Seite 2: Rootzone umgebogen

Inhaltsverzeichnis

Wie ein Ausschnitt aus der vom CMC herausgegebenen Konfigurationsdatei fürs russische NDNS nahelegt, werden die Anfragen an die Rootserver über zwei lokale Server geschleust, a.auth-nsdi.ru (195.208.6.1) und b.auth-nsdi.ru (195.208.7.1), beziehungsweise eine IPv6-Variante, analysiert Hans-Peter Dittler, erfahrener Internetexperte und langjähriges Vorstandsmitglied der Internet Society. Damit werde die Rootzone nicht mehr von offiziellen Rootservern bezogen, sondern von zwei alternativen Servern. Als lokaler Server arbeite dabei mu-lb.cmu.msk-ix.ru (194.85.254.37). Das ist ein Server beim Moskau Internet Exchange.

Noch eine zweite "Verbiegung" von DNS-Verkehr gibt es. Dabei wird die in den russischen Richtlinien aufgeführte BIND-Variante angewiesen, alle DNS-Anfragen erst einmal weiterzuleiten, und zwar ungefiltert an die beiden Resolver a.res-nsdi.ru (195.208.4.1) und b.res-nsdi.ru (195.208.5.1). "Bind arbeitet mit dieser Konfiguration nur noch als Proxy", so Dittler.

DNS-Server mit dieser Konfiguration wären den eingetragenen Servern ausgeliefert, erläutert er. Privacy futsch, Fälschungssicherheit ade – und zugleich sehe er dies als Sollbruchstelle für Manipulationen.

Einheitliche Rootzone der Klebstoff fürs Netz

Isnavins Frage nach der Haltung des RIPE zu den immer weiter ausdifferenzierten Regeln beantwortete Kaveh Ranjibar, RIPE NCC-CIO, mit dem Bekenntnis zur einheitlichen Rootzone des globalen DNS. Das RIPE NCC betreibt für den von ihm betriebenen K-Rootserver Anycast-Instanzen in Moskau, St. Petersburg und Nowosibirsk.

"Als Betreiber eines der 13 Rootserver werden wir die IANA-Rootzone anbieten, nichts anderes, jetzt und in Zukunft. Sollte uns dies durch Regulierung untersagt werden oder von uns Daten verlangt werden, wie wir das tun, die über die üblichen Auskünfte hinausgehen, oder sollten von uns Änderungen der Daten verlangt werden, würden wir die entsprechende Instanz des Rootservers nicht mehr anbieten", so Ranjibar. Die Veränderung der Root-Daten würde durch DNSSEC überdies zu Validierungsfehlern führen. Sofern Moskau aber die Infrastruktur an sich zieht, trifft das natürlich nicht mehr zu.

Ranjibars Kollege Marco Hogewoning merkt an, dass die Konsistenz – also der Umstand, dass alle Rootserver exakt die gleichen, von IANA veröffentlichten Antworten auf DNS Anfragen liefern – das Fundament des Internets bilde. In gewisser Weise seien auch die Vorschläge der EU-Kommission zur novellierten Netzwerksicherheitsverordnung (NIS2), die ebenfalls Thema beim RIPE83 (PDF-Datei) war, eine Abkehr von der Idee einer unabhängigen, von verschiedenen Organisationen und auf unterschiedlichen Systemen provisionierten DNS-Basisinfrastruktur. Natürlich mache Europa keine Auflagen für den Betrieb der Rootserver wie Russland. Dennoch könnte der Eingriff in die globale Internet-Selbstverwaltung andere Regierungen inspirieren.

Private Inselbildung

APNIC-Chefwissenschaftler Geoff Huston entwarf ein düsteres Szenario für das einst globale Netz. Längst hätten Regierungen einem einheitlichen DNS den Garaus gemacht. Eine zweite Entwicklung sei die Zögerlichkeit von Internet-Providern bei der Implementierung von mehr Sicherheit des als Kitt wirkenden DNS.

Von den Regierungen zu Spezialversionen und Zensur à la carte gezwungen, hätten große Plattformen wie Google oder Facebook zudem immer weniger Geduld, darauf zu warten, dass die DNS-Branche mitzieht bei der Absicherung des DNS mit DNSSEC oder DNS über TLS oder HTTPS.

Der Australier rechnet daher damit, dass Applikations-spezifische Namensräume das universelle Internet ablösen werden. Die großen Applikationen geben den Ton an und ziehen in so verschiedene Richtungen, meint Huston, dass die Universalität und Einheitlichkeit auf der Strecke bleiben müssen. Es sei unheimlich, so Huston, "aber da geht die Reise hin."

(tiw)