Vectra i Infoblox Advanced DNS ProtectionHistoria sukcesu pewnego wdrożenia…

Tomasz Parol (Vectra), Rafał Szewczyk(Infoblox)

Warszawa, 02.03.2015

O czym by tu dzisiaj…

Mała retrospekcja

DNS w Vectra dawniej i dziś

Trochę o wdrożeniu

Co jeszcze można zrobić?

Dlaczego było warto zrobić ten projekt?

Vectra – w liczbach

Drugi co do wielkości operator kablowy w Polsce

Świadczymy usługi w 216 miastach dla prawie 1 000 000 klientów

Ponad 918 tyś. abonentów telewizji w tym 612 tyś. cyfrowych

Ponad 500 tys. abonentów usługi dostępu do sieci Internet

Ponad 182 tys. abonentów telefonicznych.

Vectra – o sieci

Infoblox and Service Providers

5

Dedicated SP Business Unit

• Dedicated Sales, SEs, Marketing, Engineering, Product Mgmt

Market leadership

• #1 in DNS Caching; First DNS Firewall

• Competition in decline

IPO April 2012 NYSE (BLOX) $225M Revenue; $2B Market Cap

Dedicated SP product line

• Leads Industry with >1M DNS qps and Advanced DDoS protection

• Carrier-grade solution adopted at major Tier 1 providers

223 Service Providers; 55,000+ systems shipped; 6700+ Enterprises

Total Revenue (Fiscal Year Ending July 31)

$35.0

$56.0$61.7

$102.2

$132.8

$169.2

$225.0

$0

$50

$100

$150

$200

$250

FY2007 FY2008 FY2009 FY2010 FY2011 FY2012 FY2013

LAT

Brazil:

Oi Telecom

Telefonica (VIVO)

Hispamar

Rest of LAT:

Claro Chile

Claro Ecuador

TIGO Salvador

Digitel Venezuela

Telefonica Colombia

Telesur Suriname

Cable Bahamas

Cable and Wireless Anguilla

Telefonica del Sur Chile

Entel PCS Chile

Entel S.A Chile

Movistar Mexico

Cablemas Mexico

Cablevision Mexico

Telefonica Argentina

Austr. & NEW ZEALAND

Vodafone Australia

Vodafone New Zealand

Telstra Services

Asia Pacific

Greater China

Taiwan Mobile – External DNS

Smartone-Vodafone (Hong Kong) – External DNS

China Unicom

Railcom (China) – Internal DNS

SK Telecom (Mobile Carrier)

TBroad (MSO – Multi Service Operator)

Bharti

Packet-1 (WiMax SP, Malaysia)

Asiaspace (WiMax Service Provider, Malaysia)

Celcom (Mobile Carrier, Malaysia)

Telkomsel (Mobile Carrier, Malaysia)

HCPT (Hutchinson, Mobile Carrier, Indonesia)

Emtel (ISP, Indonesia)

SingTel (Carrier & Mobile, Singapore)

Thai Mobile (Mobile Carrier, Thailand)

CAT (Carrier & Mobile, Thailand)

DTAC (Mobile Carrier, Thailand)

True Internet (ISP, Wi-Fi, Mobile, Thailand)

TOT Broadband (ISP, Thailand)

Unitech (Mobile Carrier, India)

Datacom (Mobile Carrier, India)

IDEA Cellular (India)

EMEA

AVEA (Turkey)

Brennercom (Italy)

Belgacom

Cable & Wireless

EMTEL (Maurisius)

Gabon Telecom (GABON)

KPN

Orange

O2 (ISP)

Orascom (Tunisia)

Base

Brutele

BT

Bouygues

Maroc Telecom (Morroc)

Meditel (Morroco)

Mauritel (Mauritania)

SFR

Sunrise (Switzerland)

Sotelma (Mali)

Telia

Telecom Italia

TurkCell (Turkey)

Vodafone – multiple countries

Telefonica

Wind

NORTH AMERICA

AT&T

Bell Alliant

Bell Canada

Bell Mobility

BellSouth Communications (AT&T)

Cablevision

CenturyTel

Cincinnati Bell

Direct TV

Fairpoint Communications

IdeaOne Telecom

IP Networks

L-3 Communications

MTS Allstream

Research in Motion

Sprint/Nextel

Sprint/PCS

T-Mobile

TELUS

Verizon Wireless

Global Service Provider Customers

Szybkie testy DNS – po marcowym PLNOG

Szybkie testy DNS – Publicznego DNS (authoritative)Secondary DNS serverImport danych z named.conf … i już działa

Przy okazji testy DNS Caching (recursive) dla jednego miastaAdresacja, routingImport ACL … i już działa

Na lekko, bez zobowiązań i wielkich planów

Nic nie zapowiadało….że kiedyś te testy jeszcze się przydadzą… ;-)

Szybkie testy DNS

Pewnego dnia…

9

Dodajmy oś czasu.

19 wrzesień 2014 – RFP/RFQ

30 październik 2014 – Zamówienie

7 listopada 2014 – Dostawa (tak, dosłownie kilka dni).

Listopad 2014 – Tomek tupie nogami…

Czas to uruchomić bo ataki dalej się pojawiają.

Ludzie z Infoblox Professional Services dostępni w grudniu…

Dodajmy oś czasu.

10 listopad 2014 – W nocy o 0:37 zabieramy się do pracy.To już w sumie 11.11 ;-)

Koło 1:20 odpuszczamy. Trzeba przepiąć kabelki.Telekinezę mamy na poziomie „Beginner” ;-)

Dodajmy oś czasu.

11 Listopada 2014 – Ustalamy od nowa adresację IP ;-)

Koło 18:40 wracamy do pracy. O 18:50 system działa w 2miastach.Następnego dnia odpalamy resztę sieci.

Dodajmy oś czasu.

25 listopada – Pierwszy call z projekt managerem z ProfessionalServices. Nie wyprowadzamy nikogo z błędu ;-)

01 grudnia – Planowa akcja z Professional Services.Więcej czasu na szkolenie i tuning.

DNS w Vectra - przed

Farma serwerów DNS (bind) w kilku miejscach sieci

W większości maszyny VM

Testy DNS Anycast bez dobrego finału ze względu nawykrywanie awarii usługi DNS przez routery (health check)

Rozkład geograficzny dla klientów serwer 1 + serwer 2

DNS w Vectra - po

Topologia systemu

DNS w Vectra - dzisiaj

Logika połączeń

DNS w Vectra - dzisiaj

Rozkład protokołów

© 2010 Infoblox Inc. All Rights Reserved.

ADP == Advanced DNS Protection

Challenges for Service Providers

ENHANCE THE CUSTOMER

EXPERIENCESECURE THE NETWORK

Mobile. Wireline. Cloud.

INFOBLOX HELPS TELCOS, ISPs and MOBILE OPERATORS CONTROL

THEIR NETWORKS with ROBUST IP SERVICES

IMPROVE OPERATIONAL

EFFICIENCY

Infoblox Differentiation and ValueInfoblox Advanced

DNS Protection

Load

Balancers

Pure

DDoS

Next-gen

FirewallsIPS Cloud

Dedicated compute for

threat mitigation

General DDoS

DNS DDoS

DNS amplification

DNS reflection

NXDOMAIN

DNS server OS and

application vulnerabilities

DNS semantic attacks

Cache poisoning

DNS tunneling

DNS hijacking

Volumetric/DDoS AttacksDNS-specific Exploits

Security Built-in to

the DNS Infrastructure

Use Cases

• Enterprise Customers

• External authoritative DNS

server

• Internal DNS- Enterprise /

Universities with open

networks

• Service Providers

• Recursive Caching

• Authoritative DNS services

21

DNS Server DNS Server

Security

DNS ServerInfoblox PT-

Appliances

Protection against

DNS threats

Serve DNS

queries under

attack

Internet

Traditional security appliances mitigate only partial attacks against DNS

DNS CachingProtection against attacks on caching servers

Advanced DNS Protection can secure DNS Caching Servers from DNS Floods and other threats

Large number of bots make more requests of the DNS server than it can handle

Causes the DNS server to drop inbound DNS requests

Advanced Appliances

Come in Four Physical Platforms

Advanced Appliances have next-generation programmable processors that provide dedicated compute for threat mitigation.

The appliances offer both AC and DC power supply options.

Performance:

50 000 qps

143 000 qps

200 000 qps

up to 1 000 000 qps

Devices vs Solutions

Dedicated vs Self made.

Dedicated DNS Cache appliance does not stop answering queries from cache

when capacity limits are reached for cache misses

24

Bind HW DNS Cache

Avg. Latency (Seconds)

a

Dla czego powstał ten projekt?

Dlaczego Infoblox?

DNS nie może przestać działać nawet podczas ataku, w przeciwnym wypadku mamy przerwy w dostępie do usług Internet i Telefon.

Dlaczego rozwiązanie Infoblox?

Lider na rynku rozwiązań DNS z ochroną przeciw DDoS. Działa nawet podczas ataku. Dedykowane i wykorzystywane rozwiązanie przez operatorów (referencje – również

w PL). Raportuje szczegóły ataku według: typu, źródła/klienta, reguł, ważności, czasu. Pozwala na wgląd w źródło/fyp ataku w celu powstrzymania i zrozumieniu skali i

krytyczności oraz pokazanie tego na osi czasu (historia).

Łatwa i szybka implementacja w sieci Vectry. Genialna prostota i łatwość zarządzania. Ochrona inwestycji – możliwość zwiększenia wydajności za pomocą licencji.

Wdrożone rozwiązanie

Wymiana tradycyjnych serwerów DNS na dedykowane rozwiązanie Infoblox Advanced DNS Protection.

System wdrożony 12.11.2014

Z systemu korzysta już 100% naszych abonentów

W szczycie odpowiada na ok. 50tyś zapytań na sekundę

Dziennie obsługuje ok. 2mld zapytań

Raportuje szczegóły ataku według: typu, użytkownika, reguł, ważności, czasu

Pozwala na wgląd w źródło ataku w celu powstrzymania i zrozumieniu skali i jego

krytyczności.

Tylko przez pierwszy miesiąc system:

Udaremnił w sumie ok. 6 milionów zdarzeń na różnym poziomie zabezpieczeń

zdarzenia testujące sprawdzające zabezpieczenia naszych systemów DNS

zdarzenia występujące w innych sieciach, do których system ma dostęp on line

zdarzenia mające cechy celowego/bezpośredniego ataku

W dniach 10-13 grudnia skutecznie oparł się atakowi DDoS pochodzącym z domen

zarejestrowanych w Chinach.

Funkcjonalność HW DNS Cache pozwala na utrzymywanie w pamięci większościadresów, o które pytają abonenci. Poniżej wykres cache ratio oraz utylizacjaprocesorów w czasie ataków.

CacheHit Ratio

CPU

Efekt końcowy to brak zaburzeń w działaniu systemu DNS

i jednocześnie działania usługi dostępu do sieci Internet mimo ataków DDoS

Co jeszcze można zrobić?

Uruchomienie DNS Anycast dla IPv4 i IPv6

Powiadamianie/przekierowywanie najbardziej aktywnych„atakujących” klientów

Usługa zabezpieczonego DNS - DNS Firewall

Autorytatywny DNS

Dziękujemy za uwagę.

Pytania?

Tomasz Parol – Vectrat.parol@vectra.pl

Rafał Szewczyk – Infobloxrszewczyk@infoblox.com