El Sistema de Nombres de Dominio (DNS) es una piedra angular técnica de Internet, pero enfrenta desafíos importantes en términos de crecimiento y seguridad. Internet depende del DNS; cuando no funciona, Internet tampoco. Las organizaciones actuales dependen no sólo del DNS de Internet, sino también de su propio DNS, y cuando sus sistemas DNS fallan, sus aplicações fallan.
A medida que los teléfonos inteligentes se volvieron omnipresentes durante la última década, el número de usuarios de Internet aumentó más del 500 por ciento, a más de 2.600 millones. Forrester1 predice que para 2016, habrá más de mil millones de teléfonos inteligentes en uso en todo el mundo, y la explosión resultante de aplicações para teléfonos inteligentes en redes 4G de evolución a largo plazo (LTE) impulsará un aumento exponencial en el tráfico DNS.
El crecimiento de los sitios de entretenimiento, las redes sociales, las búsquedas y las compras en línea también está ejerciendo presión sobre el DNS. En los últimos cinco años, el volumen de consultas DNS ha aumentado más del 200 por ciento: la carga diaria promedio de consultas en el primer trimestre de 2011 fue de unos asombrosos 57 mil millones.
A medida que los sitios y las aplicações se vuelven más ricos y sofisticados, la carga sobre el DNS aumenta. Por ejemplo, en una página web moderna, cada imagen, botón para agregar, widget, enlace, ícono y otro contenido incrustado tiene una dirección IP potencial que debe buscarse. No es raro que una sola página requiera más de dos docenas de búsquedas DNS diferentes por parte de un navegador. Una página de nivel superior como cnn.com requiere más de cien búsquedas de DNS. Una web más grande y compleja implica solicitudes de DNS cada vez mayores.
Casi todos los clientes dependen del DNS para acceder a los servicios previstos, lo que hace que el DNS sea el servicio más crítico (y público) de todos. Las interrupciones de DNS afectan a todos los servicios externos del centro de datos, no solo a una sola aplicação. Este único punto de falla total, junto con la infraestructura de DNS históricamente subabastecida, especialmente en Internet y en los centros de datos empresariales, hace del DNS un objetivo muy tentador para los atacantes. Se ha convertido en el segundo vector de ataque más utilizado para ataques de denegación de servicio distribuido (DDoS) (después de HTTP), lo que obliga a las organizaciones a buscar defensas efectivas.
Igualmente significativo es el hecho de que los ataques más dañinos financieramente, como el phishing y los ataques del tipo "man-in-the-middle" (MITM), comienzan con la manipulación de la respuesta del DNS. La tecnología de Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) tiene como objetivo resolver estos problemas, pero los costos adicionales y la complejidad que conlleva están demostrando ser una carga adicional para las organizaciones que ya están compitiendo para abordar los problemas introducidos por el rápido crecimiento y la defensa contra DDoS.
Incluso las medidas de seguridad tradicionales, como los bloqueadores de la barra de herramientas del navegador, dependen de los servicios DNS, por lo que cuando esos servicios se interrumpen, las medidas de seguridad pueden fallar. El mismo problema existe hasta cierto punto con los certificados de sitio SSL.
Las organizaciones necesitan reevaluar las soluciones DNS para asegurarse de que cumplen con los requisitos de rendimiento y seguridad de Internet actual y del futuro.
Las organizaciones que enfrentan los desafíos del crecimiento y la seguridad han recurrido a F5 Networks durante más de 10 años para la distribución global de DNS y aplicação . F5 BIG-IP Global Traffic Manager (GTM) ha sido históricamente la tecnología de entrega de aplicação multisitio más flexible y de mayor rendimiento. Ahora F5 está expandiendo los límites tecnológicos con una arquitectura de proxy completo para DNS dinámico que proporciona una solución completa para el equilibrio de carga global, local y en la nube.
Para las organizaciones globales con múltiples centros de datos y una infraestructura DNS existente, BIG-IP GTM ofrece una gama de servicios, desde equilibrio de carga de servidor global (GSLB) hasta servicio de zona completa con la exclusiva tecnología DNS Express de F5. La firma DNSSEC garantiza que los clientes no sean redirigidos de forma maliciosa.
Para la empresa, BIG-IP GTM puede actuar como una cámara de compensación central para la resolución de nombres DNS salientes, el almacenamiento en caché y la resolución, y la validación DNSSEC. DNS Express escala, asegura y acelera la resolución de la zona local.
Para las organizaciones con cualquier combinación de centros de datos físicos y virtuales, BIG-IP GTM proporciona la agilidad para controlar cómo se mueven los nombres entre ellos y dentro de ellos. Con BIG-IP GTM Virtual Edition (VE) en entornos de nube pública y privada, las organizaciones pueden generar nuevas implementaciones a voluntad y brindar disponibilidad global flexible de aplicação .
GSLB a través de DNS ha sido un método para distribuir la carga desde que DNS incorporó por primera vez múltiples direcciones IP por respuesta. Incluso hoy en día, muchos sitios todavía utilizan la técnica de respuesta DNS round-robin para intentar distribuir el tráfico entre servidores y aplicações.
Si bien es simple y útil, el equilibrio de carga de DNS round-robin primitivo tiene dos debilidades importantes. En primer lugar, los servidores DNS convencionales no tienen conocimiento del estado de los servidores de aplicação . Si un nombre se asigna a cuatro direcciones de servidores de aplicação y el tercer servidor no funciona, se rechazará el 25 por ciento de las conexiones atendidas. En segundo lugar, la técnica convencional de round-robin no tiene en cuenta el perfil del usuario que consulta el nombre en sí. Es decir, no tiene la capacidad de hacer coincidir a los usuarios con centros de datos cercanos.
BIG-IP Global Traffic Manager ha proporcionado una solución GSLB que aborda estas debilidades y otras más desde 2002. Los sitios de Internet y los centros de datos empresariales han confiado en BIG-IP GTM para el equilibrio de carga del servidor global avanzado que proporciona alta disponibilidad de aplicação y una experiencia de usuario positiva. Para la empresa, BIG-IP GTM considera el estado de la aplicação subyacente y entrega solo direcciones para servidores en buen estado. Para sitios de Internet globales con múltiples centros de datos, BIG-IP GTM puede emplear métodos sofisticados de equilibrio de carga que implementan la lógica empresarial para cada aplicação. El método puede ser tan simple como una lista de preferencias basada en prioridades que distribuye la carga utilizando proporciones estáticas o dinámicas, basada en la proximidad del cliente, o tan complejo como utilizar múltiples factores e insumos para elegir el recurso óptimo para los clientes. Muchas organizaciones ahora utilizan datos de geolocalización para conectar a los usuarios con el centro de datos más cercano a ellos. Los usuarios obtienen menos conexiones defectuosas y una experiencia más rica, y los centros de datos obtienen un mejor equilibrio de carga del servidor global.
Históricamente, BIG-IP GTM proporcionaba GSLB ofreciendo una resolución de DNS inteligente pero no autoritaria. La nueva función DNS Express mejora esto al ofrecer una resolución de DNS autorizada de alto rendimiento y clase mundial. Lo hace transfiriendo la información de zona de los servidores DNS existentes a su propia RAM y luego respondiendo a todas las consultas por sí mismo. DNS Express convierte a BIG-IP GTM en un servidor autorizado sin necesidad de una nueva infraestructura de gestión.
Cuando se utilizan detrás de DNS Express, los servidores DNS se convierten simplemente en puntos de control administrativo y de almacenamiento para la gestión de DNS. Esto significa que se requieren menos servidores. Al igual que otros productos de F5, BIG-IP GTM es un firewall de red certificado por ICSA Labs, por lo que puede colocarse en una DMZ o incluso fuera del perímetro del firewall.
Beneficio | Tecnología habilitadora |
---|---|
GSLB de alto rendimiento | BIG-IP GTM multinúcleo |
Descarga de DNS escalable | DNS Express |
Distribuir la carga entre los dispositivos | P Anycast |
Consultas DNS seguras | DNSSEC |
Ruta basada en el centro de datos más cercano | Geolocalización |
Control completo de DNS | Lenguaje de scripting iRules de F5 |
Protección contra DDoS | DNS Express |
Validación del protocolo | Proxy DNS L7 completo |
BIG-IP GTM ofrece un conjunto de servicios de seguridad que brindan protección contra ataques DDoS en el perímetro de seguridad del DNS. Por ejemplo, BIG-IP GTM mitiga fácilmente las inundaciones UDP distribuidas típicas al escalar el rendimiento mucho más allá del de un servidor DNS normal. De manera similar, para ataques de consultas más avanzados, la función DNS Express puede superar a un servidor DNS típico porque conserva todas sus entradas de zona válidas incluso durante un ataque DDoS de NXDOMAIN.
Desde 2002, cuando ocurrieron los primeros grandes ataques contra la infraestructura DNS global, la tecnología IP Anycast se ha convertido en una defensa crucial contra muchos tipos de ataques DDoS. IP Anycast diluye los ataques DDoS al distribuir la carga (ya sea tráfico legítimo o un ataque de red) entre múltiples dispositivos, generalmente en diferentes centros de datos en distintas partes del mundo. Esto frustra a las botnets globales porque nunca pueden concentrar su potencia de fuego contra un solo objetivo.
Todos los productos basados en TMOS de F5, incluido BIG-IP GTM, incluyen la funcionalidad de firewall de red certificado por ICSA Labs que mitiga los ataques a la red. La nueva arquitectura de proxy completo de BIG-IP versión 11 permite que BIG-IP GTM realice la validación del protocolo nativo para todas las consultas DNS. Al finalizar ambos lados del diálogo DNS, BIG-IP GTM puede eliminar rápidamente cualquier solicitud DNS no válida.
DNS Express está revolucionando la forma en que se sirven las respuestas DNS; sin embargo, F5 continúa evolucionando su solución de equilibrio de carga de servidor DNS convencional. La versión 11.1 de BIG-IP GTM introdujo una verdadera funcionalidad de proxy completo en línea, donde BIG-IP GTM redirige las solicitudes del cliente DNS y las respuestas del servidor DNS para brindar el máximo control.
Esta nueva arquitectura de proxy completo brinda a las organizaciones el control para proporcionar un conjunto completo de servicios relacionados con la seguridad y el rendimiento de DNS, incluidos almacenamiento en caché, resolución y firma y validación de DNSSEC.
Su arquitectura de proxy completo significa que con el almacenamiento en caché y la resolución de DNS, BIG-IP GTM puede actuar como un caché transparente no solo para un solo servidor DNS, sino para un grupo completo de servidores DNS. El almacenamiento en caché transparente en un único punto de control proporciona una respuesta más rápida, porque el caché único de BIG-IP GTM puede completarse más rápido que los cachés individuales en cada solucionador de DNS. Esto conduce a un mayor rendimiento general y, en última instancia, a una mejor experiencia de usuario.
Dado que el DNS suele ser el primer paso que da un cliente cuando se conecta al centro de datos de una organización, los ataques que secuestran las respuestas del DNS (como los ataques de phishing y MITM) son la forma más fácil de comprometer los activos. La suplantación de respuesta DNS siempre ha sido un método popular entre los atacantes, y el envenenamiento de caché contra servidores de nombres recursivos es significativamente más fácil de lo que la comunidad de TI pensó en un principio. En 2008, el investigador de seguridad Dan Kaminsky reveló una falla en el diseño de los identificadores de mensajes DNS y, como resultado, organizaciones de alta seguridad como el Departamento de Seguridad Nacional de Estados Unidos (NSD, por sus siglas en inglés)... El Departamento de Defensa hizo de la protección del DNS una alta prioridad y obligatoria para el cumplimiento normativo.
La solución DNSSEC de F5 defiende contra toda la clase de ataques de envenenamiento de caché, mitigando las amenazas de phishing y MITM. Asegura a los clientes de las organizaciones que efectivamente se están conectando a su centro de datos y no a un proxy de phishing. Las claves de firma DNSSEC de F5 se pueden almacenar en módulos de seguridad de hardware (HSM) FIPS 140-2 Nivel 3 protegidos contra manipulaciones para lograr la máxima seguridad.
La adopción de DNSSEC ha sido difícil y lenta para muchos en la industria de resolución de nombres. En particular, algunas soluciones de balanceo de carga de servidores globales son incompatibles con DNSSEC. La mayoría sigue la implementación de referencia inicial y firma estáticamente toda la zona una vez al mes, para luego entregar las respuestas prefirmadas. Sin embargo, existen problemas con una solución firmada estáticamente (ver barra lateral).
La infraestructura DNS dinámica de F5 proporciona un enfoque superior.2 Con BIG-IP GTM, DNSSEC y GSLB coexisten porque BIG-IP GTM firma las respuestas en tiempo real para que se puedan aprovechar todos los beneficios de GSLB y al mismo tiempo proteger las respuestas con criptografía asimétrica sólida.
Cuando se utiliza con DNS Express, BIG-IP GTM firma las respuestas a cualquier consulta que atiende, incluidas aquellas que atiende desde su propia información de zona, desde otros servidores DNS locales (que pueden no estar usando DNSSEC) y desde el propio solucionador de almacenamiento en caché de BIG-IP GTM. BIG-IP GTM también es lo suficientemente inteligente como para no firmar ninguna respuesta que ya haya sido firmada por otro servidor. F5 ofrece la única solución GSLB y DNSSEC completa, y puede proteger claves de firma con protección de clave de hardware FIPS 140-2 nivel 3 a prueba de manipulaciones.
Problemas con zonas firmadas estáticamente
Los servicios de DNS local (LDNS) resuelven consultas de nombres salientes en nombre de clientes empresariales. Al proporcionar este servicio básico, LDNS puede convertirse en un punto central de control para que los administradores empresariales gestionen el rendimiento, la escalabilidad y la seguridad.
La funcionalidad de proxy completa de BIG-IP GTM puede ayudar a una organización a validar las respuestas DNSSEC realizando la validación para cualquier combinación de resolución, almacenamiento en caché y funcionalidad de respuesta DNS. BIG-IP GTM no solo puede aceptar y resolver cada consulta, sino que también puede validar las respuestas DNSSEC.
La validación de BIG-IP GTM asegura la comunicación y libera al cliente de tener que realizar operaciones criptográficas computacionalmente costosas, y el almacenamiento en caché mejora el rendimiento de las consultas posteriores. Como varios clientes solicitan la misma resolución de DNS, todos los clientes posteriores recibirán la respuesta ya almacenada en caché y validada.
Las soluciones DNSSEC tienen el potencial de finalmente asegurar Internet. Ahora que la raíz del nombre .com ha sido firmada, finalmente existe una infraestructura global que permite a los clientes verificar, por ejemplo, que un correo electrónico de su banco realmente proviene de su banco. A medida que Internet supera los problemas crecientes de DNSSEC, la adopción de esta tecnología clave se convertirá en una realidad no sólo para las organizaciones federales para las que es obligatoria.
Debido a que la validación de DNSSEC puede ser tan costosa en términos computacionales, las grandes empresas requerirán la combinación correcta de almacenamiento en caché y rendimiento para mantener a los clientes internos funcionando sin problemas.
El hardware criptográfico integrado de alto rendimiento de BIG-IP GTM descarga el cálculo de validación de DNSSEC. BIG-IP GTM puede realizar la validación DNSSEC incluso para clientes tradicionales que no solicitan DNSSEC, lo que lo convierte en una solución de seguridad transparente e inmediata para toda la empresa.
BIG-IP GTM incluye un nuevo monitor de estado de la aplicação que consulta el estado de los servicios DNS cada cinco segundos. El monitor verifica que los servidores activos y disponibles respondan adecuadamente a las consultas. Luego puede evaluar cualquier aspecto de la respuesta o simplemente observar cualquier respuesta.
La flexibilidad del monitor de salud de DNS significa que puede convertirse efectivamente en un monitor de ruta. Por ejemplo, un administrador puede supervisar si un nombre externo no se resuelve. Al señalar esta falla, el monitor alerta a una organización de que existe una ruptura de nombre en algún lugar entre el servidor empresarial e Internet.
Hoy en día los centros de datos se encuentran en un estado de cambio constante. Algunas organizaciones están consolidando centros de datos, mientras que otras están utilizando nuevos centros de datos virtuales e implementaciones en la nube para gestionar el crecimiento. Otros más utilizan una combinación de alojamiento de servicios administrados y software de Internet como servicio (SaaS) para proporcionar aplicações virtuales. BIG-IP GTM ofrece soluciones que se adaptan a todas estas arquitecturas.
Gestión de DNS en la nube sencilla y robusta:
Con BIG-IP GTM, las organizaciones pueden obtener un único punto de control para su DNS entrante y el equilibrio de carga del servidor global en implementaciones en la nube. La edición virtual (VE) de BIG-IP GTM se puede implementar en entornos VMware vSphere, Microsoft Hyper-V y Citrix XenServer3 para proporcionar los mismos servicios que la versión física. BIG-IP GTM VE dentro del entorno virtual puede proporcionar LDNS para aplicações virtuales, y un dispositivo físico independiente BIG-IP GTM puede garantizar la disponibilidad externamente.
Los mismos principios que hacen de GSLB una solución tan atractiva todavía se aplican a los entornos virtuales. BIG-IP GTM permite a las organizaciones implementar fácilmente la disponibilidad global flexible de aplicação al enrutar a los usuarios a aplicações en centros de datos virtuales. El monitor de salud del DNS garantiza la disponibilidad de las aplicação virtuales. La inteligencia DNS nativa de BIG-IP GTM dirige a los usuarios a las aplicações en la nube más disponibles y entre varias nubes para implementaciones virtuales.
A medida que las organizaciones migran a IPv6, los sistemas heredados, los requisitos del cliente y la compatibilidad juegan un papel en la velocidad con la que se lleva a cabo la migración. Para complicar aún más las cosas, algunas redes son sólo compatibles con IPv6, pero también necesitan acceso a recursos IPv4, como hosts en Internet y servidores heredados que no admiten IPv6. Muchas organizaciones tienen subredes que simplemente no pueden soportar una pila dual y necesitan una solución para cerrar la brecha.
La arquitectura de proxy completo de F5 ofrece una solución única y atractiva que aprovecha los puntos de control estratégicos en la red para cerrar la brecha entre los clientes IPv6 y los servidores IPv4.
La traducción de direcciones de red con la puerta de enlace NAT64 en BIG-IP Local Traffic Manager (LTM) proporciona un proxy de IPv6 a IPv4 para la entrega de aplicação . La puerta de enlace DNS64 de BIG-IP GTM simula automáticamente la dirección IPv6 e invoca el proxy NAT64.
Las organizaciones están utilizando DNS64 y NAT64 para construir nuevas redes exclusivas de IPv6 que aún tienen acceso a la infraestructura de IPv4, sin tener que implementar pilas duales en sus redes. Los puntos de control estratégicos de F5 en la red son los componentes críticos que posibilitan estas soluciones.
F5 ofrece soluciones DNS de alto rendimiento desde 2002. Con su conjunto más reciente de tecnologías DNS, F5 se mantiene a la vanguardia de la distribución global de aplicação . DNS Express, para zonas locales y autorizadas, ofrece el mejor rendimiento para la entrega de DNS y agrega protección DNS DDoS. La nueva arquitectura de proxy completo de BIG-IP GTM permite a las organizaciones maximizar la agilidad a través de la resolución de DNS, el rendimiento a través del almacenamiento en caché y la seguridad completa de DNS a través de la firma y la validación. Para las organizaciones que migran a servicios en la nube, BIG-IP GTM VE permite flexibilidad dentro de la nube privada y los entornos virtuales. Y para las organizaciones que migran a IPv6, DNS64 en BIG-IP GTM une con éxito los mundos de IPv6 e IPv4 durante la transición.
Ya sea que las organizaciones tengan una infraestructura de centro de datos global, centros de datos empresariales o una combinación de ambos, además de servicios de nube híbrida , las soluciones basadas en BIG-IP GTM les ayudan a proteger, escalar y entregar sus aplicações al mundo.
1 Campinas, Wilian. Se espera que el número de teléfonos inteligentes en el mundo alcance los 1.000 millones en 2016, según proyectos de consultoría . 13 de febrero de 2012.
2 Vea el video de la solución DNSSEC de F5: http://vimeo.com/37677275
3 BIG-IP GTM VE es compatible con Microsoft Hyper-V para Windows Server 2008 R2 (solo laboratorio), Citrix XenServer 5.6 y VMware vSphere Hypervisor 4.0, 4.1 y 5.0.
La comunidad de F5 para foros de discusión y artículos de expertos.