Tomasz Parol - Vectra Rafał Szewczyk - Infoblox Language: Polish Celem wystąpienia jest przedstawienie historii sukcesu wdrożenia systemu bezpiecznego i wydajnego DNS abonenckiego w sieci Vectra SA. Opowiemy dokładnie jakie potrzeby biznesowe i technologiczne zostały zaspokojone oraz jakie korzyści mają dzięki wdrożeniu systemu klienci operatora. Interesująca będzie również możliwość spojrzenia na dynamiczny proces wdrożeniowy systemu DNS oraz przykładowe dane pochodzące z żywego działającego systemu. Poruszymy między innymi następujące zagadnienia: - Jakie korzyści wprowadza dedykowana platforma DNS na rynku operatorów Internetu? - Jakie możliwości oferuje dziś nowoczesna platforma DNS? - Jak zapewnić bezpieczeństwo rozwiązania DNS na potrzeby dużego operatora? - Czy automatyzacja i centralizacja zarządzania DNS ma sens? Gościem specjalnym podczas prelekcji będzie Tomasz Parol z Działu Usług Internetowych w Vectra SA. Zarejestruj się już dzisiaj na kolejną edycję PLNOG: krakow.plnog.pl

1. Vectra i Infoblox Advanced DNS Protection
Historia sukcesu pewnego wdrożenia…
Tomasz Parol (Vectra), Rafał Szewczyk(Infoblox)
Warszawa, 02.03.2015

2. O czym by tu dzisiaj…
 Mała retrospekcja
 DNS w Vectra dawniej i dziś
 Trochę o wdrożeniu
 Co jeszcze można zrobić?
 Dlaczego było warto zrobić ten projekt?

3. Vectra – w liczbach
 Drugi co do wielkości operator kablowy w Polsce
 Świadczymy usługi w 216 miastach dla prawie 1 000 000 klientów
 Ponad 918 tyś. abonentów telewizji w tym 612 tyś. cyfrowych
 Ponad 500 tys. abonentów usługi dostępu do sieci Internet
 Ponad 182 tys. abonentów telefonicznych.

4. Vectra – o sieci

5. Infoblox and Service Providers
5
Dedicated SP Business Unit
• Dedicated Sales, SEs, Marketing,
Engineering, Product Mgmt
Market leadership
• #1 in DNS Caching; First DNS Firewall
• Competition in decline
IPO April 2012 NYSE (BLOX)
$225M Revenue; $2B Market Cap
Dedicated SP product line
• Leads Industry with >1M DNS qps and
Advanced DDoS protection
• Carrier-grade solution adopted at major
Tier 1 providers
223 Service Providers; 55,000+ systems
shipped; 6700+ Enterprises
Total Revenue
(Fiscal Year Ending July 31)
$35.0
$56.0
$61.7
$102.2
$132.8
$169.2
$225.0
$0
$50
$100
$150
$200
$250
FY2007 FY2008 FY2009 FY2010 FY2011 FY2012 FY2013

6. LAT
Brazil:
Oi Telecom
Telefonica (VIVO)
Hispamar
Rest of LAT:
Claro Chile
Claro Ecuador
TIGO Salvador
Digitel Venezuela
Telefonica Colombia
Telesur Suriname
Cable Bahamas
Cable and Wireless Anguilla
Telefonica del Sur Chile
Entel PCS Chile
Entel S.A Chile
Movistar Mexico
Cablemas Mexico
Cablevision Mexico
Telefonica Argentina
Austr. & NEW ZEALAND
Vodafone Australia
Vodafone New Zealand
Telstra Services
Asia Pacific
Greater China
Taiwan Mobile – External DNS
Smartone-Vodafone (Hong Kong) – External DNS
China Unicom
Railcom (China) – Internal DNS
SK Telecom (Mobile Carrier)
TBroad (MSO – Multi Service Operator)
Bharti
Packet-1 (WiMax SP, Malaysia)
Asiaspace (WiMax Service Provider, Malaysia)
Celcom (Mobile Carrier, Malaysia)
Telkomsel (Mobile Carrier, Malaysia)
HCPT (Hutchinson, Mobile Carrier, Indonesia)
Emtel (ISP, Indonesia)
SingTel (Carrier & Mobile, Singapore)
Thai Mobile (Mobile Carrier, Thailand)
CAT (Carrier & Mobile, Thailand)
DTAC (Mobile Carrier, Thailand)
True Internet (ISP, Wi-Fi, Mobile, Thailand)
TOT Broadband (ISP, Thailand)
Unitech (Mobile Carrier, India)
Datacom (Mobile Carrier, India)
IDEA Cellular (India)
EMEA
AVEA (Turkey)
Brennercom (Italy)
Belgacom
Cable & Wireless
EMTEL (Maurisius)
Gabon Telecom (GABON)
KPN
Orange
O2 (ISP)
Orascom (Tunisia)
Base
Brutele
BT
Bouygues
Maroc Telecom (Morroc)
Meditel (Morroco)
Mauritel (Mauritania)
SFR
Sunrise (Switzerland)
Sotelma (Mali)
Telia
Telecom Italia
TurkCell (Turkey)
Vodafone – multiple countries
Telefonica
Wind
NORTH AMERICA
AT&T
Bell Alliant
Bell Canada
Bell Mobility
BellSouth Communications (AT&T)
Cablevision
CenturyTel
Cincinnati Bell
Direct TV
Fairpoint Communications
IdeaOne Telecom
IP Networks
L-3 Communications
MTS Allstream
Research in Motion
Sprint/Nextel
Sprint/PCS
T-Mobile
TELUS
Verizon Wireless
Global Service Provider Customers

7. Szybkie testy DNS – po marcowym PLNOG
Szybkie testy DNS – Publicznego DNS (authoritative)
Secondary DNS server
Import danych z named.conf … i już działa
Przy okazji testy DNS Caching (recursive) dla jednego miasta
Adresacja, routing
Import ACL … i już działa
Na lekko, bez zobowiązań i wielkich planów
Nic nie zapowiadało….
że kiedyś te testy jeszcze się przydadzą… ;-)

8. Szybkie testy DNS

9. Pewnego dnia…

10. Dodajmy oś czasu.
19 wrzesień 2014 – RFP/RFQ
30 październik 2014 – Zamówienie
7 listopada 2014 – Dostawa (tak, dosłownie kilka dni).
Listopad 2014 – Tomek tupie nogami…
Czas to uruchomić bo ataki dalej się pojawiają.
Ludzie z Infoblox Professional Services dostępni w grudniu…

11. Dodajmy oś czasu.
10 listopad 2014 – W nocy o 0:37 zabieramy się do pracy.
To już w sumie 11.11 ;-)
Koło 1:20 odpuszczamy. Trzeba przepiąć kabelki.
Telekinezę mamy na poziomie „Beginner” ;-)

12. Dodajmy oś czasu.
11 Listopada 2014 – Ustalamy od nowa adresację IP ;-)
Koło 18:40 wracamy do pracy. O 18:50 system działa w 2
miastach.
Następnego dnia odpalamy resztę sieci.

13. Dodajmy oś czasu.
25 listopada – Pierwszy call z projekt managerem z Professional
Services. Nie wyprowadzamy nikogo z błędu ;-)
01 grudnia – Planowa akcja z Professional Services.
Więcej czasu na szkolenie i tuning.

14. DNS w Vectra - przed
 Farma serwerów DNS (bind) w kilku miejscach sieci
 W większości maszyny VM
 Testy DNS Anycast bez dobrego finału ze względu na
wykrywanie awarii usługi DNS przez routery (health check)
 Rozkład geograficzny dla klientów serwer 1 + serwer 2

15. DNS w Vectra - po
Topologia systemu

16. DNS w Vectra - dzisiaj
Logika połączeń

17. DNS w Vectra - dzisiaj
Rozkład protokołów

18. © 2010 Infoblox Inc. All Rights Reserved.
ADP == Advanced DNS Protection

19. Challenges for Service Providers
ENHANCE THE CUSTOMER
EXPERIENCE
SECURE THE NETWORK
Mobile. Wireline. Cloud.
INFOBLOX HELPS TELCOS, ISPs and MOBILE OPERATORS CONTROL
THEIR NETWORKS with ROBUST IP SERVICES
IMPROVE OPERATIONAL
EFFICIENCY

20. Infoblox Differentiation and Value
Infoblox Advanced
DNS Protection
Load
Balancers
Pure
DDoS
Next-gen
Firewalls
IPS Cloud
Dedicated compute for
threat mitigation
General DDoS
DNS DDoS
DNS amplification
DNS reflection
NXDOMAIN
DNS server OS and
application vulnerabilities
DNS semantic attacks
Cache poisoning
DNS tunneling
DNS hijacking
Volumetric/DDoS AttacksDNS-specific Exploits

21. Security Built-in to
the DNS Infrastructure
Use Cases
• Enterprise Customers
• External authoritative DNS
server
• Internal DNS- Enterprise /
Universities with open
networks
• Service Providers
• Recursive Caching
• Authoritative DNS services
21
DNS Server DNS Server
Security
DNS Server
Infoblox PT-
Appliances
Protection against
DNS threats
Serve DNS
queries under
attack
Internet
Traditional security appliances mitigate only partial attacks against DNS

22. DNS Caching
Protection against attacks on caching servers
Advanced DNS Protection can secure DNS Caching Servers from DNS Floods and other
threats
Large number of bots make more requests of the DNS server than it can handle
Causes the DNS server to drop inbound DNS requests

23. Advanced Appliances
Come in Four Physical Platforms
Advanced Appliances have next-generation programmable processors
that provide dedicated compute for threat mitigation.
The appliances offer both AC and DC power supply options.
Performance:
50 000 qps
143 000 qps
200 000 qps
up to 1 000 000 qps

24. Devices vs Solutions
Dedicated vs Self made.
Dedicated DNS Cache appliance does not stop answering queries from cache
when capacity limits are reached for cache misses
24
Bind HW DNS Cache
Avg. Latency (Seconds)
a

25. Dla czego powstał ten projekt?
Dlaczego Infoblox?
DNS nie może przestać działać nawet podczas ataku, w przeciwnym wypadku mamy
przerwy w dostępie do usług Internet i Telefon.
Dlaczego rozwiązanie Infoblox?
 Lider na rynku rozwiązań DNS z ochroną przeciw DDoS.
 Działa nawet podczas ataku.
 Dedykowane i wykorzystywane rozwiązanie przez operatorów (referencje – również
w PL).
 Raportuje szczegóły ataku według: typu, źródła/klienta, reguł, ważności, czasu.
 Pozwala na wgląd w źródło/fyp ataku w celu powstrzymania i zrozumieniu skali i
krytyczności oraz pokazanie tego na osi czasu (historia).
 Łatwa i szybka implementacja w sieci Vectry.
 Genialna prostota i łatwość zarządzania.
 Ochrona inwestycji – możliwość zwiększenia wydajności za pomocą licencji.

26. Wdrożone rozwiązanie
Wymiana tradycyjnych serwerów DNS na dedykowane rozwiązanie Infoblox Advanced
DNS Protection.
System wdrożony 12.11.2014
 Z systemu korzysta już 100% naszych abonentów
 W szczycie odpowiada na ok. 50tyś zapytań na sekundę
 Dziennie obsługuje ok. 2mld zapytań
 Raportuje szczegóły ataku według: typu, użytkownika, reguł, ważności, czasu
 Pozwala na wgląd w źródło ataku w celu powstrzymania i zrozumieniu skali i jego
krytyczności.

27. Tylko przez pierwszy miesiąc system:
 Udaremnił w sumie ok. 6 milionów zdarzeń na różnym poziomie zabezpieczeń
 zdarzenia testujące sprawdzające zabezpieczenia naszych systemów DNS
 zdarzenia występujące w innych sieciach, do których system ma dostęp on line
 zdarzenia mające cechy celowego/bezpośredniego ataku
 W dniach 10-13 grudnia skutecznie oparł się atakowi DDoS pochodzącym z domen
zarejestrowanych w Chinach.

28. Funkcjonalność HW DNS Cache pozwala na utrzymywanie w pamięci większości
adresów, o które pytają abonenci. Poniżej wykres cache ratio oraz utylizacja
procesorów w czasie ataków.
Cache
Hit Ratio
CPU

29. Efekt końcowy to brak zaburzeń w działaniu
systemu DNS
i jednocześnie działania usługi dostępu do sieci
Internet mimo ataków DDoS

30. Co jeszcze można zrobić?
 Uruchomienie DNS Anycast dla IPv4 i IPv6
 Powiadamianie/przekierowywanie najbardziej aktywnych
„atakujących” klientów
 Usługa zabezpieczonego DNS - DNS Firewall
 Autorytatywny DNS

31. Dziękujemy za uwagę.
Pytania?
Tomasz Parol – Vectra
t.parol@vectra.pl
Rafał Szewczyk – Infoblox
rszewczyk@infoblox.com