Sperre von freien DNS-Servern: So umgeht man die Blockade

Das Internetzensurgesetz ist noch nicht in Kraft getreten. Derzeit liegt es bei der EU im sogenannten Notifizierungsverfahren, das anderen EU-Ländern eine Einspruchsmöglichkeit einräumt. Die Einspruchsfrist endet am 8. Oktober. Danach wird es Bundespräsident Horst Köhler zur Unterschrift vorgelegt. Seine Zustimmung gilt trotz zahlreicher Proteste und verfassungsrechtlicher Bedenken als sicher.

Die Internetprovider unternehmen indes bereits Anstrengungen, die Verwendung von freien DNS-Servern zu unterbinden. Die German Privacy Foundation hat herausgefunden, dass Vodafone bereits allen Traffic auf den UDP-Ports Port 53 sperrt. Das gilt zunächst nur für Teile des UMTS-Netzes. Es ist davon auszugehen, dass andere Provider diesem "Test" folgen werden.

Betroffen sind alle Anwender, die einen Internetzugang über den APN event.vodafone.de nutzen. Über diesen APN erhalten Vodafone-Kunden einen eingeschränkten Internet-Zugang mit einer privaten IP-Adresse und NAT-Routing aus dem Bereich 10.0.0.0/8. UDP-Traffic auf Port 53, der nicht zu den Vodafone-DNS-Servern führt, ist bei diesem Zugang gesperrt. Einen technischen Grund dafür gibt es nicht. Andere Provider, die einen NAT-Zugang anbieten, kommen ohne Sperren aus.

Nicht betroffen sind hingegen die Vodafone-Kunden, die den APN web.vodafone.de nutzen. Dieser Zugang steht nur Kunden mit Laufzeitvertrag zur Verfügung. Sie erhalten einen vollwertigen, aber meist kostenintensiveren Internetzugang mit öffentlicher IP-Adresse. ZDNet hat dabei keine Behinderung beim Zugang zu DNS-Servern festgestellt.

Ein Eingriff in das Fernmeldegeheimnis, wie ihn Vodafone für manche UMTS-Kunden vornimmt, ist durch kein Gesetz gedeckt. Über DNS auf den TCP- und UDP-Ports 53 werden heutzutage weit mehr Dienste abgewickelt als die bloße Namensauflösung, beispielsweise der Zonentransfer von Blacklisten zur Spambekämpfung oder privaten Intranet-Domains. Eine zensierte DNS-Antwort mit gefälschtem Absender seitens des Providers unterbindet eine ganze Reihe legitimer DNS-Nutzungen, die mit der Bekämpfung von Kinderpornografie nichts zu tun haben.

Zudem kann man nicht oft genug wiederholen, dass die Nutzung der staatlich zensierten DNS-Server für Internetnutzer gefährlich sein kann. Wer etwa durch Anklicken eines Links in einer Spam-Mail versehentlich auf eine Stopp-Seite geleitet wird, muss befürchten, zumindest auf der „Beobachtungsliste“ der Provider und der Behörden zu landen. Die Logfiles dürfen zwar nicht zur Strafverfolgung verwendet werden, eine generelle Auswertung verbietet das Internetzensurgesetz jedoch nicht.

Einer solchen Beobachtung sollte man sich proaktiv entziehen, indem man die DNS-Server der Zensurprovider erst gar nicht nutzt. Wenn die Provider damit beginnen, den Zugang zu freien DNS-Servern zu sperren, muss man weitere Maßnahmen treffen.

Eine Möglichkeit ist der Betrieb eines sogenannten Caching-DNS-Servers nur für den eigenen Computer oder für das eigene Heimnetzwerk. So ist man nicht nur völlig autark, sondern kann auch eine Portsperre oder IP-Verkehrsfälschung auf bestimmten Ports umgehen. Diese Maßnahme ist notwendig, da sich in den heutigen Betriebssystemen kein alternativer Port für DNS-Server einstellen lässt.

Nutzer von Unix-Betriebssystemen wie Linux oder Mac OS können dazu bind verwenden, das mit den meisten Distributionen ausgeliefert wird. Windows-Anwender können mit Bordmitteln keinen eigenen DNS-Server betreiben, sofern sie nicht eine der Server-Varianten einsetzen. Die Windows-Workstation-Betriebssysteme besitzen nur einen DNS-Client. Zudem mangelt es dem Windows-DNS-Server an vielen Ecken und Enden, nicht nur an der Möglichkeit, einen anderen Port als 53 zu nutzen. Jedoch gibt es bind auch als Windows-Version.