Auch kann es sein, das clevere Regierungen versuchen, die DNS Packete an entfernte Server ebenfalls zu manipulieren. So ein Programm zu schreiben ist kein Hexenwerk. Insoweit sollten alle Server auch einen Endpukt im Hidden space des tor und i2p system haben, so das ein Nutzer im Notfall auch auf den DNS verzichten kann.
Außerdem sollten die Domains mit dem DNSSEC system gesichert werden. Die ROOT zone ist signiert, die top level Domains ".de", ".com", ".net", ".org", und viele andere sind schon mit DNSSEC gesichert. Mit einem plugin kann der Browser so aufgerüstet werden, das man erkennen kann, ob am DNS rumgepfuscht worden ist. Das mit dem DNSSEC ist etwas lästig, aber mit dem entsprechendem Makefile lässt sich der nötige resigning und rekeying Aufwand durch automatisieren beseitigen. Man sollte auch vermeiden, das man keine interdomain referenzen, z.B. mit CNAME oder SPF, macht, wenn man sowohl Ziel- als auch Quelldomain kontrolliert. Dann sollte man die Definitionen mit einem Prozessor automatisiert in die verschiedenen Zonenfiles kopieren. Der Grund dafür ist, das z.B. die Amerikanische Regierung in den von ihnen kontrollierten Toplevel Domains ".us", ".com", ".org", ".net", ".gov", ... solche sogar ohne Gerichtsbeschluss beschlagnahmen können will. Da wollen Leute undemokratisch vermeiden, das man ihn mit Veröffentlichungen wie "collateral murder" auf die Zehen tritt. Dazu will man solche Angebote möglichst auch in fernen Ländern unerreichbar machen.
Eine solche Zone sieht dann wie folgt aus: Als erstes kommen die Kopfeinträge. Jeder Record hat sein RRSIG mit dem die Echtheit bestätigt werden kann. Dann gibt es die DNSKEY, mit denen deren Echtheit getestet werden kann. Damit die Nutzer nicht einen falschen DNSKEY bekommen, werden in der übergeordneten Domain neben den NS Einträgen auch DS einträge mit den SHA's der korrekten Schlüssel hinterlegt. Damit das nicht zu oft erneuert werden muss, gibt es einen langen Schlüssel, mit dem zunächst ein kleinerer Schlüssel validiert, mit dem dann die einzelnen Records gesichert sind.
wlan-bechlingen.net. 86400 IN SOA blocka.hchs.de. carlos.hchs.de. ( 2011000043 ; serial 28800 ; refresh (8 hours) 7200 ; retry (2 hours) 604800 ; expire (1 week) 86400 ; minimum (1 day) ) 86400 RRSIG SOA 7 2 86400 20120101213135 ( 20111202213135 11915 wlan-bechlingen.net. JgvI3zHNp1sTFP7imBWTgqKeDs2Si5VeZSui KdQ2NVC3dqsXvTVjwda1Xj2imYinHGmgMhZi dRczWBf0GlLC24JAxSZcqQT/je+MU28r0pJv eChgbao9gH5sk6muUvkTU0w5xl5gi3vFsT63 T8iQuSbYGSqN0XZ68ShSrn4fhLE= ) 86400 NS fix.usenet-replayer.com. 86400 NS v6gw.hchs.de. 86400 NS dp0v6.usenet-replayer.de. 86400 NS fixv6.usenet-replayer.com. 86400 NS ultra.un-r.com. 86400 NS blocka.hchs.de. 86400 NS ultra5.un-r.com. 86400 NS dp0-con.ip-mobilphone.net. 86400 NS wififw2.ip-mobilphone.net. 86400 NS wififw10.ip-mobilphone.net. 86400 RRSIG NS 7 2 86400 20120101213135 ( 20111202213135 11915 wlan-bechlingen.net. QXd1Ai/aTpl72eAQW0y3/iJ4DeUcZLNe/Izh Sbr6hJkKz4aeIHnszNjrJIkFt6FLIlSgnJIQ 2FcJyz86pvyNfcRkberSFCky/JyX5HVHgnWE hrebKe4zjCzQptU7ESTQGC9f7qI0MQhSL3Ax YVMkmy1Ru2pZolXK3ENAEYleOiA= ) 86400 MX 5 mailin.wlan-bechlingen.net. 86400 RRSIG MX 7 2 86400 20120101213135 ( 20111202213135 11915 wlan-bechlingen.net. ICWhb4vHZXsGenzIqozo82CvLZtMzq98B5If LeBgwHddYiACVMH88Zrf49fElVZsnRb/vPYa KZbWPjNhDKZaDrA4lch+dDSlEX7MTAjw9PJw 0SZ0/VSRh8LAs/c6Leej328J6mnLratEyUEH qt+tZYuo9nJL37354s8t9Sazq/g= ) 86400 TXT "v=spf1 ip4:195.226.80.20 ip4:217.20.115.53 ip4:217.20.121.64/31 -all" 86400 RRSIG TXT 7 2 86400 20120101213135 ( 20111202213135 11915 wlan-bechlingen.net. Jy/4xoAiBQbRnX/goSZymdD74+hORyJw5aQh QUg3AfPIOw51wrGwNDmlLVcjkdmgSJVxek4q GjrBnQs6EmjbPSJYJMdBTLJN0FUR4sFCSKxw sl/jKlv1vMXtEW4qqslWm3ssBL2muM8Kp/7p TJNusvIAbZx07vDkBkDi+/hEphI= ) 86400 DNSKEY 256 3 7 ( AwEAAaK9iufjIcEvXY8gajcJ+H3/qqi8wTXp AtQ9QDuqY5k7Uie3REqlOFcYG+IFZ6hRPwUw cbUZYy/p1gQB/2cMG1tVLWLwD9u3fNHzD4uP NSBRBEMN4mDWfoNaQHRCYm6vvFZUPitOyDe/ JB4lA6+1bPeTjGRIAFkBxSYF+fhpSbyL ) ; key id = 11915 86400 DNSKEY 257 3 7 ( AwEAAdxtDCAa7UiPGsfpMdoiFshbctOQ5Vfl NBqZyFhNo++B2QMzAnIIYu4B/XLscrqvnQpY YWoUL0+p3Q4kowsXagDWOS9P3ZLrECZxJ+i6 +nE1esxyAjnxco6oQk5WMo1wTszT+jEjVl3g WRq7LgvOxWGsG2wPYhU0XQxoF9vkd+jXLRDq gu+lq9p/BbEvLoFwY5solLVsG3UNxQYDfz7j 8qaRU4AHBDrCtK2AYja55NmHn8+lk0vZi2ri rE8EXTfx7q+VaPdK/ZzRmc3sv1qwyJPOrT69 czvmUedjE71z9GuUumwXqQkCwNs7ha8YZmey Yk1JnXLPiRpjsdRN6/b9am9Pn6NfNVEWaSr8 2JmWjpavr/+FFGycyVjPqmukvg53Fbq5a59U 9eRZSfk5N7SF6DKiUStqPXPH6tyAjXgzBglT ZsDSmx5PjAmnKVbhy9L3cFDBWxX/HIoxQXGu VZLU5mTvqB1QQJGLFTFVQFYhJpiZ0+h06bgw AnnDeKpI1JoYpv5osesha7gxHWdqwVM2cs5M m6eZl2PsgcscDTXyGy8kV894jhQzFWp695Yj P77Qje9dZsT7gGC0PIFUyvEto0B3oVhdczQH OoCv2EboCXdUWs8QxGa9jYM1AIVuJB3Shshm p6K1kvW9Vw5mUypTN6pxhyEZZfAsLSFQ3rnT qY6x ) ; key id = 52563 86400 RRSIG DNSKEY 7 2 86400 20120101213135 ( 20111202213135 11915 wlan-bechlingen.net. J0yJtQxR0kqNczldV+V0N62Cl6LdpRTxjX9Q HUEaAQ+XLWHTFin5/V/MsJ+Heqh5WEnyJANQ OtSGOneE5TqX8OG4iMKYp6STbalnWPiOg4b1 b3m+VKDAuV+TONl45zvDoBIoNp2R6hTLfFkD 9kd2/+16HxQ4YdgGiycVJAkjbBY= ) 86400 RRSIG DNSKEY 7 2 86400 20120101213135 ( 20111202213135 52563 wlan-bechlingen.net. cHEQnIdi316DknmbI71TTunsvmRF3ODw99wt gZ+ld7ZZqBJ3CLyWujMb/ui5n6MRCXvV2bxM JE7jCkGx8lYTte1nvBgQIeWYys6flp7Wjjx4 A9DeCpfv/ED5hnZCxjtikTTl3mM+a4ue5CjV ALq7nF5uyRUAChp5A9FI4Oiw1IMYXelGPTzN PYDePCCDAOBkSev+U+CjC/4CoCn5Z8i85y4a tbC8VL7xPMl15PEiJIZCl5YyiFMmlD0cDvKp +AcekDYKRh+m08PqXPDSbKVBBMhKUG/UxLNv5j JpLlK3VPC6XS0QTbyUm8pamLyM782hfvtZ2+ bB53dY0P/775Uyi4a+uOgD5ysh/gmXNjCPDL tMN8L0vbnV2/JltEDXAhoNrLpytJYZIz9vmk 1Bodu4bpnf0avASXeR6gD8J2WflA5mJuWQyB s3pOW0gH7pkMiogkCkFJyg6gVL1SpJOqVaqt wCqcMQfamxNFi7Tcw6eEJpTSOo0gYEZO1kZp CwYL5lx+HiH/lByjCk87j4vJXuULW7FCF1cN POtoomWb2LbOJIyRT4Qp6ZqYt2GP/8wqT9+S qpOSEtet/yCZHeP9ywGs73LSeqosV6kzzC26 WKLtE2a1rA4OZMixBycz7kguABxnJcVATnTI 1wPMctCl7ZB7BB+x7oXn2VSI50q/bNx/8dM= ) 0 NSEC3PARAM 1 0 10 ACEC4913 0 RRSIG NSEC3PARAM 7 2 0 20120101213135 ( 20111202213135 11915 wlan-bechlingen.net. lueZIzTIy4V9rKP3PFSRAbNl26e9JXrQDPaW q0vf6/SZeqw+v+pitQmYNHq0wFmsOxlLddUv 3O2DW7RtCFYubX8IIRk03FymNPFzvsqxnVeD G12nwfMwstPz/ehtF9VIKKAOM6+cowW/6IFC 2OBBwF7gvJF397OcPwULSB95qhM= )
Ein einzelner Adresseintrag sieht dann wie folgt aus:
pop.wlan-bechlingen.net. 86400 IN CNAME mail.wlan-bechlingen.net. 86400 RRSIG CNAME 7 3 86400 20120101213135 ( 20111202213135 11915 wlan-bechlingen.net. V482L6EP2jGwpeY3C8mQ32MoQms0sgbNVP4k GLG8+Cgyp2h+nZmSLWJ5Cy36F5LMeaBVKAAK HoNcNPKHVFY37QdESBX49lP4SMbaotW9Br6B 49fG/TnGsGsehgCNJ6UOaDK1TFQ5yKc+Jp1m k9DQuygtTJEfQWhMIyw8AqDAKf4= )
Ganz besonders wichtig in Zusammenhang mit Zensur ist, das eine spezielle
Kette eingefügt wird, der es erlaubt, festzustellen ob das nicht Vorhandensein eines Eintrag seine Richtigkeit hat und vom Inhaber der Domain so gewünscht ist.
1JLNMD7VRPP7TBCHUDJN1BKG0889Q7UK.wlan-bechlingen.net. 86400 IN NSEC3 1 0 10 ACEC4913 1K6VTGJJ223AG00P1C1TIA7Q5VNPMATO A RRSIG 86400 RRSIG NSEC3 7 3 86400 20120101213135 ( 20111202213135 11915 wlan-bechlingen.net. Ht1d2tVP5PxUzzr57BxmvgyeJWVSIbsXMZsU 8axAPDf/jRfC2nfpslfvcpppEkFJKCo0S7v/ /6OFCE0xbU5ks7G8wiZdGMP1YeD2hmsmAwga amq19TSoxguP7k2W5eQ3rO4rHpLAV01RTiLY y5tpEwY2f0sWW+G7E9/J5mCBJ3I= ) 1K6VTGJJ223AG00P1C1TIA7Q5VNPMATO.wlan-bechlingen.net. 86400 IN NSEC3 1 0 10 ACEC4913 1PDIIQG9P60ILL9OOTF87QJ92PMR2RMD A RRSIG 86400 RRSIG NSEC3 7 3 86400 20120101213135 ( 20111202213135 11915 wlan-bechlingen.net. MajxfEgYqhVeeaFJjSnA+Ip0wXLTqNtMUHf/ 92EvytWZ5vmPI4yVoMrWrH23W72lrKhP43/S BREOsu0q72dRvNZrIyaA9FlOA52MiJ9N9XVV ZBD2Dc/4AU5dUMJVAb6rf/gvoGWA7oXseDuW KPjZX9EKB4eSHHmmEVcg9qoU5is= ) 2Q8Q2TF570EFQVJ0P6VQ3L1DQ186U5CU.wlan-bechlingen.net. 86400 IN NSEC3 1 0 10 ACEC4913 3TPG3F2NNQFNA2GO8JPSEVN2Q1IEDDE7 A RRSIG 86400 RRSIG NSEC3 7 3 86400 20120101213135 ( 20111202213135 11915 wlan-bechlingen.net. ie5pWhRQjqE1DI2Im9h/3bcsvK0KsOrrMDBg WGY+8fWqHvI7qW7Ea9wlE2uvCsDlKadLZMIj G2WUROPtFhD1vy1UYfc9qlhM1kEMRp6sVDJr bzkkZRHQF+I4NVTFhK94j2OSpTaHXN+ana3U HHza/4ha1JlIxSmDkFQPlKmp+Hs= )
Die mit Salz vergällten Hashsummen werden verwendet, um zu verhindern, das sich jemand alle Symbole einer Domain runter lädt, wenn er dazu nicht befugt ist. Entwickelt wurde das System um die Jahrtausendwende, als clevere Pfischer feststellten, das man bei bestimmten dns caches besonderes leicht Schrottwerte etablieren kann, und damit Bankkunden auf einem anderen Server ziechen kann, um an Zugangsdaten zu kommen. Heute kann es aber auch verwendet werden, um Regierungen von DNS Manipulationen fernzuhalten. Wir sollten es im Interesse der vielen im Aufbau befindlichen Piratenparteien benutzen.
Keine Kommentare:
Kommentar veröffentlichen