05 Dezember 2011

Piraten, wir sollten unsere DNS Einträge gegen Regierungsmanipulationen schützen!

Jetzt wo der Parteitag vorbei ist, möchte ich auf die zunehmende Bereitschaft von Regierungen hinweisen, den Zugang zu Webseiten per DNS sperren zu verlegen. In der elementarsten Form kann man diese Umgehen, indem man anderen DNS server im Internet sucht. Allerdings hat der Nutzer dann nicht die Möglichkeit zu erkennen, ob der Anbieter seinen DNS Server betreibt, um mit "Man in the Middle" Aktionen an Geld zu kommen.

Auch kann es sein, das clevere Regierungen versuchen, die DNS Packete an entfernte Server ebenfalls zu manipulieren. So ein Programm zu schreiben ist kein Hexenwerk. Insoweit sollten alle Server auch einen Endpukt im Hidden space des tor und i2p system haben, so das ein Nutzer im Notfall auch auf den DNS verzichten kann.

Außerdem sollten die Domains mit dem DNSSEC system gesichert werden. Die ROOT zone ist signiert, die top level Domains ".de", ".com", ".net", ".org", und viele andere sind schon mit DNSSEC gesichert. Mit einem plugin kann der Browser so aufgerüstet werden, das man erkennen kann, ob am DNS rumgepfuscht worden ist. Das mit dem DNSSEC ist etwas lästig, aber mit dem entsprechendem Makefile lässt sich der nötige resigning und rekeying Aufwand durch automatisieren beseitigen. Man sollte auch vermeiden, das man keine interdomain referenzen, z.B. mit CNAME oder SPF, macht, wenn man sowohl Ziel- als auch Quelldomain kontrolliert. Dann sollte man die Definitionen mit einem Prozessor automatisiert in die verschiedenen Zonenfiles kopieren. Der Grund dafür ist, das z.B. die Amerikanische Regierung in den von ihnen kontrollierten Toplevel Domains ".us", ".com", ".org", ".net", ".gov", ... solche sogar ohne Gerichtsbeschluss beschlagnahmen können will. Da wollen Leute undemokratisch vermeiden, das man ihn mit Veröffentlichungen wie "collateral murder" auf die Zehen tritt. Dazu will man solche Angebote möglichst auch in fernen Ländern unerreichbar machen.

Eine solche Zone sieht dann wie folgt aus: Als erstes kommen die Kopfeinträge. Jeder Record hat sein RRSIG mit dem die Echtheit bestätigt werden kann. Dann gibt es die DNSKEY, mit denen deren Echtheit getestet werden kann. Damit die Nutzer nicht einen falschen DNSKEY bekommen, werden in der übergeordneten Domain neben den NS Einträgen auch DS einträge mit den SHA's der korrekten Schlüssel hinterlegt. Damit das nicht zu oft erneuert werden muss, gibt es einen langen Schlüssel, mit dem zunächst ein kleinerer Schlüssel validiert, mit dem dann die einzelnen Records gesichert sind.


wlan-bechlingen.net.    86400   IN SOA  blocka.hchs.de. carlos.hchs.de. (
                                        2011000043 ; serial
                                        28800      ; refresh (8 hours)
                                        7200       ; retry (2 hours)
                                        604800     ; expire (1 week)
                                        86400      ; minimum (1 day)
                                        )
                        86400   RRSIG   SOA 7 2 86400 20120101213135 (
                                        20111202213135 11915 wlan-bechlingen.net.
                                        JgvI3zHNp1sTFP7imBWTgqKeDs2Si5VeZSui
                                        KdQ2NVC3dqsXvTVjwda1Xj2imYinHGmgMhZi
                                        dRczWBf0GlLC24JAxSZcqQT/je+MU28r0pJv
                                        eChgbao9gH5sk6muUvkTU0w5xl5gi3vFsT63
                                        T8iQuSbYGSqN0XZ68ShSrn4fhLE= )
                        86400   NS      fix.usenet-replayer.com.
                        86400   NS      v6gw.hchs.de.
                        86400   NS      dp0v6.usenet-replayer.de.
                        86400   NS      fixv6.usenet-replayer.com.
                        86400   NS      ultra.un-r.com.
                        86400   NS      blocka.hchs.de.
                        86400   NS      ultra5.un-r.com.
                        86400   NS      dp0-con.ip-mobilphone.net.
                        86400   NS      wififw2.ip-mobilphone.net.
                        86400   NS      wififw10.ip-mobilphone.net.
                        86400   RRSIG   NS 7 2 86400 20120101213135 (
                                        20111202213135 11915 wlan-bechlingen.net.
                                        QXd1Ai/aTpl72eAQW0y3/iJ4DeUcZLNe/Izh
                                        Sbr6hJkKz4aeIHnszNjrJIkFt6FLIlSgnJIQ
                                        2FcJyz86pvyNfcRkberSFCky/JyX5HVHgnWE
                                        hrebKe4zjCzQptU7ESTQGC9f7qI0MQhSL3Ax
                                        YVMkmy1Ru2pZolXK3ENAEYleOiA= )
                        86400   MX      5 mailin.wlan-bechlingen.net.
                        86400   RRSIG   MX 7 2 86400 20120101213135 (
                                        20111202213135 11915 wlan-bechlingen.net.
                                        ICWhb4vHZXsGenzIqozo82CvLZtMzq98B5If
                                        LeBgwHddYiACVMH88Zrf49fElVZsnRb/vPYa
                                        KZbWPjNhDKZaDrA4lch+dDSlEX7MTAjw9PJw
                                        0SZ0/VSRh8LAs/c6Leej328J6mnLratEyUEH
                                        qt+tZYuo9nJL37354s8t9Sazq/g= )
                        86400   TXT     "v=spf1 ip4:195.226.80.20 ip4:217.20.115.53 ip4:217.20.121.64/31 -all"
                        86400   RRSIG   TXT 7 2 86400 20120101213135 (
                                        20111202213135 11915 wlan-bechlingen.net.
                                        Jy/4xoAiBQbRnX/goSZymdD74+hORyJw5aQh
                                        QUg3AfPIOw51wrGwNDmlLVcjkdmgSJVxek4q
                                        GjrBnQs6EmjbPSJYJMdBTLJN0FUR4sFCSKxw
                                        sl/jKlv1vMXtEW4qqslWm3ssBL2muM8Kp/7p
                                        TJNusvIAbZx07vDkBkDi+/hEphI= )
                        86400   DNSKEY  256 3 7 (
                                        AwEAAaK9iufjIcEvXY8gajcJ+H3/qqi8wTXp
                                        AtQ9QDuqY5k7Uie3REqlOFcYG+IFZ6hRPwUw
                                        cbUZYy/p1gQB/2cMG1tVLWLwD9u3fNHzD4uP
                                        NSBRBEMN4mDWfoNaQHRCYm6vvFZUPitOyDe/
                                        JB4lA6+1bPeTjGRIAFkBxSYF+fhpSbyL
                                        ) ; key id = 11915
                        86400   DNSKEY  257 3 7 (
                                        AwEAAdxtDCAa7UiPGsfpMdoiFshbctOQ5Vfl
                                        NBqZyFhNo++B2QMzAnIIYu4B/XLscrqvnQpY
                                        YWoUL0+p3Q4kowsXagDWOS9P3ZLrECZxJ+i6
                                        +nE1esxyAjnxco6oQk5WMo1wTszT+jEjVl3g
                                        WRq7LgvOxWGsG2wPYhU0XQxoF9vkd+jXLRDq
                                        gu+lq9p/BbEvLoFwY5solLVsG3UNxQYDfz7j
                                        8qaRU4AHBDrCtK2AYja55NmHn8+lk0vZi2ri
                                        rE8EXTfx7q+VaPdK/ZzRmc3sv1qwyJPOrT69
                                        czvmUedjE71z9GuUumwXqQkCwNs7ha8YZmey
                                        Yk1JnXLPiRpjsdRN6/b9am9Pn6NfNVEWaSr8
                                        2JmWjpavr/+FFGycyVjPqmukvg53Fbq5a59U
                                        9eRZSfk5N7SF6DKiUStqPXPH6tyAjXgzBglT
                                        ZsDSmx5PjAmnKVbhy9L3cFDBWxX/HIoxQXGu
                                        VZLU5mTvqB1QQJGLFTFVQFYhJpiZ0+h06bgw
                                        AnnDeKpI1JoYpv5osesha7gxHWdqwVM2cs5M
                                        m6eZl2PsgcscDTXyGy8kV894jhQzFWp695Yj
                                        P77Qje9dZsT7gGC0PIFUyvEto0B3oVhdczQH
                                        OoCv2EboCXdUWs8QxGa9jYM1AIVuJB3Shshm
                                        p6K1kvW9Vw5mUypTN6pxhyEZZfAsLSFQ3rnT
                                        qY6x
                                        ) ; key id = 52563
                        86400   RRSIG   DNSKEY 7 2 86400 20120101213135 (
                                        20111202213135 11915 wlan-bechlingen.net.
                                        J0yJtQxR0kqNczldV+V0N62Cl6LdpRTxjX9Q
                                        HUEaAQ+XLWHTFin5/V/MsJ+Heqh5WEnyJANQ
                                        OtSGOneE5TqX8OG4iMKYp6STbalnWPiOg4b1
                                        b3m+VKDAuV+TONl45zvDoBIoNp2R6hTLfFkD
                                        9kd2/+16HxQ4YdgGiycVJAkjbBY= )
                        86400   RRSIG   DNSKEY 7 2 86400 20120101213135 (
                                        20111202213135 52563 wlan-bechlingen.net.
                                        cHEQnIdi316DknmbI71TTunsvmRF3ODw99wt
                                        gZ+ld7ZZqBJ3CLyWujMb/ui5n6MRCXvV2bxM
                                        JE7jCkGx8lYTte1nvBgQIeWYys6flp7Wjjx4
                                        A9DeCpfv/ED5hnZCxjtikTTl3mM+a4ue5CjV
                                        ALq7nF5uyRUAChp5A9FI4Oiw1IMYXelGPTzN
                                        PYDePCCDAOBkSev+U+CjC/4CoCn5Z8i85y4a
                                        tbC8VL7xPMl15PEiJIZCl5YyiFMmlD0cDvKp
                                        +AcekDYKRh+m08PqXPDSbKVBBMhKUG/UxLNv5j
                                        JpLlK3VPC6XS0QTbyUm8pamLyM782hfvtZ2+
                                        bB53dY0P/775Uyi4a+uOgD5ysh/gmXNjCPDL
                                        tMN8L0vbnV2/JltEDXAhoNrLpytJYZIz9vmk
                                        1Bodu4bpnf0avASXeR6gD8J2WflA5mJuWQyB
                                        s3pOW0gH7pkMiogkCkFJyg6gVL1SpJOqVaqt
                                        wCqcMQfamxNFi7Tcw6eEJpTSOo0gYEZO1kZp
                                        CwYL5lx+HiH/lByjCk87j4vJXuULW7FCF1cN
                                        POtoomWb2LbOJIyRT4Qp6ZqYt2GP/8wqT9+S
                                        qpOSEtet/yCZHeP9ywGs73LSeqosV6kzzC26
                                        WKLtE2a1rA4OZMixBycz7kguABxnJcVATnTI
                                        1wPMctCl7ZB7BB+x7oXn2VSI50q/bNx/8dM= )
                        0       NSEC3PARAM 1 0 10 ACEC4913
                        0       RRSIG   NSEC3PARAM 7 2 0 20120101213135 (
                                        20111202213135 11915 wlan-bechlingen.net.
                                        lueZIzTIy4V9rKP3PFSRAbNl26e9JXrQDPaW
                                        q0vf6/SZeqw+v+pitQmYNHq0wFmsOxlLddUv
                                        3O2DW7RtCFYubX8IIRk03FymNPFzvsqxnVeD
                                        G12nwfMwstPz/ehtF9VIKKAOM6+cowW/6IFC
                                        2OBBwF7gvJF397OcPwULSB95qhM= )


Ein einzelner Adresseintrag sieht dann wie folgt aus:


pop.wlan-bechlingen.net. 86400  IN CNAME mail.wlan-bechlingen.net.
                        86400   RRSIG   CNAME 7 3 86400 20120101213135 (
                                        20111202213135 11915 wlan-bechlingen.net.
                                        V482L6EP2jGwpeY3C8mQ32MoQms0sgbNVP4k
                                        GLG8+Cgyp2h+nZmSLWJ5Cy36F5LMeaBVKAAK
                                        HoNcNPKHVFY37QdESBX49lP4SMbaotW9Br6B
                                        49fG/TnGsGsehgCNJ6UOaDK1TFQ5yKc+Jp1m
                                        k9DQuygtTJEfQWhMIyw8AqDAKf4= )


Ganz besonders wichtig in Zusammenhang mit Zensur ist, das eine spezielle
Kette eingefügt wird, der es erlaubt, festzustellen ob das nicht Vorhandensein eines Eintrag seine Richtigkeit hat und vom Inhaber der Domain so gewünscht ist.


1JLNMD7VRPP7TBCHUDJN1BKG0889Q7UK.wlan-bechlingen.net. 86400 IN NSEC3 1 0 10 ACEC4913 1K6VTGJJ223AG00P1C1TIA7Q5VNPMATO A RRSIG
                        86400   RRSIG   NSEC3 7 3 86400 20120101213135 (
                                        20111202213135 11915 wlan-bechlingen.net.
                                        Ht1d2tVP5PxUzzr57BxmvgyeJWVSIbsXMZsU
                                        8axAPDf/jRfC2nfpslfvcpppEkFJKCo0S7v/
                                        /6OFCE0xbU5ks7G8wiZdGMP1YeD2hmsmAwga
                                        amq19TSoxguP7k2W5eQ3rO4rHpLAV01RTiLY
                                        y5tpEwY2f0sWW+G7E9/J5mCBJ3I= )
1K6VTGJJ223AG00P1C1TIA7Q5VNPMATO.wlan-bechlingen.net. 86400 IN NSEC3 1 0 10 ACEC4913 1PDIIQG9P60ILL9OOTF87QJ92PMR2RMD A RRSIG
                        86400   RRSIG   NSEC3 7 3 86400 20120101213135 (
                                        20111202213135 11915 wlan-bechlingen.net.
                                        MajxfEgYqhVeeaFJjSnA+Ip0wXLTqNtMUHf/
                                        92EvytWZ5vmPI4yVoMrWrH23W72lrKhP43/S
                                        BREOsu0q72dRvNZrIyaA9FlOA52MiJ9N9XVV
                                        ZBD2Dc/4AU5dUMJVAb6rf/gvoGWA7oXseDuW
                                        KPjZX9EKB4eSHHmmEVcg9qoU5is= )
2Q8Q2TF570EFQVJ0P6VQ3L1DQ186U5CU.wlan-bechlingen.net. 86400 IN NSEC3 1 0 10 ACEC4913 3TPG3F2NNQFNA2GO8JPSEVN2Q1IEDDE7 A RRSIG
                        86400   RRSIG   NSEC3 7 3 86400 20120101213135 (
                                        20111202213135 11915 wlan-bechlingen.net.
                                        ie5pWhRQjqE1DI2Im9h/3bcsvK0KsOrrMDBg
                                        WGY+8fWqHvI7qW7Ea9wlE2uvCsDlKadLZMIj
                                        G2WUROPtFhD1vy1UYfc9qlhM1kEMRp6sVDJr
                                        bzkkZRHQF+I4NVTFhK94j2OSpTaHXN+ana3U
                                        HHza/4ha1JlIxSmDkFQPlKmp+Hs= )

Die mit Salz vergällten Hashsummen werden verwendet, um zu verhindern, das sich jemand alle Symbole einer Domain runter lädt, wenn er dazu nicht befugt ist. Entwickelt wurde das System um die Jahrtausendwende, als clevere Pfischer feststellten, das man bei bestimmten dns caches besonderes leicht Schrottwerte etablieren kann, und damit Bankkunden auf einem anderen Server ziechen kann, um an Zugangsdaten zu kommen. Heute kann es aber auch verwendet werden, um Regierungen von DNS Manipulationen fernzuhalten. Wir sollten es im Interesse der vielen im Aufbau befindlichen Piratenparteien benutzen.

Keine Kommentare:

Kommentar veröffentlichen