LeaseWeb en SIDN gaan .nl-domeinen beveiligen met dns-anycasttechnologie

LeaseWeb heeft in samenwerking met SIDN, de stichting die de .nl-domeinen beheert, de zogeheten dns-anycasttechnologie op zijn ip-netwerk geïntegreerd en geactiveerd. Hierdoor zouden .nl-domeinen beter zijn beveiligd tegen onder andere ddos-aanvallen.

De dns-anycasttechnologie, een methode om dns-servers te dupliceren en geografisch te distribueren, moet de bereikbaarheid en betrouwbaarheid van dns-servers verhogen. Stichting Internet Domeinnaamregistratie Nederland (SIDN) stelt de eerste registry in Europa te zijn die gebruikmaakt van deze methode om het nationale topleveldomein .nl extra te beveiligen. Om de dns-anycasttechnologie breder uit te rollen heeft SIDN contact gezocht met LeaseWeb, waarop de hoster besloot om de routeringstechnologie op zijn ip-netwerk uit te rollen.

Volgens LeaseWeb is dns-anycast inmiddels volledig gedistribueerd en ingeschakeld op zijn netwerkinfrastructuur. Hierdoor zouden .nl-domeinen bij LeaseWeb beter zijn beveiligd tegen bijvoorbeeld denial-of-service-aanvallen. Zo zouden domeinen dankzij de routeringstechnologie lokaal beschikbaar blijven mocht SIDN direct door ddos-aanvallen worden getroffen. De lokaal bij LeaseWeb opgeleverde technologie omvat behalve een volwaardige .nl-nameserver onder andere ook een switch, een firewall en een node.

SIDN wil de technologie de komende tijd ook breder gaan uitrollen bij andere internetgerelateerde partijen zoals telecom-, kabel- en hostingproviders. Volgens de stichting hebben al vijf andere grote internetbedrijven positief gereageerd op het verzoek om de dns-anycasttechnologie lokaal bij hen te implementeren. Ook is er door SIDN een node geplaatst op de AMS-IX zodat ook bedrijven die geen eigen node kunnen of willen implementeren van de technologie gebruik kunnen maken.

Om als partij de dns-anycasttechnologie van SIDN te mogen gebruiken, moet aan een aantal voorwaarden worden voldaan. Zo moet het netwerk volledig ipv6-compatibel zijn en moet er gerouteerd worden volgens de zogeheten BCP 38 best practices-norm. Ook moet er actief opgetreden worden tegen 'open resolvers' binnen het eigen netwerk omdat deze de veiligheid juist kunnen verminderen.

Door Dimitri Reijerman

Redacteur

Feedback • 04-12-2013 18:2027

04-12-2013 • 18:20

27 Linkedin

Lees meer

Leaseweb ondervindt storage-problemen sinds maandagavond Nieuws van 1 september 2015
ZeelandNet gaat dualstack-ipv6 testen Nieuws van 2 juni 2014
Voormalig uitgever blootblad klaagt Leaseweb aan voor 136 miljoen euro Nieuws van 19 februari 2014
Groei aantal .nl-domeinnamen bereikt laagste punt sinds 2003 Nieuws van 14 januari 2014
'Bots nemen 61 procent verkeer websites voor hun rekening' Nieuws van 13 december 2013
Hostnet kampt met ddos-aanval op dns-servers Nieuws van 5 december 2013
SIDN gaat geld geven aan Nederlandse projecten rond internet Nieuws van 8 oktober 2013
Aanvallers kraken website SIDN - update 2 Nieuws van 10 juli 2013
Groei aantal .nl-domeinnamen neemt af Nieuws van 8 april 2013
Nederlandse isp's en SIDN gaan samen botnets in kaart brengen Nieuws van 24 oktober 2012
Aantal met dnssec ondertekende .nl-domeinen groeit tot boven 600.000 Nieuws van 18 augustus 2012
Nederland loopt voorop met veilige dns-versie Nieuws van 7 augustus 2012
SIDN registreert vijfmiljoenste .nl-domeinnaam Nieuws van 30 juli 2012
Brein maakt einde aan routering naar TPB via Leaseweb-netwerk Nieuws van 5 oktober 2009
OpenDNS neemt resolver in Amsterdam in gebruik Nieuws van 2 september 2009
Sidn neemt Nederlandse IPv6-nameserver in gebruik Nieuws van 23 oktober 2007
Meer producten en artikelen
Internet Netwerk en systeembeheer LeaseWeb SIDN

Reacties (27)

-Moderatie-faq
27
27
23
4
1
0
Wijzig sortering
TrailBlazer
4 december 2013 19:59
Je hoeft naar mijn mening helemaal niks aan te passen om anycast in je netwerk mogelijk te maken. Je gebruikt gewoon hetzelfde subnet op aantal verschillende lokaties en adverteert deze allemaal in je interne netwerk. Als jij naar een adres toe wil zorgen de standaardrouteringsprotocollen wel dat je bij de dichtsbij gelegen server komt met dat ip adres. Valt die server uit dan verdwijnt de route naar die specifieke server en word je automatisch omgeleid naar de dan dichtsbij zijnde server.
Zie het als een bordje naar de dichtsbijzijnde macdonalds. Verdwijnt die mac donalds dan wijzen de bordjes automatisch naar de dan dischtsbijzijnde macdonalds. Het maakt niet uit bij welke mac je komt want het is toch bij elke mac donalds dezelfde troep.
Rudie_V
4 december 2013 18:30
http://www.securityweek.c...dns-network-should-use-it
bartvb
@Rudie_V4 december 2013 20:02
Dank, Rudie_V!
Leuk om te lezen dat Leaseweb anycast inzet maar wat het inhoudt wordt mij uit het Tweakers artikel niet duidelijk. Op zich verwacht ik van een site als Tweakers iets meer achtergrond dan alleen de marketingpraat uit het persbericht :)

Als ik het goed begrepen heb komt het er op neer dat via anycast meerdere machines op hetzelfde netwerk hetzelfde IP adres kan hebben. Op die manier wordt het veel moeilijker om een DNS-server via een DDoS aanval offline te krijgen. Het klinkt als een loadbalancer zonder de loadbalancer.

Ah, zie ook de uitleg hier: TrailBlazer in 'nieuws: LeaseWeb en SIDN gaan .nl-domeinen beveiligen met dns-anycasttechnologie'

[Reactie gewijzigd door bartvb op 4 december 2013 20:05]

Rudie_V
@bartvb4 december 2013 21:34
Mocht je meer willen weten, ik quote uit het leaseweb artikel:
http://www.leaseweb.com/n...voor-beveiligen-nl-domein
quote: uit link
Webinar over anycast

Meer weten over anycast? SIDN organiseert op 16 december een webinar over anycast, DNSSEC en Abuse Information Exchange. Ga voor meer informatie en aanmelden naar https://www.onlineseminar.nl/sidn
mkools24
@Rudie_V4 december 2013 22:17
O.a. Cloudflare maakt hier ook gebruik van dat zorgde er o.a. voor dat Spamhaus niet downging zelfs niet met een 300 gbps dns amplification attack.

http://blog.cloudflare.com/a-brief-anycast-primer

http://blog.cloudflare.co...almost-broke-the-internet
Hatsjoe
4 december 2013 18:30
Goeie zaak en mooie stap in de juiste richting. Enkel, van wat ik uit dit stukje begrijp, heeft het enkel nut als SIDN, of de .nl TLD resolver direct ge-DDoSed wordt, en niet het domein/IP zelf.

Zo ver ik weet komt het amper voor dat TLD resolvers targets zijn voor DDoSers, en meestal juist de kleinere vissen/IP adressen.

Maar we zullen zien met de tijd wat voor verschil dit zal uitmaken :)
BinaryRun
@Hatsjoe4 december 2013 19:00
Het kan ik elk geval geen kwaad :)
Blokker_1999
@Hatsjoe4 december 2013 19:18
ook de root servers zijn al doelwit geweest van DDoS aanvallen. Wanneer een groepering nu ineens een probleem heeft met de beslissing van een bepaalde regering acht ik het niet ondenkbaar dat een DDoS zal opgezet worden tegen deze servers.
Tom C
@Hatsjoe4 december 2013 19:24
De DNS infrastructuur van DNS.be in in het verleden ook al meermaals doelwit geweest van een DDOS aanval, waarbij anycast zijn nut zeer zeker heeft bewezen. De niet-anycast servers zijn toen allemaal door hun knieën gegaan, maar de anycast cluster niet.
Tom C
4 december 2013 18:58
Eerste van Europa? Volgens is heeft DNS.be toch al enkel jaren een anycast cluster in de lucht van van 42 38 machines.

Tijdens de DDOS van vorig jaar was de anycast trouwens de enige die niet door de knieën was gegaan, wat eigenlijk aan toont dat het in ieder geval wel zijn effect heeft.

[Reactie gewijzigd door Tom C op 4 december 2013 19:11]

leppeh
@Tom C4 december 2013 19:10
"Stichting Internet Domeinnaamregistratie Nederland (SIDN) stelt de eerste registry in Europa te zijn die gebruikmaakt van deze methode om het nationale topleveldomein .nl extra te beveiligen."
DeevieP
@leppeh4 december 2013 19:21
Toch staat dit heel duidelijk vemeld in het jaarverslag van 2010 van DNS.BE (beheerder .be) dat ze al gebruik maken van anycast om de bereikbaarheid veilig te stellen.
drdelta
@DeevieP4 december 2013 20:42
Oh, maakt DNS.BE gebruik om .nl extra te beveiligen?
Plopeye
@drdelta4 december 2013 22:35
Nee maar SIDN is dan niet de eerste in europa die deze techniek inzet... Dit in tegenstelling tot wat er in het artikel wordt gemeld.

Het zou de tweakers redactie dan ook sieren om dit soort persberichten te checken op correctheid. Ook de SIDN zou zich als ze het zelf zo stellen niet moeten bedienen van dit soort borstklopperij die niet klopt.
Tom C
@leppeh4 december 2013 19:20
Tsja, als je die weg op gaat kan je van alles beweren dat je de eerste bent, als je het beperkt tot iets waar je zelf het exclusieve gebruik hebt.

Ik vind het noemenswaardig dat men anycast gebruikt, maar die toevoeging dat ze de eerste zijn om hun eigen nationaal tld .nl extra te beveiligen is even misleidend als stellen dat ik de eerste persoon ter wereld ben die mijn Android telefoon heeft geroot.

[Reactie gewijzigd door Tom C op 4 december 2013 19:22]

Valhorth
@leppeh4 december 2013 23:30
Het artikel is erg misleidend, niet alleen DNS.be heeft al meerdere jaren anycast nameservers in gebruik, ook EURid voor .eu (wordt ook bij ccTLD's gerekend door ICANN), CZ.nic werkt tegenwoordig enkel nog met anycast technologie (de verschillende nameservers voor .cz zijn eigenlijk allemaal anycast servers met 2 of meerdere geografische nodes per anycast server), en ik ben er zeker van dat er nog een heel pak meer ccTLD's gebruik maken van anycast clusters.

Anycast (en DNSSEC) is zowieso de toekomst voor grote registries om hun nameserver infrastructuur en hun klanten te beschermen.

Edit: CZ.nic registry en nameserver setup: http://www.nic.cz/page/350/registry-system/

[Reactie gewijzigd door Valhorth op 4 december 2013 23:38]

Jheroun
4 december 2013 22:27
Dat sidn .nl meer gedistribueerd neerzet is mooi nieuws. Het anycastgehalte in het artikel snap ik niet helemaal, dat zullen ze hierbij vast gebruiken maar dat is niet het bijzondere.

Anycast (anders gezegd: gebruik van duplicate ip's) maakt het voor niet connection based protocollen (zoals dns dat over udp loopt) mogelijk om om meerdere plekken dezelfde server neer te zetten met hetzelfde ip adres. Resultaat voor Internet is dan dat verkeer voor dat ip bij de dichtsbijzijnde (netwerktechnisch) host wordt afgeleverd en dat het pakketje als die host stuk is vanzelf terecht komt bij een andere host. Dat werkt prima voor alle services die een één vraag één antwoord principe hanteren, dan maakt het namelijk niet uit hoe vaak je topologie wijzigt, er is geen sessie die daar last van heeft.

Dit wordt voor dns vaker ingezet, het is een makkelijke manier om je dns over meerdere locaties redundant te krijgen zonder dat je clients aan moet passen, je zet gewoon meer servers met hetzelfde ip adres neer. Google zal het ook vast zo doen om 8.8.8.8 etc wereldwijd te gebruiken.

Maargoed, je moet iets verzinnen om je persberichten spannender te maken :)
TrailBlazer
@Jheroun5 december 2013 10:23
connection based werkt prima hoor. Enkel als tijdens je sessie er een toplogiechange voorkomt en je op een andere server uitkomt heb je een een probleem. Dat geldt echter ook voor UDP verkeer dat is net zo goed een sessie maar dat wordt niet op laag 4 van het osi model geregeld.
Jheroun
@TrailBlazer5 december 2013 12:30
Dat is waar, als je een erg stabiele topologie hebt kan je het breder toepassen.
Anoniem: 510105
4 december 2013 19:32
Dus als ik het goed begrijp hebben alleen Leaseweb-gehostte websites hier profijt van?

Zo ja, is er bekend van meer webhosts die hier over na zitten te denken?
Tozz
@Anoniem: 5101055 december 2013 10:28
Op Leaseweb nameservers geregistreerde domeinen hebben hier profijt van, dat wil zeggen ze hebben hier profijt van als de nameservers van Leaseweb worden geDDoS'ed. En dit is denk ik ook de reden dat Leaseweb juist dit doet.. Leaseweb host nogal wat onguur spul, en hebben derhalve ook erg veel last van DDoS aanvallen. Qua Gigabits weten ze dat wel aardig af te wenden, omdat ze gewoon erg veel bandbreedte capaciteit hebben. Een nameserver is dan een aantrekkelijk alternatief doelwit om toch die ene Leaseweb site offline te krijgen.

Voor Leaseweb is deze stap dus meer een noodzaak terwijl dat bij andere partijen niet het geval hoeft te zijn.
WhatsappHack
4 december 2013 21:15
"Hierdoor zouden .nl-domeinen die bij LeaseWeb beter zijn beveiligd tegen bijvoorbeeld denial-of-service-aanvallen"

De zin lijkt incompleet, maar vond dit wel cruciaal.
Bij leaseweb wat...? gehost worden? dus enkel bij LW gehost spul boeit? :)

Lijkt me wel, maar toch.. ff zekerheid! :)
CoreIT
4 december 2013 20:09
Allemaal leuk en aardig maar dit heeft allemaal geen enkel nut. Laat ik dat aanvullen met: "in welke hoedanigheid dan ook". Problemen dienen bij de oorzaak te worden aangepakt. Men kan kunstjes verzinnen wat men wil, maar de veroorzaker past zich continue aan en zal derhalve wel weer andere manieren blijven vinden voor DDOS-aanvallen en zulks. Als men AL deze energie en AL dit geld nou eens op de oorzaak richtte, AL die afgelopen jaren, nee decennia zelfs, dan zag de wereld er al een heel stuk anders uit. De ene oplossing na de andere, de een kost nog meer energie en geld dan de ander - nog maar niet te spreken over all kosten die in research e.d. gingen zitten. Kap er mee; er is immers maar 1 veroorzaker en dat is de mens - daar moet het aangepakt worden - en HARD -, nergens anders.

[Reactie gewijzigd door CoreIT op 4 december 2013 20:12]

kodak
@CoreIT4 december 2013 20:42
Zit er in jou redenatie ook een vorm van realiteiteszin? Je theorie is aardig, maar de wereld zit helaas niet zo simpel in elkaar dat je de bron(nen) van probleem kunt aanpakken. Obstakels als tijd, macht, bevoegdheid, fysieke locatie en menselijk onvermogen spelen o.a. een rol. Als alles mee zit dan wellicht.....nee - lapmiddelen zijn en blijven helaas nodig tegen acties van personen die een andere mening hebben dan wie hun tegen staat.
CoreIT
@kodak4 december 2013 21:10
Realiteitszin? Nevermind. Ik ken geen realiteitszin. Laten we vooral onze energie blijven verspillen en het ontwikkelen van obstakels i.p.v. alle energie te richten op uitroeien van het daadwerkelijke probleem.

[Reactie gewijzigd door CoreIT op 4 december 2013 21:19]

Bastiaan V
@CoreIT4 december 2013 21:33
In china zijn ze best goed met het in toom houden van mensen (internet-wise) is dat wat je wil?

De enige oplossing/hack (Met de huidige technologie) tegen een ddos is meer bandbreedte beschikbaar hebben. Dit omdat de data al op je netwerk binnenkomt voordat je deze kan droppen, en dus je uplink(s) vol lopen. En wat is de makkelijkste manier om (veel) bandbreedte te verkrijgen voor een stateless protocol? precies, Anycast! (en daarnaast kan je latency ook nog omlaag brengen!)

(Ondertussen wordt er door de grote spelers op de routermarkt druk gewerkt aan poteneiele oplossingen, zoals het gebruik van BGP signaling om gegevens al upstream te droppen)
CoreIT
@Bastiaan V4 december 2013 21:52
-edit- nevermind
Beter ga ik een psychiater opzoeken.

[Reactie gewijzigd door CoreIT op 4 december 2013 22:28]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee