Jak jsme již několikrát avizovali, po masivních upgradech DNS anycastu pro .CZ doménu v posledních letech a vybudování 100GE DNS infrastruktury se nyní zaměřujeme spíše na cílené ladění provozu anycastu. Snažíme se tak například spouštět nové DNS stacky v místech zdrojů významného DNS provozu, a to jak v zahraničí, tak v České republice. Spuštění DNS stacku v síti CESNETu na začátku dubna budiž této naší činnosti důkazem.
V síti české akademické e-infrastruktury CESNET jsme zprovoznili tzv. ISP DNS Stack, o kterém jsme už na našem blogu psali. Kolegové ze sdružení CESNET se k nasazení ISP DNS Stacku ve své síti rozhodli zejména proto, aby zajistili větší bezpečnost v případě útoků na DNS infrastrukturu a z důvodů zajištění vyšší kvality služeb pro své uživatele.
ISP DNS stack je označení pro instanci autoritativního DNS serveru obsahující .CZ zónu v interní síti cizího subjektu, typicky poskytovatele připojení (proto tedy „ISP“). Tuto službu poskytujeme primárně velkým ISP (před CESNETem jsme již spustili Vodafone a Seznam.cz), kteří poskytují internetové služby většímu množství zákazníků a jsou tedy z našeho pohledu významným uživatelem DNS provozu. ISP DNS stack propaguje anycast prefix právě jednoho z CZ.NIC DNS anycastů do sítě takového poskytovatele připojení, avšak ten nemá povolen tento prefix propagovat dále do svých upstreamů nebo svým peerům. Je tedy určen výhradně pro síť poskytovatele připojení.
Hlavní výhodou provozu takové DNS instance z pohledu ISP je plná dostupnost služby DNS v případě útoku proti našim veřejným autoritativním DNS serverům. Zákazník v síti ISP tak není útokem ovlivněn a služba DNS je pro něj plně dostupná. Vzhledem k principu anycastu snižuje sekundárně umístění ISP DNS stacku v síti ISP latenci a pomáhá zrychlení odezev DNS dotazů zákazníkům v síti ISP.
Naopak výhodou pro nás je, že pokud by došlo k útoku na ISP DNS Stack z interní sítě ISP, bude ukončen pouze na této DNS instanci. Útok se tak dále nešíří, tedy nedochází k ovlivnění veřejných autoritativních DNS serverů. Současně může ISP na tuto událost reagovat, útok řešit a nezávadný DNS provoz přesměrovat na naše veřejné autoritativní DNS servery.
Pro většinu ISP, a je to tak i v případě CESNETu, postačuje pro vybudování ISP DNS Stacku jeden nezávislý DNS server, viz obrázek níže, který je schopen obsloužit řádově jednotky milionů DNS požadavků za sekundu. Jedná se o takzvanou základní variantu ISP DNS stacku.
V případě vyššího objemu DNS požadavků umíme řešení rozšířit, konkrétně například na řešení z pěti serverů na takzvanou Rozšířenou varianta ISP DNS stacku s oddělenými službami (3x DNS server, 1x management a monitoring server, 1x router), který dokáže obsloužit trojnásobek DNS provozu.
Konkrétně ISP DNS stack CESNETu je umístěn v datovém centru ČRa Tower na pražském Žižkově a provozován na serveru Dell PowerEdge R640. Ten je osazen dvěma Intel Xeon Silver 4110 procesory, každé nabízí 8 jader s technologií Hyper-threading a taktovací frekvenci 2,10 GHz. Dále disponuje 32GB RAM, HW diskovým řadičem, 3x 300GB SAS 15k disky (jeden z nich je použit jako hot-spare), dvouportovou 1GE síťovou kartou Intel i350 a dvouportovou 10GE síťovou kartou Intel X710 SFP+. Jsme rádi, že se i zde podařilo dodržet diverzitu dodavatele a modelu serveru, neboť u starších ISP DNS stacků je použit buď server HPE ProLiant nebo Dell PowerEdge jiné/starší řady.
Server má OOB interface (rozhraní pro správu serveru) a MGMT interface (iDrac remote-management) připojen pomocí 1GE linek do Internetu. Rozhraní iDrac je jako jediné filtrováno na firewallu CESNETu výhradně na vybrané IP prefixy CZ.NIC a současně je dostupné pouze po IPv6. Ostatní síťová rozhraní filtrujeme již sami pomocí linuxového firewallu iptables. Server je připojen přímo do páteřní infrastruktury CESNETu na router, kde je navázáno BGP spojení. Komunikace s DNS serverem probíhá pouze a jedině ze sítě CESNET, kde je zároveň aplikována ochrana proti DDoS útokům.
Server je výhradně v naší správě a jelikož je umístěn v racku, kam naši administrátoři nemají fyzický přístup, veškeré záležitosti spojené s provozem hardware (monitoring, servis apod.) zajišťují kolegové z CESNETu. My se staráme o veškerou softwarovou implementaci. Samozřejmostí je šifrovaný filesystém pomocí technologie LUKS. Na serveru běží Debian Linux 10, jako routovací/BGP démon je použit Bird a jako DNS démon KNOT DNS. Server získává aktualizace .CZ zóny standardním způsobem, tedy pomocí AXFR z našich hidden-master DNS serverů. Do sítě CESNET se oznamuje DNS anycast C (194.0.14.1/24 + 2001:678:11::1/48). Tento anycast byl pro všechny ISP DNS stacky vybrán záměrně, protože není oznamován z žádného veřejného DNS stacku v České republice a je dostupný výhradně z vybraných zahraničních lokalit.
Jsme moc rádi, že nám ISP DNS Stacky přibývají, děkujeme CESNETu za možnost v této oblasti spolupracovat! Pro další zájemce jsme zpracovali podrobnější dokument, který popisuje, jak technické detaily, tak náklady na provoz. Jen podotýkám, že sleva pro sítě zapojené ve FENIXu je i nadále platná! Rádi se ale určitě budeme věnovat nejen FENIXářům! :)
Neco je lepsi, neco horsi. Zatimco drive „c.ns.nic.cz“ byval dostupny skrze Cesnet/ACOnet s cca 12ms latenci (ktery je Cesnetem v NIX.CZ obecne propagovan), nove je tato instance viditelna „az“ z Londyna, tedy s 30+ms latencemi.
Já mám ping stále 10ms ……………
Tak ja to take v mezicase hloubeji analyzoval. Ano, treba na IPv6 to obecne pozorovat nejde – diky „free“ tranzitu, co poskytuje kdekomu HE.net a pres ktery je vidensky node c.ns.nic.cz i sitim v NIX.CZ propagovany. Postizene nejsou ani site majici bud svuj vlastni propoj do VIXu a nebo alespon peering se SANETem (tedy pritomnych v SIX.SK). Ale ti co doposud po IPv4 lezli k c.ns.nic.cz pres CESNET holt ted maji smulu a musi se smirit s vyssim RTT :-) Coz neni zanedbatelne, spousta ISP u nas IPv6 bohuzel ponekud bojkotuje.