Hlavní navigace

Upgrade DNS serverů domény .CZ: ISP stacky a jejich nasazení

Václav Steiner

Na začátku roku 2017 jsme začali pracovat na projektu celkového posílení infrastruktury autoritativních DNS serverů zabezpečujících provoz .CZ domény. Hlavní motivací bylo zvýšit odolnost DNS infrastruktury proti DoS útokům.

Doba čtení: 2 minuty

minulém díle seriálu o posilování DNS infrastruktury jsem se zmínil o různých konfiguracích DNS stacků a jejich plánovaných použití. Speciální variantou je ISP DNS stack, uvažovaný jako doplněk k velkým uzlům v České republice, a představuje tak další možnosti rozšiřování DNS infrastruktury. Toto řešení již provozuje např. SIDN.NL, správce nizozemské domény .NL.

Jak se liší ISP DNS stack od ostatních variant? ISP DNS stack je umístěn přímo v interní síti poskytovatele internetového připojení (dále jen „ISP“) v České republice a do této sítě propaguje DNS anycast prefix/y. Vyhrazujeme si právo definovat, který anycast prefix bude využit a současně jej v průběhu času změnit za jiný. ISP však nemá povoleno tento prefix propagovat dále do svých upstreamů nebo svým peerům. ISP DNS stack je primárně určen těm subjektům, které poskytují internetové služby (nebo jsou správci obsahu) většímu množství zákazníků a jsou tedy z našeho pohledu významnými konzumenty DNS provozu.

Výhodou umístění tohoto DNS stacku v síti ISP je plná dostupnost .CZ zóny a to i v případě DDoS útoků proti veřejným autoritativním DNS serverům. Vzhledem k principu DNS anycastu umístění ISP DNS stacku v interní síti ISP zvyšuje propustnost dotazů a zrychluje jejich odezvy.

Navrhli jsme dvě varianty ISP DNS stacků:

Schéma zapojení obou variant:

Pro některé ISP je dostatečným řešením varianta ISP mini, tedy jeden server, který je schopen obsloužit přibližně 100 milionů DNS požadavků za den. Pokud ISP provozuje svoji síť ve více datacentrech, doporučujeme umístit tuto DNS instanci do každého z nich. V případě vyššího objemu DNS požadavků pak nabízíme variantu s pěti servery, které dokáží odbavit právě trojnásobek DNS provozu. Tato varianta je v podstatě Malý DNS stack, pouze s jedním 10G portem.

Jak to funguje v praxi? O správu ISP DNS stacku se staráme výhradně my a to ve smyslu provozu operačního systému a všech na něm běžících služeb, včetně monitoringu. ISP zajišťuje nákup, provoz a umístění HW ve vlastní síti, konektivity do Internetu včetně potřebných IP rozsahů a nastavení BGP sessions. Společně s požadavky na provoz DNS uzlu doporučujeme konkrétní řadu serveru/ů a také kompletní HW konfiguraci. Je samozřejmostí, že šifrujeme pevné disky, aby nedošlo fyzickým přístupem a nebo v rámci výměny disku k úniku dat.

SLA domlouváme v rozsahu NBD a to ve smyslu řešení problémů s provozem operačního systému a poskytování DNS služeb. Tuto službu chápeme pro daného ISP jako doplňkovou a tedy výpadek uzlu neznamená v žádném případě nefunkčnost DNS služeb. DNS požadavky budou automaticky směrovány na naše DNS anycast servery. Z tohoto pohledu uvažujeme tento model podpory jako dostatečný.

MIF18 tip v článku témata

První společnosti, které hostují ISP DNS Stack, jsou Seznam.cz a Vodafone. Objem DNS požadavků za sekundu v uplynulém měsíci ukazuje přiložený graf.

(Původně napsáno pro blog CZ.NIC.)

Našli jste v článku chybu?