Robuustheid van DNS-infrastructuur onder Nederlandse overheidsdiensten onderzocht

Nederlands DNS-onderzoek

Het initiatief voor dit onderzoek is genomen door NCSC. Zij wilden meer zicht op de toepassing van best practices in de DNS-infrastructuur van Nederlandse overheidsdiensten. Na grote veranderingen in het DNS-systeem het afgelopen decennium – denk aan DNSSEC – is deze technologie inmiddels weer stabiel genoeg om de stand van zaken in kaart te kunnen brengen.

"We hebben hele goede DNS-onderzoekers in Nederland," zegt Jeroen van der Ham, inmiddels werkzaam bij Universiteit Twente maar tot voor kort (en binnen dit project) Senior Researcher bij NCSC. "Die expertise wilden we inzetten voor dit onderzoek. Vandaar dat we dit project hebben uitgevoerd samen met onderzoekers van SIDN Labs en Universiteit Twente."

NCSC heeft zelf ook een onderzoekscluster, waarvan de belangrijkste taak is om onderzoek en praktijk op het gebied van cybersecurity bij elkaar te brengen. Voor de technische uitvoering werken zij met externe partners, zoals ze voor dit project met SIDN Labs en Universiteit Twente hebben gedaan. "Voor ons was dit ook een gelegenheid om ervaring op te doen in een samenwerking met SIDN Labs en Universiteit Twente, en een goede werkrelatie op te bouwen," aldus Van der Ham.

DNS is complex

"Wij hebben de afgelopen 6 jaar veel onderzoek gedaan naar en gepubliceerd over de robuustheid van de DNS-infrastructuur," vertelt Giovane Moura, Data Scientist bij SIDN Labs, universitair docent aan de TU Delft en hoofdonderzoeker binnen dit project. "Hoogtepunt daarvan was de publicatie vorig jaar van RFC 9199: 'Consideration for Large Authoritative DNS Server Operators'.

"DNS is complex; hoe dieper je gaat, des te meer corner cases je tegenkomt. Wij doen bij SIDN Labs ook allerlei metingen aan de DNS-infrastructuur (voornamelijk voor de .nl-zone), maar in dit geval zijn de metingen zelf grotendeels ontwikkeld en uitgevoerd door de Universiteit Twente. Zij hebben een lange historie op gebied van DNS-metingen, spreken hierover veel op conferenties en hebben alle technische skills in huis. Wat dat betreft waren zij een natuurlijke partner voor dit project. Bovendien is het goed om met meerdere ogen naar zo'n opdracht te kijken. Het levert verschillende perspectieven op en geeft je de gelegenheid om je ideeën bij anderen te toetsen. Onze bijdrage zit in dit geval vooral in de analyse van de rauwe data."

Best practices voor de DNS-infrastructuur

In eerste instantie ging het bij dit project om een verkenning. "We hebben om te beginnen een inventarisatie gemaakt van de best practices voor de DNS-infrastructuur." Zo vertelt Mattijs Jonker, universitair docent bij Universiteit Twente en hoofdonderzoeker binnen dit project. Hij werkte daar samen met promovendus Raffaele Sommese.

De adviezen uit RFC 9199 zijn wel verwerkt in de lijst van best practices voor dit project, maar voor deze meting is een veel bredere set samengesteld. "Daarna zijn we gaan meten op een lijst van Nederlandse overheidsdomeinen aangeleverd door Logius.

Goede weerbaarheid

"Wat we vonden is dat bij de meeste domeinen de regels voor een goede weerbaarheid inderdaad worden nageleefd," aldus Jonker. "Tegelijkertijd troffen we ook een aantal domeinen (op alle overheidsniveaus) met potentiële risico's die eenvoudig te verhelpen zijn. Een eerste probleem is als zowel de primaire als secundaire DNS-servers van domeinen bij een en dezelfde partij draaien. Een tweede probleem is als de DNS-servers direct of indirect (via een keten) afhankelijk zijn van een enkel topleveldomein (TLD). We noemen deze 2 gevallen kritisch omdat ze een single point of failure (SPoF) creëren. Valt de betreffende partij of het TLD om, dan ben je immers niet meer bereikbaar. En de praktijk laat zien dat dergelijke rampen ook daadwerkelijk af en toe voorkomen." Bekend voorbeeld daarvan is de DDoS-aanval op DNS-dienstverlener Dyn in 2016 [1, 2], waarbij de sites van onder andere Twitter, Netflix, Spotify en Reddit onbereikbaar werden. Hoewel de schade in dergelijke gevallen groot is, is de kans op zo'n ernstige verstoring heel klein.

"2 andere zaken die we vonden betroffen configuratiefouten en een lage toepassing van anycast. Denk bij dat eerste aan een secundaire DNS-server die down is, typefouten in namen, en inconsistenties in de gespecificeerde nameservers op verschillende niveaus. In die gevallen hebben we de betreffende partijen ook individueel hiervan op de hoogte gesteld.

Bij anycast gaat het om technologie waarbij meerdere servers op verschillende locaties achter hetzelfde IP-adres zitten. Die redundantie zorgt niet alleen voor snellere antwoorden maar ook voor een grotere robuustheid van de infrastructuur."

Aanbevelingen

Naar aanleiding van deze bevindingen komen de onderzoekers dan ook met een aantal concrete aanbevelingen. De belangrijkste is om een centrale secundaire anycast-DNS-dienst op te zetten voor de overheid. "Dat is een makkelijke en goedkope manier voor overheidsorganisaties om hun DNS-infrastructuur veel veiliger te maken," zegt Van der Ham. "Als een organisatie zich eenmaal heeft aangemeld, hoeft dat niet meer te zijn dan een druk op de knop, waarna de beschikbaarheid van hun dienst gelijk veel robuuster is."

Gevraagd naar de mogelijkheid om ook het primaire DNS onderdeel van deze dienst te maken, legt Van der Ham uit dat dat niet alleen technisch lastiger is, maar ook politiek-bestuurlijke moeilijkheden met zich mee zou brengen. Je zou daarmee bijvoorbeeld de markt kunnen verstoren. Bovendien zijn de verschillende ministeries en gemeenten elk afzonderlijk verantwoordelijk voor hun eigen infrastructuur. Dat betekent dat zij ook nu al gewoon een tweede marktpartij kunnen contracteren om secundaire DNS te draaien." Wat dat betreft zou je kunnen stellen dat de markt zelfs groter wordt als alle domeinnaamhouders inderdaad een tweede, complementaire DNS-dienstverlener erbij zouden nemen.

Jaarlijkse inventarisatie

De tweede grote aanbeveling is om dit onderzoek regelmatig – bijvoorbeeld jaarlijks – te herhalen. In dat geval zou deze eerste inventarisatie als nulmeting in een reeks kunnen fungeren. Op die manier kun je volgen of aanbevelingen en daaropvolgend beleid ook daadwerkelijk tot verbetering leiden.

"We zijn met Logius en anderen in gesprek om te zien hoe we op dit gebied verbeteringen kunnen doorvoeren," vertelt Van der Ham. "Overheidspartijen zijn zelf verantwoordelijk voor hun infrastructuur. Maar het ligt voor de hand dat zij Logius vragen om zo'n secundaire DNS-dienst aan te bieden, bijvoorbeeld in overleg met de Vereniging van Nederlandse Gemeenten (VNG).

Internationale benchmark

De onderzoekers hebben nog een vervolg gegeven aan de opdracht voor NCSC door dezelfde metingen ook voor 3 andere datasets uit te voeren: Zweden (.se), Zwitserland (.ch) en de Verenigde Staten (.gov). Ook in andere landen blijken veel overheidsdomeinen niet te voldoen aan de aanbevelingen voor grote operators. Hoewel er ook opvallende verschillen zijn – zo wordt alleen in Zweden Microsoft vaak als niet lokale DNS-aanbieder voor overheidsdiensten gebruikt, terwijl dat in Nederland bijvoorbeeld TransIP is – zijn de uitkomsten vergelijkbaar. Daarmee levert dit vervolg een benchmark die laat zien dat de Nederlandse situatie niet belangrijk anders is dan die in andere landen.

De details worden beschreven in dit paper, dat eind vorig jaar is gepresenteerd op de '2022 International Conference on Network and Service Management' (CNSM 2022). Dit voorjaar wordt de studie ook gepresenteerd op de 'RIPE 86'-conferentie in Rotterdam.

Strategisch adviesrapport

Voor Nederlandse beleidsmakers is er het speciaal voor hun geschreven strategisch adviesrapport 'Betrouwbaarheid DNS-Infrastructuur Nederlandse Overheid bij Beschikbaarheidsproblemen', dat de bevindingen en aanbevelingen van deze studie voor niet-experts bespreekt. Een (uitgebreidere) Engelstalige versie van dit adviesrapport vind je op de website van NCSC.