China Telecom jagt VPN-Nutzer

Der chinesische Provider will sich mit technischen Mitteln gegen eine VPN-Software wehren, mit der man das WLAN-Netz von China Telecom ohne Authentifizierung nutzen kann.

In Pocket speichern vorlesen Druckansicht 56 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Monika Ermert

China Telecom (CT) will die Nutzung von VPNs unterbinden, die den Authentifizierungs- und Sign-In-Prozess für das WLAN-Netz des Providers umgehen. Bei einer Expertentagung des Global Cyber Security Center (GCSC), der Internet Corporation for Assigned Names and Numbers (ICANN) und des DNS Operations, Analysis, and Research Center (OARC) zur DNS-Gesundheit in Rom stellte Liu Ziqian, Ingenieur bei China Telecom, seine Analyse der "Tricks" von Loopc VPN vor, das offensichtlich IP-Daten über das Domain Name System (DNS) tunnelt.

Durch einen Bericht aus Südchina sei man auf das vom chinesischen Online-Einkaufsportal Taobao vertriebene Angebot aufmerksam geworden, berichtete Liu, der das WLAN-Netz des Marktführers entwickelt hat. Loopc VPN biete seinen Käufern gegen eine monatliche Grundgebühr den unbeschränkten Internet-Zugang über die Hotspots von China Telecom und auch China Mobile an.

Das Konzept für IP over DNS ist bereits mehr als 10 Jahre bekannt und setzt voraus, dass man einen DNS-Server samt eigener Domain (etwa tunnel.example.com) im Internet betreibt. Auf der Client-Seite funktioniert das Konzept selbst in einem abgeschotteten Netz, wenn dort ein DNS-Server läuft, der fremde Domain-Namen über das Internet auflöst.

In einfachen Implementierungen versteckt man Anfragen etwa im Hostnamen (etwa jSf19312nC620h.tunnel.example.com). Fragt man den vollständigen Servernamen beim DNS-Server des LANs ab, durchsucht dieser zuerst seinen Cache. Da er dort nichts findet, startet er eine iterativen Anfrage und hangelt sich so bis zum für tunnel.example.com zuständigen DNS-Server durch, der ihm eine Antwort liefert.

Dieser arbeitet allerdings gleichzeitig als Tunnelendpunkt: Der Server dekodiert die eigentliche Anfrage aus dem Hostnamen, holt mit diesen Informationen die Nutzdaten aus dem Internet und sendet sie beispielsweise im TXT-Record der DNS-Antwort zurück. Der Client packt sie seinerseits aus und leitet sie an Anwendungsprogramme wie einen Browser weiter. Die quelloffene Software iodine nutzt solche Techniken.

Die Ingenieure der China Telecom konnten bei ihrer Analyse Szenarien ausmachen, wie Loopc VPN-Verbindungen über das Netz des Providers tunnelt. So nutzt die Software das oben beschriebene Verfahren. Zusätzlich variiert die Software die Ziel-Domain und der als Tunnelendpunkt arbeitende DNS-Server von Loopc VPN markiert seine Antworten auf die DNS-Anfragen des Loopc-VPN-Clients als DNS-Fehler, was offenbar dem Caching im DNS-Server bei China Telecom vorbeugen soll.

Als Gegenmaßnahme wollen die China-Telecom-Techniker "Suffix Matching/Requested Frequency Counting" (SM/RFC) einsetzen: Das Verfahren identifiziert offenbar über die Zahl der Zugriffe verdächtige Domains und blockiert für eine gewisse Zeit und beim Überschreiten bestimmter Werte Anfragen dorthin. Große Anbieter wie die Suchmaschine Baidu will man per Whitelist davon ausnehmen. Zur Frage, ob China Telekom auch auf anderen Weg als über technische Maßnahmen gegen Loopc VPN vorgehen will, äußerte sich Liu Ziqian nicht. Pakete für Loopc VPN sind derzeit auf der Taobao-Seite nach wie vor erhältlich.

Was aus Ingenieurssicht als Schutz der eigenen Infrastruktur vor "free ridern" präsentiert wurde, ist für all diejenigen, die in China gerne unbeobachteten und ungefilterten Zugang haben wollen, keine gute Nachricht. Loopc VPN hebelt anscheinend die Filtermechanismen des Providers aus. Ob es auch die Filter der Großen Firewall respektive des Golden Shields umgeht, ist allerdings noch unklar. Auf die Frage, inwieweit Loopc mit rasch wechselnden Domains in die nächste Runde des Wettrüstens geht, beantwortete Liu, dass für die IP-over-DNS-Tunnel auf jeden Fall ein paar stabile Domains notwendig seien.

Auch auf der Konferenz selbst mussten sich die DNS-Experten eine Schlacht mit den Filtergepflogenheiten des italienischen Konferenznetz-Betreibers liefern: So mussten sie etwa die DNS-Sicherung DNSSEC auf ihren Geräten deaktivieren um auf die für die Anmeldung nötige WLAN-Authentifizierungsseite zu gelangen. Außerdem verbrachten zahlreiche Teilnehmer des Workshops viel Zeit damit, Schlupflöcher für ihre VPN-Software zwischen den zahlreichen gesperrten Ports zu finden. (rek)