Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

SIDN Labs jaaroverzicht 2022

Een verslag van onze resultaten van het (bijna) afgelopen jaar

Auteurs: SIDN Labs-team In deze eindejaarsblog doen we verslag van onze resultaten van het afgelopen jaar waar we het meest trots op zijn en geven we een overzicht van onze plannen voor 2023. Voor de volledigheid geven we ook een kort overzicht van onze onderzoeksthema’s. Zoals altijd horen we graag jullie feedback of interesse in samenwerking.

Onze onderzoeksthema’s

Het doel van SIDN Labs is het verder verhogen van de security van de internetinfrastructuur zodat die voldoet aan de steeds hogere eisen die onze digitale samenleving op dat gebied stelt. Dit doen we door toegepast technisch onderzoek, waarbij we een brug slaan tussen de academische wereld en operations. We richten ons daarbij op zowel de korte als de lange termijn, met een bijzonder focus op .nl en Nederland.

De 3 thema’s waar we ons op richten zijn:

  • Domeinnaamsecurity: draait om het verhogen van ons begrip van domeinnamen die voor malafide doeleinden worden gebruikt (bijv. nepwebwinkels en phishing) om de aanpak daarvan verder te verbeteren. Hiervoor meten we bijvoorbeeld regelmatig de (security)eigenschappen van alle 6.3 miljoen .nl-domeinnamen met onze crawler DMAP en analyseren we de DNS-query’s die we verwerken op onze .nl-nameservers met ENTRADA. We ontwikkelen tools en algoritmes om potentieel malafide domeinnamen te identificeren, houders en registrars te waarschuwen en samen met henhet malafide gebruik te stoppen.

  • Infrastructuursecurity: ons doel met dit thema is ons begrip van hoe de internetinfrastructuur in elkaar zit te vergroten en op basis daarvan de ontwikkeling en management ervan te verbeteren. Hiervoor verrichten we grootschalige metingen aan het Domain Name System (DNS), het routingsysteem en het tijdsysteem van het internet. We ontwikkelen systemen en best-practices voor het managen en ontwikkelen van DNS-infrastructuren (bijv. door het gedeeltelijk virtualiseren ervan en nieuwe vormen van anycast-management) en NTP-systemen. In 2023 voegen we daar ook routingsecurity aan toe (zie Outlook 2023).

  • Emerging internet technologies: richt zich op fundamentele verbeteringen van de internetinfrastructuur, zoals andersoortige routingsystemen (bijv. gebaseerd op de security- of energie-eigenschappen van netwerken), nieuwe securityconcepten (bijv. netwerkscopes of het ‘agile’ aanpassen van securityalgoritmes) of nieuwe interneteigenschappen (bijv. transparantie, dataverwerking in het netwerk, of de co-existentie van meerdere typen adres- en routeringsystemen). We laten ons daarbij bijvoorbeeld inspireren door ‘clean-slate’ systemen zoals SCION en het Extensible Internet. Onze huidige focusgebieden voor dit soort lange-termijn ontwikkelingen zijn verificatie van inter-domein netwerkpaden en de soepele invoering van nieuwe (kwantumveilige) crypto-algoritmen.

Deze thema’s en de bijbehorende projecten bepalen we door intensieve samenwerking met universiteiten, andere onderzoekslabs en internetinfrastructuuroperators (bijv. in 2STiC). Daarnaast toetsen we de kwaliteit en relevantie van ons werk voortdurend via bijvoorbeeld peer-reviewed papers, blogs en presentaties en bijdragen aan internetfora zoals de IETF, RIPE en ICANN.

Resultaten op het gebied van domeinnaamsecurity

Herkennen van verdachte registraties met Registration Checker (RegCheck)

RegCheck is een systeem dat we ontwikkelden om verdachte domeinnamen (bijv. toekomstige phishingsites) al op het moment van registratie te herkennen. Onze collega’s van het SIDN-supportteam kunnen zo nog proactiever handelen, bijvoorbeeld door alvast een onderzoek naar de domeinnaamhouder voor te bereiden. RegCheck sluit ook aan op de aankomende Europese NIS2-directive, die waarschijnlijk van registry’s gaat verlangen dat ze meer controle uitoefenen op domeinnaamregistraties.

We experimenteerden het afgelopen jaar met verschillende algoritmes en gebruiken sinds augustus een prototype dat een risicoscore berekent voor alle nieuwe domeinnaamregistraties. SIDN’s supportteam checkt handmatig registraties met een hoge risicoscore, onderneemt gepaste actie (bijv. de identiteit van de houder verifiëren of de registrar contacteren) en helpt ons bij het evalueren van het systeem.

In oktober presenteerden we RegCheck voor ongeveer 100 mensen in een van de parallelle sessies van de ONE Conference, het belangrijkste cybersecuritycongres van Nederland. Ook starten we binnenkort een samenwerking met de collega’s van Belgische registry DNSBelgium (.be).

Waarschuwen voor mogelijke datalekken bij opgeheven .nl-domeinnamen

LEMMINGS (deLetEd doMain MaIl warNinG System) is ons systeem dat de voormalige registrants waarschuwt dat er mogelijk nog e-mail binnenkomt op .nl-domeinnamen die ze hebben opgeheven. Hiermee willen we datalekken voorkomen waarbij mensen gevoelige mail sturen naar opgeheven domeinnamen die door een ander zijn geregistreerd. Voorbeelden hiervan zijn onder andere de lekken bij Bureau Jeugdzorg en de politie.

In april maakten LEMMINGS beschikbaar voor de gehele .nl-zone en beveiligt het nu 97.3% van alle .nl-domeinnamen (4 registrars kozen voor de opt-out-mogelijkheid). Tot en met 7 december verstuurden we waarschuwingen voor ruim 48 duizend domeinnamen. We ontwikkelden daarnaast een nieuwe versie van LEMMINGS die de ontvanger van een waarschuwingsberichten vraagt om een korte online enquête in te vullen. Hiermee kunnen we de impact en effectiviteit van LEMMINGS beter bepalen. We bouwden afgelopen jaar voort op de 2 pilots die we in 2021 uitvoerden.

LogoMotive in SIDN Merkbewaking

LogoMotive is een systeem dat gezaghebbende logo’s (bijv. die van de Rijksoverheid) signaleert op .nl-websites met behulp van machine learning. Het helpt anti-abuse-analisten bij SIDN om beter malafide .nl-domeinnamen op te sporen, zoals phishingsites die het logo van Rijksoverheid misbruiken.

We hielpen dit jaar onze ICT-collega’s met integratie van LogoMotive in SIDN Merkbewaking. De nieuwe functie (‘logodetectie’) is sinds dit najaar beschikbaar. LogoMotive ontwikkelden en evalueerden we in 2021 op basis van een pilot met de Rijksoverheid en Thuiswinkel Waarborg. Het onderzoek hebben we hiermee afgerond.

Gerelateerd aan LogoMotive gaven we een workshop over het operationaliseren van machine learning op het congres ‘Network Traffic Measurement and Analysis’ (TMA2022). Als voorbeeld gebruikten we het herkennen van verdachte .nl-registraties, waar we bij SIDN Labs onderzoek naar doen (zie RegCheck). Onze workshop trok zo’n 50 PhD-studenten.

Nieuwe statistieken

We deelden onze statistiekensite stats.sidnlabs.nl opnieuw in. Hier publiceren we doorlopend metingen over het gebruik en de veiligheid van .nl-domeinnamen en het Nederlandse deel van het internet. We voegden ook nieuwe grafieken toe, zoals woordwolken die inzicht geven in woorden die veel voorkomen in nieuwe domeinnaamregistraties. Hiermee maken we onder andere ontwikkelingen zoals de impact van de Covidcrisis in .nl-registraties zichtbaar.

We publiceerden ook ons rapport ‘De staat van .nl’, dat we schreven op basis van doorlopende en ad-hoc metingen aan het .nl-domein.We lieten bijvoorbeeld zien dat centralisatie een potentieel probleem vormt binnen het .nl-domein. Zo wordt er steeds meer gebruikgemaakt van een beperkt aantal publieke recursieve resolvers en nemen maar 3 partijen de hosting van 48% van alle actieve .nl-domeinen voor hun rekening.

Resultaten infrastructuursecurity

ICANN-studie: meten van DNSSEC-uitrol

Samen met NLnet Labs wonnen we in de zomer van 2021 een ‘Call for Proposals’ van ICANN om in kaart te brengen op welke manieren ICANN de uitrol van DNSSEC beter zou kunnen meten.

In augustus van dit jaar rondden we het onderzoek succesvol af. In ons afsluitende rapport deden we 3 aanbevelingen voor het meten van de uitrol van DNSSEC. Ten eerste raadden we aan om ook de DNS-requests te meten die met DNSSEC beschermde domeinnamen opvragen, in plaats van alleen gesigneerde domeinnamen in kaart te brengen. Dit schetst een realistischer beeld van de uitrol van DNSSEC. Ten tweede stelden we voor om in toekomst meer focus te leggen op goed gebruik van DNSSEC. Denk hier bijvoorbeeld aan het gebruik van moderne en veilige signeeralgoritmen. Ten slotte raadden we aan om ook te meten hoe goed de verschillenden componenten en spelers voorbereid zijn op een overstap naar cryptographische algoritmen die aanvallen met kwantumcomputers kunnen weerstaan.

Hadoop Provisioning Manager in gebruik genomen

We ontwikkelden de Hadoop Provisioning Manager (HPM) en namen het in gebruik voor ons Hadoop-cluster. HPM vervangt Cloudera Hadoop, waarvoor we voorheen geen licentiekosten hoefden te betalen. Bij de volgende upgrade zou ons dat voor ons relatief kleine Hadoop-cluster van 14 servers 150K/jaar aan licenties kosten, wat we liever uitgeven aan onderzoek.

We maakten de HPM open source zodat andere onderzoekers het ook kunnen gebruiken. We verbeterden daarnaast de software op basis van onze ervaring sinds mei, toen we de HPM in gebruik namen.

RFC 9199 geaccepteerd als RFC

Onze Internet Draft met engineeringaanbevelingen voor DNS-operators bereikte de status van RFC (RFC 9199) bij de IETF. Het is gebaseerd op de DNS-metingen die we de afgelopen 6 jaar hebben uitgevoerd samen met het Information Sciences Institute van de University of Southern California en de meetmethodes die we daarvoor ontwikkelden.

Meten van de betrouwbaarheid van de DNS-infrastructuur van de overheid

Op verzoek van het Nationaal Cyber Security Centrum (NCSC) onderzochten we samen met de Universiteit Twente (UT) de betrouwbaarheid van de DNS-infrastructuur van de overheid. Hiervoor gebruikten we onze ervaringen met grootschalige internetmetingen en -methoden.

De opdracht resulteerde in de publicatie van een wetenschappelijk artikel dat we schreven samen met het NCSC en de UT. We vergelijken daarin ook de betrouwbaarheid van de DNS-infrastructuur van de Nederlandse overheid met die van Zweden, Zwitserland en de Verenigde Staten. Het managementrapport waarop het artikel is gebaseerd verschijnt volgend jaar.

.nl’s anycast-service gebaseerd op anycast-testbed SIDN Labs

Bij SIDN Labs managen we een anycast-testbed om te onderzoeken hoe we een anycast-netwerk zo flexibel en effectief mogelijk kunnen ontwerpen en managen, inclusief het ontwikkelen van tools (bijv. de BGP Tuner) en het optimaliseren van DNS-verkeerstromen. Het testbed maakt gebruik van (virtuele) DNS-machines bij cloudproviders.

In april nam SIDN’s DNS-operationsteam haar eigen DNS-anycastservice in productie voor .nl, .politie, .aw en .amsterdam, gebaseerd op ons testbed. Hierna richtten we ons testbed opnieuw in en automatiseerde we het verder om het flexibeler en uniformer te maken. We kunnen het zo beter inzetten voor toekomstig onderzoek, bijvoorbeeld om ons DNS-team automatisch aanbevelingen te geven over waar nieuwe nodes te plaatsen op basis van BGP-catchmentmetingen (zie Autocast onder Outlook 2023).

Versie 2 van TimeNL beschikbaar

TimeNL is onze publieke service voor internetsystemen om de ‘internettijd’ op te vragen (milliseconden nauwkeurigheid), bijvoorbeeld voor het maken en verifiëren van digitale certificaten, tijdgebaseerde inlogtoepassingen zoals OAuth en voor SIDN’s eigen dienstverlening (bijv. voor DNSSEC). TimeNL bedient ruim 7,2 miljard NTP-query’s van wereldwijd 158 miljoen unieke clients, verdeeld over 52.0000 verschillende netwerken (stand juni 2022).

In april maakten we versie 2 van TimeNL (TimeNLv2) beschikbaar, die een betrouwbaardere service levert doordat we een Rubidium-atoomklok toevoegden. Deze zogenaamde ‘holdover clock’ kan de tijd een halfjaar tot een jaar met hoge nauwkeurigheid aan blijven geven als de externe referentieklokken (bijv. GPS of DCF077) wegvallen. Dit kan bijvoorbeeld gebeuren als gevolg van jammen van de radiosignalen of fysieke schade aan de radiobronnen (bijv. als gevolg van een storm of een geopolitiek incident). TimeNLv2 gebruikt het Precision Time Protocol (PTP) voor tijdsynchronisatie tussen de radio-gebaseerde klokken, de holdover klokken en zogenaamde front-end klokken die veel clients simultaan kunnen bedienen.

Met TimenNLv2 verhogen we ook de security en stabiliteit van SIDN’s diensten, omdat die er ook gebruiken van maken.

DDoS-clearinghouse

Het DDoS-clearinghouse is een systeem waarmee (vitale) aanbieders (bijvoorbeeld banken, ISP’s, en overheden) informatie over DDoS-aanvallen die ze te verwerken krijgen met elkaar kunnen delen in de vorm van ‘DDoS fingerprints’. Ontvangers van deze fingerprints zijn zo beter voorbereid mochten ze zelf slachtoffer worden van deze aanvallen.

In september organiseerden we in Utrecht een workshop over het gezamenlijk bestrijden van DDoS-aanvallen. Het doel was de vorderingen en knelpunten op dit gebied te bespreken en de community die zich hiermee bezighoudt te versterken. We verwelkomden 35 experts uit de operationele en onderzoekswereld, zowel uit binnen als buitenland. De reacties op de workshop waren zeer positief.

We gaven een interactieve demonstratie van het DDoS-clearinghouse-testbed op het “CONCORDIA Open Door Event” in München (ongeveer 50 bezoekers). De demonstratie liet ook de interactie zien met andere componenten van het CONCORDIA Threat Intelligence Platform. Het DDoS-testbed nemen we nu ook in gebruik in de Nederlandse anti-DDoS-coalitie om kleinschalige DDoS-oefeningen mee uit te voeren

Resultaten emergent internet technologies

Hoe werkt het internet onder de motorkap: PathVis

In 2022 ontwikkelden we de ‘Path Visualizer’ (PathVis), een systeem dat visualiseert via welke netwerken de data van een gebruiker over het internet reist. PathVis doet dit voor elke verbinding die de computer waarop PathVis draait maakt. Het doel is mensen zonder al te veel technische achtergrond inzicht te bieden in hoe het internet onder de motorkap werkt en een indicatie te geven hoe een transparanter internet eruit zou kunnen zien.

PathVis maakt gebruik van traceroute, een meettool die standaard in elk internetsysteem zit. PathVis voegt daar extra data over netwerken aan toe, bijvoorbeeld of ze gebruik maken van routingsecurity (RPKI). Daarnaast geeft PathVis een waarschuwing als een pad wijzigt, wat vaak een legitieme reden heeft, maar ook het gevolg kan zijn van een gerichte aanval (bijv. een routing hijack). PathVis maakt hiervoor gebruik van de tool Router Spaghetti, die we ontwikkelden om een ‘spaghetti’ aan virtuele routers op verschillende manieren met elkaar te verbinden en de configuratie dynamisch aan te passen. Hiermee kunnen we simuleren dat een pad ineens door een andere router of netwerk loopt, waarna PathVis die wijziging detecteert en visualiseert.

We demo-den PathVis op het ICT Open-congres, op SIGCOMM en op het ECP-jaarfestival om feedback op te halen en met mensen te praten over het concept van een transparanter internet. We maakten PathVis open source beschikbaar (Router Spaghetti volgt later).

Demo intent-based networking

Samen met de Universiteit van Amsterdam (UvA) ontwikkelden we een demo om te laten zien hoe eindgebruikers invloed uit kunnen oefenen op de netwerkpaden waarover hun data over het internet reist. We maakten hierbij gebruik van het concept van Intent-based Networking, waarbij we in ons demo als voorbeeld eindgebruikers via een chatbot in staat stelden eisen te specificeren waar een netwerkpad aan moet doen (bijv. de jurisdictie waar netwerken onder vallen en het soort apparatuur dat ze gebruiken).

In november presenteerde onze collega’s van de UvA de demo op de SuperComputing-conferentie. Het paper dat we samen schreven won de best paper award van de workshop ‘Innovating the Network for Data-Intensive Science’.

Koppeling van testnetwerken

We operationaliseerden onze glasvezelverbinding naar het 2STiC-testbed en koppelden het 2STiC P4-testbed met SCIONLab. Hiermee kunnen we bijvoorbeeld experimenten faciliteren die het gebruik van beide testbeds vereisen, bijvoorbeeld voor geavanceerde multi-domein scenario’s. Met de UvA ontwikkelden we een systeem waarmee onderzoekers gemakkelijker kunnen experimenteren met het 2STiC-testbed.

Community service

Bijdrages aan expertcommissies

Afgelopen jaar werd onze collega Moritz Müller gekozen tot co-chair van de DNS-werkgroep van de RIPE-community. Thymen Wabeke was redactielid van het blad Privacy & Informatie en Jelte Jansen was lid van de adviesraad van het SIDN Fonds. Cristian Hesselman trad na ruim 5 jaar terug als lid van de Security and Stability Advisory Committtee (SSAC) van ICANN.

Embedded onderzoekers vanuit SIDN Labs

Giovane Moura werd aangesteld als universitair docent (assistant professor) op de Techniche Universiteit Delft voor 1 dag per week, gedetacheerd vanuit SIDN. Via dezelfde constructie was Ralph Koning gastonderzoeker op de Universiteit van Amsterdam, Moritz Müller gastonderzoeker op de Universiteit Twente en werd Cristian Hesselman aangesteld als hoogleraar op de Universiteit Twente. Moritz was daarnaast gastonderzoeker bij de Swedish Internet Foundation (de registry van .se) van maart tot en met juni.

Bijdrages aan onderwijs

We gaven voor het vijfde achtereenvolgende jaar het vak Security Services for the IoT (SSI) op de Universiteit Twente. Hierin laten we technische masterstudenten kennismaken met de beveiligingsuitdagingen van het Internet of Things (IoT), onder andere via een practicum waarbij ze het netwerkgedrag van IoT-appraten meten (bijv. een online deurbel). De 23 SSI-studenten beoordeelden SSI dit jaar met een 8,6. We gaven ook het vak Advanced Networking (ANET) over onderwerpen zoals programmeerbare netwerken (bijv. via P4), routing security en internetarchitectuur. De studenten beoordeelden het vak met een 7,8. Het aantal studenten was echter beperkt dit jaar (7). We gaven ook 4 gastcolleges, onder andere op de UvA.

Begeleidde afstudeerders

We begeleidden 4 studenten die hun afstudeeronderzoek uitvoerden bij SIDN Labs (3 van de Universiteit Twente, 1 van de Technische Universiteit Delft). Hun verslagen staan op onze site.

Organisatie van workshops

We waren dit jaar organisator van de Passive and Active Measurement Conference (PAM2022) en de First CONCORDIA Workshop on Collaborative DDoS Mitigation.

Outlook 2023

Onze plannen voor 2023 bouwen voor een deel voort op onze resultaten van 2022 (bijv. ‘RegCheck4CENTR’), maar we starten ook nieuwe projecten (bijv. ‘Autocast’ en ‘Quantum-safe DNS’). Hieronder geven we een kort overzicht van onze plannen per onderzoeksthema.

Domeinnaamsecurity

  • RegCheck4CENTR. SIDN Labs en DNS Belgium (en andere CENTR-leden zoals Switch en EURid) ontwikkelen ieder hun eigen detectiemethodes om malafide domeinnaamregistraties te detecteren. We doen hierdoor dubbel werk en leren we niet van elkaars methodes en processen. We gaan samen met DNS Belgium daarom gezamenlijk methodes ontwikkelen en evalueren om verdachte domeinnaamregistraties te herkennen. Ons uiteindelijk doel is een standaardaanpak (blauwdruk) neer te zetten die we beschikbaar stellen aan de CENTR-gemeenschap en zo voor alle ccTLD-registry’s in Europa de drempel verlagen voor om verdachte registraties te herkennen. Onze interne partners is SIDN’s supportteam.

  • Security.txt-adoptie.Security.txt is een tekstbestand waarin de security-contacten van een organisatie staan (zie bijv. https://sidn.nl/.well-known/security.txt). Securityonderzoekers kunnen hiermee eenvoudiger beveiligingslekken melden die ze hebben gevonden (‘responsible disclosure’), waardoor organisaties sneller op de hoogte zijn van digitale kwetsbaarheden in hun netwerk- of informatiesystemen. Security.txt is sinds april 2022 een IETF-standaard (RFC 9116) en wordt sterke gepusht vanuit de Nederlandse overheid. Het gebruik ervan loopt echter nog geen storm en daarom monitoren wij de uptake van de standaard met onze crawler DMAP, onder andere om het effect van de publiciteitscampagne van de overheid te meten en bijvoorbeeld de uptake per sector in kaart te brengen. Partners: DTC/MINEZK.

  • Vereenvoudigen inzet DNS-data voor machine learning. Ons DNS-platform ENTRADA gebruiken we veelvuldig om de DNS-query’s te analyseren die de .nl-nameservers afhandelen. Een probleem daarbij is dat de grote hoeveelheid data (miljarden queries door duizenden resolvers) en de complexiteit daarvan in ruwe vorm ongeschikt is om te gebruiken in machine-learningapplicaties. Het doel van dit project is daarom de drempel te verlagen om DNS-data te gebruiken in data-analyses, bijvoorbeeld om DNS-verkeer van een domeinnaam eenvoudig op te nemen als indicator voor misbruikdetectie. Hiervoor vatten we de DNS-query’s in ENTRADA samen in ‘prototype vectoren’ per domeinnaam en resolver. De achterliggende techniek (representation learning) heeft zich bewezen in toepassingsgebieden als tekstanalyses, maar is nieuw voor DNS-data.

Infrastructuursecurity

  • Autocast. Anycast verhoogt de weerbaarheid en prestaties van het DNS, maar vergroot ook het aantal systemen dat DNS operators zoals SIDN moeten beheren en monitoren. In het project Automating Anycast (Autocast) gaan we daarom onderzoeken hoe we dat kunnen automatiseren. Onze hypothese is dat dit bijvoorbeeld zou kunnen met een systeem dat aanbevelingen doet over het bij- of afschakelen van anycast nodes op basis van machine learning algortimes en metingen van veranderingen in netwerkverkeer. We richten ons in eerste instantie op het beheer van SIDN’s DNS-infrastructuur, maar we verwachten dat de resultaten ook relevant zijn voor andere DNS-operators. Onze partner is SIDN’s OPS-team.

  • TimeNET-pilot. Tijdservices halen hun tijd vaak uit externe radiosignalen (bijv. GPS of Galileo) en zijn zo kwetsbaar voor verstoring daarvan (bijv. jamming of fysieke beschadiging van tijdbronnen). In het project TimeNET richten we ons daarom op het ontwikkelen van een Europees tijdnetwerk dat gebruik maakt van tijdsbronnen zoals TimeNLv2, die door ingebouwde atoomklokken lange tijd zonder extern radiosignaal de juiste tijd aan kunnen geven. TimeNET-bronnen verspreiden hun tijdsignaal via PTP over een laag 2-netwerk, zodat netwerkoperators bijvoorbeeld NTP-tijdsdiensten ‘as-a-service’ aan hun klanten kunnen leveren. We gaan een pilot uitvoeren met internetexchange NL-ix en eventuele andere geïnteresseerde partners.

  • BGPsec-testbed. BGPsec is een techniek om het routingsysteem van het internet te beschermen tegen bijvoorbeeld routing hijacks en zo (grootschalige) storingen te voorkomen. BGPsec is echter nog volop in ontwikkeling, wordt nog niet in de praktijk gebruikt en is duidelijk complexer dan complementaire technieken zoals RPKI. Het doel van het BGPsec-testbed is BGPsec beter te begrijpen (bijv. in termen van performance en adoptiemogelijkheden) en de basis te leggen voor vervolgonderzoek. BGPsec is een uitbreiding van het BGP-protocol, dat de kern vormt van het routing systeem. Partners: Universiteit Twente, TUCCR.

Emerging internet technologies

  • Autonomous System Information Service (ASIS). Gebruikers van het internet hebben vaak geen inzicht in hun ‘communicatie supplychain’, omdat het internet hen niet in staat stelt betrouwbaar op te vragen via welke netwerken hun data stroomt en hoe die voldoen aan de security en privacy-eisen van de gebruiker. Onze hypothese is dat dit vooral een probleem is voor toekomstige ‘cyber-physical’-systemen zoals transport en energienetwerken. We gaan daarom de Autonomous System Information Service (ASIS) ontwikkelen en evalueren, waarmee netwerkoperators gecontroleerd data over hun netwerken kunnen delen. Voorbeelden zijn de jurisdictie en datawetgeving waar apparatuur onder valt, op welk securityniveau ze zitten en waar de operator is geregistreerd. Partners: 2STiC.

  • Quantum-safe DNS. Het NCSC schat in dat kwantumcomputers ergens tussen 2030 en 2040 krachtig genoeg zijn om de huidige encryptie gebruikt in internetprotocollen te breken, waardoor het securitymodel van het internet zou omvallen. We gaan daarom een testnetwerk opzetten om te experimenteren met DNSSEC in combinatie met bestaande implementaties van zogenaamde ‘quantum-safe’ algoritmes (bijv. die van NIST), die bestand zijn tegen kwantumcomputers. We onderzoeken ook welke aanpassingen het DNS vereist om met deze algoritmes te werken en omgekeerd welke eisen het DNS stelt aan een quantum-safe algoritmes. Partners: SIDN’s operations team, Universiteit Twente, Radboud Universiteit en NLnet Labs.

  • Path-aware networking. Gebruikers hebben weinig invloed op de paden waarlangs het internet hun data naar de bestemming transporteert. In dit project ontwikkelen we daarom een demo om te laten zien hoe dat via een browser zou kunnen, waarbij de browser ook laat zien dat geselecteerde paden ook daadwerkelijk zijn afgelegd. Onze hypothese is dat dit interessant is voor toepassingen als ‘geofencing’ (verkeer mag alleen binnen een bepaald geografisch gebied blijven) of het kiezen van paden op basis van bepaalde netwerkeigenschappen. Omdat het internet deze functionaliteiten niet aanbiedt maken wij gebruik van het SCION-protocol en de experimentele SCION-extensie voor de Brave browser.

Gezamenlijk onderzoek of feedback? Stuur ons een mailtje!

Zoals je ziet hebben we weer een jaar met interessante onderzoeksprojecten achter de rug en hiervoor werken we vaak samen met onderzoekspartners. Zie je mogelijkheden voor gezamenlijk onderzoek, heb je feedback op ons werk, of wil je afstuderen bij SIDN Labs? Stuur dan een mailtje naar sidnlabs@sidn.nl of DM ons op @sidnlabs of @SIDNlabs@mstdn.social.

Namens het hele SIDN Labs-team: fijne feestdagen!

Artikel door:

Cristian Hesselman

Cristian Hesselman

Directeur SIDN Labs