Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Fragmentiertes Netz: Regulierungswut und ein Ende des einheitlichen Namensraums

Russland arbeitet an seinem "souveränen" Internet und verbiegt dafür Zugriffe auf Rootserver. Und weltweite Plattformen lassen private DNS-Inseln entstehen.

In Pocket speichern vorlesen Druckansicht 195 Kommentare lesen

(Bild: lensmen/Shutterstock.com)

Lesezeit: 6 Min.
c't Magazin
Von
  • Monika Ermert
Inhaltsverzeichnis

Ein aktueller Bericht über Russlands Regulierungswut im Internet (PDF-Datei) belegt den Trend zur Fragmentierung des Netzes. Während immer mehr Regierungen den einheitlichen Namensraum torpedieren, drohten zugleich private Namensinseln durch die großen Plattformen zu entstehen, sagte APNIC Wissenschaftler Geoff Huston beim 83. RIPE-Treffen.

Vor drei Jahren hat die russische Regierung ihr "Souveränes Internet"-Gesetz auf den Weg gebracht. Die seither nachgeschobenen Verordnungen und Richtlinien, mit denen Russlands Bürokratie dem Gesetz Zähne verleihen will, habe der Westen bislang kaum auf dem Schirm, fürchtet Alexander Isnavin, Provider, langjähriges RIPE-Mitglied und Aktivist der Freien Moskau Universität.

Verordnungen für ISP, IXP und Betreiber autonomer Systeme (AS)

10 Dekrete hat die Regierung selbst zur Ausgestaltung des Gesetzes nachgeschoben. Dem zuständigen Ministerium und der Regulierungsbehörde Roskomnadzor (RKN) wurden etwa mehr Kompetenzen eingeräumt. Außerdem wurde eine ganz neue Behörde, das Monitoring- und Kontrollzentrum (CMC) für öffentliche Telekommunikationsdienste, eingerichtet.

Das Digitalministerium seinerseits erließ weiterführende Dekrete über regelmäßige Übungen für Notfallsituation, in denen Russlands Internet vom globalen Internet abgehängt wird. Es legte Verpflichtungen für die Betreiber von Netzen mit eigenen Autonomen Systemen (AS), also eigenen IP-Nummernblöcken des RIPE fest. Russland gehört zum Servicegebiet der europäischen IP-Adressverwaltung.

RKN hat die Regeln für AS-Inhaber weiter ausdifferenziert. So müssen diese Daten, die sie bei der Adressverwaltung hinterlegen, auch beim Regulierer abliefern. BGP-Routing, Netflow-Monitoring- und SNMP-Netzwerkmanagment-Daten müssen sie dem CMC durchreichen. Dadurch erhalten die Behörden einen kompletten Überblick über den Verkehr in diesen Netzen.

Auch einen Strafkatalog gibt es mittlerweile für Zuwiderhandlungen und Isnavin berichtet von ersten Gerichtsverfahren gegen Provider, die gegen das Abliefern von BGP- und Netflow-Daten beim CMC verstoßen oder nicht das inzwischen ausgebaute nationale DNS (NDNS) genutzt haben.

Ohne Inkompetenz und Bestechlichkeit in der vierstufigen Regulierungshierarchie könnte man kaum überleben, sagt Isavnin. Von den Hauptamtlichen des RIPE NCC wollte er allerdings wissen, wie sie mit den Auflagen für AS- und vor allem Anycastbetreiber von Instanzen der Rootzone des DNS umgehen.

Rootzone umgebogen

Wie ein Ausschnitt aus der vom CMC herausgegebenen Konfigurationsdatei fürs russische NDNS nahelegt, werden die Anfragen an die Rootserver über zwei lokale Server geschleust, a.auth-nsdi.ru (195.208.6.1) und b.auth-nsdi.ru (195.208.7.1), beziehungsweise eine IPv6-Variante, analysiert Hans-Peter Dittler, erfahrener Internetexperte und langjähriges Vorstandsmitglied der Internet Society. Damit werde die Rootzone nicht mehr von offiziellen Rootservern bezogen, sondern von zwei alternativen Servern. Als lokaler Server arbeite dabei mu-lb.cmu.msk-ix.ru (194.85.254.37). Das ist ein Server beim Moskau Internet Exchange.

Ausschnitt aus der vom CMC herausgegebenen Konfigurationsdatei fürs russische nationale DNS. Das CMC (Monitoring- und Kontrollzentrum) ist eine neue Behörde für öffentliche Telekommunikationsdienste in Russland.

Noch eine zweite "Verbiegung" von DNS-Verkehr gibt es. Dabei wird die in den russischen Richtlinien aufgeführte BIND-Variante angewiesen, alle DNS-Anfragen erst einmal weiterzuleiten, und zwar ungefiltert an die beiden Resolver a.res-nsdi.ru (195.208.4.1) und b.res-nsdi.ru (195.208.5.1). "Bind arbeitet mit dieser Konfiguration nur noch als Proxy", so Dittler.

DNS-Server mit dieser Konfiguration wären den eingetragenen Servern ausgeliefert, erläutert er. Privacy futsch, Fälschungssicherheit ade – und zugleich sehe er dies als Sollbruchstelle für Manipulationen.

Einheitliche Rootzone der Klebstoff fürs Netz

Isnavins Frage nach der Haltung des RIPE zu den immer weiter ausdifferenzierten Regeln beantwortete Kaveh Ranjibar, RIPE NCC-CIO, mit dem Bekenntnis zur einheitlichen Rootzone des globalen DNS. Das RIPE NCC betreibt für den von ihm betriebenen K-Rootserver Anycast-Instanzen in Moskau, St. Petersburg und Nowosibirsk.

"Als Betreiber eines der 13 Rootserver werden wir die IANA-Rootzone anbieten, nichts anderes, jetzt und in Zukunft. Sollte uns dies durch Regulierung untersagt werden oder von uns Daten verlangt werden, wie wir das tun, die über die üblichen Auskünfte hinausgehen, oder sollten von uns Änderungen der Daten verlangt werden, würden wir die entsprechende Instanz des Rootservers nicht mehr anbieten", so Ranjibar. Die Veränderung der Root-Daten würde durch DNSSEC überdies zu Validierungsfehlern führen. Sofern Moskau aber die Infrastruktur an sich zieht, trifft das natürlich nicht mehr zu.

Ranjibars Kollege Marco Hogewoning merkt an, dass die Konsistenz – also der Umstand, dass alle Rootserver exakt die gleichen, von IANA veröffentlichten Antworten auf DNS Anfragen liefern – das Fundament des Internets bilde. In gewisser Weise seien auch die Vorschläge der EU-Kommission zur novellierten Netzwerksicherheitsverordnung (NIS2), die ebenfalls Thema beim RIPE83 (PDF-Datei) war, eine Abkehr von der Idee einer unabhängigen, von verschiedenen Organisationen und auf unterschiedlichen Systemen provisionierten DNS-Basisinfrastruktur. Natürlich mache Europa keine Auflagen für den Betrieb der Rootserver wie Russland. Dennoch könnte der Eingriff in die globale Internet-Selbstverwaltung andere Regierungen inspirieren.

Private Inselbildung

APNIC-Chefwissenschaftler Geoff Huston entwarf ein düsteres Szenario für das einst globale Netz. Längst hätten Regierungen einem einheitlichen DNS den Garaus gemacht. Eine zweite Entwicklung sei die Zögerlichkeit von Internet-Providern bei der Implementierung von mehr Sicherheit des als Kitt wirkenden DNS.

Von den Regierungen zu Spezialversionen und Zensur à la carte gezwungen, hätten große Plattformen wie Google oder Facebook zudem immer weniger Geduld, darauf zu warten, dass die DNS-Branche mitzieht bei der Absicherung des DNS mit DNSSEC oder DNS über TLS oder HTTPS.

Lesen Sie auch

Der Australier rechnet daher damit, dass Applikations-spezifische Namensräume das universelle Internet ablösen werden. Die großen Applikationen geben den Ton an und ziehen in so verschiedene Richtungen, meint Huston, dass die Universalität und Einheitlichkeit auf der Strecke bleiben müssen. Es sei unheimlich, so Huston, "aber da geht die Reise hin."

(tiw)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Internet allgemein

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten