túlterhelni a fogadó rendszert annyi kéréssel, amennyivel a célrendszer már nem tud lépést tartani, így elérhetetlenné válik. Jelenleg 170 Gbps+ nagyságú DDoS támadásokkal nézünk szembe, és erősségük fokozatosan növekszik. Az IP anycast technológia a megfelelően kiválasztott helyekkel segít leküzdeni ezeket a támadásokat: a hatalmas forgalmat több helyre osztja szét, így megkönnyíti a szűrést, valamint tehermentesíti a kiszolgálót. Ugyanakkor a támadás nagy részét a lehető legközelebb tartja a kiindulóponthoz. Így például, ha a támadás elsősorban Ázsiából érkezik, annak jelentős része Ázsiában is marad, és csak egy kisebb része éri el a fő adatközpontjainkat Európában. Tehát ez nem befolyásolja a szolgáltatás rendelkezésre állását.

Hogyan kezeljük, ha kiderül, hogy DDoS támadás célpontjává váltunk?

Amennyiben minden megfelelően működik, akkor az infrastruktúra manuális beavatkozás nélkül is fellép a támadás ellen – egy nagyobb támadás több kisebbre oszlik, ezeket a részeket a célállomás szűri tovább, a többit pedig kiszolgálja a jelentősen túlméretezett sávszélesség és a hardver. Abban az esetben, ha egyes intézkedések kudarcot vallanak, képesek vagyunk szükség szerint átirányítani a forgalmat oda, ahol az jobban szűrhető/kiszolgálható, vagy ahol az nem befolyásolja negatívan magát a szolgáltatást, mindezt teljesen átlátható módon.

Mit tapasztalnak ebből ügyfeleink?

A gyorsabb rendszer előnyeit minden domain felhasználó és ügyfél tapasztalni fogja. Ráadásul a szolgáltatás még nagyon erős DDoS-támadások esetén is elérhető marad.

Csak a mi belső infrastruktúránkon futnak a DNS-szerverek, vagy más szolgáltatóknál is?

Ebben az esetben nem különálló szerverekről, hanem egész stackekről van szó, amelyek több szerverből állnak és különböző feladatokat látnak el. Mindenesetre az infrastruktúra gerincét erős stackek alkotják a hosting csoportunk fő adatközpontjaiban (CEE és Nordics), ahol csúcsminőségű csatlakozás és ún. scrubbing (DDoS támadásokat szűrő rendszerek) állnak rendelkezésre. Ezeket egészítik ki az Európán kívül üzemeltetett kisebb stackek, amelyek helyszíneit a valós forgalom és a valódi támadások alapján választjuk ki – annak érdekében, hogy minimálisra csökkentsük a késleltetést, és a lehető legközelebb kerüljünk a támadások forrásához. Ezután a támadásokat pedig a távoli stackekhez irányítják.

Hogy mit értünk ez alatt? Fizikai szervereket, virtuális szervereket vagy elosztott szolgáltatásokat?

Az egyes stackek mérete eltérő. A nagyobbak több fizikai szerverből állnak, amelyek különböző feladatokat látnak el és erősen kapcsolódnak egymáshoz. A legkisebbek egy fizikai szervert és virtualizációt használnak.

Mi változott az adatközpontunkban?

Főként az, hogy nagyobb hangsúlyt fektetünk a stabil kapcsolatra és a minőségi scrubbing-ra (DDoS támadások szűrésére).

Mi a helyzet a régió új DNS-infrastruktúrájával és a konkurenciával? Alkalmaz még valaki hasonló megoldást?

Nem mi vagyunk az elsők, akik IP anycast technológiát alkalmaznak Közép-Kelet-Európában, de merem állítani, hogy mi vagyunk az egyetlenek, akik ilyen robusztus infrastruktúrát építenek, amely képes akár 5 millió DNS-zóna (azaz 5 millió domain) kiszolgálására .

Mikor kezdte meg működését az új DNS-infrastruktúra és kik számára elérhető?

DNS-infrastruktúránk üzembe helyezése fokozatosan történik. Az első az NS3 harmadlagos DNS-szervert (ns3.websupport.cz/hu/sk, ill. ns3.webonic.hu) érinti várhatóan 2021. október közepén. Az ősz folyamán további két stack kiépítését tervezzük, és átállást az új NS2 infrastruktúrára. Az NS1 lesz az utolsó, miután hozzáadtunk még egy nagyteljesítményű stacket. Egyéb infrastruktúra-fejlesztést is tervezünk 2022-re – például ellenőrizni fogjuk a világ több pontján kiépített infrastruktúra elérhetőségét, és ennek megfelelően kiválasztjuk a további stackek helyszínét is.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük