2019 in de achteruitkijkspiegel

We ‘rolden’ door met onderzoek op basis van DNS-metingen

Samen met onze collega's van de Universiteit Twente, NLnet Labs, het USC/Information Sciences Institute, Verisign en het Rochester Institute of Technology voerden we een longitudinale studie uit naar aanleiding van de DNS root KSK roll-over van 11 oktober 2018. De resultaten hiervan beschreven we in onze paper “Roll Roll Roll Your Root: A Comprehensive Analysis of the First Ever DNSSEC Root KSK Rollover”, die werd geaccepteerd voor de prestigieuze ACM Internet Measurement Conference (IMC2019) en daar de Distinguished Paper Award won. Verder voerden we een meetonderzoek uit naar het gebruik van DNS TTL-waarden. Op basis daarvan formuleerden we meerdere aanbevelingen, die werden overgenomen door ons DNS-operationsteam en drie andere ccTLD’s (waaronder Uruguay). Deze en eerdere aanbevelingen hebben we gebundeld in een “best practice”-document voor autoritatieve DNS-operators, dat momenteel binnen de IETF wordt gereviewd. We voerden het onderzoek uit in samenwerking met experts van het USC/Information Sciences Institute en de University of Passo Fundo. Ook dit onderzoek mochten we presenteren tijdens IMC2019, samen met een derde paper over DNS-resolvermetingen. Andere meetonderzoeken van dit jaar hadden betrekking op de toepassing van QNAME minimisation en het classificeren van resolvers die de .nl-nameservers bevragen.

We verdiepten ons in toekomstige internetinfrastructuren

We hebben dit jaar veel geleerd over nieuwe soorten internetten en de bijbehorende technologieën. We implementeerden bijvoorbeeld het data plane protocol van de SCION-internetarchitectuur in P4, een domeinspecifieke taal voor het programmeren van packet processors in open programmeerbare hardware. Hierdoor konden we nieuwe headers voor de SCION-protocollen aandragen, die door de Network Security Group van ETH Zürich (die de SCION-broncode onderhoudt) en Anapaya (fabrikant van SCION-routers) als concept zijn geaccepteerd. We sloten ons netwerk aan op SCIONLab, een experimenteel internet dat is gebaseerd op de SCION-architectuur. Daarnaast koppelden we onze P4-switch aan het nationale P4-netwerk, dat bestaat uit nodes bij de Universiteit Twente (UT), de Universiteit van Amsterdam (UvA), de TU Delft (TUD) en SURF en met elkaar zijn verbonden via het optische netwerk van SURF. We gaan dit nationale P4-netwerk de komende jaren gebruiken om te experimenteren met programmeerbare netwerken, nieuwe soorten internetten en hun toepassingen. Het nationale P4-netwerk is een onderdeel van het onderzoeksprogramma 2STiC, dat we eerder dit jaar in samenwerking met de UT, de UvA, de TUD, SURF, NLnet Labs en de Amsterdam Internet Exchange (AMS-IX) lanceerden. Het doel van 2STiC is het experimenteren met nieuwe internetinfrastructuren (bijvoorbeeld gebaseerd op SCION of RINA) die de veiligheid, weerbaarheid en transparantie van kritieke toepassingen zoals energienetwerken, intelligente transportsystemen en bezorgdrones vergroten. We publiceerden de gezamenlijke visie van de 2STiC-partners op dit spannende nieuwe onderzoeksgebied en presenteerden samen een poster tijdens IMC2019. Samen met de UvA, de UT, NLNet Labs en SURF dienden we een projectvoorstel in bij de NCSRA-III Cyber Security Research Agenda, dat inmiddels door NWO is geaccepteerd voor financiering. Het doel van het project is dat gebruikers uiteindelijk zelf kunnen bepalen en verifiëren welke route hun verkeer aflegt door een internet dat gebruik maakt van open programmeerbare switches. Dankzij de extra financiering wordt de 2STiC-community de komende vier jaar versterkt met twee PhD-studenten.

We ondersteunden de abusedesk van SIDN in de strijd tegen nepwebwinkels

We ontwikkelden “FaDe” (Fake Detector), een nieuw, zelflerend systeem dat automatisch nepwebwinkels in de .nl-zone detecteert door de combinatie van machine learning, crawls van de hele .nl-zone en de expertise van de abusedesk van SIDN. We evalueerden FaDe van augustus tot en met begin november, waarin het system 1.210 domeinnamen als verdacht aanmerkte. Na controle door onze collega's van de abusedesk bleek het bij 958 daarvan daadwerkelijk om nepwebwinkels te gaan, wat betekent dat het systeem het in 79% van de gevallen bij het rechte eind had. Onze abuse-experts voeren hun bevindingen weer terug in FaDe, zodat het systeem naar verwachting steeds beter zal worden. FaDe maakt deel uit van de bredere strategie van SIDN om domeinnaammisbruik binnen .nl proactief aan te pakken en is het resultaat van de machine learning-strategie van SIDN Labs die we eerder dit jaar ontwikkelden. FaDe bouwt voort op ons eerdere werk op het gebied van het detecteren van nepwebwinkels.

We boden meer bescherming tegen DD0S-aanvallen

We werkten samen met ons productontwikkelingsteam om SPIN bij mensen thuis te krijgen, zodat internetinfrastructuur-operators, zoals wijzelf, beter beschermd zijn tegen DDoS-aanvallen vanuit het IoT en gebruikers meer inzicht krijgen in de diensten op het Internet waarmee hun IoT-apparaten ongemerkt communiceren. Hiertoe maakten we de SPIN-software stabieler en verpakten we het als een kant-en-klaar product om het voor fabrikanten van routers en modems eenvoudiger te maken SPIN in hun apparatuur te integreren. Hoewel een aantal fabrikanten dat ook gedaan heeft (bijvoorbeeld Turris, Embedd en CIRA), was de respons van grotere fabrikanten beperkt en daarom hebben we besloten om de productontwikkeling van SPIN tijdelijk stop te zetten. Dat neemt niet weg dat we veel hebben geleerd van de gesprekken die we in het kader van SPIN met internetserviceproviders en fabrikanten hebben gevoerd, bijvoorbeeld:

• De gebrekkige beveiliging van IoT-apparaten is een groot probleem voor zowel organisaties die actief zijn aan de ‘randen’ van het Internet als voor toezichthouders, wat het belang van edge-beveiligingssystemen zoals SPIN onderstreept;

• Internetserviceproviders worstelen er mee in hoeverre ze ‘in’ thuisnetwerken actief moeten zijn. Ze verwachten bijvoorbeeld hoge kosten als klanten hun supportafdelingen gaan bellen wanneer een beveiligingsysteem als SPIN IoT-apparaten die zich verdacht gedragen tijdelijk de toegang tot het netwerk ontzegt; en

• Fabrikanten van routers zien een beveiligingsfunctie als een optie in plaats van noodzaak, zodat ze meestal pas bereid zijn geld te steken in het ontwikkelen en onderhouden van zo’n functie als ze genoeg klanten hebben die ervoor willen betalen (bijvoorbeeld internetserviceproviders).

Wat onderzoek betreft, slaagden we erin om een paper over SPIN geaccepteerd te krijgen voor de NOMS2020 Experience Session en leidde een teamlid het schrijven van SAC105, een SSAC-rapport over de interactie tussen het DNS en het IoT. We waren ook actief betrokken bij de verdere ontwikkeling van het nationale DDoS clearinghouse, een systeem waarmee serviceproviders automatisch een ‘fingerprint’ kunnen maken van de DDoS-aanvallen waarmee zij te maken krijgen en deze kunnen delen met andere providers. De ontvangers van de DDoS fingerprints kunnen zich zo voorbereiden voor het geval zij het volgende doelwit zijn. We overzagen de ontwikkeling van een overeenkomst om fingerprints te kunnen delen en zetten bij SIDN Labs een prototype van het clearinghouse op. Momenteel werken we als onderdeel van het CONCORDIA-project aan een Europese versie van het DDoS clearinghouse.

We maakten DNS-analyse aantrekkelijker door middel van ENTRADA 2.0

In de zomer publiceerden we versie 2.0 van ENTRADA, ons platform voor het analyseren van grote hoeveelheden DNS-verkeer. De voornaamste verandering is dat ENTRADA 2.0 serverless DNS-analytics ondersteunt. Dit betekent dat organisaties en onderzoekers ENTRADA gemakkelijk kunnen gebruiken in de cloud, wat het eenvoudiger voor hen maakt om met ENTRADA te beginnen omdat ze niet eerst een Hadoop-cluster hoeven op te zetten. Bij SIDN Labs blijven we ENTRADA gebruiken met onze eigen hardware, omdat we het DNS-verkeer van .nl in Nederland willen opslaan. Daar komt bij dat onze dataset in de afgelopen vijf jaar is uitgegroeid tot meer dan 85 TB en we vaak complexe, rekenintensieve queries uitvoeren, waardoor de draaien van ENTRADA in de cloud duurder zou uitpakken dan op onze eigen hardware. Ook nieuw is de ondersteuning voor het meten van round-trip times (RTT’s) tussen resolvers en autoritatieve DNS-servers aan de hand van het TCP-protocol. Hiertoe meet ENTRADA de tijd tussen het versturen van de SYN-ACK door de server en de ontvangst van de daaropvolgende ACK van de client. Dit is mogelijk omdat zo’n 5% van de DNS-queries die we op de .nl-servers verwerken TCP als hun transportprotocol gebruiken in plaats van UDP. ENTRADA is een opensourceproject waar meerdere TLD-registry's gebruik van maken en aan bijdragen, waaronder .at, .ch en .nz. We zijn met name onze collega's bij .nz erkentelijk voor hun bijdrage aan ENTRADA 2.0.

We kwamen met TimeNL, de transparante tijddienst

TimeNL is een publieke dienst van SIDN die ervoor zorgt dat apparaten op het internet tot op de milliseconde gelijk lopen met de tijd in UTC. We begonnen ermee omdat we ontdekten dat veel bestaande publieke tijddiensten vaak onduidelijk zijn over hun servicelevels (bijvoorbeeld qua nauwkeurigheid en onderhoud) en als tijdbron vaak alleen GPS gebruiken. TimeNL is uniek, omdat het dit soort informatie beschikbaar maakt op time.nl, waar je bijvoorbeeld kunt lezen welk servicelevel je mag verwachten en dat we drie verschillende tijdbronnen gebruiken (GPS, Galileo en DCF077). TimeNL draait op onze eigen infrastructuur en maakt gebruik van NTP (Network Time Protocol). Onlangs hebben we NTS (Network Time Security) toegevoegd, de beveiligingsextensie van NTP. Tijddiensten vormen een grotendeels onzichtbaar onderdeel van de internetinfrastructuur, maar zijn essentieel voor een breed scala aan toepassingen, zoals DNS-caching, de geldigheidsduur van DNSSEC-handtekeningen en betrouwbare tijdsaanduiding bij domeinregistraties.

Wat zijn onze plannen voor 2020?

In 2020 blijven we onze onderzoeksresultaten gebruiken om de diensten van SIDN verder te versterken, bijvoorbeeld door de meet- en zelflerende tools die we hebben ontwikkeld voor onze abusedesk (zoals FaDe) en ons DNS-operationsteam (zoals een intelligente tool voor de plaatsing van DNS-anycast-nodes gebaseerd op het project SAND) verder te verbeteren. De geaggregeerde gegevens die deze tools opleveren zetten we op stats.sidnlabs.nl, zoals het aantal gedetecteerde nepwebwinkels in een bepaalde periode en een realtime overzicht van de RTT naar de .nl-nameservers die we met ENTRADA 2.0 kunnen berekenen. De resultaten van onze onderzoeken publiceren we bijvoorbeeld in de vorm van papers. We werken mee aan het uitbouwen van de pilot met het Nationale DDoS-clearinghouse, met name door te experimenteren met het genereren, distributeren en gebruiken van DDoS fingerprints en door de software van het clearinghouse te verbeteren (ook in het kader van CONCORDIA). Wat SPIN betreft, willen we een platform opzetten voor de opslag en analyse van meetgegevens met betrekking tot IoT-apparaten, bijvoorbeeld met behulp van edge-systemen zoals SPIN en server-side systemen zoals IoT-honeypots. Ons doel is om de datasets beschikbaar te stellen aan de Nederlandse onderzoekscommunity. Ondertussen blijven we proberen om internetserviceproviders en routerfabrikanten te interesseren in het gebruik van SPIN als product, mocht zich de gelegenheid voordoen. Op het gebied van nieuwe typen internetten gaan we ons richten op het pilotten van een sectorspecifieke toepassing op het nationale P4-testbed van 2STiC, zodat we meer zicht krijgen op de toegevoegde waarde van SCION en andere nieuwe netwerkfuncties die met open programmeerbare routers mogelijk worden. We kijken er naar uit!