Thursday, 20 November 2008

.pl bezpieczna, ale .gov.pl może podzielić los Internetu w Gruzji

Ponad rok temu NASK zawarł umowę z CommunityDNS na obsłuję 20 serwerów typu ANYCAST DNS, tym samym znacznie poprawiając bezpieczeństwo naszego systemu DNS w Polsce. Od początku listopada 2008, DNS dla domen obsługiwanych przez NASK (.pl, .com.pl, .waw.pl, itd.), obsługiwany jest przez kolejne 14 serwerów w 14 różnych lokalizacjach na całym świecie.

O obsłudze DNS dla domen .PL można przeczytać m.in. na blogu pod adresem.

Teraz mamy o 14 serwerów więcej, tym razem od firmy NeuStar (jednej z największych firm dostarczających bezpieczną infrastrukturę IP i telekomunikacji dla m.in. rządu USA, operatorów telco, a także obsługującą domeny .biz). Więcej o NeuStar można przeczytać na NeuStar.biz, a konkretnie o ich usługach DNS pod adresem: ultraDNS.com.

ANYCAST polega na równomiernym rozłożeniu obciążenia DNS, dzięki temu komunikacja z serwerami DNS komputera użytkownika Internetu wpisującego w przeglądarce „webhosting.pl”, może odbyć się z serwerem np. w Niemczech czy USA w sytuacji kiedy przykładowo któryś z serwerów DNS w Polsce zostanie zaatakowany, „koparka przerwie światłowód” u któregoś z ISP bądź nasz dostawca Internetu woli wymieniać ruch z ISP w Niemczech niż z TP S.A. bo jest taniej.

To bezpieczeństwo, to przede wszystkim odporność na ataki Distributed Denial of Service.

Atak DDoS polega na „zalaniu” serwerów i łączy taką liczbą zapytań „fałszywych”, że te prawdziwe zapytania od realnych użytkowników, nie mają szansy na obsługę. Przed takimi atakami są różne możliwości obrony i prewencji, ale najbardziej skuteczna to zapewnienie takiej wydajności serwerów i pojemności łączy aby „obsłużyć” atak DDoS. To powoduje, że skuteczny atak DDoS staje się coraz bardziej kosztowny i tym samym nie opłaca się atakować dobrze zabezpieczonego DNS. I to właśnie robimy, inwestujemy w taką infrastrukturę, aby obsłużyć największe obecnie przeprowadzane na świecie ataki DDoS, tudzież takie, które mogą pojawić się w przyszłości.

Bezpieczeństwo to również dostępność Internetu w przypadku chociażby klęsk żywiołowych czy ataków terrorystycznych. Dzięki naszej infrastrukturze przy hipotetycznym ataku na infrastrukturę w Warszawie i zniszczeniu powiedzmy całego centrum Warszawy, użytkownicy Internetu których ISP wymieniają ruch również poza Warszawą nawet nie zauważy, że są jakieś kłopoty z DNS. Ba, nawet zniszczenie siedziby NASK będzie niezauważalne dla użytkowników Internetu. DNS będzie działał...

Aktualna mapa lokalizacji serwerów DNS dla .pl znajduje się pod adresem.

A na koniec tego bloga trochę postraszę. Pamiętajmy, że zabezpieczone są tylko domeny obsługiwane przez NASK, jak chociażby domeny rejestrowane bezpośrednio w .pl lub .com.pl. Ale już przykładowo domeny w domenie .gov.pl czyli nasze „rządowe” domeny, nie mają za sobą tej technologii i atak DDoS którego klienci NASK nawet nie zauważą, dla domen rządowych będzie katastrofą. Oczywiście więcej serwerów DNS w profesjonalnie obsługiwanej technologii ANYCAST wraz z bieżącym monitorowaniem i zarządzaniem routingiem, to (znacznie) większy koszt, ale nie możemy pozwolić sobie jako Polska na atak podobny jak doświadczyła Estonia czy Gruzja...