DNS Sperren umgehen : Hoch-Gefährliche Argumentation

Immer wieder muss ich lesen oder hören wie einfach doch die geplanten DNS-Sperren (=Zensur) von Zugangsanbietern umgangen werden könnten. Ich halte das für eine sinnlose, wenn gar nicht sogar gefährliche Argumentationsweise.

Aus zwei Gründen:

  • ein Normal-Benutzer wird diese Einstellung nicht vornehmen. Wir retten also nur „uns“ (die ITler/Geeks und Datenschützer) selbst.
  • Provider können mit relativ geringem Aufwand DNS-Anfragen so manipulieren, dass sie immer von deren eigenen DNS-Servern beantwortet werden. Das Prinzip kennen wir schon aus UK, wo mithilfe dieser Technik transparente HTTP-Proxies zwangsweise eingesetzt werden.

Wie letzteres geht? Hier mal ein Beispiel mit NAT, ließe sich aber auch in einer Forward-Regel auf einem Gateway machen. In IOS (cisco-router) geht es auch recht bequem…

iptables -t nat -A PREROUTING -p udp -i eth0 –dport 53 -j DNAT –to <Provider-Nameserver>
iptables -t nat -A PREROUTING -p tcp -i eth0 –dport 53 -j DNAT –to <Provider-Nameserver>

Das ganze leitet alle Anfragen auf tcp+udp port 53 (=dns) auf den Provider-Nameserver um. Es ist völlig egal welchen Nameserver der Benutzer sich dabei selbst einstellt – es kommt immer bei genau dem Provider-Nameserver raus. Und der Benutzer merkt es nichtmal, denn die Quell-IP der Antwort wird die gleiche sein die er angefragt hat. Die Last auf dem Router hält sich dabei übrigens so in Grenzen, dass es sich in den Antwort-Zeiten nicht bemerkbar macht.

Jetzt könnte man natürlich noch einen DNS-Server auf einem anderen Port betreiben und den benutzen. Das wird aber einerseits relativ schwierig, denn wenige Betriebssysteme lassen sich überhaupt dazu überreden für DNS einen anderen Port zum Anfragen zu benutzen.

Zum zweiten könnte der Provider aber mit einer Layer7-Regel die udp/tcp Anfragen auf DNS hin überprüfen und diese zu sich umleiten. Den dazugehörigen Befehl poste ich aber mal lieber nicht…

Was bleibt ist VPN… so lange das noch erlaubt ist.

Ich verzichte daher mal lieber auf das Argument der einfachen Umgehbarkeit. Weil es schneller dazu führt, dass Systeme geschaffen werden die man eben nicht mehr so einfach umgehen kann.

Update 15.05.2009:

Manchmal mag ich es gar nicht, recht zu haben. Kaum kommen wir mit der Begründung recht gut durch, wird im großen Stil nach Verschärfungen gerufen…

Dieser Beitrag wurde unter Netzwelten, Privacy abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort auf DNS Sperren umgehen : Hoch-Gefährliche Argumentation

  1. klml sagt:

    Ok ich glaub Dir das mal;) Aber wahrscheinlich egal, diese Contra-Contra-Argumentation wird Zensursula sicherlich nicht anwenden. Also ist das zwar die Wahrheit™ aber nicht das was alle glauben;)

    Wäre VPN auf diese weise nicht auch korrumpierbar? Oder braucht man dann dringend Zertifikate, weil der Provider der man-in-the-middle ist?

    Ich würde ja gern meinem Provider einfach vertrauen können. Kann man nicht wieder kleine, genossenschaftliche Provider gründen wie die ganzen Bürgernetze in den 1990ern? Der AK-V Muc hat doch grad eh nix zu tun;)