Technische Grundlagen zu Online-Sperren, Teil 1: DNS.

Am geläufigsten in den Diskussionen rund um Online-Sperren ist der Ansatz des Sperrens über das Domain Name System. Das vor allem deshalb, weil hier Online-Sperren verhältnismäßig einfach einzurichten und die Filterergebnisse anschaulich, weil offensichtlich sind – wichtig, um eine höchst unpopuläre, politische Entscheidung möglichst schnell mit Ergebnissen zu untermauern.

Wie funktioniert das DNS?

Das Domain Name System ist ein hierarchisch aufgebautes Verzeichnissystem, das in erster Linie dazu dient, dass der Benutzer nicht umständlich mit IP-Adressen hantieren muss, wenn er eine Ressource im Internet erreichen möchte, sondern mit lesbaren Namen. Im Grunde ist es also eine Art Adressbuch, das jedoch nicht zentral geführt wird, sondern verteilt.

Aus diesem Grund gibt es verschiedene Verzeichnisebenen, von denen die oberste Ebene von der so genannten Root-Zone verwaltet wird. Diese Root-Zone wird auf DNS-Servern bereitgehalten und enthält eine Liste aller Top-Level-Domains und die IP-Adressen der DNS-Server, die jeweils für die einzelnen Top-Level-Domains zuständig sind. Diese DNS-Server halten wiederum eine Liste mit Domain-Namen und deren zuständige Server bereit, die in der Ebene registriert sind. Und so weiter.

Ein Artikel zu den Grundzügen des Domain Name System findet sich in netplanet: Domain Name System (DNS)

Wie wäre der Filteransatz im DNS?

Der Filteransatz ist dergestalt, dass eine Behörde – im Gespräch ist das Bundeskriminalamt – eine Liste von Domainnamen erstellt und pflegt, unter denen strafbare Inhalte im Internet angeboten werden. Diese Liste der Domainnamen wird Providern in Deutschland regelmäßig übermittelt, die dann diese Liste in ihre DNS-Server übernehmen.

Schickt ein Benutzer eine Anfrage an den DNS-Server des Providers, so wird dieser im Normalfall im hierarchischen System des DNS aufgelöst, mit Ausnahme von Domain-Namen, für die der DNS-Server selbst zuständig ist. Die Filterliste soll nun genau dies tun, den DNS-Server also für die Domain-Namen in der Filterliste autoritativ stellen.

Aufgelöst werden dann Anfragen für die betreffenden, zu filternden Domain-Namen so, dass die Anfragen nicht mit der IP-Adresse des originären Webservers beantwortet werden, sondern mit einer IP-Adresse eines Webservers, auf dem der Benutzer mit einer „Stopp-Seite“ informiert wird, dass die Website, die der Benutzer aufrufen will, aktuell gefiltert wird und nicht zur Verfügung steht.

Wo hapert es beim Filteransatz im DNS?

Beim DNS-Filtern hapert es grundlegend daran, dass DNS eigentlich ein Dienst ist, der technisch gesehen nicht wirklich für die Internet-Kommunikation benötigt wird, ähnlich wie ein Telefonbuch, das man zum Telefonieren auch nicht wirklich benötigt.

  • Niemand ist verpflichtet, den DNS-Server seines Providers zu nutzen, er könnte theoretisch auch problemlos einen DNS-Server eines anderen Anbieters, beispielsweise im Ausland stationiert, nutzen. IP-Adressen von DNS-Servern sind über jede gängige Suchmaschine innerhalb weniger Sekunden gefunden und diese IP-Adressen können ebenfalls innerhalb kürzester Zeit in Konfigurationen von Routern oder Arbeitsstationen übernommen werden.
  • Niemand kann einem die Installation einer eigenen DNS-Serversoftware verbieten. Unter unixoiden Betriebssystemen gehört die DNS-Serversoftware BIND zum Standardumfang, für Windows existiert ebenfalls eine Reihe von DNS-Serversoftware, mit der die Namensauflösung komplett unabhängig von anderen DNS-Servern vorgenommen werden kann. Die Installation einer solchen DNS-Serversoftware ist hierbei teilweise nicht schwerer, als die Installation eines Webbrowsers.

Fazit

Online-Sperren auf Basis des Domain Name System sind so löchrig wie ein Schweizer Käse und selbst für absolute Laien innerhalb weniger Minuten zu umgehen, indem entweder ein anderer DNS-Server genutzt wird, als der Provider vorgibt oder eine eigene DNS-Serversoftware installiert wird, die die Namensauflösung direkt selbst auf dem Rechner vornimmt. Von einem wirksamen Schutzkonzept kann hier noch nicht mal ansatzweise die Rede sein, es handelt sich um eine reine Luftnummer, die zwar hübsch aussieht und vor laufenden Kameras anschaulich aussieht, allerdings nichts anderes als Scheuklappen sind.

Ein Gedanke zu „Technische Grundlagen zu Online-Sperren, Teil 1: DNS.

  1. […] Teil 1: DNS Bookmarken: sociallist_bdf01ece_url = ‚http://blog.netplanet.org/2009/03/30/technische-grundlagen-zu-online-sperren/‘; sociallist_bdf01ece_title = ‚Technische Grundlagen zu Online-Sperren.‘; sociallist_bdf01ece_text = “; sociallist_bdf01ece_tags = ‚Artikelserie,Grundlagen,Online-Sperre‘; Tags: Artikelserie, Grundlagen, Online-Sperre Dieser Artikel wurde am 30. März 2009 um 22:37 veröffentlicht und unter Netztechnik abgelegt. Sie können alle Reaktionen zu diesem Artikel mit dem RSS 2.0-Feed beobachten. Sie können eine Reaktion hinterlassen, oder einen Trackback zu Ihrer eigenen Site. […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *