Security

SecureDNS

Jak działa tradycyjny DNS?

 

Najczęściej DNS działa w jednym z dwóch modeli:

  • serwery DNS obsługujące domenę klienta (tzw. serwery autorytatywne) znajdują się w infrastrukturze klienta, w tej samej lokalizacji co jego inne usługi (to samo łącze).
  • serwery znajdują się w infrastrukturze dostawcy DNS (np. home.pl), a klient przesyła jedynie „zawartość” domen do dostawcy.
 
Jak działa secureDNS?

 

Podczas ataku DDoS, kiedy zapytań DNS są miliony, serwer - a często także jego łącze - zostają skutecznie zablokowane. Usługa SecureDNS zapobiega takim sytuacjom poprzez geograficzne rozproszenie zapytań - trafią one zawsze do najbliższego geograficznie węzła-klastra, jak zobrazowano na poniższym rysunku:

securedns.png

Orange Polska używa technologii „anycast” - sprawdzonej i działającej w internecie od wielu lat. W tej technologii pracują światowe sieci serwujące np. domenę .com czy .pl. SecureDNS składa się z ponad 50 zabezpieczonych przeciw atakom DDoS węzłów, znajdujących się zarówno w sieci Orange Polska, jak i w innych sieciach w Polsce i na świecie, w 30 krajach na 5 kontynentach.

 
Korzyści:

Zwiększone bezpieczeństwo i stabilność każdy atak DDoS zostanie rozproszony po całym świecie, dzięki czemu nie pojawią się miejsca zbyt wielkiej koncentracji ruchu, w szczególności atak nie dotknie infrastruktury/łącza klienta.

Większa niezawodność i dostępność usługi DNS awaria jednego z węzłów anycast nie ma wpływu na działanie innych węzłów - zapytania DNS zostaną przekierowane do nich automatycznie i infrastruktura będzie dalej udzielała odpowiedzi.

Szybkość działania odpowiedzi z najbliższego sieciowo węzła będą przychodziły maksymalnie szybko, po najkrótszej możliwej trasie, bez zbędnej zwłoki wprowadzanej przez długie trasy w sieci.

Możliwość likwidacji serwerów DNS w infrastrukturze klienta zmniejsza to koszty i niweluje potencjalne słabe punkty, narażone na włamania do sieci klienta.

Łatwość użycia i szybka konfiguracja SecureDNS wykorzystuje znane i standardowe protokoły DNS jak AXFR, NOTIFY, DNS UPDATE itp.

Geolokalizacja odpowiedzi w odpowiedzi na pytanie np. o stronę WWW SecureDNS potrafi zwrócić inny adres IP w zależności od kraju z którego pochodzi zapytanie - dzięki temu, można w łatwy sposób zrealizować globalny "load-balancing".

Wsparcie dla DNSSEC i IPv6 SecureDNS domyślnie wspiera powszechnie stosowane standardy branżowe, takie jak DNSSEC i IPv6.