Zwar sind auch IP-Basierte Sperrungen per Gesetz erlaubt, doch scheint es voerst erstmal nur DNS-Umleitungen zu geben. Man kann dazu einfach nach “Freie DNS-Server” suchen, oder hier klicken. Man sollte zwei unterschiedliche Anbieter nutzen.

Als Bürgerrechts-Vertreter sehe ich es als meine Aufgabe, möglichst viele zu diesem Schritt zu bringen. Daher wäre es toll, wenn Blogger jeweils dazu schreiben würden!

Wie das netzpolitik-Blog auch schreibt, wird es wohl ein heißer Online-Wahlkampf werden für die SPD und CDU/CSU. Sorgenw ir dafür!

Am Samstag gibt es in vielen Städten Aktionen - so auch in München. Los gehts um 12h am Sendlinger Tor.

Update: die Übersicht, welcher Bundestags-Abgeordnete wie abgestimmt hat findet sich hier. Abgeordnetenwatch ist aber gerade ein bissel überlastet, da sich viele für das Abstimmungsverhalten interessieren. (da könnte auch eine Spende helfen…!)

[youtube 7RkmPaJpH8g nolink]

Aus zwei Gründen:

• ein Normal-Benutzer wird diese Einstellung nicht vornehmen. Wir retten also nur “uns” (die ITler/Geeks und Datenschützer) selbst.
• Provider können mit relativ geringem Aufwand DNS-Anfragen so manipulieren, dass sie immer von deren eigenen DNS-Servern beantwortet werden. Das Prinzip kennen wir schon aus UK, wo mithilfe dieser Technik transparente HTTP-Proxies zwangsweise eingesetzt werden.

Wie letzteres geht? Hier mal ein Beispiel mit NAT, ließe sich aber auch in einer Forward-Regel auf einem Gateway machen. In IOS (cisco-router) geht es auch recht bequem…

iptables -t nat -A PREROUTING -p udp -i eth0 –dport 53 -j DNAT –to <Provider-Nameserver>
iptables -t nat -A PREROUTING -p tcp -i eth0 –dport 53 -j DNAT –to <Provider-Nameserver>

Das ganze leitet alle Anfragen auf tcp+udp port 53 (=dns) auf den Provider-Nameserver um. Es ist völlig egal welchen Nameserver der Benutzer sich dabei selbst einstellt – es kommt immer bei genau dem Provider-Nameserver raus. Und der Benutzer merkt es nichtmal, denn die Quell-IP der Antwort wird die gleiche sein die er angefragt hat. Die Last auf dem Router hält sich dabei übrigens so in Grenzen, dass es sich in den Antwort-Zeiten nicht bemerkbar macht.

Jetzt könnte man natürlich noch einen DNS-Server auf einem anderen Port betreiben und den benutzen. Das wird aber einerseits relativ schwierig, denn wenige Betriebssysteme lassen sich überhaupt dazu überreden für DNS einen anderen Port zum Anfragen zu benutzen.

Zum zweiten könnte der Provider aber mit einer Layer7-Regel die udp/tcp Anfragen auf DNS hin überprüfen und diese zu sich umleiten. Den dazugehörigen Befehl poste ich aber mal lieber nicht…

Was bleibt ist VPN… so lange das noch erlaubt ist.

Ich verzichte daher mal lieber auf das Argument der einfachen Umgehbarkeit. Weil es schneller dazu führt, dass Systeme geschaffen werden die man eben nicht mehr so einfach umgehen kann.

Update 15.05.2009:

Manchmal mag ich es gar nicht, recht zu haben. Kaum kommen wir mit der Begründung recht gut durch, wird im großen Stil nach Verschärfungen gerufen…

78.46.89.147

88.198.75.145 (nicht mehr aktiv!)
Als zweiten DNS empfehle ich 78.46.76.144 oder 178.63.26.173 (Liste)

Auf ein freies Inter-Netz!

Update 12.12.2010:

• Ab sofort werden auch Domains in OpenNIC-TLD aufgelöst. (test)
• IPv6 ist deaktiviert (um Fehler zu vermeiden solange ich selbst noch keine IPv6-Adresse nutze)

Ich wurde nach der Config gefragt, welche ich für Bind9 verwende. Das veröffentliche ich gern:

auth-nxdomain no;    # conform to RFC1035
listen-on-v6 { any; };
allow-query { any; };
version “bind9 for freedom and against censorship”;
minimal-responses yes;
max-cache-size 32M;
cleaning-interval 15;
max-cache-ttl 604800;
max-ncache-ttl 300;

Um IPv6 komplett zu deaktivieren trägt man bei debian in /etc/default/bind9 ein:

OPTIONS=”-4 -u bind”

Außerdem weise ich darauf hin, dass ich ein bind-security log schreibe, damit fail2ban eventuelle Angriffe abwehren kann. Vorallem Cache-Angriffe dürften damit Geschichte sein, das schützt auch die Benutzer dieses Nameservers. Das Log-File wird  jede Nacht ge-wipe’d. Wichtig: da drin werden NICHT sämtliche requests sondern nur Sicherheits-relevante Anfragen gelistet.

Die Log-Config schaut so aus (in der namend.conf.options)

logging {
channel security_file {
file “/var/log/named/security.log” versions 1 size 3m;
severity dynamic;
print-time yes;
};
category security {
security_file;
};
};

In der Fail2ban-config (jail.conf):

[named-refused-tcp]

enabled  = true
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

Für OpenNIC gibt es in der named.conf noch einen weiteren Eintrag:

zone “.” {
type slave;
file “/etc/bind/slave/db.opennic”;
masters { 58.6.115.45; 58.6.115.46; };
allow-transfer { any; };
notify no;
};

Es würde mich freuen, wenn viele diesem Beispiel folgen würden!

Doch dieses mal hab ich das Geld echt zum Fenster raus geworfen… Die Registry von .tel – Domains akzeptiert keine eigenen Namenserver-Einträge. Es wird eine Zwangs-Webseite gerniert die anfangs erstmal Informationen über den Registrant anzeigt und irgendwie (für Deppen) dann erweiterbar ist. Das kann ich nicht nur brauchen, das ist ganz großer Blödsinn

Also werd ich die gleich wieder löschen…

Hintergrund ist, dass dort wohl eine Massenmörderin um geht – und auch eine Polizistin ermordet wurde. Ich kann verstehen, dass deren Kollegen nun so richtig sauer sind. Denn auch nach Monaten konnte der/die TäterIN noch nicht gefasst werden.Jedenfalls  ist es nicht verwunderlich auf solch eine Idee zu kommen.

Dennoch finde ich das völlig unverhältnismäßig. Nicht nur kostet das einen ganzen Haufen Steuergelder, es ist wieder mal der Generalverdacht, mit dem alle Bürger kriminalisiert werden. Zudem ist die “Freiwilligkeit” bei solchen Tests nur Makulatur, wer “nein” sagt wird erst recht verdächtig – und wird sich früher oder später in einem Ermittlungsverfahren wiederfinden bei dem er seine DNA dann per richterlichem Beschluss zwangsweise abgeben muss.

Es ist auch fraglich, was mit den Proben geschieht. Zwar wird davon berichtet, diese würden vernichtet. Gut – aber was ist mit den Daten, die das Genlabor extrahiert hat? Werden die auch gelöscht? Und was soll diese “Negativdatei”, diese Negativliste könnte man auch ohne Gen-Daten führen (einfach die sonst üblichen Identifikationsdaten dort wie Name und Geburtsdatum).