Snažíme se tak například spouštět nové DNS stacky v místech zdrojů významného DNS provozu, a to jak v zahraničí, tak v České republice. Spuštění DNS stacku v síti CESNET na začátku dubna budiž této naší činnosti důkazem.
Odolnost proti útokům
V síti české akademické e-infrastruktury CESNET jsme zprovoznili tzv. ISP DNS Stack, o kterém jsme už také psali. Kolegové ze sdružení CESNET se k nasazení ISP DNS Stacku ve své síti rozhodli zejména proto, aby zajistili větší bezpečnost v případě útoků na DNS infrastrukturu a z důvodů zajištění vyšší kvality služeb pro své uživatele.
ISP DNS stack je označení pro instanci autoritativního DNS serveru obsahující zónu .CZ v interní síti cizího subjektu, typicky poskytovatele připojení (proto tedy „ISP“). Tuto službu poskytujeme primárně velkým ISP (před sdružením CESNET jsme již spustili Vodafone a Seznam.cz), kteří poskytují internetové služby většímu množství zákazníků a jsou tedy z našeho pohledu významným uživatelem DNS provozu.
ISP DNS stack propaguje anycast prefix právě jednoho z CZ.NIC DNS anycastů do sítě takového poskytovatele připojení, avšak ten nemá povolen tento prefix propagovat dále do svých upstreamů nebo svým peerům. Je tedy určen výhradně pro síť poskytovatele připojení.
Výhody pro ISP i CZ.NIC
Hlavní výhodou provozu takové DNS instance z pohledu ISP je plná dostupnost služby DNS v případě útoku proti našim veřejným autoritativním DNS serverům. Zákazník v síti ISP tak není útokem ovlivněn a služba DNS je pro něj plně dostupná. Vzhledem k principu anycastu snižuje sekundárně umístění ISP DNS stacku v síti ISP latenci a pomáhá zrychlení odezev DNS dotazů zákazníkům v síti ISP.
Naopak výhodou pro nás je, že pokud by došlo k útoku na ISP DNS Stack z interní sítě ISP, bude ukončen pouze na této DNS instanci. Útok se tak dále nešíří, tedy nedochází k ovlivnění veřejných autoritativních DNS serverů. Současně může ISP na tuto událost reagovat, útok řešit a nezávadný DNS provoz přesměrovat na naše veřejné autoritativní DNS servery.
Pro většinu ISP, a je to tak i v případě sdružení CESNET, postačuje pro vybudování ISP DNS Stacku jeden nezávislý DNS server, viz obrázek níže, který je schopen obsloužit řádově jednotky milionů DNS požadavků za sekundu. Jedná se o takzvanou základní variantu ISP DNS stacku.
V případě vyššího objemu DNS požadavků umíme řešení rozšířit, konkrétně například na řešení z pěti serverů na takzvanou Rozšířenou varianta ISP DNS stacku s oddělenými službami (3× DNS server, 1× management a monitoring server, 1× router), který dokáže obsloužit trojnásobek DNS provozu.
Parametry serveru
Konkrétně ISP DNS stack CESNET je umístěn v datovém centru ČRa Tower na pražském Žižkově a provozován na serveru Dell PowerEdge R640. Ten je osazen dvěma Intel Xeon Silver 4110 procesory, každé nabízí 8 jader s technologií Hyper-threading a taktovací frekvenci 2,10 GHz.
Dále disponuje 32 GB RAM, HW diskovým řadičem, 3× 300GB SAS 15k disky (jeden z nich je použit jako hot-spare), dvouportovou 1GE síťovou kartou Intel i350 a dvouportovou 10GE síťovou kartou Intel X710 SFP+. Jsme rádi, že se i zde podařilo dodržet diverzitu dodavatele a modelu serveru, neboť u starších ISP DNS stacků je použit buď server HPE ProLiant nebo Dell PowerEdge jiné/starší řady.
Server má OOB interface (rozhraní pro správu serveru) a MGMT interface (iDrac remote-management) připojen pomocí 1GE linek do Internetu. Rozhraní iDrac je jako jediné filtrováno na firewallu sítě CESNET výhradně na vybrané IP prefixy CZ.NIC a současně je dostupné pouze po IPv6. Ostatní síťová rozhraní filtrujeme již sami pomocí linuxového firewallu iptables. Server je připojen přímo do páteřní infrastruktury CESNET na router, kde je navázáno BGP spojení. Komunikace s DNS serverem probíhá pouze a jedině ze sítě CESNET, kde je zároveň aplikována ochrana proti DDoS útokům.
Další DNS stacky přibývají
Server je výhradně v naší správě a jelikož je umístěn v racku, kam naši administrátoři nemají fyzický přístup, veškeré záležitosti spojené s provozem hardware (monitoring, servis apod.) zajišťují kolegové ze sdružení CESNET. My se staráme o veškerou softwarovou implementaci.
Samozřejmostí je šifrovaný souborový systém pomocí technologie LUKS. Na serveru běží Debian Linux 10, jako routovací/BGP démon je použit Bird a jako DNS démon KNOT DNS. Server získává aktualizace .CZ zóny standardním způsobem, tedy pomocí AXFR z našich hidden-master DNS serverů. Do sítě CESNET se oznamuje DNS anycast C (194.0.14.1/24 + 2001:678:11::1/48). Tento anycast byl pro všechny ISP DNS stacky vybrán záměrně, protože není oznamován z žádného veřejného DNS stacku v České republice a je dostupný výhradně z vybraných zahraničních lokalit.
Jsme moc rádi, že nám ISP DNS Stacky přibývají, děkujeme sdružení CESNET za možnost v této oblasti spolupracovat. Pro další zájemce jsme zpracovali podrobnější dokument, který popisuje, jak technické detaily, tak náklady na provoz. Jen podotýkám, že sleva pro sítě zapojené v projektu FENIX je i nadále platná, rádi se ale určitě budeme věnovat nejen fenixářům.
(Původně vyšlo na blogu CZ.NIC.)
