Die Nutzung der vom BKA zensierten DNS-Server deutscher Internetprovider kann Folgen haben. Ein irrtümlicher Klick auf den Link in einer Spam-Mail löst möglicherweise einen falschen Verdacht aus. ZDNet zeigt, wie man sich am besten davor schützt.
Das Internetzensurgesetz[1] tritt aller Voraussicht nach zum 1. August in Kraft. Bundestag[2] und Bundesrat[3] haben das Gesetz bereits verabschiedet. Nur die Unterschrift des Bundespräsidenten fehlt noch. Trotz eindringlicher Appelle[4] und zahlreicher Einträge im Gästebuch[5] von Horst Köhler gilt sie als Formsache.
Die Provider werden spätestens innerhalb von sechs Monaten die Zensurinfrastruktur durch gefälschte DNS-Antworten implementieren müssen. Danach droht ihnen ein Bußgeld von bis zu 50.000 Euro, wenn sie sich dem staatlichen DNS-Spoofing verweigern.
Für Anwender bedeutet die Nutzung eines zensierten DNS-Servers, den man normalerweise automatisch zugewiesen bekommt, durchaus ein gewisses Risiko. Zwar schreibt das Gesetz vor, dass die Provider nicht automatisch jeden Zugriff auf eine staatlich zensierte Website an das BKA melden müssen, jedoch kann das BKA in begründeten Verdachtsfällen auf die Logfiles der Zensurprovider zugreifen.
Wer durch einen Link auf einer Website oder in einer E-Mail auf eine zensierte Domain gelockt wird, setzt sich grundsätzlich der Gefahr einer Strafverfolgung aus. Zwar ist nicht damit zu rechnen, dass wenige Zugriffe gleich eine Hausdurchsuchung auslösen, dennoch ist es besser, in den Logfiles erst gar nicht zu erscheinen.
Ebenso ist es aus rein prinzipiellen Erwägungen sinnvoll, die spoofenden DNS-Server der Zensurprovider zu meiden. Das Fälschen von DNS-Einträgen in einer verteilten Datenbank ist auch aus technischer Sicht ein fataler Schritt. Einer verteilten Datenbank kann man nur vertrauen, wenn alle Knoten exakt dieselben Ergebnisse liefern.
Das ICANN-Sicherheitskomitee verurteilt[6] nicht nur aus diesem Grund DNS-Fälschungen jeder Art. Auch ICANN-Chef Peter Dengate Thrush spricht[7] sich gegen DNS-Spoofing aus, formuliert aber politisch korrekt, dass man gegen Zensur einzelner Länder machtlos ist.
Bild 1: Über die erweiterten TCP/IP-Einstellungen lassen sich mehr DNS-Server eintragen.
Das YouTube-Video Internetsperre umgehen in 27 Sekunden[8] zeigt, wie man schnell eigene DNS-Server einbinden kann. Über den im Video gezeigten Dialog lassen sich maximal zwei Server eintragen. Unter Windows 7 und Vista erreicht man diesen Dialog nur über den Umweg Systemsteuerung - Netzwerk- und Freigabecenter - Netzwerkverbindungen verwalten - (Rechtsklick auf das Netzwerkinterface) - Eigenschaften - Internet Protokoll Version 4 (TCP/IPv4).
Da die meisten öffentlichen freien DNS-Server keine Verfügbarkeit von 99,9 Prozent und höher garantieren können, ist es sinnvoll, weitere DNS-Server einzutragen, um sich problemlos im Internet bewegen zu können. Das erreicht man durch einen Klick auf die Schaltfläche Erweitert. Danach wählt man den Reiter DNS aus, siehe Bild 1[9]. So lassen sich beliebig viele DNS-Server eintragen.
Unter Unix-Betriebssystemen wie Linux, Mac OS oder FreeBSD gehören die DNS-Server grundsätzlich in die Textdatei /etc/resolv.conf. Dort lässt sich ebenfalls eine unbegrenzte Anzahl von DNS-Servern eintragen. Allerdings ist zu beachten, dass die Datei /etc/resolv.conf meist bei jedem Booten überschrieben wird, beispielsweise durch den jeweiligen DHCP-Client-Dämon. In der Regel gibt es ein Network-Setup, in dem sich DNS-Server eintragen lassen, die nicht per DHCP überschrieben werden. Genauere Informationen findet man dazu in der Dokumentation der jeweiligen Distribution.
Die folgenden Server sind zu 100 Prozent unabhängig und liefern nur Ergebnisse zurück, wie sie von der offiziellen Root-Hierarchie vorgesehen sind. ZDNet kann ihre Verwendung uneingeschränkt empfehlen.
Empfehlenswerte zensurfreie DNS-Server | ||||
| IP-Adresse | Betreiber | Standort | Ports (TCP+UDP) | |
|---|---|---|---|---|
| 87.118.100.175 | German Privacy Foundation e.V.[10] | Deutschland | 53, 110 | |
| 85.25.251.254 | German Privacy Foundation e.V. | Deutschland | 53,110 | |
| 62.141.58.13 | German Privacy Foundation e.V. | Deutschland | 53,110 | |
| 94.75.228.29 | German Privacy Foundation e.V. | Niederlande | 53 | |
| 78.46.89.147 | ValiDOM[11] | Deutschland | 53 | |
| 88.198.75.145 | ValiDOM | Deutschland | 53 | |
| 85.214.73.63 | FoeBuD e.V.[12] | Deutschland | 53 | |
| 213.73.91.35 | Chaos Computer Club e.V.[13] | Deutschland | 53 | |
| 194.150.168.168 | Chaos Computer Club e.V. | Anycast | 53 | |
| 80.237.196.2 | Chaos Computer Club e.V. | Deutschland | 53 | |
| 194.95.202.198 | Universität der Künste | Deutschland | 53 | |
| 204.152.184.76 | Internet Systems Consortium[14] | USA | 53 | |
| 198.32.2.10 | Internet Systems Consortium | USA | 53 | |
| IPv4: 83.169.18.51 IPv6: 2a01:198:4dd::53 | Christoph H. Hochstätter | Deutschland | 53, 110 | |
| IPv4: 85.214.159.93 IPv6: 2a01:238:4200:2600::53 | Christoph H. Hochstätter | Deutschland | 53, 110 | |
| 85.25.149.144 | Seppel[15] | Deutschland | 53, 110 | |
| 87.106.37.196 | Seppel | Deutschland | 53, 110 | |
Momentan kommt es dadurch nicht zu Problemen. Da die ICANN aber in Zukunft TLDs zur freien Registrierung[17] anbieten wird, kann es zu Überschneidungen kommen, wenn etwa jemand die TLD .ing offiziell bei der ICANN registriert.
Folgende DNS-Server bietet OpenNIC an:
Öffentliche DNS-Server des OpenNIC | |||
| IP-Adresse | DNS-Name | Betreiber | Standort |
|---|---|---|---|
| 58.6.115.42 | ns1.jdcomputers.com.au | Julian DeMarchi | Australien |
| 58.6.115.43 | ns2.jdcomputers.com.au | Julian DeMarchi | Australien |
| 119.31.230.42 | ns3.jdcomputers.com.au | Julian DeMarchi | Australien |
| 200.252.98.162 | - | Mário Augusto Souza Nunes | Brasilien |
| 217.79.186.148 | opennic.pro.to.co.ls | Günter Grodotzki | Deutschland |
| 82.229.244.191 | nagato.bikasuishin.org | Mehdi Tibouchi | Frankreich |
| 216.87.84.211 | - | Jeff Taylor | USA |
| 66.244.95.20 | - | Brian Koontz | USA |
Auch durch die Nutzung der Server von OpenDNS[18] kann man sich der Zensur und eventuell grundloser Strafverfolgung entziehen. Diese Server filtern jedoch standardmäßig bekannte Phishing-Adressen, was sicherlich der ein oder andere Nutzer schätzt. Um diesen Filter abzuschalten oder andere angebotene Filter zu nutzen, muss man seine IP-Adresse bei OpenDNS registrieren. Wer eine dynamische IP-Adresse hat, muss einen Client aufsetzen, der die Adresse täglich updatet.
Ferner spooft OpenDNS für nicht existierende Domains eine IP-Adresse vor, die auf eine Such- und Werbeseite führt. Derartiges DNS-Spoofing kann zu vielfältigen Störungen führen. Daher sollte man OpenDNS nur dann verwenden, wenn sich keine andere Möglichkeit zur Umgehung der Zensurprovider bietet.
Dieselbe Technik wenden auch einige deutsche Provider bereits an, um zusätzlichen Umsatz zu generieren. Dazu gehören T-Online und Kabel Deutschland. Auch sie fälschen[6] bereits seit längerem DNS-Einträge von nicht existierenden Domains.
OpenDNS betreibt folgende DNS-Server:
Öffentliche DNS-Server von OpenDNS | |||
| IP-Adresse | DNS-Name | Betreiber | Standort |
|---|---|---|---|
| 208.67.222.222 | resolver1.opendns.com | OpenDNS LLC | USA |
| 208.67.222.220 | resolver2.opendns.com | OpenDNS LLC | USA |
Bild 2: Ein Root-Server delegiert jede Anfrage an einen TLD-Server.
Wenn Zensurprovider für bestimmte Domains gefälschte Ergebnisse liefern, können dadurch auch andere DNS-Server betroffen sein. Grundsätzlich funktioniert DNS nach einem hierarchischen Prinzip. Die Root-Server kennen nur die Server der TLDs. Fragt man einen Root-Server nach www.example.com, so antwortet er wie in Bild 2[19] gezeigt.
Übersetzt heißt das: "Ich weiß die Antwort nicht; für alle Domains, die auf .com enden, sind die Server a.gtld-servers.net bis m.gtld-servers.net zuständig".
Darüber hinaus gibt der Root-Server in der sogenannten "Additional Section" die IP-Adressen der TLD-Server an, da der nächste logische Schritt die Kontaktaufnahme mit einem der TLD-Server ist, wozu die IP-Adresse benötigt wird.
Bild 3: Der TLD-Server zeigt auf die zuständigen DNS-Server für example.com.
Analog verfährt der TLD-Server. Auch er gibt nicht die Antwort auf die gewünschte Frage, sondern zeigt auf die zuständigen DNS-Server für die Domain example.com, siehe Bild 3[20]. Erst die Server a.iana-servers.net und b.iana-servers.net sind in der Lage die gewünschte IP-Adresse 208.77.188.166 zu liefern, siehe Bild 4[21].
Die genannten DNS-Server sind für eine Nutzung durch einen Client, etwa einen Desktop-Computer, allerdings ungeeignet. Die meisten Namensauflösungsmechanismen benötigen einen sogenannten rekursiven DNS-Server.
Rekursive Server hangeln sich solange durch die DNS-Hierarchie, bis sie die Antwort auf die Frage des Client gefunden haben. Einen Verweis auf andere DNS-Server, wie es etwa die Root- und TLD-Server handhaben, liefern rekursive DNS-Server nie als Antwort. Aus diesem Grund funktionieren viele Anleitungen nicht, die man im Internet zur Umgehung der Internetzensur findet. Ein Beispiel ist der Artikel[22] im Wiki der Jungen Piraten. Die dort aufgeführte Liste enthält keinen einzigen rekursiven Server.
Um den Netzwerktraffic zu senken, verwenden rekursive DNS-Server neben Caching das sogenannte Forwarding. Dabei wenden sich die Server an andere rekursive DNS-Server, die meist von der Netzanbindung her in der Nähe stehen, um so vom Cache dieser Server profitieren zu können. Auf diese Weise werden in der hierarchischen Abfragefolge zusätzlich Querverbindungen geschaffen.
DNS-Server, die in einem Rechenzentrum stehen, verwenden als Forwarder oft die offiziellen rekursiven Server des Hosters. Firmen mit schneller Anbindung nutzen dazu meist die Server ihres Providers.
Die als Forwarder eingesetzten Server können wiederum andere Server als Forwarder einsetzen. Sitzt irgendwo in der Forwarding-Kette ein Zensur-Server, dann pflanzen sich die gefälschten Ergebnisse über die geschaffenen Querverbindungen fort. Wenn man sich nicht mehr darauf verlassen kann, dass über diese Querverbindungen die richtigen Ergebnisse kommen, dann muss man darauf konsequent verzichten, was den Traffic im Netz insgesamt erhöht.
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = https:/
[11] = https:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/
[17] = http:/
[18] = http:/
[19] = http:/
[20] = http:/
[21] = http:/
[22] = http:/