Auch kann es sein, das clevere Regierungen versuchen, die DNS Packete an entfernte Server ebenfalls zu manipulieren. So ein Programm zu schreiben ist kein Hexenwerk. Insoweit sollten alle Server auch einen Endpukt im Hidden space des tor und i2p system haben, so das ein Nutzer im Notfall auch auf den DNS verzichten kann.
Außerdem sollten die Domains mit dem DNSSEC system gesichert werden. Die ROOT zone ist signiert, die top level Domains ".de", ".com", ".net", ".org", und viele andere sind schon mit DNSSEC gesichert. Mit einem plugin kann der Browser so aufgerüstet werden, das man erkennen kann, ob am DNS rumgepfuscht worden ist. Das mit dem DNSSEC ist etwas lästig, aber mit dem entsprechendem Makefile lässt sich der nötige resigning und rekeying Aufwand durch automatisieren beseitigen. Man sollte auch vermeiden, das man keine interdomain referenzen, z.B. mit CNAME oder SPF, macht, wenn man sowohl Ziel- als auch Quelldomain kontrolliert. Dann sollte man die Definitionen mit einem Prozessor automatisiert in die verschiedenen Zonenfiles kopieren. Der Grund dafür ist, das z.B. die Amerikanische Regierung in den von ihnen kontrollierten Toplevel Domains ".us", ".com", ".org", ".net", ".gov", ... solche sogar ohne Gerichtsbeschluss beschlagnahmen können will. Da wollen Leute undemokratisch vermeiden, das man ihn mit Veröffentlichungen wie "collateral murder" auf die Zehen tritt. Dazu will man solche Angebote möglichst auch in fernen Ländern unerreichbar machen.
Eine solche Zone sieht dann wie folgt aus: Als erstes kommen die Kopfeinträge. Jeder Record hat sein RRSIG mit dem die Echtheit bestätigt werden kann. Dann gibt es die DNSKEY, mit denen deren Echtheit getestet werden kann. Damit die Nutzer nicht einen falschen DNSKEY bekommen, werden in der übergeordneten Domain neben den NS Einträgen auch DS einträge mit den SHA's der korrekten Schlüssel hinterlegt. Damit das nicht zu oft erneuert werden muss, gibt es einen langen Schlüssel, mit dem zunächst ein kleinerer Schlüssel validiert, mit dem dann die einzelnen Records gesichert sind.
wlan-bechlingen.net. 86400 IN SOA blocka.hchs.de. carlos.hchs.de. (
2011000043 ; serial
28800 ; refresh (8 hours)
7200 ; retry (2 hours)
604800 ; expire (1 week)
86400 ; minimum (1 day)
)
86400 RRSIG SOA 7 2 86400 20120101213135 (
20111202213135 11915 wlan-bechlingen.net.
JgvI3zHNp1sTFP7imBWTgqKeDs2Si5VeZSui
KdQ2NVC3dqsXvTVjwda1Xj2imYinHGmgMhZi
dRczWBf0GlLC24JAxSZcqQT/je+MU28r0pJv
eChgbao9gH5sk6muUvkTU0w5xl5gi3vFsT63
T8iQuSbYGSqN0XZ68ShSrn4fhLE= )
86400 NS fix.usenet-replayer.com.
86400 NS v6gw.hchs.de.
86400 NS dp0v6.usenet-replayer.de.
86400 NS fixv6.usenet-replayer.com.
86400 NS ultra.un-r.com.
86400 NS blocka.hchs.de.
86400 NS ultra5.un-r.com.
86400 NS dp0-con.ip-mobilphone.net.
86400 NS wififw2.ip-mobilphone.net.
86400 NS wififw10.ip-mobilphone.net.
86400 RRSIG NS 7 2 86400 20120101213135 (
20111202213135 11915 wlan-bechlingen.net.
QXd1Ai/aTpl72eAQW0y3/iJ4DeUcZLNe/Izh
Sbr6hJkKz4aeIHnszNjrJIkFt6FLIlSgnJIQ
2FcJyz86pvyNfcRkberSFCky/JyX5HVHgnWE
hrebKe4zjCzQptU7ESTQGC9f7qI0MQhSL3Ax
YVMkmy1Ru2pZolXK3ENAEYleOiA= )
86400 MX 5 mailin.wlan-bechlingen.net.
86400 RRSIG MX 7 2 86400 20120101213135 (
20111202213135 11915 wlan-bechlingen.net.
ICWhb4vHZXsGenzIqozo82CvLZtMzq98B5If
LeBgwHddYiACVMH88Zrf49fElVZsnRb/vPYa
KZbWPjNhDKZaDrA4lch+dDSlEX7MTAjw9PJw
0SZ0/VSRh8LAs/c6Leej328J6mnLratEyUEH
qt+tZYuo9nJL37354s8t9Sazq/g= )
86400 TXT "v=spf1 ip4:195.226.80.20 ip4:217.20.115.53 ip4:217.20.121.64/31 -all"
86400 RRSIG TXT 7 2 86400 20120101213135 (
20111202213135 11915 wlan-bechlingen.net.
Jy/4xoAiBQbRnX/goSZymdD74+hORyJw5aQh
QUg3AfPIOw51wrGwNDmlLVcjkdmgSJVxek4q
GjrBnQs6EmjbPSJYJMdBTLJN0FUR4sFCSKxw
sl/jKlv1vMXtEW4qqslWm3ssBL2muM8Kp/7p
TJNusvIAbZx07vDkBkDi+/hEphI= )
86400 DNSKEY 256 3 7 (
AwEAAaK9iufjIcEvXY8gajcJ+H3/qqi8wTXp
AtQ9QDuqY5k7Uie3REqlOFcYG+IFZ6hRPwUw
cbUZYy/p1gQB/2cMG1tVLWLwD9u3fNHzD4uP
NSBRBEMN4mDWfoNaQHRCYm6vvFZUPitOyDe/
JB4lA6+1bPeTjGRIAFkBxSYF+fhpSbyL
) ; key id = 11915
86400 DNSKEY 257 3 7 (
AwEAAdxtDCAa7UiPGsfpMdoiFshbctOQ5Vfl
NBqZyFhNo++B2QMzAnIIYu4B/XLscrqvnQpY
YWoUL0+p3Q4kowsXagDWOS9P3ZLrECZxJ+i6
+nE1esxyAjnxco6oQk5WMo1wTszT+jEjVl3g
WRq7LgvOxWGsG2wPYhU0XQxoF9vkd+jXLRDq
gu+lq9p/BbEvLoFwY5solLVsG3UNxQYDfz7j
8qaRU4AHBDrCtK2AYja55NmHn8+lk0vZi2ri
rE8EXTfx7q+VaPdK/ZzRmc3sv1qwyJPOrT69
czvmUedjE71z9GuUumwXqQkCwNs7ha8YZmey
Yk1JnXLPiRpjsdRN6/b9am9Pn6NfNVEWaSr8
2JmWjpavr/+FFGycyVjPqmukvg53Fbq5a59U
9eRZSfk5N7SF6DKiUStqPXPH6tyAjXgzBglT
ZsDSmx5PjAmnKVbhy9L3cFDBWxX/HIoxQXGu
VZLU5mTvqB1QQJGLFTFVQFYhJpiZ0+h06bgw
AnnDeKpI1JoYpv5osesha7gxHWdqwVM2cs5M
m6eZl2PsgcscDTXyGy8kV894jhQzFWp695Yj
P77Qje9dZsT7gGC0PIFUyvEto0B3oVhdczQH
OoCv2EboCXdUWs8QxGa9jYM1AIVuJB3Shshm
p6K1kvW9Vw5mUypTN6pxhyEZZfAsLSFQ3rnT
qY6x
) ; key id = 52563
86400 RRSIG DNSKEY 7 2 86400 20120101213135 (
20111202213135 11915 wlan-bechlingen.net.
J0yJtQxR0kqNczldV+V0N62Cl6LdpRTxjX9Q
HUEaAQ+XLWHTFin5/V/MsJ+Heqh5WEnyJANQ
OtSGOneE5TqX8OG4iMKYp6STbalnWPiOg4b1
b3m+VKDAuV+TONl45zvDoBIoNp2R6hTLfFkD
9kd2/+16HxQ4YdgGiycVJAkjbBY= )
86400 RRSIG DNSKEY 7 2 86400 20120101213135 (
20111202213135 52563 wlan-bechlingen.net.
cHEQnIdi316DknmbI71TTunsvmRF3ODw99wt
gZ+ld7ZZqBJ3CLyWujMb/ui5n6MRCXvV2bxM
JE7jCkGx8lYTte1nvBgQIeWYys6flp7Wjjx4
A9DeCpfv/ED5hnZCxjtikTTl3mM+a4ue5CjV
ALq7nF5uyRUAChp5A9FI4Oiw1IMYXelGPTzN
PYDePCCDAOBkSev+U+CjC/4CoCn5Z8i85y4a
tbC8VL7xPMl15PEiJIZCl5YyiFMmlD0cDvKp
+AcekDYKRh+m08PqXPDSbKVBBMhKUG/UxLNv5j
JpLlK3VPC6XS0QTbyUm8pamLyM782hfvtZ2+
bB53dY0P/775Uyi4a+uOgD5ysh/gmXNjCPDL
tMN8L0vbnV2/JltEDXAhoNrLpytJYZIz9vmk
1Bodu4bpnf0avASXeR6gD8J2WflA5mJuWQyB
s3pOW0gH7pkMiogkCkFJyg6gVL1SpJOqVaqt
wCqcMQfamxNFi7Tcw6eEJpTSOo0gYEZO1kZp
CwYL5lx+HiH/lByjCk87j4vJXuULW7FCF1cN
POtoomWb2LbOJIyRT4Qp6ZqYt2GP/8wqT9+S
qpOSEtet/yCZHeP9ywGs73LSeqosV6kzzC26
WKLtE2a1rA4OZMixBycz7kguABxnJcVATnTI
1wPMctCl7ZB7BB+x7oXn2VSI50q/bNx/8dM= )
0 NSEC3PARAM 1 0 10 ACEC4913
0 RRSIG NSEC3PARAM 7 2 0 20120101213135 (
20111202213135 11915 wlan-bechlingen.net.
lueZIzTIy4V9rKP3PFSRAbNl26e9JXrQDPaW
q0vf6/SZeqw+v+pitQmYNHq0wFmsOxlLddUv
3O2DW7RtCFYubX8IIRk03FymNPFzvsqxnVeD
G12nwfMwstPz/ehtF9VIKKAOM6+cowW/6IFC
2OBBwF7gvJF397OcPwULSB95qhM= )
Ein einzelner Adresseintrag sieht dann wie folgt aus:
pop.wlan-bechlingen.net. 86400 IN CNAME mail.wlan-bechlingen.net.
86400 RRSIG CNAME 7 3 86400 20120101213135 (
20111202213135 11915 wlan-bechlingen.net.
V482L6EP2jGwpeY3C8mQ32MoQms0sgbNVP4k
GLG8+Cgyp2h+nZmSLWJ5Cy36F5LMeaBVKAAK
HoNcNPKHVFY37QdESBX49lP4SMbaotW9Br6B
49fG/TnGsGsehgCNJ6UOaDK1TFQ5yKc+Jp1m
k9DQuygtTJEfQWhMIyw8AqDAKf4= )
Ganz besonders wichtig in Zusammenhang mit Zensur ist, das eine spezielle
Kette eingefügt wird, der es erlaubt, festzustellen ob das nicht Vorhandensein eines Eintrag seine Richtigkeit hat und vom Inhaber der Domain so gewünscht ist.
1JLNMD7VRPP7TBCHUDJN1BKG0889Q7UK.wlan-bechlingen.net. 86400 IN NSEC3 1 0 10 ACEC4913 1K6VTGJJ223AG00P1C1TIA7Q5VNPMATO A RRSIG
86400 RRSIG NSEC3 7 3 86400 20120101213135 (
20111202213135 11915 wlan-bechlingen.net.
Ht1d2tVP5PxUzzr57BxmvgyeJWVSIbsXMZsU
8axAPDf/jRfC2nfpslfvcpppEkFJKCo0S7v/
/6OFCE0xbU5ks7G8wiZdGMP1YeD2hmsmAwga
amq19TSoxguP7k2W5eQ3rO4rHpLAV01RTiLY
y5tpEwY2f0sWW+G7E9/J5mCBJ3I= )
1K6VTGJJ223AG00P1C1TIA7Q5VNPMATO.wlan-bechlingen.net. 86400 IN NSEC3 1 0 10 ACEC4913 1PDIIQG9P60ILL9OOTF87QJ92PMR2RMD A RRSIG
86400 RRSIG NSEC3 7 3 86400 20120101213135 (
20111202213135 11915 wlan-bechlingen.net.
MajxfEgYqhVeeaFJjSnA+Ip0wXLTqNtMUHf/
92EvytWZ5vmPI4yVoMrWrH23W72lrKhP43/S
BREOsu0q72dRvNZrIyaA9FlOA52MiJ9N9XVV
ZBD2Dc/4AU5dUMJVAb6rf/gvoGWA7oXseDuW
KPjZX9EKB4eSHHmmEVcg9qoU5is= )
2Q8Q2TF570EFQVJ0P6VQ3L1DQ186U5CU.wlan-bechlingen.net. 86400 IN NSEC3 1 0 10 ACEC4913 3TPG3F2NNQFNA2GO8JPSEVN2Q1IEDDE7 A RRSIG
86400 RRSIG NSEC3 7 3 86400 20120101213135 (
20111202213135 11915 wlan-bechlingen.net.
ie5pWhRQjqE1DI2Im9h/3bcsvK0KsOrrMDBg
WGY+8fWqHvI7qW7Ea9wlE2uvCsDlKadLZMIj
G2WUROPtFhD1vy1UYfc9qlhM1kEMRp6sVDJr
bzkkZRHQF+I4NVTFhK94j2OSpTaHXN+ana3U
HHza/4ha1JlIxSmDkFQPlKmp+Hs= )
Die mit Salz vergällten Hashsummen werden verwendet, um zu verhindern, das sich jemand alle Symbole einer Domain runter lädt, wenn er dazu nicht befugt ist. Entwickelt wurde das System um die Jahrtausendwende, als clevere Pfischer feststellten, das man bei bestimmten dns caches besonderes leicht Schrottwerte etablieren kann, und damit Bankkunden auf einem anderen Server ziechen kann, um an Zugangsdaten zu kommen. Heute kann es aber auch verwendet werden, um Regierungen von DNS Manipulationen fernzuhalten. Wir sollten es im Interesse der vielen im Aufbau befindlichen Piratenparteien benutzen.
Keine Kommentare:
Kommentar veröffentlichen