Onze onderzoeksbijdragen in 2020 aan een betrouwbaardere en veerkrachtigere internetinfrastructuur

Een terugblik op het jaar waarin corona de relevantie van het internet in een compleet nieuw daglicht plaatste

Gepixelde voortgangsbalk die het jaar 2021 laadt

Auteurs: SIDN Labs-team

Noot: de oorspronkelijke blog is in het Engels, dit is de Nederlandse vertaling. 2020 is een jaar dat we niet snel zullen vergeten. Miljoenen mensen over de hele wereld zagen hun leven door COVID-19 ingrijpend veranderen en Nederland belandde twee keer in lockdown. Gelukkig waren velen van ons dankzij het internet in staat om een aanzienlijk deel van ons dagelijkse leven online voort te zetten, wat nog maar eens aantoonde hoe enorm belangrijk het internet is als fundamentele infrastructuur van onze digitale samenleving. Dus hoewel we op 2020 terugkijken als een jaar waarin veel mensen het moeilijk hadden, zijn we er ook trots op dat we door middel van ons onderzoek hier bij SIDN Labs konden bijdragen aan een betrouwbare en veerkrachtige internetinfrastructuur voor Nederland, Europa en de wereld en we zetten alles in om dat komend jaar weer te doen.

Onze 8 belangrijkste verrichtingen van 2020

In deze blog laten we onze 8 belangrijkste resultaten van 2020 de revue passeren en bespreken we onze plannen voor 2021. Lees het hele verhaal of klik op een of meer van de volgende links:

Voor de liefhebbers hebben we links naar onze papers, software, testbeds en gegevens toegevoegd. Natuurlijk kun je bij vragen en commentaar ook contact met ons opnemenLink opent in een nieuwe browsertab.

Meer meettools voor DNS-operators

Samen met het DNS-operationsteam van SIDN werkten we aan de ontwikkeling van Anycast2020, een mondiaal testbed van 20 gevirtualiseerde en ge-anycaste nameserversLink opent in een nieuwe browsertab die we naar wens kunnen bij- en afschakelen om flexibeler om te kunnen gaan veranderende hoeveelheden verkeer. De nodes draaien in de cloud en worden gehost door operators als Packet en Vultr, die de mogelijkheid bieden onze eigen IP-adresruimte aan te kondigen via BGP. We maakten TimeNLLink opent in een nieuwe browsertab beschikbaar via Anycast2020, met als resultaat dat het testbed sinds december wereldwijd zo'n 35.000 NTP-clients per seconde bedient (NTP-server hierLink opent in een nieuwe browsertab). We ontwikkelden een nieuwe methode en bijbehorende tool (‘Anteater’) die de round-trip latency van DNS-query's meten. Het is voor DNS-operators vaak heel lastig om die te bepalen, omdat de meeste clients hun DNS-query’s verzenden via UDP. De tool maakt gebruik van passieve TCP-data en zo kwamen we erachter dat Google, een van onze grootste clients, te maken had met hoge latency's (circa 90 msec round-trip) om bij de autoritatieve servers van .nl te komen. Samen met onze collega's van het SIDN-operationsteam en operators bij Google lukte het ons om dit terug te brengen tot ongeveer 25 msec door manipulatie van BGP-routes. Ook andere operators kunnen onze tool implementeren, door gebruik te maken van ENTRADALink opent in een nieuwe browsertab, ons opensourceplatform voor het bewaren en analyseren van grote hoeveelheden DNS-verkeer. Op het gebied van BGP ontwikkelden we de tool BGP Tuner, waarmee operationsteams hun ge-anycaste DNS-infrastructuren kunnen beheren op basis van catchmentmetingen. Daarnaast kunnen ze met behulp van deze tool bijvoorbeeld ook hun nameservers gemakkelijker beheren als één eenheid, bijvoorbeeld omdat het hen heel gemakkelijk in staat stelt path prepend policy’s over anycast-locaties uit te rollen die ervoor zorgen dat het DNS-verkeer dynamisch en gelijkmatig wordt verdeeld. We evalueerden BGP Tuner samen met Universiteit Twente, NLnetLabs en de Federal University of Rio Grande do Sul (Brazilië) en publiceerden er een peer-reviewed paper over. In 2021 gaan we deze tools gebruiken om de DNS-anycast-service voor .nl verder te verbeteren. We bouwen bijvoorbeeld samen met onze collega's van het operationsteam naast onze meer statische ‘bare metal’-nameserverinfrastructuur een laag virtuele nameservers, die we dynamisch kunnen laten groeien en krimpen. In combinatie met onze tools brengt dit ons weer een stap dichter bij het realiseren van onze visie op de registry van de toekomst.

Nieuwe inzichten in de centralisatie van de internetinfrastructuur

We voerden een aantal gerichte meetonderzoeken uit om empirisch vast te stellen hoe de internetinfrastructuur zich ontwikkelt. Zo onderzochten we de mate van centralisatieLink opent in een nieuwe browsertab door in totaal 55,7 miljard DNS-query's van .nl, .nz en B-Root te analyseren, afkomstig uit momentopnames uit 2018 tot en met 2020. We constateerden dat zo'n 30% van het DNS-verkeer op .nl (en .nz) afkomstig is van internetgiganten als Google en Facebook, wat naar onze mening een aanzienlijke mate van concentratie is (interactieve grafiek hierLink opent in een nieuwe browsertab). We publiceerden hier in samenwerking met InternetNZLink opent in een nieuwe browsertab, USC/ISILink opent in een nieuwe browsertab en Universiteit TwenteLink opent in een nieuwe browsertab een peer-reviewed onderzoekspaperLink opent in een nieuwe browsertab over. We keken ook vanuit andere invalshoeken naar centralisatie. Zo deden we onderzoek naar de concentratie van routerfabrikanten bij IXP’s en Certificate Authority's in .nl (interactieve grafiek hierLink opent in een nieuwe browsertab). Volgens onze bevindingen zijn er aanwijzingen dat ook in deze delen van het internet sprake is van concentratievorming. Ook peilden we de adoptie van DNS-over-HTTPS (DoH), een beveiligingsprotocol voor het DNS, maar tevens een van de mogelijke drijvende factoren achter de centralisatie van het DNS. We tuigden een experimentele DoH-dienst op om meer inzicht te krijgen in de technologie en gebruikers toegang te geven tot een gedeelde DoH-server die hier in Nederland wordt beheerd. Op het niveau van internetroutering ontdekten we dat 40% van alle .nl-domeinnamen wordt beschermd door RPKILink opent in een nieuwe browsertab (interactieve grafieken hierLink opent in een nieuwe browsertab en hierLink opent in een nieuwe browsertab). Dat is vatbaar voor verbetering, ook voor ons hier bij SIDN. RPKI speelt een belangrijke rol bij het voorkomen van ‘hijacks’ van IP-addressen, die kunnen leiden tot netwerkstoringen, bijvoorbeeld in het DNSLink opent in een nieuwe browsertab. Aan het begin van de coronacrisis onderzochten we de effecten ervan op .nl en schreven we samen met de TU Delft een paper over de doeltreffendheid van vrijwillige blacklists in de strijd tegen kwaadaardige corona-gerelateerde sites (onder review). Komend jaar willen meer van onze meetresultaten op stats.sidnlabs.nlLink opent in een nieuwe browsertab beschikbaar maken in de vorm van aantrekkelijke interactieve visualisaties (experimenteel voorbeeld hierLink opent in een nieuwe browsertab).

Bijdragen aan het kwantumveilig maken van DNSSEC

DNSSEC is een belangrijk beveiligingsprotocol voor een betrouwbaar en veerkrachtig internet, zowel voor traditionele toepassingen als e-mail en webbrowsen als voor (toekomstige veiligheidskritische) IoT-toepassingen. Met het oog op de toekomst evalueerden we DNSSEC-signeeralgoritmen die ook in het tijdperk van de kwantumcomputers veilig moeten blijven. Kwantumcomputers zijn veel krachtiger dan de computers van nu en zouden alle cryptografische algoritmen kunnen kraken die in DNSSEC worden gebruikt. Onze conclusie was dat RainbowIa en RedGeMSS128 waarschijnlijk de meest geschikte ‘kwantumveilige’ algoritmen voor DNSSEC zijn. Het is van belang om de transitie naar kwantumveilige algoritmen nu al te plannen, omdat het jaren kan duren totdat een nieuw gestandaardiseerd algoritme operationeel wordt gebruikt. We constateerden bijvoorbeeld dat er voor het algoritme ECDSAP256 vanaf de RFC-fase zo'n 5 jaar overheen ging voor er ‘in the wild’ 100.000 domeinnamen met ECDSAP256 werden gesigneerd. Een andere belangrijke reden om vooruit te plannen, is dat kwantumveilige algoritmes waarschijnlijk wijzigingen in het DNSSEC-protocol vereisen, bijvoorbeeld om de grotere publieke sleutels te kunnen verwerken die de nieuwe algoritmen worden gebruiken. We publiceerden ons werk in de vorm van 2 peer-reviewed papers in gerenommeerde fora (ACM Internet Measurement Conference en ACM SIGCOMM Computer Communication Review). In 2021 willen we behulp van een realistisch testbed in ons lab experimenteren met kwantumveilige DNSSEC-algoritmen en onderzoeken we nader wat hun impact op het DNSSEC-protocol is.

Doorontwikkeling van het DDoS-clearinghouse

DDoS-aanvallen blijven het internet teisteren. Zo zagen we in september aanvallen op verschillendeLink opent in een nieuwe browsertab Nederlandse ISP's. Opvallend was dat de aanvallen dit keer aanleiding gaven tot KamervragenLink opent in een nieuwe browsertab, wat getuigt van een toegenomen maatschappelijk bewustzijn en dat de relevantie van het probleem onderstreept. In 2020 ontwikkelden we een nieuwe versie van het prototype van het DDoS-clearinghouse, een gedeeld systeem dat organisaties in staat stelt om DDoS-aanvallen gezamenlijk te bestrijden door in real time metingen van DDoS-aanvallen te delen (zoals protocoltypen, pakketgrootten en IP-bronadressen). Onze implementatie is gebaseerd op het concept van een DDoS Clearing House-in-a-box, waarmee organisaties het systeem heel gemakkelijk als een enkele virtuele machine in hun netwerken kunnen inzetten. Samen met onze collega's binnen de nationale anti-DDoS-coalitieLink opent in een nieuwe browsertab - met name NBIPLink opent in een nieuwe browsertab en SURFLink opent in een nieuwe browsertab - werkten we aan verbeterde manieren om zogenaamde ‘DDoS fingerprints’ te genereren. Ook werkten we samen met onze Europese partners binnen CONCORDIALink opent in een nieuwe browsertab aan het visualiseren, verrijken en beschikbaar stellen van fingerprints voor een toekomstig sectoroverschrijdend en pan-Europees platform voor cyberdreigingsinformatie. Komend jaar staat er een pilot met het clearinghouse op het programma, waarin we daadwerkelijk fingerprints gaan uitwisselen. Daarnaast blijven we het prototype verder doorontwikkelen, bijvoorbeeld door fingerprints te maken van nog meer soorten DDoS-aanvallen.

Algoritmen en visualisaties ter bestrijding van kwaadaardige .nl-sites

Op contentniveau verbeterden we onze nepwebwinkel-detector FaDe door monitoringtools toe te voegen waarmee we kunnen beoordelen of onze detectiemodellen nog voldoen. Dankzij FaDe konden we in 2019 zo'n 4.500 nepwinkels neerhalen en om die reden voegde het supportteam van SIDN de detector toe aan de toolset die zij dagelijks gebruiken. Om hen te helpen, ontwikkelden we een nieuwe gebruikersinterface die het gemakkelijker maakt om grote aantallen meldingen te verwerken. We publiceerden ons werk in een peer-reviewed paper, zodat de onderzoekscommunity ook van onze ervaringen kan profiteren. Verder voerden we een pilot uit met CurrenceLink opent in een nieuwe browsertab, waarin we FaDe ook het gebruik van iDEALLink opent in een nieuwe browsertab-logo's op verdachte e-commercewebsites lieten detecteren. Zo kunnen we de scammers niet alleen tegenhouden via hun ‘verkoopkanaal’ (d.w.z. de domeinnaam) maar ook via het betalingsplatform van Currence. Onze resultaten laten zien dat het algoritme dat we daarvoor ontwikkelden het logo in 88% van de gevallen correct detecteert. Tijdens de pilot deelden we verdachte domeinen met een iDEAL-logo met Currence voor nadere analyse, waardoor verschillende sites konden worden neergehaald. Ook verstrekten we informatie aan pers en media, zoals het Financieel DagbladLink opent in een nieuwe browsertab, voor artikelen over nepwebwinkels. De andere tool die we dit jaar ontwikkelden, is DEX (Domain name Ecosystem eXplorer). Deze tool maakt intuïtieve visualisaties van domeinkenmerken voor onze anti-misbruikexperts op basis van meerdere datasets, zoals DNS-querydataLink opent in een nieuwe browsertab en webcrawl-dataLink opent in een nieuwe browsertab. DEX stelt onze collega's in staat om op een interactieve manier domeinnamen te onderzoeken die gerelateerd zijn aan een bekende kwaadaardige site, zoals sites met hetzelfde TLS-certificaat. Hierdoor zijn de anti-misbruikexperts beter toegerust voor hun werk en kunnen ze gebruikers van .nl uiteindelijk beter beschermen tegen dat soort sites. In 2021 blijven we onze anti-misbruiktools verbeteren, waaronder onze logodetector. We doen onderzoek naar hoe we ze zodanig kunnen aanpassen dat registrars en andere gebruikers ze op hun systemen kunnen implementeren. Verder breiden we stats.sidnlabs.nl uit met gegevens die betrekking hebben op misbruik, zoals het aantal gecompromitteerde sitesLink opent in een nieuwe browsertab dat we in de loop van de tijd hebben opgespoord.

Een eerste versie van ons open IoT-dataplatform

In 2020 verlegden we het speerpunt van ons werk met betrekking tot IoT-beveiliging. Ons nieuwe doel is het ontwikkelen van een open IoT-dataplatform met gegevens die afkomstig zijn van routers met SPIN, IoT-honeypots en andere IoT-verkeersmetingen. Dit platform kan dan duurzaam worden gebruikt door de onderzoekscommunity voor onderzoek naar IoT-beveiliging. We valideerden onze nieuwe aanpak via een workshop met onderzoekers van Universiteit Twente en TU Delft. Ter ontwikkeling van het platform gaven we (SPIN-)gebruikers de mogelijkheid om op eenvoudige wijze geanonimiseerde metingen van netwerkverkeer te uploaden en visueel te analyserenLink opent in een nieuwe browsertab. Bovendien veranderden we de rol van SPIN in die van een IoT-netwerksensor (hoewel SPIN nog steeds kan worden ingezet als intelligente IoT-firewall). Concreet betekent dit dat we SPIN zodanig uitgebreid hebben dat gebruikers PCAP-metingen van hun netwerkverkeer handmatig kunnen uploaden naar het platform en we het gemakkelijker hebben gemaakt om SPIN in gebruik te nemen door er de PCAP Reader aan toe te voegen, een onderdeel dat PCAP-bestanden kan vastleggen vanaf verschillende soorten apparaten (bijvoorbeeld servers). We installeerden 2 IoT-honeypots, waarmee we experimenten uitvoerden om onder meer MiraiLink opent in een nieuwe browsertab-verkeer en tunnelaanvallen te analyseren. Daarnaast voerden we de eerste experimenten uit met zelflerende algoritmen die het IoT-platform gebruiken om verschillende soorten IoT-apparaten te classificeren op basis van hun netwerkverkeer. We schreven samen met experts van RIPELink opent in een nieuwe browsertab een technisch rapport (draft hier) om ISP's te helpen bij het selecteren van technologieën voor thuisrouters om IoT-apparaten te beveiligen. We droegen bij aan SSAC’s visie op het samenspel van DNS en IoT en we verzorgden het MSc-vak Security Services for the IoTLink opent in een nieuwe browsertab aan Universiteit Twente.

Komend jaar willen we ons platform evalueren samen met de onderzoekscommunity en experimenteren we met nieuwe algoritmen voor apparaatclassificatie en meer geavanceerde visualisaties. Ook gaan we van start met nieuw werk, zoals een project dat zich bezighoudt met het valideren van de betrouwbaarheid van toekomstige IoT-systemen (apparaten, verbindingen, diensten) in INTERSCTLink opent in een nieuwe browsertab.

Prototypen voor op SCION gebaseerde toekomstige internetinfrastructuren

We ontwikkelden een demonstrator die laat zien hoe mensen thuis zouden werken via SCIONLink opent in een nieuwe browsertab, een van de toekomstige internetinfrastructuren waarmee we experimenteren in het kader van het onderzoeksprogramma 2STiCLink opent in een nieuwe browsertab. De demonstrator maakt inzichtelijk hoe SCION-datapaden veranderen wanneer zich een netwerkstoring voordoet en hoe clients het pad kunnen kiezen dat ze willen dat hun data door de netwerken volgt. De demo gebruikt een videovergadering als voorbeeldtoepassing en werkt op SCIONLabLink opent in een nieuwe browsertab, een mondiaal testnetwerk op basis van de SCION-internetarchitectuur waarop we sinds april via een ‘BGP-vrije’ verbinding zijn aangesloten. Begin volgend jaar maken we een video over onze demo beschikbaar met daarin meer informatie. Op het gebied van programmeerbare netwerken werkten we verder aan de P4Link opent in een nieuwe browsertab-implementatie van het SCION-dataplane protocol en we verwachten dat we deze begin volgend jaar kunnen verplaatsen van de P4-simulator naar de daadwerkelijke hardware switches in het 2STiC-testbedLink opent in een nieuwe browsertab (we gaan er nog een blog over schrijven). Verder schreven we een technische inleiding op SCION en werkten we samen met ETH ZürichLink opent in een nieuwe browsertab aan een project met als thema het overbruggen van de kloof tussen het huidige internet en SCION met behulp van autorisaties in het RPKI. We gebruikten onze ervaring op het gebied van toekomstige betrouwbare internetinfrastructuren om aan Universiteit Twente het MSc-vak Advanced NetworkingLink opent in een nieuwe browsertab te geven. In 2021 zijn we van plan om een pilot uit te voeren die meer inzicht moet geven in hoe SCION functioneert in een operationale omgeving. Ook gaan we andere netwerkarchitecturen onderzoeken, zodat 2STiC uitgroeit tot een expertisecentrum op het gebied van betrouwbare en veerkrachtige internetinfrastructuren voor strategische autonomie.

Het concept van een ‘responsible internet’

Tot slot ontwikkelden we samen met een aantal universiteiten en onderzoekslabs het concept van een ‘responsible internet’. Een responsible internet vergroot de digitale soevereiniteitLink opent in een nieuwe browsertab van samenlevingen op het niveau van met elkaar verbonden netwerken, een onderwerp dat nog niet eerder is onderzocht. We werkten onze ideeën uit in een paper en dienden een voorstel in voor de NWA Cybersecurity CallLink opent in een nieuwe browsertab om financiering aan te vragen waarmee we het concept verder kunnen onderzoeken. Dit onderzoek zou een aanvulling vormen op het onderzoek in het kader van UPINLink opent in een nieuwe browsertab, dat dit jaar financiering toegekend kreeg vanuit NWO. Komend jaar organiseren we een speciale editie van het Journal of Network and Systems ManagementLink opent in een nieuwe browsertab over het responsible internet en geven we een bredere workshop in het Lorentz Center over toekomstige internetinfrastructurenLink opent in een nieuwe browsertab.

Team

Het SIDN Labs-team werd versterkt door de van Universiteit Twente afkomstige João CeronLink opent in een nieuwe browsertab. MSc-studenten Joost Prins en Robin de Heer rondden dit jaar met succes hun onderzoeksprojecten bij SIDN Labs af.