Een nieuw jaar, een nieuwe onderzoeksagenda

5 uitdagingen, 2 onderzoeksgebieden

We hebben de onderzoeksagenda van SIDN Labs uitgebreid en gereorganiseerd met de bedoeling een bredere bijdrage te leveren aan de veiligheid en weerbaarheid van internetcommunicatie. We gaan meer aandacht besteden aan het terugdringen van de effecten van grootschalige veiligheidsincidenten en hebben opkomende inter-domein netwerksystemen toegevoegd als nieuw aandachtsgebied. Zoals altijd zijn we geïnteresseerd in jullie feedback.

Wie zijn we ook alweer en wat doen we eigenlijk?

SIDN Labs is het researchteam van SIDN, de beheerder van het Nederlandse topleveldomein (ccTLD) .nl. Onze doelstelling is het verhogen van de veiligheid en weerbaarheid van het communicatietraject tussen op het internet aangesloten apparaten door middel van (1) empirisch, op metingen gebaseerd onderzoek en (2) het prototypen en evalueren van nieuwe internetsystemen en -tools.

In onze meetonderzoeken hebben we bijvoorbeeld de interacties tussen resolvers en autoritatieve servers in het Domain Name System (DNS) onder de loep genomen, waarbij aan het licht kwam welke criteria resolvers hanteren bij het kiezen tussen meerdere autoritatieve servers. Dit heeft ertoe geleid dat het operationsteam van SIDN het gebruik van unicast geleidelijk heeft afgebouwd en de autoritatieve servers van .nl nu alleen nog werken met anycast. Meer recentelijk hebben we laten zien hoe verschillende onderdelen van de DNS-infrastructuur de weerbaarheid tegen DDoS-aanvallen verhogen (door bijvoorbeeld gebruik te maken van TTL-waarden, caching en resolver retries). In het verleden hebben we de weerbaarheid van .nl qua routering, de stabiliteit van het rootserversysteem en de niveaus van DNS-misbruik in gTLD’s geanalyseerd.

Voorbeelden van onze activiteiten op het gebied van de ontwikkeling van prototypes zijn ons open source systeem ENTRADA, waarmee grote hoeveelheden autoritatief DNS-verkeer kunnen worden opgeslagen en vervolgens eenvoudig geanalyseerd, onze DMAP-crawler voor longitudinale meting van veiligheidsgerelateerde kenmerken van grote aantallen domeinnamen, de Root Canary toolset voor het monitoren van DNS root KSK roll-overs en ons open source platform SPIN, dat internet en gebruikers beschermt tegen onveilige IoT-apparaten.

We maken voor ons werk gebruik van datasets als ENTRADA voor .nl (meer dan 1 triljoen rijen, elke paar minuten vernieuwd), DMAP voor .nl (5,8 miljoen datapunten, maandelijks vernieuwd) en de longitudinale gegevens van OpenINTEL die betrekking hebben op de evolutie van het DNS in .nl en andere TLD's (3 triljoen datapunten, dagelijks vernieuwd). Onze meetonderzoeken worden uitgevoerd binnen een privacyraamwerk dat we in eerste instantie ontwierpen voor ENTRADA, maar dat inmiddels binnen heel SIDN wordt gebruikt. 

5 uitdagingen, 2 onderzoeksgebieden

Met onze bijgewerkte onderzoeksagenda voegen we 5 uitdagingen aan ons werkterrein toe, die we hebben ondergebracht in 2 onderzoeksgebieden: cruciale (core) internetsystemen en de evolutie van het internet. Later dit jaar komt daar nog een derde gebied bij: inter-domein trust infrastructures (bijvoorbeeld op basis van het DNS). Dit onderzoeksgebied is gerelateerd aan het werk van Connectis, een dochteronderneming van SIDN. We gaan hier later in een aparte blog nader op in. 

We zijn tot deze 5 uitdagingen gekomen op basis van projecten die we uitvoeren in samenwerking met onze partners (zoals andere onderzoekslabs, universiteiten en de operationele teams van SIDN) en de community's waar we deel van uitmaken (zoals IETF/IRTF, RIPE en ICANN). Deze interacties vormen een belangrijk onderdeel van ons dagelijks werk en stellen ons in staat om onze focus continu aan te scherpen, zodat we zeker weten dat we ons richten op relevante zaken.

Onze motivatie voor het aangaan van deze nieuwe uitdagingen is dat we een bredere bijdrage willen leveren aan de veiligheid en weerbaarheid van het internet. We hebben er alle vertrouwen in dat we hierin zullen slagen, dankzij de recente uitbreiding van ons team met 3 nieuwe medewerkers (Caspar, Thymen en Joeri), de technische kennis die we in huis hebben en onze nauwe samenwerkingsbanden met zowel de operationele als de academische community, en SIDN's onafhankelijke positie en vermogen om te investeren in duurzaam onderzoek. 

Cruciale internetsystemen

Het doel van ons eerste onderzoeksgebied is empirisch inzicht te krijgen in de factoren die de veiligheid en weerbaarheid bepalen van cruciale internetsystemen als het DNS en het prototypen van nieuwe technieken om die veiligheid en weerbaarheid te verhogen. Het werk is gebaseerd op onze visie op intelligente domeinnaamregistry's en het concept van collectieve internetbeveiliging. We gaan ons richten op de volgende 3 uitdagingen:

  • Het beheer van DNS-infrastructuren verbeteren:

    hoe stellen we DNS-operators in staat om hun infrastructuur beter in te richten en vooral de veiligheid en weerbaarheid ervan te verhogen. Dit houdt onder meer in dat we nieuwe meettechnieken gaan prototypen en evalueren waarmee DNS-operators meer inzicht kunnen krijgen in de factoren die van invloed zijn op de weerbaarheid van hun (globale) DNS-infrastructuur, zoals

    Round-trip Times (RTT’s) en anycast catchments. Verder willen we DNS-operators de beschikking geven over intelligente, op metingen gebaseerde tools waarmee ze hun DNS-infrastructuur kunnen beheren op het niveau van complete anycast-opstellingen in plaats van afzonderlijke machines. Met deze tools zouden ze bijvoorbeeld gemakkelijk het effect kunnen inschatten dat het verplaatsen van een anycast-node heeft op weerbaarheid en RTT's en real-time aanbevelingen ontvangen over hoe ze tijdens een DDoS-aanval een DNS-anycast-opstelling kunnen herconfigureren. Zulke tools zijn van belang omdat ze operators in staat stellen zich te verweren tegen nieuwe vormen van DDoS-aanvallen (zoals aanvallen van meerdere terabytes per seconde door grote IoT-botnets) en om te gaan met een infrastructuur die almaar complexer en dynamischer wordt (bijvoorbeeld qua nodes en derde operators).

  • Domeinnaammisbruik terugdringen:

    hoe stellen we registry's, registrars, hosting providers en andere stakeholders in staat om internetgebruikers te beschermen tegen partijen die domeinnamen gebruiken voor schadelijke doeleinden, zoals nepwebshops, booter-sites en gecoördineerde phishingaanvallen. Hierbij gaat het bijvoorbeeld om dynamische simulaties van grote DNS-zones (bijvoorbeeld de 5,8 miljoen domeinnamen van de zone .nl), de ontwikkeling en evaluatie van algoritmen waaruit op basis van meerdere heterogene datasets (zoals bekende schadelijke sites, DNS-verkeersstatistieken, rapporteringen door gebruikers en screenshots) de beveiligingseigenschappen van domeinnamen en de services waaraan ze gekoppeld zijn (bijvoorbeeld of een site een booter-service biedt) kunnen worden afgeleid, het in kaart brengen van gecoördineerd misbruik (zoals phishing of nepwebshops) en het ontwikkelen van standaardmethoden voor het delen van informatie over bepaalde vormen van misbruik binnen de DNS-sector.

  • Het internet beschermen tegen grootschalige incidenten:

    hoe beschermen we het DNS en het internet in het algemeen tegen grootschalige (gecoördineerde) incidenten, zoals de massale DDoS-aanvallen die worden gegenereerd door

    IoT-botnets met 600.000 nodes en router-kapingen. Dit omvat bijvoorbeeld het vergroten van ons inzicht in zulke incidenten door gebruik te maken van metingen vanaf meerdere locaties, collectieve dreigingsdetectie (bijvoorbeeld door het automatisch delen van DDoS fingerprints) en collectieve bestrijding (zoals het dynamisch opschalen van de ‘wascapaciteit’ met behulp van DOTS). Hier zijn systemen en tools voor nodig en daar gaan we prototypes voor ontwikkelen en evalueren. Denk hierbij aan zaken als een DDoS-clearinghouse waar aanbieders voortdurend en automatisch

    kenmerken van DDoS-aanvallen kunnen uitwisselen en ons SPIN-platform, waarmee IoT-apparaten die mogelijk zijn geïnfecteerd door een botnet (bijvoorbeeld Mirai of Hajime) proactief worden geblokkeerd, zodat ze in DDoS-aanvallen niet als bron kunnen fungeren.

De evolutie van het internet

Ons tweede onderzoeksgebied heeft betrekking op de evolutie van het internet en dan met name de manier waarop het internet zich ontwikkelt (gebruik, protocollen, architectuur) en experimentele niet-IP internetwerksystemen zoals SCION, NDN en RINA. Het gaat om de volgende 2 uitdagingen:

  • Opkomende internetwerken uitproberen en doorontwikkelen:

    hoe kunnen we inter-domein netwerksystemen zo ontwikkelen dat ze optimaal aansluiten op de vraag van de maatschappij naar meer veiligheid, weerbaarheid en transparantie van netwerkdiensten. Dit houdt bijvoorbeeld in dat we gaan bijdragen aan opkomende internetwerken als SCION en NDN en ons gaan bezighouden met onderzoek naar manieren waarop deze netwerken kunnen worden gebruikt naast het internet (bijvoorbeeld met behulp van P4-switches) en met zaken die momenteel worden onderzocht door de IRTF, zoals Path-Aware Networking en gedecentraliseerde internetinfrastructuren. Een ander thema is dat van beveiligingsverificatie en transparantie. Hierbij gaat het om het op een schaalbare manier met behulp van versleuteling verifiëren van de authenticiteit van routers en aanbieders die de gegevens van een gebruiker passeren en deze informatie beschikbaar maken voor gebruikers (in een voor computers leesbaar formaat). Door op dit terrein een solide expertisecentrum op te zetten hopen we de Nederlandse (en Europese) netwerkcommunity's een voorsprong te kunnen geven. Dit vergt diepgaande kennis over inter-domein netwerken over diverse architecturen, connecties met bestaande testbeds (zoals dat van SCION of NDN) en goede protocollen voor de evaluatie van nieuwe netwerkconcepten en -applicaties. Samenwerking met de operationele en academische community's in Nederland en Europa zal hierbij van cruciaal belang zijn.

  • De evolutie van het internet doorgronden:

    hoe gaan we de verschillende aspecten van de manier waarop het internet en de architectuur ervan zich ontwikkelen longitudinaal meten, in kaart brengen en inzichtelijk maken, bijvoorbeeld wat betreft

    machtsconcentraties, de toepassing van nieuwe protocollen als QUIC en DNS-over-HTTPS en ‘best practices’ als BCP38, de adoptie van Let’s Encrypt en het gebruik van anti-DDoS-diensten. Dit alles vraagt om geavanceerde analyse- en meetmethodieken, gebaseerd op bijvoorbeeld onze eigen tools, OpenINTEL en community tools als RIPE ATLAS.

Onze aanpak: ongewijzigd

Onze onderzoeksagenda mag veranderd zijn, maar onze manier van werken is nog steeds hetzelfde. We blijven onze onderzoeksresultaten dus gewoon beschikbaar en geschikt maken voor de bredere internetgemeenschap (zoals DNS-operators en universiteiten) en toepassen op de specifieke operationele uitdagingen waarmee SIDN te maken heeft en krijgt. Dit houdt bijvoorbeeld in dat we onze open source software SPIN blijven ontwikkelen en we ons samen met het productontwikkelingsteam van SIDN blijven inspannen om SPIN op modem/routerapparatuur te krijgen. Dezelfde aanpak geldt voor Connectis, als we later in het jaar van start gaan met ons derde onderzoeksgebied.

Qua technologische ontwikkeling zullen we weer rond het midden van de negen levels van de TRL-schaal (Technology Readiness Level) schommelen, zo tussen level 3 en level 7. Als voorheen blijven we met betrekking tot fundamenteel onderzoek (TRL 1-3) intensief samenwerken met de onderzoekscommunity (bijvoorbeeld Universiteit Twente, NLnet Labs, SURFnet, Universiteit van Amsterdam, TU Delft en University of Southern California) en waar het gaat om projecten die expertise op productieniveau vereisen (TRL 7-9) met de operationele teams van SIDN en andere partijen.

Doelstellingen voor 2019

In 2019 zijn onze doelstellingen voor het onderzoeksgebied cruciale internetsystemen onder meer de verdere ontwikkeling van onze Internet Draft voor DNS-operators en het prototypen en evalueren van nieuwe algoritmes die met behulp van meerdere datasets frauduleus gebruik van domeinnamen (bijvoorbeeld ten behoeve van nebwebshops of booter-sites) of afwijkingen in IoT-apparaten kunnen detecteren. Op het vlak van de evolutie van het internet ligt onze focus op het demonstreren en evalueren van toepassingen van opkomende inter-domein netwerksystemen en het verder uitwerken van onze visie voor dit nieuwe gebied. Ten slotte willen we een begin maken met ons werk op het gebied van inter-domein trust infrastructures, bijvoorbeeld door de financiering van een universitair onderzoeker. 

Laat ons weten wat je ervan vindt!

We kijken uit naar jullie feedback op onze nieuwe onderzoeksagenda, dus stuur ons vooral even een mailtje als je nog suggesties hebt. 

Dankwoord

Deze blog is gebaseerd op de inbreng en feedback van het voltallige team van SIDN Labs. Dank aan Dr. Roland van Rijswijk-Deij (Universiteit Twente) voor het doornemen van de conceptversie.

Reacties

  • dinsdag 25 juni 2019

    Weblog

    Algoritme 13 voor DNSSEC-ondertekening wint terrein

    Thumb-new-stats-website

    .nl-grafiek van de maand; de grafieken van stats.sidnlabs.nl uitgelicht

    Lees meer
  • dinsdag 24 juli 2018

    Weblog

    Met een nieuwe domeinnaam in Google? Hier moet je op letten

    Thumb-search

    Je domeinnaam is een handelsnaam die business oplevert en daarom waarde vertegenwoordigt. Wil je wisselen van domeinnaam? Voorkom afhakers!

    Lees meer
  • dinsdag 19 maart 2019

    Nieuws

    Vind jouw ideale .nl met onze nieuwe slimme suggestietool

    voorbeeld-suggestietool-thumbnail

    Meer dan 5 miljoen opties direct beschikbaar

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.