ISP SÍTĚ

Bezpečnější síť ISP
s nejrychlejším DNS
překladačem

„Díky Whalebone DNS eliminujeme dopady rizikového chování našich zákazníků. Samotný DNS server je stoprocentně stabilní. Ať jsme dříve používali cokoliv jiného, vždy byl nějaký problém. Whalebone funguje spolehlivě, má excelentní support a my díky tomu ještě ušetříme lidské zdroje.”

Jan Křivský, Airwaynet
Technický ředitel

ISP SÍTĚ

Co přinese Whalebone vaší síti

Whalebone DNS redukuje dopady nezodpovědného chování zákazníků na vaši síť.
Whalebone snižuje náklady na správu vaší sítě, zrychluje a zlepšuje poskytovanou službu zákazníkům.

Bezpečnost na úrovni DNS

Bezpečnost na úrovni DNS

Snížení blacklistování IP, trafficu vytvářeného malwarem, počtu abuse e-mailů, odchozích DoSů i spamu a ochrana infrastrukturních zařízení.

On-premise DNS resolver pro ISP

On-premise DNS resolver pro ISP

Lokální i cloudový DNS resolver s funkcemi na míru pro ISP. Viditelnost dat a politiky až na lokální IP, API, blokace hazardu i automatizované alerty.

Rychlejší a stabilnější síť

Rychlejší a stabilnější síť

Nejrychlejší resolver na trhu, upgrady i změny konfigurace bez výpadku, kompatibilita s nejmodernějšími standardy DNS provozu.

Support a deployment

Support a deployment

Pomoc při implementaci, provozu i řešení požadavků vašich zákazníků. Přímá e-mailová i telefonická podpora Whalebone.

Vyzkoušejte všechny funkce Whalebone

Nasazení zabere pár minut, výsledky vidíte obratem.

Bezpečnost na úrovni DNS

Bezpečnost na úrovni DNS

Snížení blacklistování IP, trafficu vytvářeného malwarem, počtu abuse e-mailů, odchozích DoSů i spamu a ochrana infrastrukturních zařízení.

Proč využívat DNS k ochraně a zlepšování sítě?

Dle Cisco 91,3 % malware využívá DNS překlad pro svou činnost. 68 % organizací se však proti činnosti malware na DNS nechrání a ani toto nemonitoruje. Whalebone toto pro ISP řeší až na úroveň lokálních IP. Chráníme všechna zařízení připojená k síti bez nutnosti jakékoliv instalace dodatečného software do těchto zařízení. Budete překvapeni výsledky. A třeba zjistíte, že máte v síti infikovaná infrastrukturní zařízení.

Jak je to s false positve (falešnými) blokacemi?

Děláme maximum, abychom eliminovali false positive blokace. Nicméně občas se může stát, že k nějaké dojde. Pokud na nějakou máte podezření, nejlepší, co můžete udělat, je nám ji nahlásit. Nejsnazší způsob je přímo z Portálu: https://cl.ly/2e2568bbd339.

Z tohoto menu také můžete doménu lépe prozkoumat:

  • Google: díky první volbě zjistíte, jestli Google doménu vůbec najde a vedou na ni nějaké relevantní výsledky. Pokud ji Google nevede ve svém indexu, nebo jsou výsledky pouze na stránky obsahující informace o malware a podobně, je to poměrně silný argument, že blokace je adekvátní.
  • Urlscan.io: toto slouží k podrobnějšímu technickému prozkoumání domény – co se na ní děje, kam odkazuje, vnitřní odkazy atd.
  • Virustotal: to je z pohledu kontroly domény asi nejpřehlednější nástroj: ukazuje bezpečnostní přehled domény – pokud je nebezpečná, proč, v jakých je feedech bezpečnostních dodavatelů (proklik přes relations a pak klik na detections v sekci URLs), případné komentáře k doméně.
  • DNSviz: slouží k prozkoumání domény. z pohledu DNSSEC validace

Jaká data má Whalebone k dispozici a jak s nimi nakládá?

Whalebone pro zajištění bezpečnostní funkce a uživatelské přívětivosti zobrazuje data ve cloudovém administračním portálu. Data využíváme anonymizovaně pouze pro zlepšování bezpečnostní funkce. Data o DNS provozu agregujeme na první překlad na dané IP za hodinu a odmazáváme maximálně po 14 dnech. Data o bezpečnostních incidentech neagregujeme, ale také odmazáváme a to po půl roce. Všechna data jsou pak nenávratně zničena. Data nepředáváme žádné třetí straně, např. za účelem jejich monetizace v marketingu. V případě nutnosti je možné zajistit pouze bezpečnostní funkci bez přenášení dat o provozu.

Co se děje při blokaci závadné domény?

Překlad domény, která je vyhodnocena jako nebezpečná, resolver nasměřuje na IP adresu blokační stránky (tzv. „sinkhole“). V případě, že jde o dotaz uživatele, zobrazí se uživateli informace o tom, že stránka byla zablokována a o důvodu její blokace. Je však nutné si uvědomit, že většina blokovaného provozu vzniká bez vědomí uživatele a je iniciovaná procesy.

Je možné zablokované dotazy nasměřovat na vámi zvolenou IP adresu?

Přesměrování zablokovaného provozu na jinou IP adresu je možné. Máme několik zákazníků, kteří si hostují blokační stránku vlastními silami a je plně pod jejich správou. Stačí nám IP adresa, kam máme zablokované zákazníky nasměrovat. Tuto IP adresu vrátíme v DNS odpovědi zablokovanému klientovi.
On-premise DNS resolver pro ISP

On-premise DNS resolver pro ISP

Lokální i cloudový DNS resolver s funkcemi na míru pro ISP. Viditelnost dat a politiky až na lokální IP, API, blokace hazardu i automatizované alerty.

Cloud nebo on-premise (lokální) resolver?

Whalebone je možné nasadit a využívat v různých scénářích, které je mezi sebou možné kombinovat podle požadavků konkrétní sítě. Jedná se o kombinace využití cloudového a lokálního DNS resolveru Whalebone. U cloudového resolveru je nejsnažší nasazení. Doporučujeme však využívat on-premise verzi Whalebone. Díky ní máte pod kontrolou provoz z lokálních IP adres, nejste na nás nijak závislí protože je řešení kompletně u vás a díky tomu také máte nejlepší možnou latenci. Rychlostí Whalebone budete překvapeni.

Co se zákazníky, kteří obchází naše DNS?

Ze stávajících implementací už víme, že provozu mimo resolvery ISP jsou nižší jednotky procent. U technicky vyspělejších sítí jsou to opravdu jednotky uživatelů. Máte představu, kolika vašich zákazníků se to týká?

Větší penetrace je u sítí, kde zákazníci měli historicky nastaveny ne-ISP DNSka např. proto, že síť vůbec své DNS neměla. Tam je to ale trošku jiné a komplexnější téma – např. vůbec potřeba přehodit na nějaké řešení, které nebude závislé na třetí straně, kterou nemůže takový poskytovatel jakkoliv kontaktovat, ovlivnit. To je ostatně argument i pro Whalebone: nás zastihnete a současně je Whalebone jako on-premise kompletně ve vaší síti,

Můžeme vynutit využívání Whalebone DNS?

Víme, že někteří naši zákazníci svým zákazníkům DNS vynucují přesměrováním provozu na port 53 a jiná DNS per zákazník umožňují až na základě žádosti. Toto mívají upraveno se zákazníky smluvně. Sami toto řešení nevidíme rádi. Nechceme zasahovat do síťové neutrality. Naopak i pro ISP připravujeme nasazení nové verze blokační stránky, kde bude zákazník v případě blokace stránky v prohlížeči mít možnost bypassu, stejně jako od nás má O2 ve svém O2 Security (= Whalebone). Je také nutné si uvědomit, že většina infikovaného provozu neprobíhá na základě zadání adresy do adresního řádku prohlížeče, ale v pozadí v procesech bez vědomí uživatele.

Rychlejší a stabilnější síť

Rychlejší a stabilnější síť

Nejrychlejší resolver na trhu, upgrady i změny konfigurace bez výpadku, kompatibilita s nejmodernějšími standardy DNS provozu.

Co Whalebone a DNS over HTTPS (DoH) resp. TLS (DoT)?

DoH a DoT jsou velmi frekventované zkratky. Budí vášeně, zájem i spoustu fám. I my je řešíme. Velmi aktivně a prakticky. I proto jsme členy Encrypted DNS Deployment Iniciative.

Na DNS over HTTPS i DNS over TLS jsme připraveni. Nevidíme v nich žádné ohrožení pro Whalebone ani naše zákazníky. Naopak! V momentě, kdy to bude vhodné, bude Whalebone DoH podporovat a přinese veškeré výhody všem sítím. Více v našem blogu.

Jaké standardy Whalebone podporuje?

Whalebone plně podporuje DNSSEC vč. NSEC3 negative caching, IPv6, Query Case Randomization, QName minimization, cache prefetching. A ve správný čas
pomůžeme i s DNS over TLS a HTTPS. Naše API je pak plně postaveno na REST API, využít můžete i webhook nebo Syslog.

Support a deployment

Support a deployment

Pomoc při implementaci, provozu i řešení požadavků vašich zákazníků. Přímá e-mailová i telefonická podpora Whalebone.

Jak probíhá nasazení?

Záleží na verzi, kterou si přejete otestovat. V případě Whalebone on-premise DNS budete potřebovat VPS nebo dedikovaný server se serverovou edicí Linuxu a minimálními požadavky. Požadavky jsou podrobně sepsány v dokumentaci. Pokud jde o Whalebone cloudové DNS, stačí nahradit IP adresy stávajícího primárního a sekundárního DNS resolveru Whaleobne cloudovými DNS. V případě náročnějších nasazení např. kombinací se stávajícími řešeními rádi pomůžeme s ujasněním nejlepšího řešení pro vaše požadavky.

Poskytuje Whalebone support? Za jakých podmínek?

Víme, že DNS je kritickou součástí infrastruktury. Proto poskytujeme support, na kterém se v případě potřeby dostanete přímou cestou na nejpovolanější kolegy. Support je pro všechny zákazníky zdarma. Můžete nám zaslat e-mail na support@whalebone.io nebo volat na 608 737 930 případně 777 002 674. Pokud jde o urgentní věc, volejte kdykoliv. Pokud jde o věc, která není potřeba řešit ihned, prosíme využijte support@whalebone.io.

Je Whalebone on-premise resolver dostupný i z internetu? A jak tomu zabránit?

On-premise Whalebone je po instalaci dostupný jako public DNS z celého internetu. Abyste tomu zabránili (podobně jako například z BINDu znáte funkci „recursion“), doporučujeme tyto možnosti seřazené od nejlepší varianty:

  1. Ideální cesta je ACL na perimetrovém routeru, aby zvenku vůbec nebylo možné zasílat DNS dotazy na resolver.
  2. Omezení na úrovni iptables – stroj se bude zdát zvenku nedostupný a službu nikdo nebude moci spamovat, ani cílit žádným útokem. Složitější na konfiguraci, protože vyžaduje udržovat seznam povolených IP rozsahů
  3. Omezení na úrovni resolveru – resolver bude plně odpovídat jen vybraným rozsahům, ostatním bude vracet REFUSED (podle RFC). Stejně jako v bodě 2 je nutné udržovat seznam povolených IP, a i když služba není zneužitelná pro amplifikační útoky, tak je zvenku viditelná.

Whalebone chrání i tyto ISP sítě

Získejte kontrolu nad vaším DNS provozen

Budete překvapeni, co vše se ve vaší síti děje.