Upload
proidea
View
272
Download
7
Embed Size (px)
Citation preview
Vectra i Infoblox Advanced DNS ProtectionHistoria sukcesu pewnego wdrożenia…
Tomasz Parol (Vectra), Rafał Szewczyk(Infoblox)
Warszawa, 02.03.2015
O czym by tu dzisiaj…
Mała retrospekcja
DNS w Vectra dawniej i dziś
Trochę o wdrożeniu
Co jeszcze można zrobić?
Dlaczego było warto zrobić ten projekt?
Vectra – w liczbach
Drugi co do wielkości operator kablowy w Polsce
Świadczymy usługi w 216 miastach dla prawie 1 000 000 klientów
Ponad 918 tyś. abonentów telewizji w tym 612 tyś. cyfrowych
Ponad 500 tys. abonentów usługi dostępu do sieci Internet
Ponad 182 tys. abonentów telefonicznych.
Infoblox and Service Providers
5
Dedicated SP Business Unit
• Dedicated Sales, SEs, Marketing, Engineering, Product Mgmt
Market leadership
• #1 in DNS Caching; First DNS Firewall
• Competition in decline
IPO April 2012 NYSE (BLOX) $225M Revenue; $2B Market Cap
Dedicated SP product line
• Leads Industry with >1M DNS qps and Advanced DDoS protection
• Carrier-grade solution adopted at major Tier 1 providers
223 Service Providers; 55,000+ systems shipped; 6700+ Enterprises
Total Revenue (Fiscal Year Ending July 31)
$35.0
$56.0$61.7
$102.2
$132.8
$169.2
$225.0
$0
$50
$100
$150
$200
$250
FY2007 FY2008 FY2009 FY2010 FY2011 FY2012 FY2013
LAT
Brazil:
Oi Telecom
Telefonica (VIVO)
Hispamar
Rest of LAT:
Claro Chile
Claro Ecuador
TIGO Salvador
Digitel Venezuela
Telefonica Colombia
Telesur Suriname
Cable Bahamas
Cable and Wireless Anguilla
Telefonica del Sur Chile
Entel PCS Chile
Entel S.A Chile
Movistar Mexico
Cablemas Mexico
Cablevision Mexico
Telefonica Argentina
Austr. & NEW ZEALAND
Vodafone Australia
Vodafone New Zealand
Telstra Services
Asia Pacific
Greater China
Taiwan Mobile – External DNS
Smartone-Vodafone (Hong Kong) – External DNS
China Unicom
Railcom (China) – Internal DNS
SK Telecom (Mobile Carrier)
TBroad (MSO – Multi Service Operator)
Bharti
Packet-1 (WiMax SP, Malaysia)
Asiaspace (WiMax Service Provider, Malaysia)
Celcom (Mobile Carrier, Malaysia)
Telkomsel (Mobile Carrier, Malaysia)
HCPT (Hutchinson, Mobile Carrier, Indonesia)
Emtel (ISP, Indonesia)
SingTel (Carrier & Mobile, Singapore)
Thai Mobile (Mobile Carrier, Thailand)
CAT (Carrier & Mobile, Thailand)
DTAC (Mobile Carrier, Thailand)
True Internet (ISP, Wi-Fi, Mobile, Thailand)
TOT Broadband (ISP, Thailand)
Unitech (Mobile Carrier, India)
Datacom (Mobile Carrier, India)
IDEA Cellular (India)
EMEA
AVEA (Turkey)
Brennercom (Italy)
Belgacom
Cable & Wireless
EMTEL (Maurisius)
Gabon Telecom (GABON)
KPN
Orange
O2 (ISP)
Orascom (Tunisia)
Base
Brutele
BT
Bouygues
Maroc Telecom (Morroc)
Meditel (Morroco)
Mauritel (Mauritania)
SFR
Sunrise (Switzerland)
Sotelma (Mali)
Telia
Telecom Italia
TurkCell (Turkey)
Vodafone – multiple countries
Telefonica
Wind
NORTH AMERICA
AT&T
Bell Alliant
Bell Canada
Bell Mobility
BellSouth Communications (AT&T)
Cablevision
CenturyTel
Cincinnati Bell
Direct TV
Fairpoint Communications
IdeaOne Telecom
IP Networks
L-3 Communications
MTS Allstream
Research in Motion
Sprint/Nextel
Sprint/PCS
T-Mobile
TELUS
Verizon Wireless
Global Service Provider Customers
Szybkie testy DNS – po marcowym PLNOG
Szybkie testy DNS – Publicznego DNS (authoritative)Secondary DNS serverImport danych z named.conf … i już działa
Przy okazji testy DNS Caching (recursive) dla jednego miastaAdresacja, routingImport ACL … i już działa
Na lekko, bez zobowiązań i wielkich planów
Nic nie zapowiadało….że kiedyś te testy jeszcze się przydadzą… ;-)
Dodajmy oś czasu.
19 wrzesień 2014 – RFP/RFQ
30 październik 2014 – Zamówienie
7 listopada 2014 – Dostawa (tak, dosłownie kilka dni).
Listopad 2014 – Tomek tupie nogami…
Czas to uruchomić bo ataki dalej się pojawiają.
Ludzie z Infoblox Professional Services dostępni w grudniu…
Dodajmy oś czasu.
10 listopad 2014 – W nocy o 0:37 zabieramy się do pracy.To już w sumie 11.11 ;-)
Koło 1:20 odpuszczamy. Trzeba przepiąć kabelki.Telekinezę mamy na poziomie „Beginner” ;-)
Dodajmy oś czasu.
11 Listopada 2014 – Ustalamy od nowa adresację IP ;-)
Koło 18:40 wracamy do pracy. O 18:50 system działa w 2miastach.Następnego dnia odpalamy resztę sieci.
Dodajmy oś czasu.
25 listopada – Pierwszy call z projekt managerem z ProfessionalServices. Nie wyprowadzamy nikogo z błędu ;-)
01 grudnia – Planowa akcja z Professional Services.Więcej czasu na szkolenie i tuning.
DNS w Vectra - przed
Farma serwerów DNS (bind) w kilku miejscach sieci
W większości maszyny VM
Testy DNS Anycast bez dobrego finału ze względu nawykrywanie awarii usługi DNS przez routery (health check)
Rozkład geograficzny dla klientów serwer 1 + serwer 2
Challenges for Service Providers
ENHANCE THE CUSTOMER
EXPERIENCESECURE THE NETWORK
Mobile. Wireline. Cloud.
INFOBLOX HELPS TELCOS, ISPs and MOBILE OPERATORS CONTROL
THEIR NETWORKS with ROBUST IP SERVICES
IMPROVE OPERATIONAL
EFFICIENCY
Infoblox Differentiation and ValueInfoblox Advanced
DNS Protection
Load
Balancers
Pure
DDoS
Next-gen
FirewallsIPS Cloud
Dedicated compute for
threat mitigation
General DDoS
DNS DDoS
DNS amplification
DNS reflection
NXDOMAIN
DNS server OS and
application vulnerabilities
DNS semantic attacks
Cache poisoning
DNS tunneling
DNS hijacking
Volumetric/DDoS AttacksDNS-specific Exploits
Security Built-in to
the DNS Infrastructure
Use Cases
• Enterprise Customers
• External authoritative DNS
server
• Internal DNS- Enterprise /
Universities with open
networks
• Service Providers
• Recursive Caching
• Authoritative DNS services
21
DNS Server DNS Server
Security
DNS ServerInfoblox PT-
Appliances
Protection against
DNS threats
Serve DNS
queries under
attack
Internet
Traditional security appliances mitigate only partial attacks against DNS
DNS CachingProtection against attacks on caching servers
Advanced DNS Protection can secure DNS Caching Servers from DNS Floods and other threats
Large number of bots make more requests of the DNS server than it can handle
Causes the DNS server to drop inbound DNS requests
Advanced Appliances
Come in Four Physical Platforms
Advanced Appliances have next-generation programmable processors that provide dedicated compute for threat mitigation.
The appliances offer both AC and DC power supply options.
Performance:
50 000 qps
143 000 qps
200 000 qps
up to 1 000 000 qps
Devices vs Solutions
Dedicated vs Self made.
Dedicated DNS Cache appliance does not stop answering queries from cache
when capacity limits are reached for cache misses
24
Bind HW DNS Cache
Avg. Latency (Seconds)
a
Dla czego powstał ten projekt?
Dlaczego Infoblox?
DNS nie może przestać działać nawet podczas ataku, w przeciwnym wypadku mamy przerwy w dostępie do usług Internet i Telefon.
Dlaczego rozwiązanie Infoblox?
Lider na rynku rozwiązań DNS z ochroną przeciw DDoS. Działa nawet podczas ataku. Dedykowane i wykorzystywane rozwiązanie przez operatorów (referencje – również
w PL). Raportuje szczegóły ataku według: typu, źródła/klienta, reguł, ważności, czasu. Pozwala na wgląd w źródło/fyp ataku w celu powstrzymania i zrozumieniu skali i
krytyczności oraz pokazanie tego na osi czasu (historia).
Łatwa i szybka implementacja w sieci Vectry. Genialna prostota i łatwość zarządzania. Ochrona inwestycji – możliwość zwiększenia wydajności za pomocą licencji.
Wdrożone rozwiązanie
Wymiana tradycyjnych serwerów DNS na dedykowane rozwiązanie Infoblox Advanced DNS Protection.
System wdrożony 12.11.2014
Z systemu korzysta już 100% naszych abonentów
W szczycie odpowiada na ok. 50tyś zapytań na sekundę
Dziennie obsługuje ok. 2mld zapytań
Raportuje szczegóły ataku według: typu, użytkownika, reguł, ważności, czasu
Pozwala na wgląd w źródło ataku w celu powstrzymania i zrozumieniu skali i jego
krytyczności.
Tylko przez pierwszy miesiąc system:
Udaremnił w sumie ok. 6 milionów zdarzeń na różnym poziomie zabezpieczeń
zdarzenia testujące sprawdzające zabezpieczenia naszych systemów DNS
zdarzenia występujące w innych sieciach, do których system ma dostęp on line
zdarzenia mające cechy celowego/bezpośredniego ataku
W dniach 10-13 grudnia skutecznie oparł się atakowi DDoS pochodzącym z domen
zarejestrowanych w Chinach.
Funkcjonalność HW DNS Cache pozwala na utrzymywanie w pamięci większościadresów, o które pytają abonenci. Poniżej wykres cache ratio oraz utylizacjaprocesorów w czasie ataków.
CacheHit Ratio
CPU
Efekt końcowy to brak zaburzeń w działaniu systemu DNS
i jednocześnie działania usługi dostępu do sieci Internet mimo ataków DDoS
Co jeszcze można zrobić?
Uruchomienie DNS Anycast dla IPv4 i IPv6
Powiadamianie/przekierowywanie najbardziej aktywnych„atakujących” klientów
Usługa zabezpieczonego DNS - DNS Firewall
Autorytatywny DNS