Web-Sperren: Aufregung um Port 53
Dem amerikanischen Provider Comcast wurde vorgeworfen, DNS-Anfragen gezielt umzuleiten - was sich als falsch herausstellte. Der Zwischenfall wirft dennoch ein Licht auf eine Problemzone, die sich auch in Deutschland auftun kann.
Nachdem ein Blogger den US-amerikanischen Kabelnetzbetreiber Comcast beschuldigt hatte, den ungehinderten Zugang zu anderen DNS-Servern via Port 53 zu blockieren ("Comcast is F**** With Your Port 53 Traffic"), ließ Comcast den Fall von Technikern untersuchen. Die Firma hatte in der Vergangenheit Ärger wegen angeblicher Internet-Blockaden. Diesmal konnte Comcast den in den USA besonders schwerwiegenden Vorwurf einer "Internet-Zensur" relativ schnell entkräften. Ein Comcast-Sprecher betonte gegenüber heise online, die Vorwürfe seien schlicht unwahr. Mittlerweile hat der Blogger seine Darstellung korrigiert.
Der nicht passierte Zwischenfall wirft dennoch ein Licht auf eine Problemzone, die sich auch in Deutschland auftun kann: Was ist, wenn im Zuge der Diskussion um Web-Sperren Provider den Zugriff auf alternative DNS-Server selbst umleiten?
In der Diskussion um die vom Bundesfamilienministerium angeregte Web-Sperren beim Zugriff auf Server, die Kinderpornografie anbieten, spielt das von der Regierung vorgeschlagene Stoppschild eine wichtige Rolle; durch Umleitung im DNS sollen Nutzer, die eine vom BKA als Kinderporno-Verbreiter in eine Blacklist aufgenommene Webseite ansteuern, auf die Seite mit dem Stoppschild umgeleitet werden. Dadurch sollen Surfer gewarnt werden, dass sie sich möglichweise strafbar machen.
Surfer können aber einfach einen anderen DNS-Server zur Auflösung der Adressen benutzen. Schwieriger wird es indes, wenn Provider diesen Aufruf über Port 53 unterdrücken. Ob dies der Fall ist, kann man in den USA unter anderem mit dem vom Institut für Computerwissenschaften der Universität Kalifornien entwickelten Netalysr erkennen. Das Programm schickt einen DNS-Lookup über andere Server und vergleicht, ob diese mit der Antwort des jeweiligen voreingestellten DNS-Servers eines Providers übereinstimmen. Mit DNSSEC werden solche Manipulationen auch ohne zusätzliche Analyse auffallen. (Detlef Borchers) / (je)