Home
Deus ex Machina

Deus ex Machina

Über Gott und die WWWelt

Wie Microsoft das Internet abschaltete und warum mein Provider die Schuld daran trägt

| 5 Lesermeinungen

Ohne Google und iCloud: Der Server zu Hause wirkt auf den ersten Blick wie eine gute Idee. Aber beherrschen die Nutzer die neuen Probleme?

Mein Internet ist kaputt. Das habe ich letzte Woche gemerkt, als Termine, die ich auf dem Telefon eingetragen habe, nicht mehr auf meinem Computer und anderen Geräten angekommen sind. Das habe ich daran gemerkt, dass ich keine Daten mehr sichern konnte auf meinem Server, auf dem ich meine eingescannten Rechnungen ablege, meine Steuererklärungen, Fotos und Dinge, die ich seit Langem lesen möchte und soll.

In der vergangenen Woche hat Microsoft demonstriert, wie anfällig das Internet in bestimmten Situationen gegen Störungen wichtiger Funktionen wie der Namensauflösung ist. Hinter Servernamen wie faz.net, die Nutzer in ihrem Browser angeben, um auf die entsprechende Webseite zu gelangen, stehen IP-Adressen, die Computer im Internet eindeutig identifizieren. Diese IP-Adressen werden für jede Datenkommunikation im Internet benötigt, jedes am Internet angeschlossene Gerät besitzt daher eine solche Adresse. Für die Übersetzung des Namens in eine IP-Adresse wird der Domain Name Service (DNS) verwendet, eine Grundfunktionalität im Internet. Ohne DNS würde das Browserfenster leer bleiben bzw. eine Fehlermeldung zeigen, wenn man eine Namen in die Adresszeile eingibt. Während Server im Internet normalerweise eine IP-Adresse besitzen, die gleich bleibt, haben die Kunden von Internetanbietern mit ihren DSL-Anschlüssen IP-Adressen, die sich regelmäßig ändern. Oft wird die DSL-Verbindung nach 24 Stunden unterbrochen, der heimische Router wählt sich neu beim Internet-Anbieter ein und bekommt eine neue IP-Adresse. Einer der Gründe für dieses Verhalten ist, dass Anwender zu Hause keinen Server betreiben oder – wenn sie das möchten – auf einen teureren Business-Tarif ausweichen sollen.

nf_hallobusiness.jpg

Diese nutzlose Einschränkung lässt sich umgehen, denn natürlich gibt es Wege, zu Hause einen Server zu betreiben, der trotz sich ändernder IP-Adresse Dienste wie Webseiten anbieten kann. Dazu gibt es sogenannte dynamische DNS-Dienste (DynDNS), bei denen sich ein Anwender registriert und seinen Router so konfiguriert, dass dieser dem DynDNS-Anbieter seine aktualisierte IP-Adresse mitteilt. Dieser aktualisiert den DNS-Eintrag des Nutzers, so dass dessen Server nun wieder über den Servernamen. Der Vorteil: Niemand muss sich die ständig wechselnde IP-Adresse merken, sondern nur einen Namen, der sich nicht ändert.

Diesen Weg gehen viele, die von unterwegs auf Daten zu Hause zugreifen möchten. Es gibt einige Gründe dafür, dass man wichtige Dateien statt in der Dropbox auf einem Server zu Hause speichern möchte. Es gibt Software, die Synchronisierungsdienste bereitstellt, so dass Anwender nicht mehr die Angebote von Google oder Apple nutzen müssen, um ihre Adressbücher und Kalender auf unterschiedlichen Geräten synchron zu halten. Sensible Daten kann man mit ein bisschen Aufwand zu Hause speichern, wenn man aus irgendwelchen Gründen den US-amerikanischen Diensteanbietern nicht traut. Diese Funktionalität basiert auf der Zuverlässigkeit der DNS-Anbieter. Dies erfordert heutzutage weder teure Hardware noch Erfahrungen als Systemadministrator, wenn man sich einige Zeit an den Abenden zu nehmen bereit ist und sich mit dem Themenkomplex beschäftigt. Es gibt mittlerweile eine breite Palette günstiger und stromsparender Hardware und für die meisten Plattformen gibt es Diskussionsforen und Anleitungen, diese mit Linux in Betrieb zu nehmen und genau die Services einzurichten, die man benötigt. Aber auch wer keine Lust oder Zeit hat zum Basteln, betreibt vielleicht seine eigene Cloud und kauf sich ein fertiges NAS.

nf_cubietruck.jpg

Letzte Woche plötzlich waren die zu Hause bereitgestellten Services von vielen Millionen Nutzern, die den Anbieter NoIP nutzen, nicht mehr erreichbar. Die offizielle Begründung war, dass über NoIP-Adressen Malware verbreitet wurde. Nach einer Klage seitens Microsoft hat ein US-Gericht dabei Microsoft die Namensauflösung dieser Domains übertragen. Das haben Microsoft-Server nicht geschafft, so dass neben den Adressen der beiden (!) in der Klage erwähnten Individuen Millionen Adressen ebenfalls nicht erreichbar waren. Mittlerweile soll Microsoft die beschlagnahmten Domains an NoIP zurückgegeben haben. Ich paraphrasiere das einmal: Eine Softwarefirma, die nicht in der Lage ist, die Sicherheit ihrer Kunden durch ihre Software zu gewährleisten, verklagt eine Firma, die Domainweiterleitungen anbietet, bekommt deren Domains zugesprochen und kann so die Erreichbarkeit der Server von Millionen Kunden beeinflussen.

nf_eiswueste.jpg

Dieser Fall zeigt die Problematik der Engstellen im Netz: Wenn Dienste nur an einer Stelle erbracht werden, ist die Funktionalität durch einen absichtlichen oder unabsichtlichen Ausfall des Dienstes bedroht. Um das Eingangsstatement zu widerlegen: Die Grundidee des Internets funktioniert. Denn hätte jedes Endgerät eine feste IP-Adresse wäre eine solche Zensur nicht möglich: Der DNS-Dienst an sich ist verteilt und stützt sich auf zahlreiche, weltweit verteilte Server: Das Abschalten eines einzelnen Servers hätte keinen Effekt. Ohne die Verbreitung von Malware gutheißen zu wollen, zeigt sich, dass Zentralisierung im Internet grundlegende Probleme birgt und zumindest in diesem Fall vermeidbar wäre, wenn Internetanbieter ihren Kunden die stets gleiche IP zuteilen würden. Mit der Einführung des neuen Standards IPv6 stehen dafür genügend unterschiedliche IP-Adressen bereit, jedes Gerät könnte seine eigene Adresse erhalten. Auf die Ausreden der Anbieter bin ich jetzt schon gespannt.

An anderer Stelle ist die Lösung solcher Probleme nicht so einfach zu realisieren: Einen Internetzugang kann niemand einfach selbst herstellen, dafür benötigt er einen Anbieter mit entsprechender Infrastruktur. Auch wenn Kunden hier die Wahl zwischen verschiedenen Anbietern haben, handelt es sich hierbei jedoch nicht um eine große Anzahl neuralgischer Punkte, die gestört werden müssen, um den Service für gegebenenfalls Millionen Kunden zu beeinflussen. In England sind Internetprovider seit Anfang 2014 verpflichtet, den Zugang zu bestimmten Internetadressen zu sperren. Ein von der Bürgerrechtsorganisation Open Rights Group bereitgestelltes Tool erlaubt das Prüfen, ob einzelne Webseiten von Internetanbietern gefiltert werden. Obwohl offiziell nur für die Eindämmung von Pornographie genutzt, blockieren drei der zehn getesteten Anbieter 4chan, ein anonymes Diskussionsforum, oder linuxtracker.org, eine von zwei Providern gesperrt Domain. Immerhin haben britische Internetnutzer die Möglichkeit, diesen Filterdienst für ihren Anschluss abschalten zu lassen. Die technischen Möglichkeiten jedoch sind da, einzelnen oder allen Nutzern den Zugang zu verwehren.

nf_wiederherstellung.jpg

Es gibt wenige technische Möglichkeiten, sich gegen die Kontrolle der Daten zu wehren, die zu Hause aus der Wand kommen. Im Zweifelsfall kann der Internetanbieter einen Anschluss deaktivieren, dann hat der Anwender keine Möglichkeit mehr, diesen zu nutzen. So lange der Internetanschluss allerdings funktioniert, gibt es die Möglichkeit, virtuelle private Netzwerke (VPNs) zu nutzen. Dabei baut der Anwender einen verschlüsselten Tunnel von seinem Rechner (oder Router) zu einem VPN-Server im Internet auf. Jeglicher Netzwerkverkehr wird an diesen VPN-Server weitergeleitet, von diesem entschlüsselt und ins Internet weitergeleitet. Der Telekommunikationsanbieter des Nutzers sieht nur diese verschlüsselte Verbindung zu dem Server, nicht jedoch, welche Daten übertragen werden. Sperrt der Telekommunikationsanbieter jedoch den Zugriff zu diesem Server oder stellt der Betreiber dieses Servers seine Dienstleistung ein, ist der Nutzer vom Internet abgeschnitten. Eine weitere, dieser Tage wieder in der Presse zu findende Alternative ist The Onion Router (TOR), ein dezentrales Netzwerk zur verschlüsselten Übertragung von Datenverkehr. Das Netz besteht aus einer Vielzahl von Servern, die verschlüsselte Pakete der Anwender untereinander hin und herschicken, bis einer der Server die Pakete ins Internet weiterleitet. Der Ausfall eines einzelnen TOR-Servers hätte wenig Einfluss auf die Funktionalität des Gesamtnetzwerks. Weil sich solche Netzwerke nicht einfach kontrollieren lassen, gilt amerikanischen und deutschen Diensten jeder Nutzer bzw. Interessent als Extremist. Ein schönes Gütesiegel für diesen Dienst.

0

5 Lesermeinungen

  1. Man bekommt was man bezahlt
    NoIP und andere kostenlose dynamische Name-Services sind gut zum ausprobieren und herumspielen, so habe ich auch angefangen. Zuverlässiger ist es allerdings, seinen eigenen Domain-Namen beim Hosting-Provider seiner Wahl zu registrieren und diesen Namen per dynamisches DNS mit dem Home Server zu verknüpfen – kostet irgendwas zwischen 20 und 50 EUR im Jahr. Der Vorteil ist, daß man einen echten zweiseitigen Vertrag mit dem Hosting-Provider abschließt, der nicht auf einmal ohne weiteres einseitig geändert werden kann, so wie es bei DynDNS geschehen ist, oder noch schlimmer wie es bei NoIP durch Dritte oktroyiert wurde.

  2. Will man das?
    Mein Internetanschluss ändert die IP Wochen lang nicht. Letzte Änderung war am 22.06. Habe es durch Zufall bemerkt. Bin darüber gar nicht glücklich, da jetzt jeder 12 jährige Webmaster nachvollziehen kann, wie oft ich auf seiner Seite war. Cookies löschen etc. hat so auch keine Wirkung. Denke das DynDNS die bessere Wahl ist.

    • Titel eingeben
      Also wenn ich als Webseitenbetreiber ein Interesse daran hätte, meine Besucher zu identifizieren, würde ich das nicht über die IP machen. Denn ich kann eben nicht davon ausgehen, dass jeder Besucher seine IP länger als 24 Stunden behält. Cookies wären eine Möglichkeit, aber wenn Sie die löschen, erkenne ich Sie nicht wieder.

      Wenn es mir wirklich wichtig wäre, würde ich etwas JavaScript einbauen, um den Fingerabdruck Ihres Browsers zu ermitteln. Das funktioniert recht zuverlässig und Anwender, die nicht identifiziert werden wollen, haben nur die Möglichkeit, entsprechende Plugins in ihren Browsern zu installieren. Aber wer macht das schon.

      Eine Demo, wie so ein Browser-Fingerprinting aussehen kann, hat die Electronic Frontier Foundation (EFF) gebaut:
      https://panopticlick.eff.org

  3. Bleibt anzumerken:
    1. Auch in Deutschland (nicht nur in England!) müssen Betreiber von DNS Servern, also die großen Internet Service Provider, von der Politik vorgegebene Blacklists beachten. Zugriffsversuche auf die von Berlin geblacklisteten Seiten scheitern, so lange ein deutscher DNS genutzt wird, was bei automatischer Zuteilung durch den ISP die Regel ist. Es gibt unzählige Beispiele nicht erreichbarer Webseiten.

    2. Ein eigener Server mit autonomem Zugriff auf und Kontrolle über die eigenen Daten scheint nicht eine gute Idee zu sein, wie im Artikel nahegelegt, sondern IST die einzig gangbare Lösung, wenn man auch nur den geringsten Wert auf informationelle Selbstbestimmung legt.

    3. IP version 6 (IPv6) ist nur naiv betrachtet ein Vorteil. IPv6 ist der feuchte Traum aller Geheimdienste, speziell der NSA. Jedes Device mit Netzwerkfunktionalität wird so endgültig eindeutig identifizierbar, weltweit ortbar und kontrollierbar bzw. steuerbar.
    Daran werden wir noch viel „Freude“ haben.

    4. DynDNS Dienste der Marktführer, sofern sie kostenpflichtige (Enterprise) Dienste anbieten sind sehr zuvelässig.
    Wem das nicht genügt, dem steht es frei, sich von seinem Provider eine feste IP-Adresse zuteilen zu lassen. Dann entfällt die gesamte DNS-Problematik beim weltweiten Zugriff auf die Daten auf dem eigenen Server vollkommen.

    • Titel eingeben
      Das Problem mit dem eigenen Server ist natürlich, dass sich der Administrator einigermaßen auskennen sollte, welche Dienste in welcher Konfiguration einigermaßen gut zu betreiben sind. Die leidige Erfahrung ist die, dass der Heimanwender dann auch keine Sicherheitsupdates mehr einspielt, denn im Zweifelsfall könnte es zu Problemen kommen. ,,Never change a running system“ ist in diesem Bereich eine furchtbar schlechte Idee.

      Danke für die Anmerkungen.

Kommentare sind deaktiviert.