Technische Grundlagen zu Online-Sperren, Teil 3: IP-Filtering.

Die „Königsklasse“ beim Filtern ist das Filtern auf IP-Ebene.

Wie funktioniert das Filtern auf IP-Ebene?

Das Internet-Protokoll ist im Schichtenmodell die Schicht, die direkt auf dem Übertragungsmedium aufliegt. Da das Internet-Protokoll die unterste Schicht in der Übertragung des Internets ist, sind alle darüberliegenden Protokolle darin eingekapselt. Wird also eine Website übertragen, dann geschieht dies über das HTTP-Protokoll, das wiederum im TCP-Protokoll eingekapselt ist und dies wiederum im Internet-Protokoll.

Die Adressierung im Internet-Protokoll erfolgt über IP-Adressen; jeder Rechner im Internet muss über eine solche IP-Adresse erfolgen und ist über diese Adresse eindeutig identifizierbar. Denkbar ist aber auch, die gesamte IP-Kommunikation an dieser Stelle inhaltlich zu analysieren und aufzuzeichnen, was bei nicht verschlüsselter Kommunikation das Nachvollziehen der übertragenen Inhalte ermöglicht. So erfolgt für gewöhnlich auch das Abhören von Internet-Anschlüssen.

Wie wäre der Filteransatz beim Filtern?

Der Filteransatz läuft beim IP-Filtering über das Analysieren bzw. Ausfiltern von IP-Kommunikation nach bestimmten Kriterien. Sinnvollerweise ist das die Absender- oder Empfängeradresse. Da dieses Filtering auf der untersten Ebene der Internet-Kommunikation erfolgt, ist das Filtern an dieser Stelle auch sehr fundamental „hart“, weil hier die Kommunikation an der Wurzel infiltiert wird und im Filterfall die gesamte Kommunikation gemäß den Filterregeln unterbunden werden kann.

Wo hapert es im Filteransatz des IP-Filterings?

Der „Kollateralschaden“ ist beim IP-Filtering dann sehr hoch, wenn es um Dienste geht, die auf einer IP-Adresse mehrere Dienste gleichzeitig betreiben. Genau das wird mit Webservern gemacht, denn das HTTP-Protokoll ermöglicht es, dass auf einer IP-Adresse zwar ein Webserver als Dienst laufen kann, der jedoch eine Vielzahl von virtuellen Webserver-Instanzen haben kann – je nach Provider durchaus tausende von Instanzen gleichzeitig. Würde man so eine IP-Adresse sperren, um eine bestimmte Webserver-Instanz zu bekämpfen, würde man auf einen Schlag auch alle anderen Instanzen blockieren.

Ähnlich sieht es bei vielen anderen Diensten aus und inzwischen auch mit vielen Unternehmensnetzwerken, die intern keine öffentlichen IP-Adressen verwenden, sondern private Bereiche, die dann per NAT über eine IP-Adresse an das Internet angebunden sind.

Fazit

Das Filtern auf IP-Ebene ist „hart“ und umfassend. Nicht ohne Grund ist diese Art von Filtern in den Diskussionen um die Online-Sperre verpönt, da dieses Filtern nach gängiger Rechtsauffassung auf jeden Fall das Fernmeldegeheimnis bricht, da Kommunikation unterbunden wird.

Da moderne Internet-Dienste den Betrieb mehrerer Instanzen auf einer IP-Adresse ermöglichen, ist das IP-Filtern für das Sperren einzelner Websites auch denkbar schlecht geeignet, da der Kollateralschaden durch Filtern von eventuell benachbarten Angeboten, die sich die IP-Adresse teilen, beträchtlich sein kann und die Rechte vieler Anbieter und Nutzer verletzen könnte.

Technische Grundlagen zu Online-Sperren, Teil 2: Proxying.

Eine weitere, verhältnismäßig einfach einsetzbare Technologie zum Filtern von unerwünschten Inhalten aus dem Internet setzt an einer Technik an, die schon immer einen zweifelhaften Ruf hatte, die allerdings in Firmennetzwerken gang und gäbe ist: Dem guten, alten Proxying.

Wie funktioniert das Proxying?

Der Begriff „Proxy“ kommt aus dem Englischen und bedeutet übersetzt „Stellvertreter“. Und das beschreibt auch schon weitgehend die Funktion eines Proxys: Ein Rechner schickt eine Anfrage nicht direkt über das Internet an den Zielrechner, sondern schickt diese zunächst an einen Proxy, der diese dann weiterleitet. Der Einsatz eines Proxy kann hierbei mehrere Begründungen haben:

  • Man möchte die Rechner, die einen Proxy benutzen, verschleiern. Die Stellvertreterfunktion eines Proxy-Servers kann man dem Zielrechner mit einigen Übertragungsprotokollen signalisieren, muss das aber nicht. Wenn man beispielsweise in einem Unternehmensnetzwerk viele verschiedene Arbeitsplatzrechner hat, kann man deren Web-Zugriffe über einen Webproxy leiten, der dann nach außen hin als abrufender Rechner fungiert.
  • Man möchte redundante Abrufe möglichst verringern und setzt einen cachenden Proxy ein. Das ist in einigen Szenarien (beispielsweise einem Mailproxy) relativ sinnlos, bei einem Webproxy aber schon wieder interessant, denn ein cachender Webproxy kann so konfiguriert werden, dass er Seiteninhalte von häufig aufgerufenen Websites wie zum Beispiel eines Nachrichtenportals für einen bestimmten Zeitraum zwischenspeichert, so dass bei kurz aufeinanderfolgenden Abrufen diese zwischengespeicherten Seiteninhalte schneller und ohne neuerlichen Abruf aus dem Internet bereitstehen.

Beide Einsatzzwecke sind in Zeiten von Flatrates und NAT-Netzwerken inzwischen wieder am Aussterben, weil Datenverkehr inzwischen erheblich günstiger ist, als noch vor einigen Jahren und NAT-Netzwerke bereits von Hause aus ein hinter dem NAT-Gateway liegendes Netzwerk verschleiern – verschleiern müssen.

Dennoch ist Proxying noch nicht gänzlich verschwunden und versteckt sich manchmal sogar noch in Kommunikationsströmen, von denen der Nutzer glaubt, dass sie direkt wären, im Hintergrund aber über einen so genannten transparenten Proxy geleitet werden, in dem der Proxy-Einsatz nicht beim Benutzer eingestellt wird (wie zum Beispiel die Angabe der Webproxy-Adresse im Webbrowser), sondern die Kommunikation eines gesamten Übertragungsprotokolls über einen Proxy geleitet wird und dieser so ohne weiteres dadurch nicht sichtbar ist.

Wie wäre der Filteransatz im Proxying?

Der Filteransatz wäre ähnlich, wie beim Filteransatz per DNS: Eine Liste mit zu sperrenden Adressen würde bereitgestellt und in die Proxy-Konfiguration aufgenommen, die dann dafür sorgt, dass entsprechende Aufrufe nicht ausgeführt werden, mit einer Fehlermeldung enden oder an eine alternative Website weitergeleitet werden.

Würde ein transparenter Proxy eingesetzt werden, beispielsweise ein transparenter Webproxy, über den die gesamte Kommunikation, die von Anwendern über den HTTP-Standardport 80 initiiert werden, übertragen wird, so wäre die Überwachung – zumindest über diesen Standardport – weitgehend unumgänglich.

Wo hapert es im Filteransatz des Proxyings?

Das grundlegende Problem beim Proxying ist, dass es auch mit Einsatz von transparenten Proxys kaum möglich ist, dem Benutzer den Einsatz von alternativen Proxys zu verbieten. Beispiel:

Ein Provider setzt einen transparenten Webproxy ein, der alle Kommunikation über diesen leitet, der vom Benutzer über den HTTP-Standardport 80 initiiert wird. Der Benutzer stellt in seinem Webbrowser nun jedoch einen Webproxy ein, der beispielsweise im Ausland stationiert ist und der in dergestalt konfiguriert ist, dass dieser Proxy über eine andere Portadresse angesprochen wird, als der Port 80. Und schon ist der transparente Webproxy des Providers umgangen.

Noch viel banaler wird es mit SSL-verschlüsselten Websites, also mit HTTPS. HTTPS-Kommunikation erfolgt im Normalfall mit einer Ende-zu-Ende-Verschlüsselung, der Übertragungsweg zwischen Absender und Empfänger wird also im Normalfall von Webbrowser des Absenders und Webserver des Empfängers verschlüsselt. Da ein Webproxy hier bei einer hinreichend starken Verschlüsselung nicht ohne weiteres in den Kommunikationspfad „hineinschauen“ kann, kann es nur zwei Wege geben: HTTPS-Kommunikation untersagen oder unberührt durchlassen. Ersteres ist undenkbar, letzteres weitgehend Usus und damit das Schlupfloch. Eine theoretische Alternative wäre, dass der Webproxy auch HTTPS-Proxying beherrscht, also beim SSL-Verbindungsaufbau als „Mittelsmann“ automatisch eingebunden wird. Auch das halte ich jedoch im Sinne des Schutzes der elementarsten Privatsphäre für undurchsetzbar, zumal das auch technisch äußerst hochklassig und teuer ist.

Nicht zu unterschätzen ist generell der hardware-seitige Aufwand, der auf Seiten des Providers getroffen werden muss. Wollte man alle Web-Zugriffe über Proxys leiten, so müssen diese Server dementsprechend dimensioniert sein, diese Mengen an Datenverkehr auch in annehmbarer Zeit zu verarbeiten. Das ist schon bei mittelgroßen Providern eine herausfordernde Angelegenheit und wird bei nationalen Carriern eine zweifellos unternehmenskritische Geschichte.

Fazit

Proxying ist für Online-Sperren schon mal ein deutlich ambitionierterer Weg, als lahmes DNS-Filtering, allerdings auch ein Ansatz, der gewaltige Ressourcen und Investitionen erfordert und allein schon aus diesem Blickwinkel heraus kaum zu leisten ist – wir reden hier schon bei einem kleinen- bis mittelgroßen Provider von sechs- bis siebenstelligen Anschaffungskosten für Hardware und nachfolgenden Services wie Klimatisierung, Stromverbrauch etc. Zudem kommt hinzu, dass der Aufwand überproportional steigt, je stärker die technisch bedingten Schlupflöcher gestopft werden sollen. Wollte man darüberhinaus ernsthaft auch HTTPS-Kommunikation über Proxys leiten und analysieren – was, so derb sich das auch anhört, nur konsequent sein müsste – wäre dies das Ende aller gesicherten Anwendungen wie Online-Banking oder Online-Shopping, weil es einen direkten Eingriff in gesicherte Kommunikationskanäle bedeutet.

Technische Grundlagen zu Online-Sperren, Teil 1: DNS.

Am geläufigsten in den Diskussionen rund um Online-Sperren ist der Ansatz des Sperrens über das Domain Name System. Das vor allem deshalb, weil hier Online-Sperren verhältnismäßig einfach einzurichten und die Filterergebnisse anschaulich, weil offensichtlich sind – wichtig, um eine höchst unpopuläre, politische Entscheidung möglichst schnell mit Ergebnissen zu untermauern.

Wie funktioniert das DNS?

Das Domain Name System ist ein hierarchisch aufgebautes Verzeichnissystem, das in erster Linie dazu dient, dass der Benutzer nicht umständlich mit IP-Adressen hantieren muss, wenn er eine Ressource im Internet erreichen möchte, sondern mit lesbaren Namen. Im Grunde ist es also eine Art Adressbuch, das jedoch nicht zentral geführt wird, sondern verteilt.

Aus diesem Grund gibt es verschiedene Verzeichnisebenen, von denen die oberste Ebene von der so genannten Root-Zone verwaltet wird. Diese Root-Zone wird auf DNS-Servern bereitgehalten und enthält eine Liste aller Top-Level-Domains und die IP-Adressen der DNS-Server, die jeweils für die einzelnen Top-Level-Domains zuständig sind. Diese DNS-Server halten wiederum eine Liste mit Domain-Namen und deren zuständige Server bereit, die in der Ebene registriert sind. Und so weiter.

Ein Artikel zu den Grundzügen des Domain Name System findet sich in netplanet: Domain Name System (DNS)

Wie wäre der Filteransatz im DNS?

Der Filteransatz ist dergestalt, dass eine Behörde – im Gespräch ist das Bundeskriminalamt – eine Liste von Domainnamen erstellt und pflegt, unter denen strafbare Inhalte im Internet angeboten werden. Diese Liste der Domainnamen wird Providern in Deutschland regelmäßig übermittelt, die dann diese Liste in ihre DNS-Server übernehmen.

Schickt ein Benutzer eine Anfrage an den DNS-Server des Providers, so wird dieser im Normalfall im hierarchischen System des DNS aufgelöst, mit Ausnahme von Domain-Namen, für die der DNS-Server selbst zuständig ist. Die Filterliste soll nun genau dies tun, den DNS-Server also für die Domain-Namen in der Filterliste autoritativ stellen.

Aufgelöst werden dann Anfragen für die betreffenden, zu filternden Domain-Namen so, dass die Anfragen nicht mit der IP-Adresse des originären Webservers beantwortet werden, sondern mit einer IP-Adresse eines Webservers, auf dem der Benutzer mit einer „Stopp-Seite“ informiert wird, dass die Website, die der Benutzer aufrufen will, aktuell gefiltert wird und nicht zur Verfügung steht.

Wo hapert es beim Filteransatz im DNS?

Beim DNS-Filtern hapert es grundlegend daran, dass DNS eigentlich ein Dienst ist, der technisch gesehen nicht wirklich für die Internet-Kommunikation benötigt wird, ähnlich wie ein Telefonbuch, das man zum Telefonieren auch nicht wirklich benötigt.

  • Niemand ist verpflichtet, den DNS-Server seines Providers zu nutzen, er könnte theoretisch auch problemlos einen DNS-Server eines anderen Anbieters, beispielsweise im Ausland stationiert, nutzen. IP-Adressen von DNS-Servern sind über jede gängige Suchmaschine innerhalb weniger Sekunden gefunden und diese IP-Adressen können ebenfalls innerhalb kürzester Zeit in Konfigurationen von Routern oder Arbeitsstationen übernommen werden.
  • Niemand kann einem die Installation einer eigenen DNS-Serversoftware verbieten. Unter unixoiden Betriebssystemen gehört die DNS-Serversoftware BIND zum Standardumfang, für Windows existiert ebenfalls eine Reihe von DNS-Serversoftware, mit der die Namensauflösung komplett unabhängig von anderen DNS-Servern vorgenommen werden kann. Die Installation einer solchen DNS-Serversoftware ist hierbei teilweise nicht schwerer, als die Installation eines Webbrowsers.

Fazit

Online-Sperren auf Basis des Domain Name System sind so löchrig wie ein Schweizer Käse und selbst für absolute Laien innerhalb weniger Minuten zu umgehen, indem entweder ein anderer DNS-Server genutzt wird, als der Provider vorgibt oder eine eigene DNS-Serversoftware installiert wird, die die Namensauflösung direkt selbst auf dem Rechner vornimmt. Von einem wirksamen Schutzkonzept kann hier noch nicht mal ansatzweise die Rede sein, es handelt sich um eine reine Luftnummer, die zwar hübsch aussieht und vor laufenden Kameras anschaulich aussieht, allerdings nichts anderes als Scheuklappen sind.

Technische Grundlagen zu Online-Sperren.

Online-Sperre, Online-Sperre, Online-Sperre. Es gibt kaum noch Leute, die nicht darüber sprechen, am lautesten sprechen allerdings Leute darüber, die von nichts eine Ahnung haben. Und ich bin mir genau da nicht so sehr sicher, was gefährlicher ist: Online-Sperren an sich oder unfundierter Geschwafel darüber.

Aus diesem Grund wollte ich ursprünglich einen Artikel schreiben und die technischen Grundlagen zu einzelnen Sperrverfahren näher erläutern. Schon nach einigen Zeilen habe ich dann beschlossen, daraus eine kleine Artikelserie zu machen, weil ich keine dicke Schwarte schreiben möchte, die dann eh keiner mehr liest. Im übrigen will ich versuchen, diese Artikel später in netplanet einzuarbeiten – falls es politisch notwendig wird.

Begonnen wird mit der Technologie zum Sperren von Inhalten, die derzeit am geläufigsten (weil vermutlich am einfachsten zu verstehen) ist. Weitere Ansätze zum Filtern werden dann in jeweils weiteren Artikeln dieser Serie behandelt.

Artikelübersicht