Digitale weerbaarheid
Podium

Hoe weerbaar zijn de domeinnamen van de Nederlandse overheid?

Dns,-domain,Name,Server,Written,On,A,Yellow,Sticker,On
Hoe het zit met de digitale weerbaarheid van de DNS (Domain Name System)-infrastructuur in Nederland? | Beeld: Shutterstock

Verstoringen van de digitale infrastructuur kunnen voor flinke maatschappelijke ontwrichting zorgen. Binnen sommige sectoren is de impact van dergelijke storingen nét wat groter dan bij andere, de overheidssector is hier een goed voorbeeld van. Reden voor SIDN Labs om te onderzoeken hoe het zit met de digitale weerbaarheid van de DNS (Domain Name System)-infrastructuur in Nederland, waaronder die van de Nederlandse overheid. Moritz Müller, Thijs van den Hout en Caspar Schutijser over hun bevindingen.

Inzicht in de digitale infrastructuur van Nederland

De Nederlandse samenleving is enorm afhankelijk van de digitale infrastructuur, en die afhankelijkheid wordt alleen maar groter. Zo laat het CBS zien dat in 2024 96 procent van de mensen in Nederland dagelijks het internet gebruikt, 10 procent meer dan 4 jaar geleden. Dat het hier niet alleen gaat om het bekijken van kattenplaatjes laat een ander cijfer zien: 92,2 procent heeft in de afgelopen drie maanden minimaal één keer het internet gebruikt om online te bankieren.

Er is echter nog onvoldoende inzicht in de weerbaarheid van het internet in Nederland. Zo weten we bijvoorbeeld niet welke maatregelen organisaties in (vitale) sectoren hebben genomen om hun DNS-servers beschikbaar te houden, laat staan dat we dit weten voor alle .nl-domeinnamen. Dit inzicht is belangrijk omdat vrijwel alle onlinediensten die we dagelijks gebruiken, worden benaderd via een domeinnaam. Als een DNS-server niet beschikbaar is, heeft dit directe gevolgen voor de bereikbaarheid van de website, en het versturen en ontvangen van e-mail.

Maatregelen

Er zijn verschillende maatregelen mogelijk om de beschikbaarheid van DNS-servers te maximaliseren.
De volgende drie maatregelen zijn bewezen effectief:

1. DNS-servers in verschillende netwerken plaatsen

Dit voorkomt dat een dienst onbereikbaar wordt door een storing bij één netwerk. Zo waren in 2021 alle DNS-servers van Facebook onbereikbaar omdat ze in hetzelfde netwerk stonden, dat niet beschikbaar was door een BGP-storing. Als de DNS-servers in verschillende netwerken hadden gestaan, waren in ieder geval de DNS-servers in de andere netwerken nog bereikbaar geweest.

2. IP-adressen uit meer dan 1 IP-prefix

Een IP-prefix is een groepje IP-adressen. Routering op het internet gebeurt op basis van IP-prefixes en als twee servers zich in dezelfde IP-prefix bevinden, dan betekent dat waarschijnlijk dat ze infrastructuur delen. Als de twee servers bijvoorbeeld in hetzelfde datacentrum geplaatst zijn, dan kan een stroomstoring ertoe leiden dat beide alsnog offline gaan.

3. Gebruikmaken van anycast

Idealiter maken DNS-servers gebruik van anycast, waarmee ze op verschillende plekken op het internet via hetzelfde IP-adres kunnen worden benaderd. Hierdoor is een website, DNS-server of onlinedienst beter bestand tegen DDoS-aanvallen en locatiegebonden storingen.

Figuur 1. Genomen maatregelen om de weerbaarheid van de domeinnamen van de overheid te verhogen (IPv4)

Figuur 1. Genomen maatregelen om de weerbaarheid van de domeinnamen van de overheid te verhogen (IPv4)

Op het eerste gezicht lijken de zaken voor de domeinnamen van de Nederlandse overheid dus redelijk op orde te zijn. Een kanttekening is dat we in onze meetmethode alle domeinnamen van een organisatie als even belangrijk beschouwen. We meten bijvoorbeeld niet of een domeinnaam leidt naar een inlogportal waarvan de onbereikbaarheid een direct effect zou hebben op websitebezoekers en bedrijfsprocessen.

Vergelijking met populaire .nl-domeinnamen

Gekeken naar de gehele .nl-zonefile, gecombineerd met de CrUX-lijst van Google, valt op dat voor de populaire .nl-domeinnamen meer maatregelen worden genomen om de weerbaarheid te verhogen. Voor meer dan 70 procent van de 1.000 meest populaire domeinnamen zijn bijvoorbeeld twee of meer maatregelen getroffen, maar dit aandeel wordt minder naarmate de populariteit afneemt.

Figuur 2: Aantal genomen maatregelen om de weerbaarheid van de DNS-servers van .nl-domeinnamen te verhogen, gesorteerd naar populariteit

Zoomen we in op welke maatregelen genomen worden, dan zien we dat bij populaire domeinnamen minder vaak meerdere DNS-dienstverleners worden gebruikt (maatregel A). Voor minder dan 30% van de 1.000 meest populaire domeinnamen wordt gebruikgemaakt van deze maatregel. Aan de andere kant maken deze dienstverleners relatief vaak gebruik van anycast (maatregel C) om de weerbaarheid van hun DNS-servers te verhogen.

Figuur 3: Genomen maatregelen gesorteerd naar populariteit (IPv4)

Figuur 3. Genomen maatregelen gesorteerd naar populariteit (IPv4)

Vergelijking met 500 grootste Nederlandse bedrijven

Het gebruik van anycast is iets wat we dan weer veel minder zien bij de maatregelen die de 500 grootste Nederlandse bedrijven nemen. Minder dan 10% zet deze maatregel in. Het valt bij deze groep op dat bij minder dan 50% van de domeinnamen meer dan één maatregel is genomen – significant minder dan voor de meest populaire domeinnamen op de CrUX-lijst. Een verklaring zou kunnen zijn dat populaire domeinnamen op de CrUX-lijst vaak verwijzen naar online diensten, bijvoorbeeld een webshop. Voor dit soort diensten is het mogelijk meer van belang om 100% online te zijn dan voor bijvoorbeeld een tuinbouwer op de Elsevier Top 500, waarvan de website ‘slechts’ een visitekaartje is.

Figuur 4: Genomen maatregelen om de weerbaarheid van de domeinnamen van de 500 grootste bedrijven van Nederland te verhogen (IPv4)

Figuur 4. Genomen maatregelen om de weerbaarheid domeinnamen 500 grootste bedrijven te verhogen (IPv4)

Vergelijking met andere sectoren

Ook tussen de onderzochte sectoren zijn er verschillen te bespeuren. Zo zijn er maar voor iets meer dan 40 procent van de domeinnamen van ziekenhuizen twee of meer maatregelen ingezet. Anycast wordt door geen enkele DNS-server van de Nederlandse ziekenhuizen gebruikt. Ook bij banken en in de transportsector ligt het aantal genomen maatregelen lager dan bij de overheid.

Conclusie: de overheid is bovengemiddeld weerbaar

We kunnen dus concluderen dat de Nederlandse (Rijks)overheid het bovengemiddeld goed doet, als het gaat om de weerbaarheid van de DNS-infrastructuur van haar domeinnamen. Bij het gebruik van anycast is nog wel wat ruimte voor verbetering, hetzelfde geldt (in mindere mate) voor het plaatsen van DNS-servers in verschillende netwerken.

Interesse in de details?

Ben je geïnteresseerd in de details van ons onderzoek?
Check dan ook de blog die we in december publiceerden.

 

Lees ook:

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren