Sperre von freien DNS-Servern: So umgeht man die Blockade
Umfrage
Das Internetzensurgesetz ist noch nicht in Kraft getreten. Derzeit liegt es bei der EU im sogenannten Notifizierungsverfahren, das anderen EU-Ländern eine Einspruchsmöglichkeit einräumt. Die Einspruchsfrist endet am 8. Oktober. Danach wird es Bundespräsident Horst Köhler zur Unterschrift vorgelegt. Seine Zustimmung gilt trotz zahlreicher Proteste und verfassungsrechtlicher Bedenken als sicher.
Die Internetprovider unternehmen indes bereits Anstrengungen, die Verwendung von freien DNS-Servern zu unterbinden. Die German Privacy Foundation hat herausgefunden, dass Vodafone bereits allen Traffic auf den UDP-Ports Port 53 sperrt. Das gilt zunächst nur für Teile des UMTS-Netzes. Es ist davon auszugehen, dass andere Provider diesem "Test" folgen werden.
Betroffen sind alle Anwender, die einen Internetzugang über den APN event.vodafone.de nutzen. Über diesen APN erhalten Vodafone-Kunden einen eingeschränkten Internet-Zugang mit einer privaten IP-Adresse und NAT-Routing aus dem Bereich 10.0.0.0/8. UDP-Traffic auf Port 53, der nicht zu den Vodafone-DNS-Servern führt, ist bei diesem Zugang gesperrt. Einen technischen Grund dafür gibt es nicht. Andere Provider, die einen NAT-Zugang anbieten, kommen ohne Sperren aus.
Nicht betroffen sind hingegen die Vodafone-Kunden, die den APN web.vodafone.de nutzen. Dieser Zugang steht nur Kunden mit Laufzeitvertrag zur Verfügung. Sie erhalten einen vollwertigen, aber meist kostenintensiveren Internetzugang mit öffentlicher IP-Adresse. ZDNet hat dabei keine Behinderung beim Zugang zu DNS-Servern festgestellt.
Ein Eingriff in das Fernmeldegeheimnis, wie ihn Vodafone für manche UMTS-Kunden vornimmt, ist durch kein Gesetz gedeckt. Über DNS auf den TCP- und UDP-Ports 53 werden heutzutage weit mehr Dienste abgewickelt als die bloße Namensauflösung, beispielsweise der Zonentransfer von Blacklisten zur Spambekämpfung oder privaten Intranet-Domains. Eine zensierte DNS-Antwort mit gefälschtem Absender seitens des Providers unterbindet eine ganze Reihe legitimer DNS-Nutzungen, die mit der Bekämpfung von Kinderpornografie nichts zu tun haben.
Einer solchen Beobachtung sollte man sich proaktiv entziehen, indem man die DNS-Server der Zensurprovider erst gar nicht nutzt. Wenn die Provider damit beginnen, den Zugang zu freien DNS-Servern zu sperren, muss man weitere Maßnahmen treffen.
Eine Möglichkeit ist der Betrieb eines sogenannten Caching-DNS-Servers nur für den eigenen Computer oder für das eigene Heimnetzwerk. So ist man nicht nur völlig autark, sondern kann auch eine Portsperre oder IP-Verkehrsfälschung auf bestimmten Ports umgehen. Diese Maßnahme ist notwendig, da sich in den heutigen Betriebssystemen kein alternativer Port für DNS-Server einstellen lässt.
Nutzer von Unix-Betriebssystemen wie Linux oder Mac OS können dazu bind verwenden, das mit den meisten Distributionen ausgeliefert wird. Windows-Anwender können mit Bordmitteln keinen eigenen DNS-Server betreiben, sofern sie nicht eine der Server-Varianten einsetzen. Die Windows-Workstation-Betriebssysteme besitzen nur einen DNS-Client. Zudem mangelt es dem Windows-DNS-Server an vielen Ecken und Enden, nicht nur an der Möglichkeit, einen anderen Port als 53 zu nutzen. Jedoch gibt es bind auch als Windows-Version.
Inhalt
- Teil 1: Sperre von freien DNS-Servern: So umgeht man die Blockade
- Teil 2: Installation und Konfiguration unter Windows
- Teil 3: Fertige Windows-Konfigurationsdateien nutzen
- Teil 4: Testen, ob der DNS-Server richtig funktioniert
- Teil 5: Bind mit Mac OS und Linux zur Umgehung von Portsperren nutzen
- Teil 6: Fazit
71 von 72 Lesern fanden diesen Artikel nützlich.
Ich kann mir vorstellen, dass Medien, wie www.spiegel.de/... oder www.stern.de/... auf Grund ihrer deutlich besseren Wahrnehmung für Vodafon unangenehmer sind.
ZDNET ist leider einer zu kleinen Gruppe von Spezialisten bekannt.
Ich bin sehr gespannt, wie Vofafon sich dazu äußert.
aber als Informationsanbieter haben Spiegel/Stern ein anderes Geschäftsmodell als der Infrastrukturanbieter Vodafon, der zudem auch noch in engere rechtliche Regularien gepasst ist.
Damit will ich den vorauseilendenen Gehorsam nicht rechtfertigen - im Gegenteil.
Ich denke aber, dass es sich Vodafon nicht leisten möchte, in dem immer enger werdenden UMTS-Markt so eine Presse zu bekommen.
Andererseits ist es IMHO zwingend, die Öffentlichkeit solchen Themen gegenüber zu sensibilisieren.
Wir erlauben hier Strukturen, die das gezielte unauffällige Manipulieren von Informationen vorantreibt.
Stellen Sie sich vor, Vodafon würde anstelle Ihrer Webseite einen Fake übertragen, auch der gezielte und polemische Islam-Kritik steht.
Auf diese Weise lassen sich leicht kritische Zeitgenossen von irgendwelchen Religionsereiferen aus dem Verkehr ziehen, ohne dass der der Verursacher zur Rede gestellt werden kann.
Die Manipulation durch Argumente und verlässliche Quellen ist auch in meinen Augen legitim. Jeder hat das Recht, sich jede Meinung zu bilden.
Wenn aber die Quelle, meine grundgesetzlich geschützte Quellenauswahl, durch vorsätzlich manipulierte Daten verändert wird, wenn also der Autor nicht mehr Herr seiner Aussage ist, dann ist das in jeder Beziehung falsch, verwerflich und noch!! ungesetzlich.
Spiegel/Stern werden sicherlich nicht die Freiheit der Presse / des Worts einem Provider wie Vodafon opfern; denn das wäre die Konsequenz.
Wenn Provider jedoch damit beginnen, Technologien wie Deep Packet Inspection (DPI) zu nutzen, dann hilft der eigene lokale DNS-Server zunächst nicht weiter. In diesem Fall muss der DNS-Verkehr getunnelt werden.
Ich gehe davon aus, dass die Mehrzahl der ISP in Deutschland inzwischen DPI einsetzt um gezielt P2P-Nutzer zu identifizieren und VOIP-Packete zu priorisieren. Ich wäre daher sehr dankbar, wenn es noch eine Anleitung dazu gäbe, wie man den DNS-Verkehr tunnelt (auch wieder mit Blick nicht nur auf Windows sondern auch Linux/Ubuntu).
Danke im Vorraus!!!
Martin Müller
Bei der Gelegenheit auch ein Lob zum Thema und dem bisherigen Artikel!
mfg
schulte
ISC BIND konnte nicht gestartet werden.
Systemfehler 1067 ist aufgeteten.
Der Prozeß wurde unerwartet beendet.
Habe daraufhin die gesammte Insatllation nochmals durchgeführt und alle erstellten Dateien gelöscht und neu erstellt, doch das Ergebnis ist das Gleiche.
Was ist falsch?
Man kann jetzt den Dienst unter dem SYSTEM-Account starten. Das hat aber den Nachteil, dass eine Sicherheitslücke in bind dazu führen kann, dass eine Malware Admin-Rechte bekommen kann. Praktisch ist die Gefahr allerdings gering, da es keine bekannte Malware gibt, die versucht Sicherheitslücken in bind für Windows auszunutzen.
Die bessere Alternative ist mittels CACLS-Befehl wie im Artikel beschrieben, dem Account "named" Vollzugriff auf C:\BIND und Unterverzeichnissen zu erteilen. Dasselbe kann man auch mit dem Windows-Explorer (rechte Maustaste auf das Verzeichnis - Properties - Security) erreichen.
Danke!
Was bringt einem ein eigener DNS-Server, dessen Anfragen ebenfalls abgefangen und von Vodkafone beantwortet werden?
Die einzig sinnvolle Variante die ich sehe ist es einen DNS-Server via Tunnel anzusprechen, der ausserhalb des Vodkafone-Netzes steht.
Sobald eine Tunnel- oder andere VPN-Lösung erforderlich wird, werden wir eine Anleitung dazu veröffentlichen.
forward only;
forwarders { 85.214.117.11 port 110; ...
ging gar nichts. Ein Weglassen der Port-Anweisung oder Port 110 durch Port 53 ersetzen brachte wieder Erfolg. Dies ist aber nicht gewollt, es soll ja gerade Port 110 benutzt werden. Ich habe dieses Verhalten auf 2 Maschinen (XP, SP3). Abfragen der E-Mail über Port 110 geht. Was ist faul bei mir? Oder gibt es eine andere Port-Anweisung, die zum Ziel führt?
Port 110 ist vermutlich durch eine Personal Firewall oder eine Firewall am NAT-Router gesperrt.
Es ist daher die latente Gefahr gegeben, dass bei geschlossenem TCP-Port 110 eine DNS-Abfrage nicht funktioniert und man weiß nicht warum, weil es ja in 99 Prozent der Fälle gut geht.
Wenn ich die Vodafone Software nehme, und trage dort einen freien DNS ein, und baue anschließend die Verbindung auf, dann wird mir der DNS von Vodafone angezeigt. In der Vodafone Software steht allerdings noch der freie DNS.
Wenn ich aber manuell ein DFÜ-Netzwerk anlege, und trage dort einen freien DNS ein, und baue die Verbindung auf, dann wird mir auch der freie DNS angezeigt.
Denn ersten Teil finde ich zwar auch kritisch, aber aufgrund der aktuellen Gesetzgebung werden wir wohl mehr damit zu tun haben. Hier werden aber keine Daten verfälscht.
Wenn ich das DFÜ-Netzwerk manuell anlege, dann kann ich meinen DNS frei wählen.
Nun verstehe ich nicht, warum hier Daten verfälscht werden sollten?
Vielleicht habe ich es ja nicht verstanden!?!?!?!?
Eine Stellungnahme zum Beschriebenen Verhalten dees Users, das im Widerspruch zum Artikel steht, wäre nett gewesen.
Leider finde ich dort keine Hinweise, wie das Testing erfolgt ist.
Könnt Ihr bitte diese Informationen noch liefern?
Vielleicht könnt Ihr mir auch ein Testszenario nennen, damit ich dies reproduzieren kann.
Vielen Dank!
Templerknight
Die Germany Privacy Foundation hat das erstmals festgestellt. Wir haben das nachvollzogen, was jedermann sehr leicht selbst machen kann. Da einige Leser in ihren Kommentaren von ihrem Vodafone-DSL-Anschluss sprechen, möchte ich noch einmal ausdrücklich darauf hinweisen, dass Vodafone die Sperren von freien DNS-Servern derzeit NUR im UMTS-Netz, NICHT aber im DSL-Netz vornimmt.
Um selber zu testen, installiert man BIND wie im Artikel beschrieben. Der Dienst muss nicht gestartet werden. Wichtig ist, dass man die Dateien host.exe und dig.exe mit ihren zugehörigen DLLs im Verzeichnis C:\BIND\BIN hat.
Danach wechselt man auf der Kommandozeile in dieses Verzeichnis und gibt "host -t txt -c ch version.bind ns2.free-germany.com" oder "dig @ns1.free-germany.com version.bind txt ch +short" ein. Als Antwort sollte "Anti-Zensursula Server sponsored by Bettina and Christoph Hochstaetter" erscheinen. Immer wenn keine oder eine andere Antwort kommt, wird der DNS-Traffic abgefangen und die Antwort durch eine vom Provider ersetzt.
Ich habe mich daran gehalten, und kann diesen Artikel aber nicht gestätigen.
Mein Notebook war mit WinXP SP3 (frisch aufgesetzt) und der Vodafone Software (Version 9.4.3.16284) und einer Express-Karte von Option ausgestattet. Ich habe nur unter UMTS getestet. Auch habe ich mehrere freie DNS und den DNS von Vodafone (139.007.030.125) genommen.
Ich habe die DNS-Adressen in der Vodafone-Software eingetragen (also kein manuelles DFÜ-Netz). Die Bind-Software habe ich auf diesem System installiert.
Folgenden Host-Befehl habe ich verwendet:
host -t txt -c ch version.bind ns2.free-germany.com
Folgende Rückmeldung hatte ich bekommen:
Using domain server:
Name: ns2.free-germany.com
Address: 85.214.117.11#53
Aliases:
version.bind descriptive text "Anti-Zensursula Server sponsored by Bettina and Christoph Hochstaetter"
Diese Information sollte ich ja nicht bekommen, wenn die DNS-Daten geändert werden. Oder habe ich etwas falsch verstanden?
In welchem Zeitraum wurde denn getestet?
Kunden mit Pre-Paid-Vertrag/CallYa oder Laufzeitvertragskunden die optional den Websessions-Zugang wählen (APN event.vodafone.de) wird aller ausgehender Verkehr an UDP-Port 53 geblockt, der nicht an die Vodafone-DNS-Server geht, die demnächst zensiert werden.
Ich werde den Artikel übers Wochenende anpassen, dass alles wieder stimmt. Ich muss zugeben, dass ich nicht gedacht habe, dass Vodafone einem Teil seiner Kunden (mit teuren Tarifen) die Nutzung fremder DNS-Server erlaubt, bei Nutzung einer günstigen Tagesflatrate jedoch untersagt.
Nur ein kleiner Hinweis vorweg. Wer eine Karte hat, die sowohl den APN web.vodafone.de als auch event.vodafone.de nutzen darf, sollte seine Einstellungen nicht vorschnell auf web.vodafone.de ändern, um die Sperre zu umgehen. Je nach Tarif kann das mit sehr hohen Kosten verbunden sein.
Ich werde am Wochenende schauen, wie das zusammenhängt.
Fehler 1069.
Nur als Lokales System startet er.
Hat das negative Auswirkungen?
ipconfig /all zeigt als DNS-Server 127.0.0.1
Können die anderen Einträge gelöscht werden?
Mit welchem DNS-Server verbindet sich diese BIND-Konfiguration eigentlich?
H.Barten
forward only;
forwarders { 85.214.117.11 port 110; 209.59.210.167 port 110; 87.118.100.175 port 110; 62.141.58.13 port 110; };
Dann erhalte ich beim Test mit "host -a example.com 127.0.0.1"
;; connection timed out; no servers could be reached
Liegt der Fehler bei mir oder ist hier bereits Vodafone am Werk?
Danke und Gruß,
Saimen
Am besten Firewall kurz ausschalten. Ausprobieren. Wenn es dann geht, TCP- und UDP- Port in beide Richtungen freischalten und Firewall wieder aktivieren.
Test mit "host -a example.com 127.0.0.1" ==>
;; connection timed out; no servers could be reached
upd und tcp 110 offen (windows firewall)
rooter oder andere firewall nicht vorhanden
lasse ich 127.0.0.1 weg bekomme ich normal antwort vom vf-dns
nutze "N24-surfstick"
Ich bekomme immer nur Fehler wie
C:\bind\bin>named.exe -g
01-Okt-2009 20:32:21.203 starting BIND 9.5.2 -g
01-Okt-2009 20:32:21.203 found 2 CPUs, using 2 worker threads
01-Okt-2009 20:32:21.212 loading configuration from 'C:\bind\etc\named.conf'
01-Okt-2009 20:32:21.212 C:\bind\etc\named.conf:2: unknown option 'áádirectory'
01-Okt-2009 20:32:21.213 C:\bind\etc\named.conf:3: unknown option 'ááallow-query
'
01-Okt-2009 20:32:21.213 C:\bind\etc\named.conf:4: unknown option 'áámax-cache-s
ize'
Viele Grüße
Rüdiger
Christoph, ggf. bitte in den Artikel übernehmen. Betrifft mindestens Opera.
ist wohl in Problem von Opera und/oder Notepad++ beim Kopieren der Beispieldateien...
Für alle Avira Antivir Premium Benutzer:
standardmäßig lauscht der MailGuard an Port 110 zwecks pop3 Abfrage - den mußte ich deaktivieren, falls ich dort mit DNS Servern Kontakt aufnehmen wollte
Saimen
Ich finde es einfach ekelerregend, daß unser tolles "freies" Land mit dem Finger auf China zeigt und gleichzeitig solcher widerlichen Zensurschweinereien möglich sind und danke Dir deshalb für deinen Artikel. Gott oder wer auch immer weiß, welche internen Deals zwischen C*U und Vodafone laufen, daß dort in einem derart offensichtlichen vorauseilendem Gehorsam die Steuerung des Informationsflusses an das Wahlvieh betrieben wird (Herr Ellerbeck wird hier schon seinen Einfluß haben). Ich finde es einfach nur erbärmlich, daß jeder, der seinen Anspruch auf Rezipientenfreihet bedienen will, inzwischen den Wissensstand eines Fachinformatikers braucht. Oder ich sehe es positiv: Das ganze ist in Wirklichkeit ein staatliches Fortbildungsprogramm, Thema: "IP-Technologie".
PS: Euer Captcha ist Sch*.
WÜRDE Vodafone die Blockade der alternativen DNS auf sein DSL-Angebot ausweiten, wäre das dann evtl. ein Grund für eine außerordnetliche Kündigung des Vertrags wegen Nichterbringung der Leistung? Schließlich kann sich VF (noch) auf keine gesetzliche Grundlage zu dieser Maßnahme berufen.
Ist das vllt sogar der Grund, dafür, dass man die Blockade bei den teuren Tarifen nicht ansetzt? Weil dort das Abspringen der Kunden mehr weh tun würde?
Viele Grüße und danke für diesen Artikel!
Das ist so wachsweich formuliert, dass es alles und nichts heißen kann. Die Zugangssperre von freien DNS-Servern ist in diesem Text weder explizit verboten noch erlaubt.
"Man sollte niemals Standard-Ports für Sachen verwenden, für die sie nicht gedacht sind."
Was soll ich denn jetzt davon halten?
Gruß, Saimen
www.auerbach-stiftung.de/...
Innocence in danger mal mit Guttenberg Googeln
dann wird da einiges klar Antivir währe das letzte Produkt das ich
installieren würde als Update moch den Bundestrojaner Gratis
Natürlich lösen weder die Beschlagname von Drogen noch die Sperre von Seiten irgendwelche Probleme. Aber sie machen kriminelles Handeln schwieriger. Gelegenheit macht Diebe, sagt ein Sprichwort. Hier werden Gelegenheiten verringert. Kein Provider hat Interesse, Datenverkehr zu behindern, schließlich sind illegale Inhalte das eigentliche Hauptargument für schnelle Datendienste, die auch den Providern viel Geld bringen. Wenn wir unseren Staat ernst nehmen, muss er auch die Möglichkeit haben, Gesetze im Internet durchzusetzen. Und da ist mir eine Seitensperre allemal lieber als ein "privater" Filter direkt auf meinem Rechner.
Und noch etwas: Informationelle Selbstbestimmung heißt nicht, dass ich alle Informationen kriegen darf, sondern, dass nicht alle alles über mich wissen dürfen.
Genau da liegt doch der Hase im Pfeffer, wenn man daran denkt, dass die CDU jeden der so ein Stopschild zu Gesicht bekommt strafrechtlich verfolgen wollte erkennt man erstmal was wirklich dahinter steckt, Unwissen oder Vorsatz? ...jeder ksann sich das entstehende Szenario selbst ausdenken, Manipulation ohne Ende, das wäre wirklich das Ende.
Übrigens: Ab heute nachmittag hatten sämtliche Rechner in unserem Netz, die in den Windows-Einstellungen über freie DNS-Server konfiguriert waren, keinen Zugriff mehr auf DNS-Services. Vodafone hat also still und heimlich damit begonnen, den DNS-Traffic zu blockieren. Wir sahen uns also gezwungen, die IPs der Vodafoneserver einzutragen bzw. an einigen sensiblen Rechnern bing zu installieren.
Gruß,
Saimen
Weiter konnte ZDNet aus mit der Vodafone-Technik vertrauten Kreisen erfahren, dass die Sperre im UMTS-Netz technisch bedingt sei und nicht in Zusammenhang mit Internetzensurgesetz stehe.
Eine Aufhebung der Sperre befinde sich derzeit in der Diskussion.
Hatte bisher gedacht ,das sowas nur in China oder Diktaturen möglich ist.
Gruß Fritz