DNS

Aus Piratenwiki
Wechseln zu: Navigation, Suche

Ansprechpartner

für dieses Ressort ist Peter Dambier Volunteer macbroadcast

Was ist das?

Das Domain Name System - quasi das Adressbuch des Internets, in dem griffige Domainnamen wie "piratenpartei.de" in maschinenlesbare IP-Adressen wie "175.144.10.101" übersetzt werden. Erst mit diesen IP-Adressen können Rechner untereinander kommunizieren. Die Domainnamen dienen dem Menschen, der sich Zahlen meist schlecht merken kann, sozusagen als kommunizierbare Ersatzadresse.

Wo ist das Problem?

Das DNS hat für die Piraten sowohl politische als auch technische Dimension. Es ist für den normalen Nutzer eine elementare Zugangsvorraussetzung zum Netz, juristisches Streuminenfeld einer entarteten Markenrechtspolitik, ein offenes Datenschutzloch für Betreiber und Objekt internationalen Ränkespiels, über die Frage, wer die Kontrolle über die Root-Server behält.

    1. Infrastrukturmonopole:Es gibt eine amerikanische Telefonbuch-Behördenfirma (?) ICANN, die ein Monopol auf die Vergabe von Internetdomains beansprucht, so das zentrale Adressbuch der Welt kontrolliert und sich und ihre Registrare (Domainverwertungsgesellschaften):
      • für ihre Dienste monopolmäßig teuer bezahlen lassen.
      • unliebsame TLDs ausknippsen oder umleiten können.
      • an Weisungen der US-Behörden gebunden sind.
    2. Verschiedene alternative Adressbücher oder auch alternative DNS root, u.a. die Cesidian Root schliessen sich gerade zu einem Konsortium zusammen, um unter alternativen Statuten ein eigenes, freies und kostengünstiges Telefonbuch zu betreiben.
    3. Überwachung & Zensur: der DNS-Server deines Providers (also desjenigen der per Gesetz deine Identität kennen und preisgeben muss) registriert jede Domain, die du besuchst (im Regelfall sogar den genauen Zeitpunkt des Besuches) und ist ein idealer Ansatzpunkt um:
      • Nutzer zu detailliert überwachen
      • gezielt Domains zu zensieren
    4. Zensursula abschalten: Wenn du diese Nameserver einträgst umgehst du die von der Familienministerin durchgedrückte Internetzensur und gerätst nicht in Gefahr, versehentlich auf der Stopseite zu landen, was einen Anfangsverdacht gegen dich begründen würde.
      Änderst du deinen Nameserver auf einen anderen (nicht vom Provider vorgegebenen), wird die Überwachung deutlich schwerer, die Zensur auf rechtsstaatlichem Wege unmöglich.
    5. Freiheitlichkeit: die alternativen Roots enthalten TLDs, die nicht der (lokalen) Rechtsstaatlichkeit unterstehen können, da sie virtuelle Konstrukte mit i.d.R. nicht greifbaren Administratoren sind.

Was ist die Lösung?

Antwort auf allen Ports

Da manche Provider (z. B. Vodafone in Teilen des UMTS-Netzes) es für nötig halten, Nutzer technisch auf ihre (künftig zensierten) DNS-Server zu leiten bzw. andere DNS-Server zu sperren, sollten DNS-Server auf so vielen Ports wie möglich antworten. Dadurch wird das bisher praktizierte und sehr einfache portbasierte Sperren freier DNS-Server verhindert. Leider erfordert diese Lösung derzeit oft Gefrickel beim Nutzer. Ich habe bei OpenDNS den Vorschlag gemacht, künftig auf allen Ports Anfragen zu beantworten, diesen Vorschlag kann man unterstützten, indem man unter [1] dafür stimmt (OpenDNS-Account erforderlich).

Die Provider können zwar anfangen nach IPs zu sperren, das wird aber umso schwieriger je mehr Server auf unüblichen Ports antworten. Außerdem kann das rechtliche Probleme für die Provider geben, wenn sie dabei Kollateralschäden verursachen.

Die Provider würden wohl auch theoretisch mit Deep Packet Inspection effektiv dagegen vorgehen können, das dürfte aber illegal sein (hat jemand dazu eine Quelle mit den rechtlichen Hintergründen?).

Hier sollte jemand eine getestete (!) Anleitung für DNS-Server-Betreiber einfügen, wie man den Server am Einfachsten umstellt.

.pirates

Die Piraten (nicht die Partei) verfügen über die Top-Level-Domain .pirates. Diese ist über praktisch alle alternativen Roots zu erreichen, aber nicht über die Standard-Roots. Verantwortlich für die Domains unter .pirates ist im Moment noch allein Peter Dambier, eine eigene NIC (so etwas die denic) befindet sich gerade im Aufbau.

Anleitung

Anleitung zum Eintragen unserer Nameserver in marktübliche Betriebssysteme: WICHTIG!!!

- allerdings können wir das sicher viel schöner machen.

Unix/Linux/Solaris

1. Melde dich auf deinem System als root an, oder benutze das Kommando sudo su in der Konsole. Damit die Änderungen greifen können, musst du root-rechte haben.

2. Gib folgendes in Deine Kommandozeile ein:

prompt:~$ cp /etc/resolv.conf /etc/resolv.conf.backup

Dies erstellt ein Backup deiner /etc/resolv.conf Datei für den Fall, dass du deine bisherige Konfiguration wiederherstellen musst.

3. benutze einen Editor wie vi oder nano um deine /etc/resolv.conf Datei zu editieren.

3.1. Falls eines der Felder die Adresse 127.0.0.1 enthält, läuft bei Dir sehr wahrscheinlich ein domain name server. Du solltest darüber nachdenken die Cache-Konfiguration zu ändern. Du kannst auch Deinen DNS-Server als root-server laufen lassen.

3.2. Ersetze alle gelisteten Nameserver Felder mit 89.238.64.148 und 213.239.204.35. Falls eines der Nameserver Felder die Adresse 127.0.0.1 enthält, musst du deinen name server cache upgraden oder 127.0.0.1 durch 24.129.114.64 austauschen.

3.3. Die Datei sollte anschließend z.B. so aussehen:

# /etc/resolv.conf
# Our domain
domain cesidio.net
# Our nameservers
nameserver 89.238.64.148
nameserver 213.239.204.35

3.4. Abspeichern nicht vergessen

sofern vorhanden:
4. /etc/ppp/pppoe.conf (Zumindest hier unter Gentoo notwendig, bitte checken wo überall noch)

4.1 Ändere den Wert von PEERDNS auf no und DNSTYPE auf nochange
(abweichende Distributionen können den Wert ggf. anders nennen)

5. /etc/dhcp/dhcpd.conf
sofern hier den clients automatisch ein nameserver übergeben wird, muss dieser auch angepasst werden.

6. Aktualisierungen übernehmen
starte die Services neu, bei denen Du die Konfiguration geändert hast. Wenn du nicht weißt, wie man Services neu startet, starte einmal deinen Rechner neu.

7. besuche zum Test http://gov.ttf wenn die Seite läd, hast du alles richtig gemacht

Technische Details

PiratenDNS, wie es zur Zeit funktioniert

78.47.115.193   ns1.pirates             allgemeiner DNS-Server
78.47.115.194   a-root.cesidio.net      Root-Server
78.47.115.195   ns3.cesidio.net         Resolver
78.47.115.196   ns4.pirates             allgemeiner DNS-Server
78.47.115.197   b-root.cesidio.net      Root-Server
78.47.115.198   ns6.cesidio.net         Resolver


ns1.pirates

IP: 78.47.115.193
Software: Bind 9.4.0

Bind 9.4.0 oder aktuell neueste Version. Auf diesem Server werden die pirates TLD und verschiedene SLD wie de.pirates oder befreundete Domains gehostet. Im Austausch werden unsere Domains von befreundeten Nameservern gespiegelt.

a-root.cesidio.net: Root-Server

IP: 78.47.115.194
Software: Bind 9.4.0

Dies ist ein Root-Server fuer die Cesidian-Root. Er liefert also die TLD .pirates (und einige andere) und bestimmt die Zuständigkeiten innerhalb .pirates.

ns3.pirates: Nameserver

IP: 78.47.115.195
Software: Bind 9.4.0

Dies ist der eigentliche Resolver, den man in die /etc/resolv.conf oder die Windows-Karteikarte "DNS-Server" eintragen muss.

ns4.pirates: experimenteller Nameserver

IP: 78.47.115.196
Software: Bind 9.4.0

Wie ns1.pirates. Wird gelegentlich zu Experimenten genutzt.

b-root.cesidio.net: Sammelserver

IP: 78.47.115.197
Software: Bind 9.4.0

Wie der a-root.cesidio.net, nur experimentierfreudiger.

ns6.cesidio.net: Resolver

IP: 78.47.115.198
Software: Bind 9.4.0


Dieser Nameserver, zusammen mit ns3.pirates ersetzt die beiden Nameserver, die uns der ISP beim Verbindungsaufbau "schenkt". Damit steht uns nicht nur die Welt von .pirates (und vielen anderen alternativen TLDs) offen. Auch Datenspuren bei und Blockadeversuche ("Sperrverfügungen") von all zu paternalen Providern verhindert er.

Dieser Server muss als Nameserver eingetragen werden um .pirates zu nutzen.


Siehe auch