Aufruf: Ändert Eure DNS-Server!
Nachdem nun in Deutschland die Internetzensur beschlossen ist, rufe ich alle auf Ihre DNS-Einstellungen zu ändern – wenn noch nicht getan.
Zwar sind auch IP-Basierte Sperrungen per Gesetz erlaubt, doch scheint es voerst erstmal nur DNS-Umleitungen zu geben. Man kann dazu einfach nach “Freie DNS-Server” suchen, oder hier klicken. Man sollte zwei unterschiedliche Anbieter nutzen.
Als Bürgerrechts-Vertreter sehe ich es als meine Aufgabe, möglichst viele zu diesem Schritt zu bringen. Daher wäre es toll, wenn Blogger jeweils dazu schreiben würden!
Bundestagsreden Internetzensur als Video
Hier die 5 Reden zum Internet-Zensur-Gesetz (Zugangs-Erschwernis-Gesetz, ZugErschwG).
Wie das netzpolitik-Blog auch schreibt, wird es wohl ein heißer Online-Wahlkampf werden für die SPD und CDU/CSU. Sorgenw ir dafür!
Am Samstag gibt es in vielen Städten Aktionen - so auch in München. Los gehts um 12h am Sendlinger Tor.
Update: die Übersicht, welcher Bundestags-Abgeordnete wie abgestimmt hat findet sich hier. Abgeordnetenwatch ist aber gerade ein bissel überlastet, da sich viele für das Abstimmungsverhalten interessieren. (da könnte auch eine Spende helfen…!)
DNS Netzsperre umgehen – der Zensur ausweichen in 20sec
Youtube gibt es unter dem Suchbegriff “Netzsperre umgehen” viele Video-Anleitungen wie man einen anderen DNS-Server einstellen kann. Eines davon möchte ich hier auch wegen der Musik zeigen – es beschreibt die Änderung an einem Netgear-Router.
[youtube 7RkmPaJpH8g nolink]
DNS Sperren umgehen : Hoch-Gefährliche Argumentation
Immer wieder muss ich lesen oder hören wie einfach doch die geplanten DNS-Sperren (=Zensur) von Zugangsanbietern umgangen werden könnten. Ich halte das für eine sinnlose, wenn gar nicht sogar gefährliche Argumentationsweise.
Aus zwei Gründen:
- ein Normal-Benutzer wird diese Einstellung nicht vornehmen. Wir retten also nur “uns” (die ITler/Geeks und Datenschützer) selbst.
- Provider können mit relativ geringem Aufwand DNS-Anfragen so manipulieren, dass sie immer von deren eigenen DNS-Servern beantwortet werden. Das Prinzip kennen wir schon aus UK, wo mithilfe dieser Technik transparente HTTP-Proxies zwangsweise eingesetzt werden.
Wie letzteres geht? Hier mal ein Beispiel mit NAT, ließe sich aber auch in einer Forward-Regel auf einem Gateway machen. In IOS (cisco-router) geht es auch recht bequem…
iptables -t nat -A PREROUTING -p udp -i eth0 –dport 53 -j DNAT –to <Provider-Nameserver>
iptables -t nat -A PREROUTING -p tcp -i eth0 –dport 53 -j DNAT –to <Provider-Nameserver>
Das ganze leitet alle Anfragen auf tcp+udp port 53 (=dns) auf den Provider-Nameserver um. Es ist völlig egal welchen Nameserver der Benutzer sich dabei selbst einstellt – es kommt immer bei genau dem Provider-Nameserver raus. Und der Benutzer merkt es nichtmal, denn die Quell-IP der Antwort wird die gleiche sein die er angefragt hat. Die Last auf dem Router hält sich dabei übrigens so in Grenzen, dass es sich in den Antwort-Zeiten nicht bemerkbar macht.
Jetzt könnte man natürlich noch einen DNS-Server auf einem anderen Port betreiben und den benutzen. Das wird aber einerseits relativ schwierig, denn wenige Betriebssysteme lassen sich überhaupt dazu überreden für DNS einen anderen Port zum Anfragen zu benutzen.
Zum zweiten könnte der Provider aber mit einer Layer7-Regel die udp/tcp Anfragen auf DNS hin überprüfen und diese zu sich umleiten. Den dazugehörigen Befehl poste ich aber mal lieber nicht…
Was bleibt ist VPN… so lange das noch erlaubt ist.
Ich verzichte daher mal lieber auf das Argument der einfachen Umgehbarkeit. Weil es schneller dazu führt, dass Systeme geschaffen werden die man eben nicht mehr so einfach umgehen kann.
Update 15.05.2009:
Manchmal mag ich es gar nicht, recht zu haben. Kaum kommen wir mit der Begründung recht gut durch, wird im großen Stil nach Verschärfungen gerufen…
Freie Nameserver von ValiDOM
Um der Internet-Zensur per DNS-Sperren entgegen zu wirken habe ich einen freien DNS-Server auf gesetzt. Es werden keine keine Zugriffe geloggt. Im Gegenzug zum nicht-loggen gibt’s ein connection limit pro IP – das ist aber so hoch, dass es kein Problem für Power-User ist 
78.46.89.147
88.198.75.145 (nicht mehr aktiv!)
Als zweiten DNS empfehle ich 78.46.76.144 oder 178.63.26.173 (Liste)
Auf ein freies Inter-Netz!
Update 12.12.2010:
- Ab sofort werden auch Domains in OpenNIC-TLD aufgelöst. (test)
- IPv6 ist deaktiviert (um Fehler zu vermeiden solange ich selbst noch keine IPv6-Adresse nutze)
Ich wurde nach der Config gefragt, welche ich für Bind9 verwende. Das veröffentliche ich gern:
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-query { any; };
version “bind9 for freedom and against censorship”;
minimal-responses yes;
max-cache-size 32M;
cleaning-interval 15;
max-cache-ttl 604800;
max-ncache-ttl 300;
Um IPv6 komplett zu deaktivieren trägt man bei debian in /etc/default/bind9 ein:
OPTIONS=”-4 -u bind”
Außerdem weise ich darauf hin, dass ich ein bind-security log schreibe, damit fail2ban eventuelle Angriffe abwehren kann. Vorallem Cache-Angriffe dürften damit Geschichte sein, das schützt auch die Benutzer dieses Nameservers. Das Log-File wird jede Nacht ge-wipe’d. Wichtig: da drin werden NICHT sämtliche requests sondern nur Sicherheits-relevante Anfragen gelistet.
Die Log-Config schaut so aus (in der namend.conf.options)
logging {
channel security_file {
file “/var/log/named/security.log” versions 1 size 3m;
severity dynamic;
print-time yes;
};
category security {
security_file;
};
};
In der Fail2ban-config (jail.conf):
[named-refused-tcp]
enabled = true
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log
Für OpenNIC gibt es in der named.conf noch einen weiteren Eintrag:
zone “.” {
type slave;
file “/etc/bind/slave/db.opennic”;
masters { 58.6.115.45; 58.6.115.46; };
allow-transfer { any; };
notify no;
};
Es würde mich freuen, wenn viele diesem Beispiel folgen würden!
.tel – Domains : so ein Quatsch
Heute (oder zumindest in den letzten Tagen) war der Landrush für die neue Top-Level-Domain “.tel”. Wie immer registriere ich mir einfach mal meinen Familien-Namen und versuche ein paar evtl. gewinnbringende Schlüsselwörter für mich zu registrieren. Kostet ja auch nicht so viel. Und wie immer habe ich da eigentlich nicht wirklich drüber nach gedacht. Weil es jedes mal das selbe ist
Doch dieses mal hab ich das Geld echt zum Fenster raus geworfen… Die Registry von .tel – Domains akzeptiert keine eigenen Namenserver-Einträge. Es wird eine Zwangs-Webseite gerniert die anfangs erstmal Informationen über den Registrant anzeigt und irgendwie (für Deppen) dann erweiterbar ist. Das kann ich nicht nur brauchen, das ist ganz großer Blödsinn
Also werd ich die gleich wieder löschen…
Gentests am Straßenrand
Wie die Ludwigsburger Kreiszeitung berichtet werden im dazu gehörigen Kreis seit einiger Zeit DNA-Probem bei Verkehrskontrollen durch geführt. Natürlich nur auf freiwilliger Basis.
Hintergrund ist, dass dort wohl eine Massenmörderin um geht – und auch eine Polizistin ermordet wurde. Ich kann verstehen, dass deren Kollegen nun so richtig sauer sind. Denn auch nach Monaten konnte der/die TäterIN noch nicht gefasst werden.Jedenfalls ist es nicht verwunderlich auf solch eine Idee zu kommen.
Dennoch finde ich das völlig unverhältnismäßig. Nicht nur kostet das einen ganzen Haufen Steuergelder, es ist wieder mal der Generalverdacht, mit dem alle Bürger kriminalisiert werden. Zudem ist die “Freiwilligkeit” bei solchen Tests nur Makulatur, wer “nein” sagt wird erst recht verdächtig – und wird sich früher oder später in einem Ermittlungsverfahren wiederfinden bei dem er seine DNA dann per richterlichem Beschluss zwangsweise abgeben muss.
Es ist auch fraglich, was mit den Proben geschieht. Zwar wird davon berichtet, diese würden vernichtet. Gut – aber was ist mit den Daten, die das Genlabor extrahiert hat? Werden die auch gelöscht? Und was soll diese “Negativdatei”, diese Negativliste könnte man auch ohne Gen-Daten führen (einfach die sonst üblichen Identifikationsdaten dort wie Name und Geburtsdatum).
