Kako efikasno odgovoriti na centralizaciju DNS-a

U svojim počecima, internet je bio potpuno decentraliziran. Globalizacija i ubrzano usvajanje usluga u oblaku doveli su do mogućnosti pružanja istih usluga s različitih lokacija, i to s ciljem da budu što bliže korisnicima usluge. Unazad par godina, stvari su se počele mijenjati centralizacijom DNS usluga između malog broja globalnih pružatelja. Takva internetska centralizacija ujedno je dovela do zabrinutosti zbog prekomjerne kontrole pojedinih pružatelja usluga nad infrastrukturom.  

Centralizacija DNS-a može postati problem u slučaju ozbiljnog DDoS (Distributed Denial of Service) napada. Također, svi dijelovi određene Domain Name System zone mogu biti ozbiljno ugroženi u slučaju preopterećivanja pojedinih dijelova zajedničke infrastrukture. U prijevodu, može doći do nedostupnosti domena.

DNS (Domain Name System) je ključna internetska usluga koja, između ostalog, usmjerava internetski promet. Bilo koji prekid DNS-a dovodi do potpunog prekida komunikacije. Naime, bez pristupa DNS-u, gubi se pristup velikoj količini digitalnih izvora. I dok se to može činiti kao manja nezgoda za privatne korisnike, ovakvi problemi svako poslovanje mogu izložiti velikim poteškoćama u radu i financijskim gubicima. U najgorem slučaju, čak i bankrotu.

Serija DDoS napada na pružatelja Domain Name System usluga Dyn iz 2016. godine, zbog koje je velik broj internetskih platformi i usluga (uključujući Twitter i Netflix) diljem Europe i Sjeverne Amerike bio nedostupan, globalno je poznata. Ipak, ne radi se o izoliranom slučaju, a mogućnost takvih napada svim ostalim korisnicima interneta treba signalizirati opasnost da i oni jednog dana satima ili danima ostanu offline.

Osim prekida, centralizacija interneta dovodi i do monopoliziranog pristupa korisničkim podacima od strane velikih tvrtki koje pružaju Domain Name System usluge. Stoga je potrebno razmisliti o implementaciji optimalne arhitekture koja će tvrtke štititi od izloženosti. Osiguravanje kontinuirane zaštite DNS-a esencijalna je potreba svake tvrtke.

Odgovor na centralizaciju DNS-a

Pojavom DoH-a (Domain Name System preko HTTPS-a), javila se zabrinutost zbog centralizacije interneta. Ustvari, Domain Name System usluge bazirane na oblaku rade na istom principu. Tvrtke su postale ovisne o točkama prisutnosti ili PoP (Point of Presence), odnosno spajanju na njih. Čak i u slučaju da pružatelj Domain Name System usluge ima stotine PoP-ova, problemi su i dalje mogući. Tvrtke su, naime, često ovisne i o pružateljima usluga „treće strane“ koji se nalaze negdje „između“. Kontinuitet poslovanja, dakle, ovisi o pouzdanosti svih njih.

Na spomenute probleme efikasno odgovara Infoblox, i to temeljem iskustva u pružanju Domain Name System usluga dužem od 20 godina. Danas Infoblox pokriva gotovo 50% DDI (DNS, DHCP i IPAM) tržišta. Razmišljajući o problemu centralizacije DNS-a, Infoblox je ponudio rješenje koje DNS-u omogućuje da se bavi onime za što je izvorno zamišljen. To znači da Domain Name System rješava DNS zahtjeve u on-prem korisničkom okruženju, i to uz proširenu sigurnost iz clouda.

Dopustite da ukratko objasnimo što to znači.

  • Korisnik se, primjerice, želi spojiti na „google.com“, temeljem čega preglednik šalje zahtjev DFP-u (DNS Forwarding Proxy) koji je integriran s BloxOne DDi DNS (N1DDI Domain Name System)
  • Temeljem internog mehanizma definiranih pravila, DFP provjerava je li „google.com“ otprije poznata domena koja se koristi za Domain Name System Exfiltration/Infiltration/Tunneling
  • Ako zahtjev nije lokalno blokiran, B1DDI DNS šalje zahtjeve prema root Domain Name System serverima i autoritativnim DNS-ovima za „com“ odnosno „google.com“
  • Autoritativni Domain Name System šalje odgovor
  • Zahtjev i odgovor prosljeđuju se prema BloxOne Cloud s ciljem sigurnosne validacije
  • DFP potom predmemorizira rezultate i odgovara klijentu
  • Klijentu je odobreno ili odbijeno spajanje s „google.com“

Glavni benefiti on-prem DNS rezolucije 

Za početak, lokacija iz koje vodite vaše poslovanja neće utjecati na provedbu Domain Name System zahtjeva. Neovisno o tome nalazite li se u Hrvatskoj, Finskoj ili Peruu, ovakvo rješenje pruža isto iskustvo kao prilikom korištenja lokalnih IPS DNS poslužitelja jer se svi DNS zahtjevi rješavaju on-prem.

To znači da će kašnjenje kod učitavanja SaaS aplikacija biti minimalno. U pojedinim je slučajevima omogućeno i korištenje lokaliziranih verzija pojedinih aplikacija. Također, korisnik se može povezati s najbližim data centrom. Kod ovakvog pristupa DNS-u, korisnik ne ovisi o komunikaciji s pružateljem DNS usluga.

Potencijalni nedostaci ovakvog pristupa i kako ih riješiti

Razvijanjem ovog pristupa, inženjeri iz Infobloxa na umu su imali nekoliko potencijalnih problema:

  1. Prvi DNS zahtjev bit će riješen malo spornije nego naknadni, što je i očekivano jer će na svaki sljedeći zahtjev biti odgovoreno iz lokalne predmemorije.
  2. Možda će dio privatnih podataka biti otkriveno zbog nešifrirane komunikacije s root i autoritativnim DNS-om (DNS preko TLS-a i DNS preko HTTP-a za komunikaciju između DNS poslužitelja).
  3. Nekim se korisnicima možda neće svidjeti fail open konfiguracija

Kako bi pružio optimalno korisničko iskustvo, Infoblox ima odgovor na spomenute poteškoće. Za početak, solidan Domain Name System dizajn eliminira prvu poteškoću. S druge strane, korisnici mogu potpuno ili djelomično onemogućiti lokalnu rezoluciju s obzirom na lokaciju ili aplikaciju.

Napominjemo da je lokalna rezolucija onemogućena prema zadanim postavkama. Da bi se omogućila, predviđen je sigurnosni button za uključivanje ili isključivanje.

Ovakvo rješenje zahtjeva pretplatu na BloxOne Threat Defense i BloxOne DDI. Također, DFP i B1DD1 Domain Name System usluge trebaju biti pokrenute iz istog on-prem hosta.

DNS

On-prem DNS rezolucija po aplikaciji

Za razliku od bezuvjetnog Domain Name System pristupa, korisnicima je omogućeno i razrješavanje samo DNS zahtjeva za aplikacije relevantne za poslovanje. Primjerice, ako koristite Microsoft Office 365 i Google Suite, moći ćete kreirati pravilo koje predviđa provođenje on-prem Domain Name System zahtjeva samo za te aplikacije.

  1. DFP i BloxOne Endpoint zaprimaju listu aplikacija i povezanih domena iz Clouda
  2. Kada zaprimi zahtjev za jednu od domena DFP će koristiti konfigurirane rezervne Domain Name System servere treće strane za rješavanje zahtjeva. Takav server ujedno treba biti blizu. BloxOne Endpoint će proslijediti zahtjev network provided Domain Name System serverima
  3. Ostali zahtjevi će biti proslijeđeni BloxOne Cloudu kao i obično

Ova značajka se može pokretati uz samostalne DFP-ove, DFP-ove koje pokreće NIOS te uz BloxOne Endpoints. Također, za ovo rješenje treba imati pretplatu na BloxOne Threat Defense. Rezervni Domain Name System server treće strane treba biti konfiguriran po DFP-u.