Nasadzujeme nový štít proti DDoS útokom

Webhosting nie je len o hostingoch a doménach. Aby všetky tieto služby mohli bežať ešte lepšie a stabilnejšie, pripravujeme novú infraštruktúru pre DNS služby. Vravíte si, že vás ako zákazníka/zákazníčky sa to netýka? Poďte sa dozvedieť, čo všetko touto inováciou získate.

Rozprávali sme sa s jedným z kľúčových ľudí, ktorí za touto zmenou stoja – s Tomášom Hálom, ktorý pôsobí ako CEE IT Security & Operations Manager vo Websupporte.

V rozhovore sa dozviete:

• ako zlepšíme bezpečnosť služieb voči DDoS útokom,
• aký vplyv má DNS na rýchlosť načítania webu,
• aké technológie bude naša nová infraštruktúra využívať,
• čo je to IP anycast,
• kde vo svete sa nachádzajú naše server stacky.
  
  

Čo to je DNS a na čo slúži?

Služba DNS prevádza doménové mená, napríklad example.com, na tzv. IP adresy, ktorým rozumejú počítače (mobily, servery a pod.). Je to základná služba, na ktorej fungovaní sú závislé všetky internetové služby – weby, emaily, mobilné aplikácie, zasielanie správ, videá, online konferencie, internetové bankovníctvo, dátové schránky, cloudové služby alebo sociálne siete – jednoducho všetko, čo sa nachádza v online priestore.

Ako sa prejavuje (ne)kvalita DNS služieb?

Ak služba DNS funguje správne, ani o nej nevieme. Ak sú s ňou problémy, prejaví sa to ako pomalá odozva alebo výpadky internetových služieb, prípadne bezpečnostné problémy. Preto je dôležité mať spoľahlivého poskytovateľa služby DNS, ktorým je najčastejšie tá spoločnosť, u ktorej si registrujete samotnú doménu.

Aká je naša aktuálna situácia?

Aktuálne prevádzkujeme tri nezávislé tzv. autoritatívne DNS servery, na ktorých sú prevádzkované všetky u nás registrované domény. Podporujeme tiež bezpečnostné rozšírenie DNSSEC, ktoré chráni systém proti zneužívaniu DNS odpovedí a z toho plynúcich bezpečnostných problémov. 

Čo na to používame teraz? Aké technológie?

Naša infraštruktúra je založená na autoritatívnom DNS serveri KnotDNS, ktorý je vyvíjaný národným registrom .CZ domény CZ.NIC, a ďalších podporných systémoch, ktoré si vyvíjame sami interne.

Prečo robíme zmenu a čo nám zmena prinesie?

Sú v zásade tri dôvody, kvôli ktorým do systému DNS výrazne investujeme (ako po finančnej stránke, tak po stránke nášho vývoja):

1. Pozorujeme čoraz častejšie a silnejšie tzv. DDoS útoky, ktoré majú za cieľ vyradiť systém DNS z prevádzky. Chceme infraštruktúru upraviť tak, aby bola maximálne robustná a zabezpečila spoľahlivú prevádzku všetkých hostovaných domén aj v prípadoch, keď sme cieľom veľmi silných útokov.
   
2. Vďaka akvizičným aktivitám v našej hostingovej skupine skokovo rastieme a hosťujeme výrazne viac domén (z rádov stoviek tisíc domén sa posúvame do rádov miliónov, teda ide rádovo o desaťnásobný rast vo veľmi krátkej dobe). Chceme si byť istí, že naša infraštruktúra tento raketový rast dokáže bez problémov obslúžiť.
   
3. Chceme zabezpečiť nízku dobu odozvy (tzv. latenciu) DNS služby nielen v Európe, ale aj vo zvyšku sveta. Rýchla odozva DNS sa prejaví v rýchlejšom fungovaní všetkých ostatných služieb, napr. na rýchlosti načítania webovej stránky.

Ako sa infraštruktúra menila? Ako prebiehal vývoj a čo sme testovali?

Vytvorili sme úplne nový dizajn DNS infraštruktúry – inšpirovaný infraštruktúrou pre TLD doménu .CZ od CZ.NIC. Využíva tzv. DNS stacky rôznych veľkostí, ktoré sú rozmiestnené do najrôznejších lokalít po svete. Každý stack je samostatná jednotka schopná odbaviť nielen bežné množstvo DNS požiadaviek, ale aj rádovo väčšiu prevádzku počas DDoS útokov. Testovanie prebieha v niekoľkých rovinách:

• testovanie základnej funkčnosti (odpovede na DNS požiadavky, propagácia zmien a i.),
• testovanie výkonu (schopnosť obslúžiť vysoké množstvo požiadaviek na vysoký počet zón a rýchlosť propagácie zmien),
• testy redundancie (tj. zachovanie prevádzky v prípade čiastočnej odstávky či výpadku).

Čo nám to umožní?

Okrem výrazne vyššej odolnosti proti DDoS útokom tiež servisovateľnosť za chodu, čiže možnosť odstaviť určité časti infraštruktúry (celej lokality) počas údržby (upgrady a pod.) bez toho, aby to malo vplyv na dostupnosť DNS služby.

Ako to monitorujeme?

Okrem základného monitoringu, ktorý je založený na systéme Zabbix a externom monitoringu Pingdom, využívame infraštruktúru v rámci projektu RIPE Atlas pre monitoring dostupnosti z mnohých sond po celom svete, aby sme mali čo najdetailnejší obraz fungovania celého systému.

Akú technológiu používame po novom?

Hlavnou zmenou je nasadenie technológie IP anycast. Za bežných podmienok sa za jednou IP adresou skrýva jeden server v jednej lokalite. S technológiou IP anycast môžete za jednu IP adresu schovať prakticky neobmedzené množstvo serverov v mnohých lokalitách po celom svete, pričom klient dostane odpoveď vždy z tej lokality, ktorá je sieťovo najbližšie. V prípade nedostupnosti ľubovoľnej lokality preberajú jej úlohu automaticky ostatné lokality, čím sa dosahuje vysoká dostupnosť.

Aké benefity má toto riešenie pre budúcnosť siete, stabilitu a možnosti jej rozšírenia? 

Riešenie umožňuje už spomínanú servisovateľnosť za chodu, vysokú dostupnosť a tiež rozširovanie do prakticky neobmedzeného množstva ďalších lokalít. Zároveň zaistí rýchlejšie odpovede na DNS dopyty, pretože fyziku neošálite – odpoveď na dopyt medzi Európou a Amerikou trvá rádovo stovky ms a urýchliť už nejde. Pokiaľ na dopyt z Ameriky odpoviete v Amerike, dostanete sa na 10x rýchlejšie odpovede.

Jedným z benefitov je aj DDoS ochrana. Čo je to DDoS?

Princíp DDoS útoku je jednoduchý – snaží sa systém zahltiť takým množstvom požiadaviek z mnohých miest súbežne, že to cieľový systém prestane stíhať a stáva sa nedostupným. Dnes čelíme DDoS útokom so silou 170Gbps+ a ich sila postupne narastá. Technológia IP anycast s vhodne vybranými lokalitami pomôže v boji s týmito útokmi tým, že vysokú prevádzku rozloží do viacerých lokalít, teda sa ľahšie zvláda filtrovať a obslúžiť bez zahltenia. Zároveň zadržiava veľkú časť útoku čo najbližšie jeho zdroju. Takže ak útok pochádza napríklad primárne z Ázie, tak jeho podstatná časť v Ázii zostane a do našich hlavných datacentier v Európe už dorazí len menšia časť, ktorú zvládneme obslúžiť bez dopadu na dostupnosť služby.

Čo všetko je potrebné riešiť, ak zistíme, že sme terčom DDoS útoku?

Ak všetko funguje tak, ako má, dokáže infraštruktúra útoku čeliť bez nutnosti ručného zásahu – rozsiahly útok je rozložený na niekoľko menších, tieto časti sú v cieľových lokalitách ďalej filtrované a zvyšok je obslúžený vďaka výraznému naddimenzovaniu konektivity a HW. V prípade, že niektoré čiastkové opatrenia zlyhajú, sme schopní si prevádzku prelievať podľa potreby tam, kde ju lepšie vyfiltrujeme/obslúžime alebo kde nebude mať negatívny vplyv na samotné služby, a to úplne transparentne.

Ako to pocítia naši zákazníci?

Používatelia služieb na doménach našich zákazníkov budú automaticky ťažiť z rýchlejšej odozvy systému a zároveň sa zákazníci môžu spoľahnúť, že služby na ich doméne budú dostupné aj v prípade veľmi silných DDoS útokov.

DNS servery sú len v našej internej infraštruktúre alebo aj u iných providerov?

Nejedná sa už o jednotlivé servery ale o celé stacky, ktoré sa skladajú z niekoľkých serverov v rôznych úlohách. Každopádne kostru infraštruktúry tvoria silné stacky v primárnych datacentrách našej hostingové skupiny (v CEE a Nordics), kde je špičková konektivita a tiež tzv. scrubbing (systémy filtrujúce DDoS útoky). Ďalej ich dopĺňajú menšie stacky hostované mimo Európy, ktorých lokality vytipováváme z reálnej prevádzky a reálnych útokov – s ohľadom na minimalizáciu latencie a čo najväčšie priblíženie sa zdrojom útokov, ktoré si potom tieto vzdialené stacky stiahnu na seba.

Čo si pod tým reálne môžeme predstaviť –  sú to fyzické servery, virtuálne servery, alebo distribuované služby?

Jednotlivé stacky sa svojou veľkosťou líšia. Tie väčšie sa skladajú z niekoľkých fyzických serverov v rôznych úlohách sa silnou konektivitou, tie najmenšie využívajú jeden fyzický server s virtualizáciou.

Zmenilo sa niečo pre naše datacentrá?

Snáď len dôraz na silnú konektivitu a kvalitný scrubbing (filtrovanie DDoS útokov).

Čo nová DNS infraštruktúra a konkurencia v regióne? Využíva niekto podobné riešenie?

Nie sme prví, kto v CEE regióne využíva IP anycast, ale trúfam si tvrdiť, že sme jediní, kto buduje takto rozsiahlu a robustnú infraštruktúru schopnú servírovať až 5 miliónov DNS zón (tj. 5 miliónov zákazníckych domén).

Odkedy je nová DNS infraštruktúra v prevádzke a pre koho je dostupná?

DNS infraštruktúru uvádzame do produkcie postupne. Prvá sa dotkne terciálneho DNS serveru NS3 (ns3.websupport.cz/hu/sk, resp. ns3.webonic.hu) a to v polovici októbra 2021. V priebehu jesene je v pláne vybudovať ďalšie dva stacky a prepnúť na novú infraštruktúru tiež NS2. Ako posledný príde na rad NS1 potom, čo bude pridaný ďalší silný stack. Ďalší rozvoj infraštruktúry v roku 2022 aktuálne plánujeme – overujeme dostupnosť už postavenej infraštruktúry z celého sveta a podľa toho vytipovávame lokality pre ďalšie stacky.