© Hirlesteanu Constantin Ciprian, 123RF.com

In der Zeitung “The Guardian” fordert Bruce Schneier die Community dazu auf, das Internet aus den Klauen der Geheimdienste zu befreien und wieder selbst die Führung zu übernehmen. Dabei helfen könnte ein Projekt, das schon abgehakt war und beerdigt schien: das Open Root Server Network.

Wer sich im Internet bisher heimisch und vielleicht sogar frei fühlte, erlebt derzeit herbe Enttäuschungen: Täglich enthüllen Zeitungen neue Details darüber, wie Geheimdienste das Netz der Netze rund um den Globus auf verschiedenste Arten zum übergroßen Überwachungswerkzeug umfunktioniert haben.

Back to Power

Die Kontrolle zurückgewinnen, das sei das Ziel, meint nicht nur Bruce Schneier (Abbildung 1), der sich als Security-Guru einen Namen gemacht hat, in seinem Artikel im Guardian [1]. Seine simple Logik: Was Techniker einst erfunden haben, ist inzwischen von Anwälten und der Politik für üble Zwecke missbraucht worden und nur die Techniker, die an der Entwicklung des Internets beteiligt waren, können es nun wieder in den Sollzustand versetzen.

Abbildung 1: Der Sicherheitsexperte Bruce Schneier fordert das Internet aus den Klauen der Geheimdienste zu befreien. Einen ersten Ansatz dazu könnte ORSN liefern.

Schneier meint offensichtlich jene Community, die maßgeblich aus technischem Interesse handelt, und fordert diese auf, neue Technologien zu entwerfen, die das Ausspähen von Internetnutzern schwieriger als bisher und idealerweise unmöglich machen.

DNS-Basics

Um zu verstehen, wie ORSN funktioniert, hilft es, sich zunächst die Funktionsweise des DNS-Systems insgesamt vor Augen zu führen. Erklärungen für Internet-Einsteiger enthalten häufig die Analogie, DNS sei das Telefonbuch des Internets, denn es übersetzt Namen wie http://www.google.de in numerische IP-Adressen, mit denen sich die Clientprogramme – also zum Beispiel ein Browser – im Anschluss verbinden.

In Wahrheit ist das DNS-System fein ziseliert: Der Benutzer hat auf seinem System üblicherweise einen Nameserver in die Konfiguration eingetragen, den die Komponenten auf dem System nutzen. In der Regel sind es die Provider, die diesen Nameserver betreiben. Die Provider-Nameserver wiederum benötigen selbst eine Datenquelle, aus der sie ihre Informationen beziehen, um sie an die Clients weiterzuleiten.

Rootserver

Hier kommen die DNS-Rootserver ins Spiel: Sie verwalten die meisten Toplevel-Domains und wissen, auf welchen Nameservern sich Daten zu spezifischen Domains finden lassen. Will ein Client also http://www.google.de aufrufen, dann verbindet sich der genutzte Nameserver mit den DNS-Rootservern, schaut nach, wo DNS-Informationen für die Toplevel-Domain ».de« zu finden sind, redet im Anschluss mit den Nameservern der Denic-Server und erhält von diesen schließlich die Information, dass DNS-Einträge für diese Domain auf den Google-Nameservern zu finden sind.

Jeder Name, den ein User in einem Clientprogramm aufruft, geht also letztlich auf einen Eintrag in den Zonendateien der DNS-Rootserver zurück – DNS-Caching sei in diesem einfachen Beispiel mal außen vor gelassen. Was so simpel klingt, ist von zentraler Bedeutung für das Funktionieren des Internets: Ohne DNS ginge fast nichts mehr.

Trotzdem haben die mindestens 1,5 Milliarden Internetnutzer de facto kaum eine Kontrolle darüber, was in den Rootzonen denn nun eigentlich zu finden ist. Nominell befinden sich die Systeme unter der Kontrolle der ICANN (Internet Corporation for Assigned Names and Numbers), betrieben werden sie aber in der Regel von kommerziell orientierten Unternehmen, von denen nicht wenige in den USA beheimatet sind.

Damit ist es durchaus denkbar, dass sich über das DNS-System eine umfassende Kontrolle etablieren lässt, die sogar so weit gehen kann, auf Grundlage des DNS-Protokolls den Traffic eines Nutzers über bestimmte Wege im Netz zu führen. SSL hilft hier auch nicht: Einerseits ist es im Fall des Falles für Lauscher kaum ein Problem, ein SSL-Zertifikat zu erhalten, das zu einem bestimmten Namen passt. Und andererseits muss die SSL-PKI spätestens seit Edward Snowden ebenfalls als tendenziell unsicher gelten.

Open Root Servers Network

ORSN hat das Ziel, ein alternatives Netzwerk von DNS-Rootservern zu den offiziellen zu etablieren, um Provider-gesteuerten Missbrauch zu verhindern. Die Idee ist simpel: Anstelle der ICANN-Server tragen Admins von Nameservern die ORSN-Rootserver in ihre Konfiguration ein, sodass die Abfrage von Toplevel-Domains über die ORSN-Server geschieht.

Zunächst ändert das an der zugrunde liegenden Technik nichts, ebenso ist es das erklärte Ziel der ORSN-Betreiber, zu 100 Prozent mit den Einträgen der ICANN-Rootserver kompatibel zu bleiben. Eigene Toplevel-Domains will das ORSN keinesfalls etablieren.

Doch wozu dann der Aufwand? Was rechtfertigt den Aufbau eines solchen Nameserver-Systems, wenn letztlich der Dienst das Gleiche tut wie das bereits vorhandene System? Das Zauberwort lautet Kontrolle: Das ORSN versteht sich als Community-Projekt und ist von sachfremden Interessen weitestgehend unabhängig, sodass die Kontrolle über die Inhalte der DNS-Rootzonen der Community obliegt. Letztlich realisiert ORSN also genau das, was Bruce Schneier fordert, schon mal für das DNS.

Auferstanden

Interessanterweise ist das ORSN keinesfalls eine neue Erfindung. Von 2002 bis 2008 gab es das Projekt schon einmal, auch wenn die Vorzeichen für seine Einführung damals andere waren. Denn anders als heute waren die DNS-Rootserver 2002 längst nicht so global aufgestellt – die meisten Server waren in den USA beheimatet, was insbesondere bei der Community in Europa zu einigem Unwohlsein führte.

Mit einem transparenten System, das global besser verteilt sein sollte, wollten sich die ORSN-Gründer damals diesem Ungleichgewicht widersetzen. Seither hat sich sehr viel getan: Die ICANN erkannte, dass die DNS-Zentrierung auf Amerika ein Problem sein könnte, ideologischer wie technischer Natur. Man fächerte das DNS-System auf und installierte Nameserver auch in anderen Ländern.

Zudem baute das ICANN eine Struktur auf, bei der Nameserver global ihre Inhalte auf andere Systeme spiegeln und die IP des Rootservers den Routern zugänglich machen. Fiel ein Nameserver aus, gab es also einen anderen, der mit demselben Datensatz den Dienst wieder anbieten konnte.

Von Überwachung war bei ORSN damals allerdings noch keine Rede, und so stellte das Projekt 2008 nach einer langen Rollout-Phase den Betrieb ein. Die Erfinder glaubten, ihr Ziel erreicht zu haben. Angesichts der immer umfassenderen Enthüllungen von Edward Snowden über die Aktivitäten der Geheimdienste entschlossen sich aber Anfang Juli 2013 die Gründer von ORSN, das Projekt wiederzubeleben – diesmal unter der Prämisse, ein Community-basiertes System zu bauen, das sich auch aus der Community heraus kontrollieren lässt.

Abgeschlossen 2008, reanimiert 2013

Das Open Root Servers Network hatte sich zumindest eingangs tatsächlich auf den Betrieb von DNS-Servern für die TLDs beschränkt. Das führte zu einem großen Problem: Damit Endanwender in den Genuss des Community-DNS kommen, benötigen sie selbst einen Nameserver, der das ORSN nutzt.

Wer in seiner Systemkonfiguration beispielsweise die Google-Nameserver zum Einsatz bringt, weil deren IP-Adressen so leicht zu behalten sind, hat keine Chance auf den Service, liefert aber durch seine DNS-Abfragen der Datenkrake Google direkte Hinweise auf sein Verhalten im Netz, schlimmstenfalls auch über das seiner Anwender. Und dass sich jeder Anwender einen eigenen Nameserver installiert, erscheint letztlich unrealistisch. Aus genau diesem Grund bietet das ORSN mittlerweile auch Zugang zu einigen öffentlichen DNS-Servern an, die Endanwender anstelle der vom Provider angebotenen DNS-Server nutzen können.

Die Abbildungen 2 und 3 zeigen: Ein Unterschied lässt sich nicht ausmachen, und das ist auch genau so gewollt. Unter [3] steht die aktuelle Liste der verfügbaren öffentlichen DNS-Server, und demnächst will ORSN hier noch aufstocken.

Abbildung 2: Darstellung der öffentlichen TLD ».com« beim DNS-Query über die normalen Rootserver …

Abbildung 3: … und über die ORSN-Rootserver. Der Output ist identisch, doch die ORSN-Server stehen unter der Kontrolle der Community.

Der Anfang ist gemacht, Mitmachen erwünscht

Mitte September standen dem ORSN insgesamt acht Server zur Verfügung, die alle in Europa beheimatet sind – fünf in Deutschland sowie jeweils einer in Griechenland, in der Schweiz und in den Niederlanden. Wer einen Server zur Verfügung stellen möchte, den lädt ORSN zur Teilnahme ein. Genaue Informationen zu den Anforderungen finden sich auf der Website [2].

ORSN löst sicher nicht alle Probleme im Hinblick auf die Vorherrschaft im Netz, aber es ist ein erster Ansatz, um die von Bruce Schneier geforderte Rückeroberung des Internets in Angriff zu nehmen. Schon allein dafür verdienen die Macher hinter ORSN Anerkennung und Unterstützung. Bleibt nur zu hoffen, dass sich viele Admins beteiligen.

Der Autor

Martin Gerhard Loschwitz arbeitet als Principal Consultant bei Hastexo. Er beschäftigt sich dort intensiv mit den Themen Hochverfügbarkeit und Cloud Computing und pflegt in seiner Freizeit den Linux-Cluster-Stack für Debian GNU/Linux.