RAPORT O STANIE DOSTĘPNOŚCI DNS TOM 1 WYDANIE 1 KWIECIEŃ VerisignInc.com

Transkrypt

1 RAPORT O STANIE DOSTĘPNOŚCI DNS TOM 1 WYDANIE 1 KWIECIEŃ 2011 WITRYNY SIECI WEB I INNYCH USŁUG INTERNETOWYCH SĄ JEDNYMI Z NAJWAŻNIEJSZYCH NARZĘDZI OPERACYJNYCH I GENEROWANIA PRZYCHODÓW DLA PRZEDSIĘBIORSTW DOWOLNEJ WIELKOŚCI I BRANŻY. W ZWIĄZKU Z TYM, KONCENTRACJA NA WYDAJNOŚCI SIECI JEST WYŻSZA NIŻ KIEDYKOLWIEK WCZEŚNIEJ. JEDNAK JEDEN Z NAJBARDZIEJ KRYTYCZNYCH DLA DZIAŁALNOŚCI ELEMENTÓW NIEZAWODNEJ STRUKTURY INTERNETU, SYSTEM NAZW DOMEN (DNS), JEST CZĘSTO POMIJANY, JEŚLI CHODZI O MONITORING WYDAJNOŚCI. JAKO WIODĄCY AUTORYTET W DZIEDZINIE ANALIZY I DOSTĘPNOŚCI W SIECI, VERISIGN PRZEDSTAWIA TEN RAPORT, ABY POMÓC ZROZUMIEĆ I ZMIERZYĆ ROZMIAR DOSTĘPNOŚCI DNS W INTERNECIE ORAZ POTENCJALNY WPŁYW PRZESTOJU. VerisignInc.com

2 RAPORT O STANIE DOSTĘPNOŚCI DNS STRESZCZENIE Zlecone ostatnio przez Verisign badaniei rynku wykazało, że 60% respondentów twierdzi, iż co najmniej jedna czwarta ich dochodów jest pochodzi bezpośrednio ze strony internetowej. Odsetek ten był jeszcze wyższy dla małych i średnich przedsiębiorstw, które w dużym stopniu polegają na swoich stronach internetowych w zakresie generowania dochodów i działalności marketingowej. Aby firma działała bez zarzutu, jej sieć musi działać sprawnie, a żeby sprawnie działała sieć, jej DNS musi być dostępny w każdej chwili. Według analityków Yankee Group i wiceprezes Jennifer Pigg ii, Coraz częściej organizacje polegają na e-handlu jako głównym źródle przychodów oraz są zależne od ich zewnętrznej sieci w zakresie krytycznych funkcji korporacyjnych, takich jak obsługa klienta, sprzedaż i wsparcie. Zdają sobie sprawę, że nie mogą pozwolić na awarię DNS lub złamanie zabezpieczeń. Mimo to, w tym inauguracyjnym wydaniu Raportu Verisign o stanie dostępności DNS, widzimy, że w pierwszym kwartale 2011 roku dostępność DNS była problemem nawet dla najwyżej ocenianych witryn e-handlu. Badanie na ogólnoświatowej próbie witryn internetowych ujawniło, że gdy pojawia się problem z dostępnością to strony utrzymujące swoje własne DNS (czyli większość dzisiejszych korporacji) są nim dotknięte znacznie bardziej, niż te, które używają DNS zarządzanych przez innych dostawców zwłaszcza, kiedy sprawdzamy minimalną dostępność. W raporcie, oprócz badania i oceny globalnych problemów dostępności DNS, omawiamy również kwestie zagrożeń oraz potencjalnego wpływu awarii na generowanie przychodów, dalsze prowadzenie działalności, lojalność klientów itd. DNS: POJEDYNCZY PUNKT AWARII Nazwa domeny jest kluczowa dla prawie wszystkiego, co można zrobić w Internecie: od uruchomienia strony internetowej, przez wysyłanie i otrzymywanie poczty elektronicznej, aż do budowy sklepu internetowego. Dziś zarejestrowanych jest ponad 200 milionów nazw domen. iii System DNS, który obsługuje te domeny, jest narzędziem sprawiającym, że Internet jest łatwo dostępny dla użytkowników na całym świecie. Dzięki mapowaniu nazw domen do adresów protokołu internetowego (IP), DNS zapewnia dostęp do stron internetowych, poczty elektronicznej, oraz systemów Web. Każdy serwer internetowy posiada adres IP wyrażony w postaci szeregu cyfr i liter, na przykład, (IPv4) lub 2001:503:A83:0:0:2:30 (IPv6). Jednak, tak jak w przypadku numerów telefonów, te długie ciągi cyfr i liter mogą być trudne do zapamiętania. DNS pozwala ludziom wpisywać w przeglądarkę zamiast ciągu numerów i liter, imiona, lub nazwy marek, w celu znalezienia strony internetowej lub wysłania wiadomości . Skutecznie służy jako drzwi wejściowe do dowolnej witryny sieci Web pozwalając użytkownikom i klientom na dokonywanie transakcji internetowych. Cały proces przebiega w kilku dziesiętnych sekundy i jest niewidoczny dla użytkownika. Podczas awarii DNS, odwiedzający zwykle otrzymują komunikat o błędzie i nie mogą dotrzeć do witryny sieci Web. Przestój często bywa powodem frustracji odwiedzających i ich przejścia na inną stronę internetową, co skutkuje spadkiem lojalności wśród klientów oraz pogorszeniem reputacji marki, jak również ma natychmiastowy wpływ na sprzedaż i wydajność pracowników. Ponadto wraz z rozwojem usług internetowych coraz więcej stron sieci Web korzysta z dodatkowej 2

3 funkcjonalności i treści dostarczanych przez innych dostawców, takich jak serwisy społecznościowe czy portale sprzedażowe. Jeśli DNS tych innych dostawców nie funkcjonuje, może wpłynąć to negatywnie na działania firmy. Usługi internetowe stają się coraz ważniejsze dla prawie wszystkich firm, ale firmy często zapominają, że prezentacja w Internecie jest tylko tak dostępna i bezpieczna, jak dostępna i bezpieczna jest infrastruktura DNS stwierdza analityk firmy Gartner, Lydia Leong. iv PRZEGLĄD BADAŃ Metodologia Monitorowanie dostępności DNS dla zróżnicowanej próbki nazw domen dla dostępności DNS (1000 najlepszych witryn według Alexa) zostało zlecone firmie ThousandEyes, zajmującej się analizą sieci i planowaniem zasobów. Korzystając z własnego modelu firma monitorowała każdą witrynę raz na godzinę przez 7 ostatnich dni stycznia, lutego i marca 2011 roku.przeprowadzono szeroko zakrojone testy na każdym rozwiązaniu DNS objętym monitoringiem, mające na celu sprawdzenie spełniania standardów rozwiązywania DNS i wykazanie jakichkolwiek znanych, anormalnych lub niewłaściwych zachowań. Z 1000 najlepszych według Alexa witryn, osiem zostało wykluczonych z powodu zaprzestania odpowiedzi podczas testu, do gromadzenia danych pozostały 992 witryny. Z tych 992 witryn,142 witryny (14%) korzystało z usług DNS od znanych dostawców DNS, podczas gdy 47 witryn (5%) korzystało ze znanych dostawców CDN. Niedostępność DNS była uznawana tylko wtedy, gdy odpowiedź rozwiązania stanowiła jeden z następujących kodów błędu DNS: Servfail, Nxdomain, No Mapping, lub Truncated. Analiza danych została przeprowadzona poprzez klasyfikację domen z próby do dwóch kategorii: 1) posiadających własną usługę DNS, oraz 2) korzystających z usługi DNS dostarczanej przez zewnętrznych dostawców. Policzono średnią, minimalną i maksymalną dostępność dla każdego z segmentów. Należy zauważyć, że DNS jest dość trudne w testowaniu, ponieważ istnieje dużo ruchomych części. Rezultaty mogą zależeć od tego czy serwer posiada cache, w jakiej odległości jednostka znajduje się od serwera DNS, w jakiej odległości serwer znajduje się od innych serwerów itp. Badanie i gromadzenie danych zostało przeprowadzone w równych odstępach czasu, co miało pomóc w uniknięciu tego typu problemów. Wyniki Chociaż średnia dostępność domen i czas odpowiedzi dla stron z wewnętrznie zarządzanym DNS są dość zbliżone do tych zarządzanych przez zewnętrznych dostawców DNS, to każda awaria może mieć realny i trwały wpływ na działania firmy. Możliwy wpływ tej pozornie drobnej różnicy przedstawiono w kolejnej części. Natomiast wyraźne różnice obserwujemy, kiedy patrzymy na minimalną dostępność (Rysunek 1). W tym badaniu, do stron ze swoim własnym DNS jest o wiele trudniej dotrzeć niż do tych korzystających z usługi zarządzania DNS. Aby zbadać to dokładniej, na wykresach przedstawiono minimalne dostępności dla wszystkich witryn z wewnętrznie (Rysunek 2) i zewnętrzne (Rysunek 3) zarządzanym DNS. Rysunek 1: Porównanie minimalnej dostępności DNS Minimalna dostępność (śr. domen) Wewnętrznie zarządzane DNS Usługa DNS dostarczana przez zewnętrznych dostawców Ogólnie USA Ogólnie USA Maksymalna dostępność (śr. domen) Dostępność (śr. domen i czas)

4 Rysunek 2: Minimalna dostępność DNS stron zarządzanych przez własne DNS Minimalna dostępność (0-100%) ID domeny Rysunek 3: Minimalna dostępność DNS stron korzystających z usług DNS dostarczanych przez zewnętrznego dostawcę Minimalna dostępność (0-100%) ID domeny Powyższe dwa rysunki pokazują, że porównując dostępność DNS dla witryn posiadających własne DNS może ona obniżyć się do zera, podczas gdy w witrynach korzystających z usług DNS zewnętrznych dostawców nigdy nie spada poniżej 50%. Prawdopodobnie można to przypisać faktowi, że zewnętrzni dostawcy DNS używają usługi rozwiązywania anycast, co oznacza, że zawsze gdzieś znajduje się serwer, który może odpowiedzieć na zapytanie DNS. W takim przypadku użytkownik nie odczuwa zbyt wielkich problemów, nawet jeśli kilka fizycznych instancji anycast ma awarię lub jest niedostępnych. Jeden z dostawców używa hybrydowego modelu anycast i unicast, co zapewnia optymalną kombinację wydajności i niezawodności zapytań i odpowiedzi DNS. Większość firm nie dysponuje zasobami i wiedzą potrzebnymi do konfiguracji tak rozbudowanych systemów dla swoich wewnętrznych DNS i stąd może wynikać tak duża różnica. CO TO WSZYSTKO OZNACZA? Wraz ze zwiększaniem się zależności od obecności w Internecie marketingu, obsługi klienta, generowania przychodów i innych funkcji, każda awaria ma realny i długotrwały wpływ na działalność firmy. Poniższy przykład wykorzystuje dane zebrane na potrzeby raportu, aby zilustrować, jak z pozoru krótka niedostępność może wpłynąć na Państwa działalność. Zakładając, że ruch jest jednolity przez 24 godziny dla wszystkich badanych stron internetowych, oto kilka przykładów opartych na zebranych danych o średniej, minimalnej i maksymalnej dostępności. Przykład: Mega Online Advertising Firma Mega Online Advertising w pierwszym kwartale 2011 uzyskała przychód z reklam w wysokości około 796 milionów USD. W kwartale mamy 90 dni, co oznacza średni przychód z reklam 8,84 mln USD dziennie, lub około 100 USD na sekundę. Jedna godzina awarii DNS oznacza koszt USD. 4

5 99,7% dostępności, czyli zbadana dla próby średnia dostępność DNS dla wewnętrznie zarządzanych domen globalnych, oznacza stratę około USD dziennie, lub USD kwartalnie. To dwukrotnie więcej niż przy usłudze zarządzania DNS, jak wynika z danych z badania średniej dostępności (99,85%). Opierając się na tych wynikach, uzasadnione byłoby, gdyby Mega Online Advertising rozważyło wybór dostawcy usługi DNS znanego z wysokiej dostępności, aby zmniejszyć ryzyko awarii. Choć przykład ten jest bardzo uproszczony i oparty na wymyślonej firmie, liczby użyte do kalkulacji mogą być przypisane prawdziwym firmom z opisanej branży. Biorąc pod uwagę, że kilka firm ujętych w próbie badawczej z wewnętrznie zarządzanym DNS miało okresy całkowitej niedostępności podczas badania, łatwo określić jak katastrofalny może być wpływ takich awarii na przychody, satysfakcję klientów czy produktywność zwłaszcza dla firm zależnych od obecności w Internecie. W najlepszym wypadku czeka je koszmarny wizerunek w opinii publicznej, którego można by uniknąć dzięki odpowiedniemu planowaniu i wsparciu technicznemu. WNIOSEK Firmy mają do wyboru trzy opcje zarządzania swoimi potrzebami w zakresie DNS: robić wszystko wewnętrznie polegać na swoim dostawcy Internetu (ISP) współpracować z dostawcą usługi zarządzania DNS Według The Yankee Group, większość firm zarządza swoimi DNS wewnętrznie, lub za pośrednictwem swojego ISPv. Wiele z nich korzysta z obu tych opcji, utrzymując DNS swojej sieci wewnętrznej, oraz korzystając z ISP, aby zarządzać swoim zewnętrznym, opartym na Internecie ekosystemem klientów, partnerów biznesowych, stron internetowych, portali firmowych i stron e-handlu. Potwierdzają to dane z badania prezentowanego w tym raporcie, pokazujące, że prawie 3/4 firm próby zarządza własnym DNS. Mimo to, The Yankee Group ocenia, że ponad 85% firm zarządzających własnym DNS nie ma dedykowanego zespołu DNS, zarządzając DNS ad-hoc przy ograniczonej wiedzy i niewielu zdefiniowanych procesach. Co więcej, firma twierdzi, że ponieważ zarządzanie DNS nie jest główną funkcją ISP, wydajność DNS zarządzanych przez ISP może być niewystarczająca. Dane zebrane do tego raportu potwierdzają to założenie, pokazując znaczne rozbieżności między dostępnością DNS stron internetowych zarządzanych wewnętrznie w stosunku do DNS zarządzanych przez zewnętrznego dostawcę. Trendy takie jak cloud computing, praca zdalna i rozpowszechnienie urządzeń z dostępem do Internetu to dodatkowe obciążenie dla infrastruktury IT i zarządzania DNS, mówi Ben Petro, wice-prezes grupy VeriSign s Network Intelligence and Availability. W konsekwencji, jego zdaniem większość organizacji ma problem z zachowaniem wysokiej dostępności systemów. Podczas gdy firmy migrują do opartych na chmurze alternatyw dla swoich aplikacji, przechowywania danych oraz usług, zarządzanie DNS staje się bardziej skomplikowane i otwiera nowe problemy i wyzwania dla bezpieczeństwa. Dostawcy usług zarządzanego DNS mają narzędzia i możliwości, aby zabezpieczyć sieć, zwiększyć dostępność i wydajność w sposób, którego większość firm nie jest w stanie zapewnić samodzielnie. Firmy muszą zrównoważyć stopień kontroli nad swoimi systemami DNS względem kosztu i dostępności zasobów DNS. Pełne zarządzanie DNS wymaga dokładnego planowania, znacznej wiedzy i sporych zasobów. 5

6 Niestety, większość firm nie widzi słabości swojej obecnej infrastruktury DNS zanim nie jest za późno, czyli zanim nie odczuje strat w produktywności i przychodach. VERISIGN MANAGED DNS Aby efektywnie zarządzać DNS należy korzystać z globalnej, bezpiecznie zarządzanej usługi w chmurze, takiej jak Verisign Managed DNS. Pozwala to zapewnić dostępność i oszczędność kosztach związanych z budową i eksploatacją infrastruktury DNS. Verisign Managed DNS używa unikalnego modelu hybrydowego anycast i unicast, co zapewnia optymalną kombinację wydajności i niezawodności dla zapytań i odpowiedzi DNS, pozwalając na łatwiejsze i bardziej elastyczne zarządzanie środowiskami DNS. Verisign ma długą historię lidera DNS. Firma zarządzała DNS dla domen najwyższego poziomu (TLD), takich jak.com,.net,.gov,.edu,.tv,.cc,.jobs oraz.name, z najwyższym czasem działania bez awarii dla wszelkich rejestrów, rozwiązując średnio 60 miliardów zapytań DNS każdego dnia, ze 100% dokładnością. Aby sprostać wyjątkowym wymaganiom związanym z obsługą domen.com i.net, Verisign zbudował swój własny serwer nazw ATLAS (Advanced Transaction Lookup and Signaling System), obsługujący ruch DNS szybciej i efektywniej niż jakakolwiek inna dostępna na rynku opcja. W celu zapewnienia redundancji i prędkości, Verisign posiada 17 dużych centrów na całym świecie w ważnych hubach internetowych w Ameryce Północnej, Europie i Azji. Oprócz niech, Verisign działa także w dziesiątkach mniejszych Regional Internet Resolution Sites (RIRS) na całym świecie, zapewniając szybkie rozwiązywanie DNS w tradycyjnie gorzej obsługiwanych krajach. Ta konstelacja serwerów nazw jest konserwowana, monitorowana i zarządzana przez zespół Verisign złożonych z wiodących ekspertów w zakresie DNS, ochrony przed DDoS i zabezpieczeń. Każda lokalizacja w konstelacji jest wyposażona w szybkie stałe łącze i dokładne zabezpieczenia. Ta sama infrastruktura i wiedza, która służy największym domenom TLD, pracuje dla klientów całej gamy usług Verisign, w tym Managed DNS, DDoS Protection oraz idefense Security Intelligence. Więcej informacji o usługach Verisign znajdą Państwo na stronie INFORMACJE O VERISIGN Verisign to niezawodny dostawca usług infrastruktury internetowej dla świata cyfrowego. Każdego dnia firma Verisign miliardy razy pomaga firmom i konsumentom na całym świecie włączyć się do niezawodnej komunikacji i handlu. i Verisign Whitepaper. Distributed Denial of Service: Nareszcie z należną uwagą. May ii Yankee Group. DNS: Risk, Reward and Managed Services. Feb iii Verisign Domain Name Industry Brief, February 2011 iv Verisign Press Release. Verisign Launches Managed DNS to Help Companies Reduce Costly Downtime and Simplify DNS Management. August 11, 2010 v Yankee Group. DNS: Risk, Reward and Managed Services. Feb VerisignInc.com 2011 VeriSign, Inc. Wszystkie prawa zastrzeżone. VERISIGN oraz inne znaki towarowe, znaki usług oraz projekty są zarejestrowanymi lub niezarejestrowanymi znakami towarowymi firmy VeriSign, Inc. i jej podmiotów zależnych w Stanach Zjednoczonych i innych krajach. Wszystkie pozostałe znaki towarowe są własnością ich właścicieli. 6

7 PROFIL ATAKÓW DNS DNS zaprojektowano wiele lat temu, kiedy wydajność była znacznie ważniejsza niż bezpieczeństwo. W rezultacie, DNS stał się głównym celem ataków mających na celu przejęcie stron internetowych; stworzono też wiele exploitów mających na celu przejęcie wrażliwych informacji. Organizacje obecne w Sieci są wrażliwe na ataki DNS i powinny wiedzieć jak takie ataki działają i jak ich uniknąć. Zatruwanie DNS Zatruwanie DNS zdarza się, kiedy złośliwy aktor zmienia adres IP wybranego rekordu na rekurencyjnym serwerze DNS wysyłając dużą ilość fałszywych odpowiedzi, udając serwer autorytatywny, podczas gdy serwer rekurencyjny oczekuje na odpowiedź od prawdziwego serwera autorytatywnego. Sprawia to, że serwer rekurencyjny podaje i zapamiętuje fałszywą odpowiedź na zapytania użytkowników. Pełna instalacja dodatków zabezpieczeń DNS (DNSSEC) chroni przed tym typem ataku. Pełna instalacja DNSSEC wymaga dodatkowej pracy od rejestratorów, ISP oraz firm, ale niedawne podpisanie strefy.com przez Verisign to duży krok w kierunku naprawienia tej luki zabezpieczeń DNS. Atak typu DNS Reflective Amplification : Ataki typu DNS reflective amplification to zasadniczo ataki DDoS biorące na cel serwery DNS. Normalne zapytanie DNS to około 100 bajtów, odpowiedź to między 200 a 400 bajtów. Duża odpowiedź DNS może mieć od 500 do 4000 bajtów informacji. Atak typu DNS amplification fałszuje adres źródłowy dużej ilości zapytań DNS wysłanej do właściwych serwerów DNS. Sfałszowany adres jest właściwym celem ataku. Uczciwe serwery DNS (bez swojej wiedzy) biorą udział w ataku wysyłając wiele dużych odpowiedzi DNS na adres IP ofiary. Wyczerpanie zasobów lub atak bezpośredni : Najprostszym rodzajem ataku jest znalezienie dużego botnetu zainfekowanych komputerów PC i skierowanie ogromnej ilości rekurencyjnych zapytań DNS do będącego celem autorytatywnego serwera DNS. Dodatkowo, atakujący fałszuje źródłowy adres IP pakietów zapytań, podając adres popularnego, prawdziwego serwera rekurencyjnego DNS (takiego, który obsługuje wielu użytkowników). Cel ataku nie może odfiltrować tych pakietów na zaporze ogniowej, ponieważ są one wymieszane z uczciwymi zapytaniami z serwera rekurencyjnego. Atak modyfikacji danych : Zatruwanie DNS to nie jedyny sposób modyfikacji danych DNS. Kilka skutecznych ataków miało miejsce przekierowując ruch do złych stron poprzez włamanie na konto rejestratora firmy będącej celem i zmianę rekordów DNS na fałszywe. Dane DNS można również modyfikować bezpośrednio na serwerze autorytatywnym odpowiadającym na zapytania DNS. Miało miejsce kilka bardzo głośnych włamań do dostawców DNS, gdzie atakujący mógł zalogować się do systemu zarządzania DNS dostawcy i modyfikować dane DNS celu. Ochrona DNS : Poprzez stosowanie podpisów cyfrowych do danych DNS, uwierzytelniając ich pochodzenie i potwierdzając integralność w trakcie ich przekazywania w Internecie, rozszerzenia zabezpieczeń DNS zaprojektowano do ochrony infrastruktury DNS. Choć jest to pierwszy poważny krok do ochrony integralności DNS, aby to DNSSEC efektywnie chroniły globalną infrastrukturę DNS wymagana jest ich implementacja przez ISP, administratorów stron internetowych oraz rejestratorów we wszystkich zarządzanych przez nich domenach i serwerach rekurencyjnych. Verisign aktywnie śledzi postęp implementacji DNSSEC we wszystkich zarządzanych przez siebie TLD, oraz zapewnia narzędzia pozwalające każdemu na, między innymi, sprawdzenie informacji DNSSEC na własnych oraz wszelkich innych stronach internetowych, niezależnie od konfiguracji ich DNS dla walidacji DNSSEC. Jest również dostępna liczba stron internetowych z włączonymi DNSSEC w strefach.com,.net, oraz.edu. Więcej informacji znajdą Państwo na stronie 7