Riskante patch web op til

25 september 2009

De Nederlandse DNS-specialist Jaap Akkerhuis van NLnetLabs was een van de zes leden van de studiegroep die de gevolgen van de wijziging onderzocht. Afgelopen week publiceerde de studiegroep zijn rapport, opgesteld in opdracht van het ICANN Steering Committee. De onderzoeksgroep schetst een aantal gevaren en suggereert de veranderingen gefaseerd aan te brengen. Bovendien moet er een ‘monitor’-systeem komen om grote storingen in het functioneren van internet voor te zijn.

Het systeem van rootservers wordt wel vaker aangepast. De huidige situatie is echter complexer omdat een aantal veranderingen wereldwijd tegelijk moet worden doorgevoerd. Bovendien vergen de wijzigingen nu een aanpassing in één stap in plaats van de gebruikelijke geleidelijke invoering.

De aanpassingen houden verband met een noodzakelijke verbetering van de veiligheid en met de uitbreiding van het domeinnaamsysteem met niet-Latijnse tekens (IDN) en een groot aantal nieuwe topleveldomeinen (TLD’s). Het DNS ‘root’-bestand, waar het om draait, bevat het hoogste niveau van de gelaagde verwijsindex. De rootserver wijst op aanvraag de servers aan die de gedetailleerde verwijsindex voor een specifiek topleveldomein bevatten. Het rootbestand wordt gedeeld door een stelsel van dertien rootservers die echter over bijna tweehonderd fysieke servers zijn verspreid over de wereld.

Omdat het bestand klein is - slechts 80 Kb - en er erg weinig veranderingen in plaatsvinden, is het een zeer stabiel verwijssysteem gebleken. De aanpassingen die nu noodzakelijk zijn, zijn echter fors en brengen die stabiliteit mogelijk in gevaar. Akkerhuis: “Het systeem is ontworpen voor maximale veerkracht, niet voor groei en dynamiek.”

De beveiliging van DNS met DNSSEC bijvoorbeeld zorgt al voor een verviervoudiging van de omvang van het bestand. Vergroting van het bestand vormt vooral in de gebieden met slechte internetvoorzieningen een probleem. In sommige gebieden bestaat de hoofdverbinding met internet uit een lijn van soms niet eens 1 Mbps. Wanneer daar elke dag een groot bestand over moet, heeft dat effect op het functioneren van internet in de rest van die regio. Uitbreiding van het aantal topleveldomeinen, zoals ICANN volgend jaar wil, levert ook een sterke toename op van het aantal raadplegingen van de rootserver. Dat vereist een aanpassing in de bandbreedte.

 Hete herfst voor ICANN
Het rapport ‘Scaling the Root’, dat op de site van ICANN beschikbaar is, kwam onder grote druk in enkele maanden tot stand. De ‘steering group’, opdrachtgever van het onderzoek, brengt nu op korte termijn een advies uit aan het ICANN-bestuur. De bedoeling is dat het bestuur de te nemen maatregelen bespreekt op de grote ICANN-conferentie eind oktober in Seoul.
Het bestuur kan ook besluiten een compleet nieuw systeem in te voeren dat de huidige beperkingen niet kent. Die keuze vergt echter een grote organisatorische, technische en politieke slag. In plaats van het huidige gedistribueerde systeem ontstaat dan al snel een centraal gestuurd systeem. Veel regeringen verzetten zich tegen een concentratie van zeggenschap over internet. ICANN staat echter onder grote druk om met een oplossing te komen om de toegezegde uitbreiding van het aantal topdomeinen waar te maken.

Maar ook de dynamiek verandert, bijvoorbeeld omdat de encryptiesleutels waarmee DNSSEC het verkeer met de DNS-servers beveiligt, frequent veranderen. De dynamiek neemt verder toe wanneer organisaties tegen betaling een eigen topdomein kunnen registreren, zoals ICANN vanaf volgend jaar mogelijk wil maken. Akkerhuis: “De vraag is hoeveel nieuwe topdomeinen we per jaar aan de root kunnen toevoegen zonder dat er iets kapot gaat.”

De werkgroep wijst op de diversiteit van de organisaties die hun deel van het rootserversysteem onderhouden. Soms gaat het om academische groepen die niet zitten te wachten op een substantiële uitbreiding van de beheerkosten als gevolg van de veranderingen.

Elk van de betrokken beheerorganisaties reageert bovendien op zijn eigen manier op veranderingen in het rootsysteem, op de veranderingen bij andere rootserverbeheerders en vernaderingen op internet in het algemeen, zo is in het verleden vaker gebleken. Dat vormt enerzijds de basis van de veerkracht van het systeem maar maakt het ook erg lastig een model te creëren dat de respons van het rootsysteem als geheel kan voorspellen bij een verandering.

Omdat vooraf voorspellen erg lastig is, stelt de studiegroep een alarmeringssysteem voor. Daarvoor moeten mechanismen worden ontworpen die risico’s kunnen detecteren nog voor ze een merkbare invloed krijgen. Volgens de werkgroep is het niet aan te raden de aanpassingen allemaal tegelijkertijd uit te voeren. Gezien de verwachte impact moet een keuze worden gemaakt tussen de invoering van DNSSEC enerzijds of de nieuwe topleveldomeinen anderzijds. De werkgroep geeft in zijn rapport aan de voorkeur te geven aan een voorrang voor de invoering van DNSSEC, vooral omdat het effect van deze verandering direct zichtbaar wordt.



 

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!