Vertrouwen in netwerkdiensten bevorderen door veilige, stabiele en transparante internetten

Een gezamenlijk onderzoeksprogramma van SIDN Labs, Universiteit van Amsterdam, Universteit Twente, SURFnet en NLnet Labs

Cristian Hesselman (1, 3), Joeri de Ruiter (1), Caspar Schutijser (1), Victor Reijs (1), Paola Grosso (2), Aiko Pras (3), Ronald van der Pol (4), Marijke Kaat (4), Benno Overeinder (5), Roland van Rijswijk-Deij (5, 3) en Kees Neggers (1)* (1) SIDN/SIDN Labs, (2) Universteit van Amsterdam, (3) Universteit Twente, (4) SURFnet, (5) NLnet Labs

Onlangs zijn we gestart met 2STiC, een gezamenlijk onderzoeksprogramma waarin we door te experimenteren toepassingen willen ontwikkelen die de veiligheid, stabiliteit en transparantie van internetcommunicatie vergroten, zowel bij gebruik van opkomende internetontwerpen als NDN, SCION en RINA als van het huidige Internet. Op de lange termijn is het onze ambitie om een nationaal expertisecentrum op te zetten en zo de Nederlandse (en Europese) netwerkcommunity's te helpen om op dit gebied voorop te lopen. In deze blog geven we een overzicht van het 2STiC-programma en gaan we in op zaken als doelstelling, motivatie, actualiteit en onderzoeksthema's.

Er is meer dan één internet?

Ja. Een internet bestaat uit meerdere autonome computernetwerken die met elkaar zijn verbonden en zo samen één logisch netwerk vormen, waardoor gebruikers gegevens tussen twee computers binnen deze netwerken kunnen uitwisselen - vandaar de term inter-network of kortweg internet. Het Internet zoals we dat vandaag de dag kennen (met een hoofdletter I) is een voorbeeld van zo'n internet (met een kleine letter i) en maakt gebruikt van kernprotocollen als IP, TCP, BGP en het DNS om meer dan 60.000 netwerken over de hele wereld met elkaar te verbinden. Andere voorbeelden van een internet zijn X.25 en CYCLADES (allebei voorlopers van het Internet) en nieuwe experimentele systemen als SCION, NDN en RINA.

Waarom zijn veiligheid, stabiliteit en transparantie een probleem?

Omdat het Internet niet is ontworpen op het ondersteunen van 21ste-eeuwse toepassingen. De oorspronkelijke ontwerpers van het Internet konden bijvoorbeeld niet voorzien dat gebruikers “dingen” met het Internet zouden willen verbinden die van invloed zijn op de fysieke omgeving van mensen. Denk bijvoorbeeld aan bezorgdrones, robotzwermen, zelfrijdende auto's, op afstand bediende chirurgische apparatuur en slimme deursloten. Met het hedendaagse Internet levert dat risico's op, omdat veiligheidsincidenten als een DDoS-aanval of het kapen van een Internetroute de netwerkverbinding van een apparaat kan verstoren met als gevolg dat mensen mogelijk in gevaar worden gebracht. Bovendien is het Internet op dit moment niet in staat om in een dergelijke situatie zo'n apparaat op efficiënte wijze te bereiken, omdat er op IP-niveau geen ondersteuning is van netwerkcommunicatie via meerdere paden. Een andere ontwikkeling die de oorspronkelijke ontwerpers van het Internet niet konden voorzien is dat gebruikers inzicht en controle willen over wie er toegang heeft tot gegevens die over hen zijn verzameld (door bijvoorbeeld sensoren, websites en apps) en welk route die gegevens binnen het netwerk afleggen. Denk bijvoorbeeld een slimme thermostaat die informatie over de temperatuur (en daarmee over aanwezigheid) deelt met diensten op afstand, die mogelijk gevestigd zijn in een gebied dat niet onder de Europese jurisdictie valt. Een ander voorbeeld is het experiment van de browser Firefox om domeinnamen te resolven via de resolvers van een paar grote beheerders in plaats van door de lokale resolver (in het netwerk of bij de ISP) van een gebruiker [3]. Als dat de standaardpraktijk wordt, verliezen gebruikers alle controle over wie hun DNS-queries verwerkt en loopt het publieke DNS het risico te worden gedomineerd door een handjevol grote internationale bedrijven (centralisering). Voorbeelden buiten het consumentendomein zijn medische en financiële instellingen die het pad dat hun transactiegegevens door het netwerk afleggen, willen verifiëren. De reden dat het Internet niet goed met dit soort toepassingen kan omgaan, is niet omdat het “stuk” is, zoals soms wordt beweerd. Maar dat het probleem dat het Internet moest oplossen, is veranderd, zoals lid van de Internet Hall of Fame Van Jacobson al uitlegde in zijn lezing uit 2006 “A New Way to look at Networking” (vanaf ongeveer 37:00). In de beginjaren, de jaren '70, was het probleem dat universitaire onderzoekers een netwerk wilden waarmee ze dure computerapparatuur konden delen. Later kwam de focus steeds meer te liggen op het vinden van een manier om iedereen de mogelijkheid te geven hun computers te verbinden via een netwerk [1]. Het Internet heeft op beide fronten de stoutste verwachtingen overtroffen, maar dat succes bracht ook weer nieuwe problemen met zich mee. De meer recente gebruiksmogelijkheden stellen namelijk ook nieuwe eisen aan de veiligheid, stabiliteit en transparantie en daarmee is nooit rekening gehouden.

En nu?

In onze optiek staan we voor de uitdaging om deze nieuwe eisen te vervullen door middel van een meer diverse netwerkomgeving [1][2] waarin andere internetconcepten (bijvoorbeeld gebaseerd op SCION of RINA) functioneren naast het huidige Internet en daar een aanvulling op vormen. Dit wijkt af van de huidige aanpak die inhoudt dat één internet (het Internet) continu wordt opgelapt om alle nieuwe soorten toepassingen te kunnen ondersteunen, waardoor de architectuur steeds complexer wordt. Wij zijn van mening dat de duurzame weg vooruit ligt in het ontwikkelen en opzetten van nieuwe netwerken, als nieuwe klassen toepassingen ontstaan waarmee andere internetten niet goed overweg kunnen. Zo willen kritische toepassingen voor bijvoorbeeld chirurgie op afstand, intelligente transportsystemen en financiële transacties misschien controle over datapaden tussen netwerken en de betrouwbaarheid van zowel de routers als de hops op het pad cryptografisch kunnen verifiëren (zoals hun leveranciers, type en geolocatie). Een opkomende internetarchitectuur als SCION is zo ontworpen dat het dergelijke nieuwe netwerkconcepten gedeeltelijk ondersteunt. Het zal heel lastig zijn om ze in de IP-architectuur te integreren omdat BGP is ontworpen als een routeringsprotocol dat is gebaseerd op hops en geen rekening houdt met de attributen van de netwerkelementen op het pad. Andere netwerkfuncties kunnen misschien gemakkelijker stapsgewijs worden geïncorporeerd in de IP-architectuur, zoals veilige routering via BGPsec en RPKI. Wij verwachten dat toepassingen uiteindelijk in staat zijn zelf het internet te selecteren dat het beste voldoet aan hun communicatievereisten. Bijvoorbeeld op basis van de mate van veiligheid, weerbaarheid en transparantie dat een netwerk biedt. Dit zorgt er ook voor dat de eigenschappen van een dienst beter aansluiten op de verwachtingen van gebruikers en samenlevingen, bijvoorbeeld in termen van Netwerkfuncties als transparantie, verifieerbaarheid en controle over netwerkpaden dragen er in belangrijke mate aan bij dat gebruikers hun vertrouwen in netwerkdiensten niet kwijtraken en samenlevingen de controle houden over de digitale infrastructuur waarvan ze afhankelijk zijn (zelfbeschikking). Deze transitie klinkt misschien nogal intimiderend, maar vergeet niet dat de netwerkcommunity bijna 50 jaar ervaring heeft in het beheren en verbeteren van het Internet. Bij het opnieuw bekijken van wat nodig is en het ontwerpen van nieuwe aanvullende internetten plukken we daar de vruchten van. Zo maakt de NDN-internetarchitectuur opnieuw gebruik van diverse architectonische principes die aan het Internet ten grondslag liggen, zoals de “slanke taille” en betrekkelijk eenvoudige kernprotocollen, ook al is de architectuur gebaseerd op het paradigma van content-centrisch netwerken (dat fundamenteel verschilt van het door het Internet gehanteerde model van host-centrisch netwerken) en toegespitst op veilige toepassingen voor contentdistributie.

Voorbeeld: bezorgdrones in stedelijke gebieden

Figuur 1 toont een voorbeeld van een omgeving met meerdere internetten zoals wij het voor ons zien. De applicatie is een stedelijk transportsysteem uit de toekomst waarmee gebruikers elkaar met behulp van een bezorgdrone vanaf de eigen locatie pakketten kunnen sturen. Gebruiker A bestelt een drone bij een droneparkbeheerder, die de drone opdraagt naar gebruiker A te vliegen. De drone meldt zich aan bij een stedelijke luchtverkeersleidingsdienst, die de drone door het stedelijke gebied heen leidt door realtime informatie over de vluchtpaden van andere drones door te geven om botsingen in de lucht te vermijden. Gebruiker A bevestigt het pakketje aan de drone en draagt de drone op om dit naar gebruiker B te vliegen, opnieuw onder begeleiding van de stedelijke luchtverkeersleidingsdienst.

2STiC

Figuur 1. Praktijkvoorbeeld van een gediversifieerde internetomgeving.

In het voorbeeld in Figuur 1 gebruiken gebruikers A en B het Internet om hun locatie door te geven aan de luchtverkeersleidingsdienst, maar die communiceert met de drone via een SCION-netwerk. Dat netwerk biedt bijvoorbeeld meer bescherming tegen kapingen van de adresruimte van de drone en stelt de luchtverkeersleidingsdienst in staat om de communicatie met de drone uitsluitend te laten verlopen via vertrouwde netwerken. Dit is van belang om te voorkomen dat de drone tijdens de vlucht van A naar B onbereikbaar wordt, wat de veiligheid van de mensen op de grond in gevaar zou kunnen brengen. De netwerken in Figuur 1 (N1 tot en met N4) gebruiken een combinatie van IP-routers, SCION-routers en programmeerbare routers, waarbij de laatste groep op dezelfde hardware zowel IP- als SCION-protocollen voor de data-plane ondersteunt.

Nieuw onderzoeksprogramma

Om bovenstaande uitdagingen het hoofd te bieden, hebben we onlangs een nieuw gezamenlijk onderzoeksprogramma opgezet onder de naam 2STiC (spreek uit: “to stick”), dat staat voor Security, Stability, and Transparency in inter-network Communication. Ons doel is de ontwikkeling en evaluatie van technieken voor het vergroten van de veiligheid, stabiliteit en transparantie van internetcommunicatie. Bijvoorbeeld door te experimenteren met en bij te dragen aan zowel opkomende internetarchitecturen, zoals SCION, NDN en RINA, als het bestaande IP-gebaseerde Internet. Op de lange termijn is het onze ambitie om een expertisecentrum voor vertrouwde en weerbare internetten op te zetten en de Nederlandse (en Europese) netwerkcommunity's te helpen om op dit gebied voorop te lopen. Ons werk richt zich op het ontwikkelen en evalueren van gediversifieerde internetomgevingen die voldoen aan de eisen voor veiligheid, weerbaarheid en transparantie van moderne gedistribueerde toepassingen, zoals het voorbeeld van de realtime drone in Figuur 1. We concentreren ons op systemen en protocollen op netwerkniveau en op hun deployment met behulp van open, programmeerbare netwerken. Aan de hand van specifieke “verticale” diensten (zoals intelligente transportsystemen of digitale gezondheidszorg) maken we de eigenschappen van de onderliggende internetten in relatie tot urgente en reële maatschappelijke problemen aanschouwelijk. Het voordeel voor beheerders van dergelijke diensten is dat er een verhoogd niveau van veiligheid, weerbaarheid en transparantie in het netwerk is “ingebouwd” en ze niet langer gebruik hoeven te maken van (prijzige) huurlijnen en gespecialiseerde netwerkapparatuur of hun toepassingen hoeven voorzien van aangepaste functies. 2STiC volgt een praktische aanpak op basis van metingen, running code, een nationaal P4-programmeerbaar netwerk, experimenten en demo's. We zijn van plan om samenwerking te zoeken met vergelijkbare onderzoeksprogramma’s in Europa en elders en met normalisatie-instellingen als het IRTF (bijvoorbeeld de Path Aware Networking Research Group), het ETF (bijvoorbeeld hun werkgroep Remote ATtestation ProcedureS) en ETSI. We willen zowel de Nederlandse, Europese en wereldwijde academische en operationele community's als beleidsmakers en het grote publiek bij ons werk betrekken en onze bevindingen actief met hen delen, bijvoorbeeld door middel van technische rapporten, publicaties en opensourcesoftware. Ons consortium bestaat momenteel uit vijf partners (NLnet Labs, SIDN, SURFnet, Universiteit van Amsterdam en Universiteit Twente), maar we zien graag dat zich meer partners bij 2STiC zouden aansluiten, zoals universiteiten, onderzoekslaboratoria, netwerkbeheerders en serviceproviders voor specifieke “verticale” use cases.

Toenemend momentum door programmeerbare netwerken...

Dat we nu met 2STiC zijn begonnen, is te danken aan twee recente ontwikkelingen. Ten eerste denken we dat nieuwe internetconcepten in de komende paar jaar het laboratorium- of testbedstadium ontgroeien en daadwerkelijk in gebruik worden genomen. Dat komt doordat open, programmeerbare netwerkapparatuur commercieel verkrijgbaar wordt, waardoor engineers switchapparatuur flexibel kunnen programmeren met hun eigen pakketverwerkingsfuncties (bijvoorbeeld voor SCION- of NDN-verkeer). Wij werken bijvoorbeeld aan een implementatie van de SCION-protocollen in P4 [4], een domein-specifieke taal voor de programmering van chipsets zoals de Barefoot Tofino. Programmeerbare netwerken leveren ons uiteindelijk mogelijk een substraat van gedeelde routerapparatuur op met daar bovenop meerdere gevirtualiseerde internetten, net zoals we servers hebben gevirtualiseerd als virtuele machines.

... en door grotere maatschappelijke relevantie

De tweede ontwikkeling die ertoe heeft bijgedragen dat we 2STiC nu opstarten is dat de veiligheid, stabiliteit en transparantie van netwerkdiensten een onderwerp is dat steeds meer in de maatschappelijke belangstelling staat. Zo zijn er in de nationale pers artikelen verschenen over hoe Europa de controle over de digitale infrastructuur dreigt kwijt te raken aan een kleine groep grote internationale bedrijven, bijvoorbeeld op het gebied van kunstmatige intelligentie of informatietechnologie in het algemeen. Daarnaast zijn mensen ongerust dat ze geen grip meer hebben op wie hun gegevens in handen krijgt. Dit komt in grote lijnen neer op het verschil tussen het Europese model voor de verwerking van gebruikersgegevens (de gebruikers bepalen hoe hun gegevens worden gebruikt) en hoe de Amerikanen en Chinezen het aanpakken (respectievelijk bedrijven en de staat bepalen wat er met de gegevens gebeurt), zoals prof. dr. José van Dijck onlangs tijdens een lezing (vanaf 27:00) betoogde. Tegelijkertijd worden kritieke diensten (zoals online bankieren en verwarmingsinstallaties) verstoord door personen die voor 40 euro DDoS-aanvallen inkopen en gebruiken regimes over de hele wereld het Internet als een manier om hun burgers onder de duim te houden. Wij zijn van mening dat 2STiC door deze twee ontwikkelingen een uiterst actueel en relevant programma is dat wordt gedreven door zowel technologische als maatschappelijke veranderingen.

Wat gaan jullie precies onderzoeken?

We leggen ons toe op onder meer de volgende onderzoeksthema's:

  • Path awareness en path control: welke technieken zijn er nodig om gebruikers en toepassingen op een schaalbare manier meer inzicht en controle te geven ten aanzien van het pad dat hun verkeer binnen een omgeving met meerdere domeinen aflegt? Hoe kunnen we gebruikers bijvoorbeeld in staat stellen voor een bepaald netwerkpad te kiezen en garanderen dat het netwerk erop toeziet dat deze keuze wordt gerespecteerd?

  • Attestatie van (onderdelen van) netwerkapparatuur: hoe verkrijg je (cryptografisch) verifieerbaar bewijs met betrekking tot de eigenschappen van bepaalde netwerkapparatuur, zoals de betrokken jurisdicties, de fabrikant van de apparatuur en communicatievereisten?

  • Naamgeving en adressering: hoe verbeteren we de protocollen voor naamgeving en adressering van internetten de veiligheid, stabiliteit en transparantie? Vergroten we de veiligheid bijvoorbeeld door het bereik van een naam te beperken tot een bepaalde context of bepaald subnetwerk, in plaats van de globale namen die we nu gebruiken bij het publieke DNS?

  • Evaluatie van de verschillende internetarchitecturen: in welke mate dragen opkomende architecturen zoals SCION, NDN en RINA bij aan het vergroten van de veiligheid, stabiliteit en transparantie van internetten in vergelijking met IP-gebaseerde netwerken en voor welke soorten toepassingen?

  • Autonoom beheer: hoe breiden we de verschillende internetten uit met autonome zelfherstelfuncties voor het faalveilig en op schaal afhandelen van storingen (bijvoorbeeld door menselijke fouten of defecte hardware) [5], zodat hun weerbaarheid en veiligheid toeneemt? Dit minimaliseert de handmatige beheerinspanning, waardoor de kans op fouten afneemt en de kosten voor netwerkbeheerders worden teruggebracht. En: welke abstracties voor netwerkbeheer hebben beheerders hiervoor nodig?

  • Systeemarchitecturen: wat voor systeemarchitecturen (hosts, routers, switches) hebben we nodig om te zorgen dat meerdere internetten dezelfde programmeerbare hardware kunnen delen? Hoe werken nieuwe transportprotocollen (zoals die van NDN of RINA) bijvoorbeeld in combinatie met TCP en de manier waarop dat protocol omgaat met congestie als ze dezelfde (draadloze) verbinding delen? En: moet de control-plane fysiek gescheiden zijn van de data-plane?

  • Evaluatie van open, programmeerbare netwerken: hoe goed functioneren technologieën zoals P4 (data-plane) en Software Defined Networking (scheiding van control-plane) als mechanismen voor het diversifiëren van onze netwerkomgeving, bijvoorbeeld in termen van veiligheid en schaalbaarheid? En: moeten programmeerbare switches een limiet stellen aan het aantal data-planes dat ze ondersteunen om een wildgroei aan internetconcepten te voorkomen?

Volgende stappen

Allereerst breiden we het 2STiC-testbed uit en plaatsen we P4-switches bij de onderzoekspartners (zie Figuur 2). Daarnaast experimenteren we met het op SCION gebaseerde experimentele internet waar we sinds kort mee verbonden zijn, bijvoorbeeld door de SCION-kernprotocollen uit te drukken in P4 zodat we ze kunnen uitvoeren op ons 2STiC-testbed. In de toekomst breiden we onze onderzoekswerkzaamheden ook uit naar andere typen internetten, zoals NDN en RINA. De eerste toepassing die we gaan gebruiken, is In-band Network Telemetry (INT). Daarnaast zijn we, in overleg met experts uit specifieke verticale sectoren (zoals digitale gezondheidszorg en intelligente transportsystemen), ook van plan ons testbed in te zetten om te experimenteren met diensten die voor hun sector relevant zijn.

2STiC testbed

Figuur 2. P4-testbed van 2STiC (vereenvoudigde weergave).

Tot slot houden we een BoF-sessie op TNC19 (een conferentie voor nationale onderzoeks- en educatienetwerken) en zijn we van plan om verschillende projectvoorstellen in te dienen om een deel van het werk medegefinancierd te krijgen, bijvoorbeeld via H2020 of de National Cybersecurity Research Agenda (NCSRA).

Commentaar? Laat het ons weten!

Zoals altijd is jullie feedback weer van harte welkom. We willen met name van je horen als je een serviceprovider bent die graag zou beschikken over veiligere, weerbaardere en transparantere internetverbindingen. Schroom niet om onze programmaleider Victor Reijs een e-mail te sturen op victor.reijs@sidn.nl.

Dankwoord

Onze dank gaat uit naar Luuk Hendriks (Universiteit Twente) en Simon Hania (raad van toezicht SIDN) voor hun commentaar op de conceptversie van deze blog.

Literatuurlijst

  1. Ammar, “Ex uno pluria: The Service-Infrastructure Cycle, Ossification, and the Fragmentation of the Internet”, ACM SIGCOMM Computer Communication Review, Vol. 48, Issue 1, January 2018, https://ccronline.sigcomm.org/2018/ccr-january-2018/ex-uno-pluria-the-service-infrastructure-cycle-ossification-and-the-fragmentation-of-the-internet/

  2. S. Turner and D. E. Taylor, “Diversifying the Internet”, Proc. IEEE GLOBECOM, 2005

  3. Hubert, “Opinion: DNS privacy debate”, blog, Feb 2019, https://blog.apnic.net/2019/02/08/opinion-dns-privacy-debate/

  4. Bossharty, D. Daly, G. Gibby, M. Izzardy, N. McKeownz, J. Rexford, C. Schlesinger, D. Talaycoy, A. Vahdat, G. Varghesex, and D. Walker, “P4: Programming Protocol-Independent Packet Processors”, ACM SIGCOMM Computer Communication Review, Volume 44, Issue 3, July 2014, pp. 87-95

  5. Clark, C. Partridge, J.C. Ramming, and J.T. Wroclawski, “A Knowledge Plane for the Internet”, SIGCOMM’03, August 25–29, 2003, Karlsruhe, Germany

*Kees Neggers is lid van SIDN's raad van toezicht en opgenomen in de Internet Hall of Fame.

Reacties

Victor Reijs 520x520

Victor Reijs

Project coördinator future internet

+31 26 352 55 00

victor.reijs@sidn.nl

  • donderdag 17 mei 2018

    Nieuws

    Online campagne ‘Hackman’ voor meer bewustzijn rondom online veiligheid

    Lieke-versus-Hackman-homepage

    Ethisch hacker Rickey Gevers gaat uitdaging aan om Lieke van Lexmond te hacken

    Lees meer
  • donderdag 5 juli 2018

    Nieuws

    Succesvol webinar over de ontwikkelingen in de Registar Scorecard

    Thumb-webinar-blue

    Bekijk het webinar en download de presentatie

    Lees meer
  • donderdag 31 oktober 2019

    Nieuws

    Niet 1, niet 2, niet 3, maar zelfs 4 CENTR Awards

    Thumb-centr-awards-ceremony

    Mooie waardering voor onze actieve bijdrage aan de domeinnaambranche

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.