Afstudeeronderzoek

Het afstudeeronderzoek werd uitgevoerd bij het bedrijf ON2IT en vanuit de Technische Universiteit Eindhoven begeleid door Dr. Benno de Weger. Het afstudeerwerk werd (ook) door de faculteit met het cijfer “9” beoordeeld.

Het Domain Name System (DNS) is de technologie waarmee internetbrowsers te weten komen waar op het Internet ze een opgevraagde website kunnen vinden. Het DNS bevat beperkte beveiliging en de kwetsbaarheden kunnen bijvoorbeeld gebruikt worden om op het Internet surfende mensen om te leiden naar een valse website. De bestaande oplossing hiervoor, DNSSEC, is niet eenvoudig in te voeren doordat het wijzigingen vergt in de hele keten. DNSCurve is een alternatief, dat veel makkelijker te implementeren zou zijn, maar nog nauwelijks onderzocht is.

Harm van Tilborg heeft met zijn afstudeerwerk DNSCurve op zijn praktische veiligheidsmerites onderzocht is, en vergeleken met DNSSEC. Hierbij is niet alleen gekeken is naar het bereikte veiligheidsniveau, maar ook naar de prestaties. Harm heeft hiermee pionierswerk verricht, en een uitstekende bijdrage geleverd op het gebied van de Internetbeveiliging.

Shaping DNS Security with Curves

Het afstudeerwerk van Harm van Tilborg omvat twee delen: een theoretisch deel en een praktisch deel. Het theoretisch deel behelst een vergelijkend onderzoek naar twee technologieën voor het beveiligen van het Domain Name System. Het praktische deel betreft een implementatie van één van deze twee en de benodigde “open-source” software werd ontwikkeld tijdens zijn afstudeer-stage.

Het Domain Name System (DNS) is de technologie waarmee internetbrowsers te weten komen waar op het Internet ze een opgevraagde website kunnen vinden. Het DNS bevat beperkte beveiliging en de kwetsbaarheden kunnen bijvoorbeeld gebruikt worden om op het Internet surfende mensen om te leiden naar een valse website. Effectieve en efficiënte beveiliging van DNS is daarom van groot belang voor de veiligheid van het Internet. De bestaande oplossing hiervoor, DNSSEC, is niet eenvoudig in te voeren doordat het wijzigingen vergt in de hele keten, dus bij de server, de tussenliggende firewalls, de ADSL-routers, enz, en tenslotte de PC. Daarnaast is het een top-down gebaseerde oplossing zodat een subdomein het pas kan invoeren als zijn “parent” het heeft, tenzij het subdomein zelf als trust anchor zou willen optreden.

Onlangs is een alternatieve oplossing voorgesteld door prof. Dan Bernstein, DNSCurve geheten, die veel makkelijker te implementeren zou zijn, maar nog nauwelijks onderzocht is. DNSCurve richt zich op het beveiligen van de verbinding en niet zozeer op het object. Het is ontworpen om met een minimum aan impact ingevoerd te kunnen worden. Het vergt slechts wijzigingen aan de beide uiteinden van de keten, dus de DNS Server en de eindgebruiker. Daarnaast heeft het geen hiërarchische afhankelijkheid.

Harm van Tilborg heeft met zijn afstudeerwerk DNSCurve op zijn praktische veiligheidsmerites onderzocht is, en vergeleken met DNSSEC. Hierbij is niet alleen gekeken is naar het bereikte veiligheidsniveau, maar ook naar de prestaties. De onderzoeker is veel verder gegaan dan alleen een kwalitatieve vergelijking. Naast de gedegen analyses heeft hij ook het idee omgezet in een werkend prototype wat al zodanig compleet is dat het als een soort "voorzet-server" (forwarding server) in een bestaande organisatie geïmplementeerd kan worden. Harm heeft hiermee pionierswerk verricht, en een uitstekende bijdrage geleverd op het gebied van de Internetbeveiliging. Hij heeft veel werk verzet, zeer zelfstandig gewerkt, eigen ideeën ingebracht, en goed geschreven software afgeleverd, die zonder meer publiek gemaakt kon worden.

Oordeel Kooy prijs commissie

In de ogen van de Kooyprijscommissie heeft hij daarmee ook een belangrijke bijdrage geleverd aan –in het bijzonder- de veiligheidsproblematieken in het Thema Defensie & Veiligheid en dit gedaan op een wijze waarbij getracht is het voor “enigszins leken” begrijpelijk te maken.

Harm van Tilborg heeft met zijn afstudeerwerk DNSCurve op zijn praktische veiligheidsmerites onderzocht is, en vergeleken met DNSSEC. Hierbij is niet alleen gekeken is naar het bereikte veiligheidsniveau, maar ook naar de prestaties. De onderzoeker is veel verder gegaan dan alleen een kwalitatieve vergelijking. Naast de gedegen analyses heeft hij ook het idee omgezet in een werkend prototype wat al zodanig compleet is dat het als een soort "voorzet-server" (forwarding server) in een bestaande organisatie geïmplementeerd kan worden. Harm heeft hiermee pionierswerk verricht, en een uitstekende bijdrage geleverd op het gebied van de Internetbeveiliging. Hij heeft veel werk verzet, zeer zelfstandig gewerkt, eigen ideeën ingebracht, en goed geschreven software afgeleverd, die zonder meer publiek gemaakt kon worden.

In de ogen van de Kooyprijscommissie heeft hij daarmee ook een belangrijke bijdrage geleverd aan –in het bijzonder- de veiligheidsproblematieken in het Thema Defensie & Veiligheid en dit gedaan op een wijze waarbij getracht is het voor “enigszins leken” begrijpelijk te maken.

Nieuwe voordrachten?

Wilt u iemand voordragen voor de Kooy afstudeerprijs? Volg deze link voor alle benodigde informatie.
De inzendtermijn sluit ieder jaar op 31 december.