A infraestrutura de DNS dinâmico

O Sistema de Nomes de Domínio (DNS) é um pilar técnico da Internet, mas enfrenta desafios significativos em termos de crescimento e segurança. A Internet depende do DNS; quando ele não funciona, a Internet também não funciona. As organizações de hoje dependem não apenas do DNS da Internet, mas também do seu próprio DNS, e quando seus sistemas DNS falham, seus aplicativos falham.

À medida que os smartphones se tornaram onipresentes na última década, o número de usuários da Internet aumentou mais de 500%, para mais de 2,6 bilhões. Florestal¹ prevê que até 2016 haverá mais de 1 bilhão de smartphones em uso no mundo todo, e a explosão resultante de aplicativos para smartphones em redes Long Term Evolution (LTE) 4G impulsionará um aumento exponencial no tráfego DNS.

O crescimento em sites de entretenimento, mídias sociais, pesquisas e compras on-line também está pressionando o DNS. Nos últimos cinco anos, o volume de consultas de DNS aumentou mais de 200% — a carga média de consultas diárias no primeiro trimestre de 2011 foi de impressionantes 57 bilhões.

À medida que sites e aplicativos se tornam mais ricos e sofisticados, a carga sobre o DNS aumenta. Por exemplo, em uma página da web moderna, cada imagem, botão de adição, widget, link, ícone e outro conteúdo incorporado tem um endereço IP potencial que deve ser consultado. Não é incomum que uma única página exija mais de duas dúzias de pesquisas de DNS diferentes por um navegador. Uma página de nível superior como cnn.com requer mais de cem pesquisas de DNS. Uma web maior e mais complexa significa solicitações de DNS cada vez maiores.

Quase todos os clientes dependem do DNS para alcançar os serviços pretendidos, tornando o DNS o mais crítico — e público — de todos os serviços. As interrupções de DNS afetam todos os serviços externos do data center, não apenas um único aplicativo. Esse ponto único de falha total, juntamente com a infraestrutura de DNS historicamente subprovisionada, especialmente em data centers corporativos e de Internet, torna o DNS um alvo muito tentador para invasores. Tornou-se o segundo vetor de ataque mais frequentemente usado para ataques de negação de serviço distribuído (DDoS) (depois do HTTP), deixando as organizações lutando para encontrar defesas eficazes.

Igualmente significativo é o fato de que os ataques mais danosos financeiramente, como phishing e ataques do tipo man-in-the-middle (MITM), começam com a manipulação da resposta DNS. A tecnologia Domain Name System Security Extensions (DNSSEC) visa resolver esses problemas, mas sua sobrecarga e complexidade adicionais estão se mostrando um fardo adicional para organizações que já estão correndo para resolver problemas introduzidos pelo rápido crescimento e pela defesa contra DDoS.

Até mesmo medidas de segurança tradicionais, como bloqueadores de barras de ferramentas do navegador, dependem de serviços DNS, então, quando esses serviços são interrompidos, as medidas de segurança podem falhar. O mesmo problema existe até certo ponto com certificados de sites SSL.

As organizações precisam dar uma nova olhada nas soluções de DNS para garantir que elas atendam aos requisitos de desempenho e segurança da Internet de hoje e de amanhã.

Organizações que enfrentam os desafios de crescimento e segurança recorrem à F5 Networks há mais de 10 anos para DNS e entrega global de aplicativos. O F5 BIG-IP Global Traffic Manager (GTM) tem sido historicamente a tecnologia de entrega de aplicativos multisite de melhor desempenho e mais flexível. Agora, a F5 está expandindo os limites tecnológicos com uma arquitetura de proxy completo para DNS dinâmico que fornece uma solução completa para balanceamento de carga global, local e na nuvem.

Para organizações globais com vários data centers e uma infraestrutura de DNS existente, o BIG-IP GTM fornece uma variedade de serviços, desde balanceamento de carga de servidor global (GSLB) até serviço de zona completa com a tecnologia DNS Express exclusiva da F5. A assinatura DNSSEC garante que os clientes não sejam redirecionados de forma maliciosa.

Para a empresa, o BIG-IP GTM pode atuar como uma câmara de compensação central para resolução de nomes DNS de saída, armazenamento em cache e resolução, e validação de DNSSEC. O DNS Express dimensiona, protege e acelera a resolução da zona local.

Para organizações com qualquer combinação de data centers físicos e virtuais, o BIG-IP GTM fornece agilidade para controlar como os nomes se movem entre eles e dentro deles. Com o BIG-IP GTM Virtual Edition (VE) em ambientes de nuvem pública e privada, as organizações podem iniciar novas implantações quando quiserem e fornecer disponibilidade global flexível de aplicativos.

GSLB via DNS tem sido um método de distribuição de carga desde que o DNS incorporou pela primeira vez vários endereços IP por resposta. Mesmo hoje, muitos sites ainda usam a técnica de resposta DNS round-robin para tentar distribuir o tráfego entre servidores e aplicativos.

Embora simples e útil, o balanceamento de carga DNS round-robin primitivo tem duas fraquezas significativas. Primeiro, os servidores DNS convencionais não têm conhecimento da integridade dos servidores de aplicativos. Se um nome for mapeado para quatro endereços de servidor de aplicativos e o terceiro servidor estiver inativo, 25% das conexões atendidas serão recusadas. Em segundo lugar, a técnica convencional de round-robin não leva em consideração o perfil do usuário que consulta o nome em si. Ou seja, ele não tem capacidade de conectar usuários a data centers próximos.

O BIG-IP Global Traffic Manager fornece uma solução GSLB que aborda essas fraquezas e muito mais desde 2002. Sites da Internet e data centers empresariais contam com o BIG-IP GTM para o balanceamento avançado de carga de servidor global, que fornece alta disponibilidade de aplicativos e uma experiência positiva ao usuário. Para a empresa, o BIG-IP GTM considera a integridade do aplicativo subjacente e fornece apenas endereços para servidores saudáveis. Para sites globais da Internet com vários data centers, o BIG-IP GTM pode empregar métodos sofisticados de balanceamento de carga que implementam a lógica de negócios para cada aplicativo. O método pode ser tão simples quanto uma lista de preferências baseada em prioridades que distribui a carga usando proporções estáticas ou dinâmicas; com base na proximidade do cliente; ou tão complexo quanto usar múltiplos fatores e entradas para escolher o recurso ideal para os clientes. Muitas organizações agora usam dados de geolocalização para conectar usuários ao data center mais próximo deles. Os usuários obtêm menos conexões ruins e uma experiência mais rica, e os data centers obtêm melhor balanceamento de carga global do servidor.

Historicamente, o BIG-IP GTM forneceu o GSLB ao oferecer resolução de DNS inteligente, mas não autoritativa. O novo recurso DNS Express melhora isso ao oferecer resolução DNS autoritativa de alto desempenho e de classe mundial. Ele faz isso transferindo as informações de zona dos servidores DNS existentes para sua própria RAM e, então, respondendo a todas as consultas. O DNS Express torna o BIG-IP GTM um servidor autoritativo sem exigir uma nova infraestrutura de gerenciamento.

Quando usados por trás do DNS Express, os servidores DNS se tornam meramente pontos de armazenamento e controle administrativo para gerenciamento de DNS. Isso significa que menos servidores são necessários. Assim como outros produtos F5, o BIG-IP GTM é um firewall de rede certificado pelo ICSA Labs, portanto pode ser colocado em uma DMZ ou até mesmo fora do perímetro do firewall.

O BIG-IP GTM oferece um conjunto de serviços de segurança que fornece proteção contra ataques DDoS no perímetro de segurança do DNS. Por exemplo, o BIG-IP GTM atenua facilmente inundações UDP distribuídas típicas ao dimensionar o desempenho muito além do de um servidor DNS normal. Da mesma forma, para ataques de consulta mais avançados, o recurso DNS Express pode superar um servidor DNS típico porque ele retém todas as suas entradas de zona válidas, mesmo durante um ataque DDoS NXDOMAIN.

Desde 2002, quando ocorreram os primeiros grandes ataques contra a infraestrutura global de DNS, a tecnologia IP Anycast se tornou uma defesa crucial contra muitos tipos de ataques DDoS. O IP Anycast dilui ataques DDoS ao distribuir a carga (seja tráfego legítimo ou um ataque de rede) entre vários dispositivos, geralmente em diferentes data centers em diferentes partes do globo. Isso frustra as botnets globais porque elas nunca conseguem concentrar seu poder de fogo contra um único alvo.

Todos os produtos baseados em TMOS da F5, incluindo o BIG-IP GTM, incluem a funcionalidade de firewall de rede certificada pelo ICSA Labs que atenua ataques de rede. A nova arquitetura de proxy completo do BIG-IP versão 11 permite que o BIG-IP GTM execute a validação de protocolo nativo para todas as consultas DNS. Ao encerrar ambos os lados do diálogo DNS, o BIG-IP GTM pode eliminar rapidamente quaisquer solicitações DNS inválidas.

O DNS Express está revolucionando a maneira como as respostas DNS são atendidas; no entanto, a F5 continua a desenvolver sua solução convencional de balanceamento de carga de servidor DNS. A versão 11.1 do BIG-IP GTM introduziu a verdadeira funcionalidade full-proxy inline, onde o BIG-IP GTM faz proxy de solicitações do cliente DNS e respostas do servidor DNS para fornecer controle máximo.

Essa nova arquitetura de proxy completo dá às organizações o controle para fornecer um conjunto completo de serviços relacionados ao desempenho e à segurança do DNS, incluindo cache, resolução e assinatura e validação de DNSSEC.

Sua arquitetura de proxy completo significa que, com cache e resolução de DNS, o BIG-IP GTM pode atuar como um cache transparente não apenas para um único servidor DNS, mas para um pool inteiro de servidores DNS. O cache transparente em um único ponto de controle fornece uma resposta mais rápida, porque o cache BIG-IP GTM único pode ser preenchido mais rapidamente do que os caches individuais em cada resolvedor DNS. Isso leva a um melhor desempenho geral e, em última análise, a uma melhor experiência do usuário.

Como o DNS geralmente é o primeiro passo que um cliente toma ao se conectar ao data center de uma organização, ataques que sequestram respostas de DNS (como ataques de phishing e MITM) são a maneira mais fácil de comprometer ativos. A falsificação de resposta de DNS sempre foi um método popular entre invasores, e o envenenamento de cache contra servidores de nomes recursivos é significativamente mais fácil do que a comunidade de TI pensava inicialmente. Em 2008, o pesquisador de segurança Dan Kaminsky revelou uma falha no design dos identificadores de mensagens DNS e, como resultado, organizações de alta segurança como a U.S. O Departamento de Defesa tornou a proteção do DNS uma alta prioridade e obrigatória para conformidade regulatória.

A solução DNSSEC da F5 defende contra toda a classe de ataques de envenenamento de cache, mitigando ameaças de phishing e MITM. Ele garante aos clientes das organizações que eles estão de fato se conectando ao seu data center e não a um proxy de phishing. As chaves de assinatura DNSSEC da F5 podem ser armazenadas em módulos de segurança de hardware (HSMs) FIPS 140-2 Nível 3 protegidos contra violação para segurança máxima.

A adoção do DNSSEC tem sido difícil e lenta para muitos no setor de resolução de nomes. Em particular, algumas soluções globais de balanceamento de carga de servidor são incompatíveis com DNSSEC. A maioria segue a implementação de referência inicial e assina estaticamente toda a zona uma vez por mês, e então serve as respostas pré-assinadas. Entretanto, há problemas com uma solução assinada estaticamente (veja a barra lateral).

A infraestrutura de DNS dinâmico do F5 oferece uma abordagem superior.² Com o BIG-IP GTM, o DNSSEC e o GSLB coexistem porque o BIG-IP GTM assina respostas em tempo real para que todos os benefícios do GSLB possam ser percebidos e, ao mesmo tempo, proteger as respostas com criptografia assimétrica forte.

Quando usado com o DNS Express, o BIG-IP GTM assina respostas para qualquer consulta que ele atende, incluindo aquelas que ele atende de suas próprias informações de zona, de outros servidores DNS locais (que podem não estar usando DNSSEC) e do próprio resolvedor de cache do BIG-IP GTM. O BIG-IP GTM também é inteligente o suficiente para não assinar nenhuma resposta que já tenha sido assinada por outro servidor. A F5 oferece a única solução completa de GSLB e DNSSEC e pode proteger chaves de assinatura com proteção de chave de hardware FIPS 140-2 nível 3 à prova de violação.

Problemas com zonas assinadas estaticamente

• Os administradores não podem fazer pequenas alterações de zona até que toda a zona seja assinada novamente
• Zonas assinadas estaticamente não podem utilizar o monitoramento de integridade do aplicativo para garantir alta disponibilidade
• Técnicas avançadas de qualificação de clientes, como geolocalização, não podem ser suportadas em um ambiente com assinatura estática
• Implementações GSLB quebram DNSSEC estático para tomar decisões de roteamento

Os serviços de DNS local (LDNS) resolvem consultas de nomes de saída em nome de clientes empresariais. Ao fornecer esse serviço básico, o LDNS pode se tornar um ponto central de controle para administradores corporativos gerenciarem desempenho, escalabilidade e segurança.

• Desempenho. Quando preenchido, o cache e o resolvedor do BIG-IP GTM podem reduzir as consultas DNS de saída em 80%, resultando em maior desempenho e melhor experiência do usuário.
• Escalabilidade. A arquitetura multi-core do BIG-IP GTM pode ser dimensionada junto com o DNS Express para atender às necessidades até mesmo dos maiores data centers empresariais.
• Segurança. O BIG-IP GTM fornece uma solução de validação DNSSEC de alto desempenho, que descarrega serviços criptograficamente intensivos de outros clientes internos e serviços DNS.

A funcionalidade de proxy completo do BIG-IP GTM pode ajudar uma organização a validar respostas DNSSEC executando a validação para qualquer combinação de resolução, armazenamento em cache e funcionalidade de resposta DNS. O BIG-IP GTM não apenas aceita e resolve cada consulta, como também valida as respostas DNSSEC.

A validação pelo BIG-IP GTM protege a comunicação e libera o cliente de ter que executar operações criptográficas computacionalmente custosas, e o armazenamento em cache melhora o desempenho de consultas subsequentes. Como vários clientes solicitam a mesma resolução de DNS, todos os clientes subsequentes receberão a resposta já armazenada em cache e validada.

As soluções DNSSEC têm o potencial de finalmente proteger a Internet. Agora que a raiz do nome .com foi assinada, finalmente há uma infraestrutura global em vigor que permite aos clientes verificar, por exemplo, se um e-mail do seu banco realmente é do seu banco. À medida que a Internet supera os problemas do DNSSEC, a adoção dessa tecnologia essencial se tornará uma realidade não apenas para as organizações federais para as quais ela é obrigatória.

Como a validação de DNSSEC pode ser muito dispendiosa em termos computacionais, grandes empresas precisarão da combinação certa de cache e desempenho para manter os clientes internos funcionando sem problemas.

O hardware criptográfico integrado de alto desempenho do BIG-IP GTM alivia a computação de validação de DNSSEC. O BIG-IP GTM pode executar a validação de DNSSEC até mesmo para clientes legados que não solicitam DNSSEC, tornando-o uma solução de segurança transparente e imediata para toda a empresa.

O BIG-IP GTM inclui um novo monitor de integridade de aplicativo que consulta a integridade dos serviços DNS a cada cinco segundos. O monitor verifica se os servidores ativos e disponíveis estão respondendo corretamente às consultas. Ele pode então avaliar qualquer aspecto da resposta ou simplesmente observar qualquer resposta.

A flexibilidade do monitor de integridade do DNS significa que ele pode efetivamente se tornar um monitor de caminho. Por exemplo, um administrador pode monitorar se um nome externo não está sendo resolvido. Ao sinalizar essa falha, o monitor alerta a organização de que existe uma quebra de nome em algum lugar entre o servidor corporativo e a Internet.

Os data centers estão em constante mudança hoje em dia. Algumas organizações estão consolidando data centers, enquanto outras estão usando novos data centers virtuais e implantações em nuvem para gerenciar o crescimento. Outros ainda estão usando uma combinação de hospedagem de serviços gerenciados e software como serviço (SaaS) de Internet para fornecer aplicativos virtuais. O BIG-IP GTM fornece soluções que acomodam todas essas arquiteturas.

Gerenciamento de DNS em nuvem simples e robusto:

• Estende o gerenciamento de consultas e o armazenamento em cache para implantações na nuvem.
• Garante que as consultas DNS sejam roteadas com eficiência para a melhor nuvem.
• Aumenta a produtividade com cache de DNS com respostas rápidas de aplicativos.

Com o BIG-IP GTM, as organizações podem obter um único ponto de controle para seu DNS de entrada e balanceamento de carga de servidor global em implantações em nuvem. A edição virtual (VE) do BIG-IP GTM pode ser implantada em ambientes VMware vSphere, Microsoft Hyper-V e Citrix XenServer³ para fornecer os mesmos serviços que a versão física fornece. O BIG-IP GTM VE dentro do ambiente virtual pode fornecer LDNS para aplicativos virtuais, e um dispositivo físico autônomo BIG-IP GTM pode garantir a disponibilidade externamente.

Os mesmos princípios que tornam o GSLB uma solução tão atraente ainda se aplicam aos ambientes virtuais. O BIG-IP GTM permite que as organizações implementem facilmente a disponibilidade global flexível de aplicativos, roteando usuários para aplicativos em data centers virtuais. O monitor de integridade do DNS garante a disponibilidade do aplicativo virtual. A inteligência de DNS nativa do BIG-IP GTM direciona os usuários para os aplicativos de nuvem mais disponíveis e entre várias nuvens para implantações virtuais.

À medida que as organizações migram para o IPv6, os sistemas legados, os requisitos do cliente e a compatibilidade desempenham um papel na rapidez com que a migração ocorre. Para complicar ainda mais a situação, algumas redes são somente IPv6, mas também precisam de acesso a recursos IPv4, como hosts na Internet e servidores legados que não oferecem suporte a IPv6. Muitas organizações têm sub-redes que simplesmente não conseguem suportar uma pilha dupla e precisam de uma solução para preencher a lacuna.

A arquitetura de proxy completo da F5 oferece uma solução única e atraente que aproveita pontos estratégicos de controle na rede para preencher a lacuna entre clientes IPv6 e servidores IPv4.

A tradução de endereços de rede com o gateway NAT64 no BIG-IP Local Traffic Manager (LTM) fornece um proxy IPv6 para IPv4 para entrega de aplicativos. O gateway DNS64 do BIG-IP GTM simula automaticamente o endereço IPv6 e invoca o proxy NAT64.

As organizações estão usando DNS64 e NAT64 para criar novas redes somente IPv6 que ainda têm acesso à infraestrutura IPv4, sem precisar implementar pilhas duplas em suas redes. Os pontos estratégicos de controle da F5 na rede são os componentes críticos que permitem essas soluções.

• Oferecendo suporte crítico para dispositivos móveis LTE
• Suporte a clientes IPv6 puros que acessam IPv6 e IPv4
• Combinando NAT64 e DNS64 para fornecer tradução automática

A F5 oferece soluções de DNS de alto desempenho desde 2002. Com seu mais recente conjunto de tecnologias DNS, a F5 permanece na vanguarda da entrega global de aplicativos. O DNS Express, para zonas locais e autorizadas, oferece o melhor desempenho para entrega de DNS e adiciona proteção DDoS ao DNS. A nova arquitetura de proxy completo do BIG-IP GTM permite que as organizações maximizem a agilidade por meio da resolução de DNS, o desempenho por meio de cache e a segurança completa do DNS por meio de assinatura e validação. Para organizações que estão migrando para serviços de nuvem, o BIG-IP GTM VE permite flexibilidade dentro da nuvem privada e ambientes virtuais. E para organizações que estão migrando para IPv6, o DNS64 no BIG-IP GTM conecta com sucesso os mundos do IPv6 e IPv4 durante a transição.

Não importa se as organizações têm infraestrutura global de data center, data centers corporativos ou uma mistura de ambos, além de serviços de nuvem privada ou híbrida, as soluções baseadas no BIG-IP GTM as ajudam a proteger, dimensionar e entregar seus aplicativos ao mundo.