Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Juli 2010
18.07.2010 10-07-32 Rootzone
     
zurück zum Verweis zur nächsten Überschrift sichere Zonenverwaltung im Internet
  DNSSEC: verschlüsseltes Protokoll für den Kern des Internets
 

Am gestrigen Donnerstag ist die voll digital signierte Rootzone gestartet. Alle Antworten der 13 für das Domain Name System (DNS) autoritativen Rootserver liefern nun einen DNSSEC-Schlüssel (DNS Security Extensions) mit, der eine Authentifizierung der Zone und damit die Identifizierung manipulierter Antworten erlaubt, etwa beim Cache Poisoning. (1)
 

Ich meine zu verstehen, was in der Meldung links gesagt wird. Wenn ich jedoch versuche, es in wenigen eigenen Worten auszudrücken, fällt mir das schwer. Das ist Anlass genug, etwas tiefer in das Thema einzusteigen.

Es geht um die Adressenverwaltung im Internet, die zuletzt im Arbeitspapier Netzkommunikation angesprochen wurde (2). Ihr liegt das Internetprotokoll (3) zugrunde,
das eine hierarchische Struktur mit einer zentralen Netz- und Namensverwaltung unter der Regie der ICANN aufweist (4),
wobei die technische Abwicklung auf die IANA übertragen ist (5),
und das die Grundlage für ein nummerisches Adressensystem liefert.

Diese "echten" Internetadressen sind als Zahlengruppen bekannt, die aus vier durch Punkte getrennten Ziffernblöcken bestehen, die jeweils die Zahlen von 0 bis 255 abbilden können. Beispiel:

193.99.145.37
(Nameserver des Heise-Verlages).

Daneben besteht das Domain Name System - DNS (6). Es erlaubt die Verwendung von beschreibenden Namen unterhalb einer Top Level Domain - TLD (7), also in einem Namensraum, der von dem rechts abschließenden Teil des Namens bestimmt wird. Ein Beispiel aus dem Namensraum der deutschen Länderdomain:

Heise.de.

Wir haben es also nebeneinander mit einer Nummernverwaltung auf der Grundlage des Internetprotokolls und einer Namensverwaltung anhand des DNS-Protokolls zu tun. Auf letztere spricht die Meldung an.
 

Allein die Nummernverwaltung bezieht sich auf drei verschiedene Nummernsysteme, die unter einen Hut gebracht werden müssen.

Das Kernstück ist und bleibt das System nach dem klassischen Internetprotokoll mit seinen vier Ziffernblöcken. Wer jedoch jeden Kühlschrank und jede elektrische Zahnbürste im Haushalt mit dem Internet verbinden will, braucht mehr Adressen als das herkömmliche Internetprotokoll zur Verfügung stellt.

Das Internetprotokoll, von dem ich spreche, ist die vierte Version und sie existiert seit 1981 (8). Bereits im Betrieb ist die neue Version - IPv6 (9). Sie wird die absehbare Adressen-Knappheit beenden. Das Problem ist nur, dass die beiden Adressensysteme nicht ganz einfach aufeinander abgestimmt werden können.

Neben den beiden aktuellen Protokollsystemen des Internetprotokolls tritt ein drittes. Es dient der Kennzeichnung und Erreichbarkeit der Autonomen Systeme - AS (10). Ein AS ist ein einheitlich verwaltetes Netz, das mit mindestens zwei anderen AS verbunden ist und deshalb als Verbindungsnetz taugt. An seine Nachbarn meldet es nicht nur die IP-Adressen, die es verwaltet, sondern auch die anderen AS, mit denen es korrespondiert.

Der Datentransport [allgemein: Routing (11)] verlangt an den Netzknoten nach einer Entscheidung darüber, welche von mehreren Strecken angesprochen werden sollen. Betreiber großer und leistungsfähiger Netze versuchen, die Ströme möglichst lange im eigenen Netz zu bewegen. Im Interesse der Lastverteilung, nach physikalischen Ausfällen oder unter Sicherheitsgesichtspunkten kann auch die Anwahl alternativer Strecken sinnvoll sein.

Die grundlegenden Informationen dafür liefern die AS nach Maßgabe des Border Gateway Protocol - BGP (12) - und der Vorgang kann durchaus zu Pannen und Missbräuchen führen (13).
 

zurück zum Verweis Zentralismus und Regionalisierung

 


 

 
Die zentrale Verwaltungsinstanz des Internets ist die Internet Society - ISOC (14), eine nichtstaatliche, internationale Mitgliederorganisation mit Sitz in der US-Hauptstadt Washington. Der Dachorganisation sind mehrere Gremien nachgeordnet, die die Standardisierung und die Architektur des Internets entwickeln. Das dritte Gremium ist die Nummernverwaltung: IANA (15).

Alle Einrichtungen der ISOC sind aus Verwaltungsstrukturen entstanden, die zunächst rein US-amerikanischer Natur waren. Das zeigt sich noch heute an der Vergabe von Namensräumen und in der Dominanz von Unternehmen aus den USA bei der Nummernvergabe. Immer wieder werden auch Befürchtungen laut, die USA könnten Einfluss auf das Handeln der ISOC und vor allem der Adressenverwaltung nehmen, weil sie als zentrale Stelle Namensräume abschalten kann (16). Dafür gibt es ein Beispiel: Die seinerzeit noch allein zuständige ICANN wies wegen der Herrschaft der Taliban den britischen Namensraumverwalter an, die Pflege der afghanischen Länderdomain einzustellen. Erst am 10.03.2003 startete .af wieder neu (17).

Das wichtigste Rückgrat für die Adressenverwaltung bilden praktisch die fünf Regionalverwaltungen, die RIR (18). Sie verwalten die Zonen des Internets (siehe Grafik oben links):

Nordamerika ARIN (19)
Südamerika LACNIC (20)
Europa, Mittlerer Osten und Zentralasien RIPE (21)
Afrika AFRINIC (22)
Asien und Pazifik APNIC (23)
 
 

Dieter Kochheim, Verwaltung von Nummer und Namen im Internet, 17.07.2010

Die zentralen Datenbanken verwaltet die IANA. Sie vergibt an die Regionalverwaltungen

blockweise die nummerischen Internetadressen [IPv4 und IPv6  (24)],

blockweise die Nummern für die Autonomen Systeme - AS (25) - und

die Namensräume für die Länderdomänen in der jeweiligen Internetzone (26).
 

zurück zum Verweis zentrale Vergabe und Routing

 

 

 
Die ISOC bildet nicht nur eine zentrale Verwaltungseinrichtung, sondern mit der IANA auch die technische Zentrale für die beschreibenden DNS-Adressen im Internet. Sie übt die Regie über die Rootserver aus.

Das gilt jedoch nicht für die nummerischen Internetadressen. Es gibt keinen technischen "Core" im Internet. Die IANA weist zwar die Ziffernblöcke den RIR und anderen zu, verwaltet die einzelnen Adressen aber nicht in einer Routingtabelle (27).

Alle zentralen Netzkomponenten verfügen über solche Routingtabellen (28), aus der sie die Erreichbarkeit einer Zieladresse entnehmen. Ihre Eintragungen bilden die Grundlage für das Routing (29). Eine unbekannte Adresse senden sie an ihren Standardgateway, also an den Übergabepunkt zum nächsthöheren Verbindungsnetz. Dabei handelt es sich regelmäßig um ein Autonomes System - AS (30).

Untereinander tauschen die AS aus, mit welchen anderen AS sie in Verbindung stehen. Diese Informationen trägt jedes AS für sich in seine Routingtabelle ein. Zugleich werden die Angaben von den RIR gespeichert und dokumentiert (31). Geregelt wird der Prozess vom Border Gateway Protocol - BGP (32), das für Missbräuche durchaus anfällig ist (33).

Die Philosophie der dezentralen Netzverwaltung beruht auf dem Ursprung des Internets. Es sollte durch Quervernetzungen sicher stellen, dass im Falle eines Atomkrieges die nicht zerstörten Standorte trotz Leitungsunterbrechungen über Umwege weiterhin miteinander kommunizieren können. Zentrale Netzverwaltungen sind hingegen anfällig gegen Störungen jeder Art, wenn sie nicht mehrfach vorgehalten werden (Redundanz).
 

 
Nicht alle Nummern- und Namensräume sind an die Regionalverwaltungen abgegeben worden. Ein Blick in die Adressraumliste der IANA (34) zeigt die großen Verbindungsnetzbetreiber wie Level 3 Communications, IBM und AT&T Bell Laboratories, Verwaltungen wie das Army Information Systems Center, Defense Information Systems Agency und UK Government Department for Work and Pensions sowie andere Großunternehmen wie General Electric, Xerox und Hewlett-Packard.

Die AS-Nummern werden hingegen ausnahmslos von den RIR verwaltet (35).

Die Namensräume werden üblicherweise als Top Level Domains - TLD - bezeichnet (36) und im Wesentlichen nach generischen TLD und Ländercodes unterschieden (37).

Die generischen TLD werden nach gesponserten und nicht gesponserten unterschieden. Zu den nicht gesponserten TLD (38) gehören die international begehrten Domänen wie .com, .net und .org. Sie haben eine allgemein gehaltene Gruppenbezeichnung und stehen grundsätzlich jedermann offen. Zu den gesponserten TLD (39) gehören die geschlossenen Gruppen von .gov und .mil, zu denen nur Regierungsstellen und das Militär in den USA Zugang haben, und Namensgruppen für bestimmte Regionen und Dienstleistungen.

Die Verwaltung der generischen TLD ist immer einer bestimmten Einrichtung übertragen worden. Eine besondere Rolle spielt dabei das US-Unternehmen Verisign, das den .com-Namensraum verwaltet. Seine Größe bleibt für alle anderen TLD unerreicht [Stand Juni 2010: 88.298.883 Adressen (40)]. Das Unternehmen betreibt zugleich die Rootserver für das DNS.
 

zurück zum Verweis Domain Name System Machtfragen

 

 

 
Die Verwaltung der AS-Nummern obliegt den regionalen Verwaltungsstellen, also zum Beispiel dem RIPE (41).

Das DNS (42) verfügt hingegen über eine zentrale Namensverwaltung, die im Kern von der IANA beherrscht und von Verisign betrieben wird (43). Sie haben die Aufsicht über die klassischen 13 DNS-Rootserver (44), in denen die Verwalter der DNS-Namensräume verzeichnet sind. Ihre ursprünglichen Standorte beschränkten sich auf die USA und drei außerhalb davon. Sie wissen zwar nicht, unter welchen nummerischen Adressen die jetzt 136 Millionen beschreibenden Internetadressen erreichbar sind, vermitteln aber den Kontakt zu den generischen TLD-Verwaltern und über die Regionalverwaltungen zu den Ländercode-Verwaltern. Das verringert den Datenbestand auf rund 3.000 Datensätze, die sich gut pflegen lassen. Dank Anycast (45), einer technischen Methode, mit der verschiedene Rechner unter derselben Adresse angesprochen werden können, hat sich die Erreichbarkeit der Rootserver vervielfacht und über die ganze Welt verteilt (46).

Die maßgebenden Rootserver werden auch als "autorative" Nameserver bezeichnet (47).
 

 
Die Frage von Monika Ermert danach, wer die Macht über das Internet ausübt, relativiert sich damit zu einer im Wesentlichen politischen Frage.

Das Militär, die Hochschulen und die großen Telekommunikationsunternehmen in den USA haben leistungsfähige Kommunikationsnetze und die Grundstruktur des Internets geschaffen. Gleichzeitig haben sie sich gut bedient bei den Netzadressen und damit nicht zuletzt zu ihrer gegenwärtigen Verknappung beigetragen. Man muss ihnen zugute halten, dass die Expansion des Internets seinerzeit noch nicht vorhersehbar war.

Die Allgegenwart des Internets wirkt zurück auf die Macht- und Verwertungsansprüche, die aus den USA kommen. Zunächst: Als Außenstehender ist man daran gewöhnt, dass US-amerikanische Interessen einen fraglosen Wert für sich haben (48). Ohne die anderen Zonen - besonders betrifft das Europa und Asien - hat das Internet aber auch für die USA nicht den Wert, den es jetzt hat. Die Einrichtung der ISOC und die Öffnung zu den Nicht-US-Amerikanern zeigen eine beginnende Verunsicherung und Kompromissbereitschaft. Letztere ist nicht zuletzt dem Umstand geschuldet, dass die USA weltweit Geschäfte machen wollen. Ihre ansässigen Tier-1-Provider könnten bedeutungslos werden, wenn ihre Kabel gekappt wären und ein absoluter National-Chauvinismus der starken anderen Regionen durchdränge. Globalisierung führt auch zur Abhängigkeit der Profiteure.
  

zurück zum Verweis DNSSEC Fazit

 

 
Das nummerische System scheint trotz seiner anarchistischen Grundstruktur recht stabil zu sein. Die großen Verbindungsnetzbetreiber schieben die Datenmengen gut und gezielt zu den nationalen und regionalen Verteilern, die den Rest besorgen. So viele "Große" gibt es auch nicht, so dass sie sich gut abstimmen können. Die kleineren Provider müssen sich eben anpassen.

Ob das auf Dauer gilt, ist eine andere Frage. Wahrscheinlich wird auch wegen der nummerischen Steuerung eine sachlich zentrale, physikalisch aber verteilte Struktur erforderlich werden, wie sie von den Bot- und Peer-to-Peer-Netzen praktiziert wird.

Das DNS ist chaotischer als das nummerische System. Aufgrund seines komplexen Abfrageverfahrens ist es anfälliger für Manipulationen.

An dieser Stelle setzt DNSSEC ein (49). Das Namensystem ist indirekter, abgehobener, abstrakter und damit anfälliger als das Nummernsystem (50). DNSSEC verschlüsselt die Abfragen im DNS und verhindert dadurch, dass auf dem Weg zwischen Client und DNS-Server Manipulationen stattfinden. Die Verschlüsselung ist sicherlich zu begrüßen, nicht aber der Weisheit letzter Schluss.
 

 
Zufällige und gesteuerte Manipulationen hat das Internet bislang souverän weggesteckt. Die Verschlüsselung von DNS-Abfragen, die sich gegen zentrale Netzkomponenten richten, ist eine richtige Entscheidung, löst aber nicht die schweren Gefahren, die dem Internet drohen.

Schurkenprovider, die sich im technischen System des Internets unauffällig bewegen, bleiben sowohl von DNSSEC wie auch vom IPv6 unbemerkt. Beide Protokolle sind darauf ausgerichtet, Manipulationen an den Zwischenstationen zu bemerken, und nicht darauf, böswillige Quellen zu erkennen.

Der Grundgedanke, der im nummerischen System der IP-Adressen steckt, könnte am Ende mehr versprechen, wenn man ihn erweitert. Vertraue deinem Nachbarn nicht nur, sondern misstraue ihm auch. Wenn ein AS seine Konfiguration nach außen ändert, dann sollten die angeschlossenen nicht nur das AS befragen, ob die Änderungen zutreffen, sondern auch Dritte und vor Allem eine Alarmliste befragen, die die Bedeutung der Änderung abfragt.

Aus dem internationalen Zahlungsverkehr und dem Roaming bei der Mobiltelefonie sind Clearingstellen bekannt und erfolgreich im Einsatz, die die Rechtesteuerung und Entgeltabrechnung übernehmen. Sie kosten Geld, würden aber auf einem Schlag Spams und getarnte Ausgangsadressen daran erkennen, dass sie keine Gebührenzusage erteilen. Wenn doch, dann würde sich ein gehörnter Provider ganz schnell zu Gegenmaßnahmen veranlasst sehen.
 

zurück zum Verweis nationale Namensverwaltung Internetknoten
 

 
Die Namensraumverwaltung für die Länderdomain .de obliegt der DeNIC (51). Dieser 1996 gegründeten Genossenschaft hat die RIPE die komplette Domänenverwaltung übertragen.

Nach außen tritt die DeNIC besonders durch ihre WhoIs-Datenbank in Erscheinung, in der alle registrierten Second Level Domains unter der Länderdomain abgefragt werden können. Nicht zuletzt ihrer liberalen Vergabepolitik ist es zu verdanken, dass die deutsche Länderdomain weltweit die größte geworden ist und sich hartnäckig hinter .com auf Platz 2 bewährt. Nachdem sich China mit dem Länderkürzel .cn aus dem internationalen Geschäft zurückgezogen hat, ist der einzige ernsthafte Konkurrent für Platz 2 die generische TLD .net. Als konkurrierende Länderdomain folgt abgeschlagen Großbritannien (52).
 

 
Die wichtigsten Daten über die Namensräume werden auch von der RIPE vorgehalten, die zusammen mit den anderen Regionalverwaltungen für die Internetzonen einen Ausfall oder eine böswillige Manipulation in den von der IANA kontrollierten Rootservern abfangen und puffern kann.

Im Hinblick auf das Routing und die Erreichbarkeit im System der nummerischen Internetadressen hat eine stabilisierende Rolle jetzt auch der deutsche Internetknoten DE-CIX in Frankfurt am Main (53) gewonnen, der sich nicht nur zum größten weltweit angesteuerten Internetknoten gemausert, sondern damit auch der US-Präsenz den Rang abgelaufen hat.

RIPE, DE-CIX und DeNIC sind ernst zu nehmende Player im Internet-System geworden, die politisch nicht mehr billig ausgebootet werden können. Die Kehrseite davon ist: Sie sind damit auch zu erstrangigen Zielen für die Cybercrime und den Cyberkriegern geworden. Ob sie sich dieser Rolle gewiss sind, weiß ich ich nicht.
 

zurück zum Verweis Anmerkungen
 


(1) Monika Ermert, DNSSEC in der DNS-Rootzone gestartet, Heise online 16.07.2010;
der Rechtsschreibfehler wurde schamhaft verbessert.

(2) Siehe Arbeitspapier Netzkommunikation, Kapitel 4. Globale Welt, 5. Verkabelte Welt, 6. Geroutete Welt.

(3) Internet Protocol - IP

(4) Internet Corporation for Assigned Names and Numbers - ICANN

(5) Internet Assigned Numbers Authority - IANA

(6) Domain Name System - DNS

(7) Top Level Domain - TLD

(8) IPv4

(9) IPv6. Die neuen Adressen bestehen aus ach hexadezimalen Ziffernfolgen, die durch Doppelpunkte getrennt werden.

(10) Autonomes System - AS

(11) Routing

(12) Border Gateway Protocol - BGP

(13) IP-Adressen ohne Beweiswert, 16.05.2010; böswillige BGP-Manipulationen, 10.07.2010.
 

 
(14) Internet Society - ISOC

(15) (5)

(16) Monika Ermert, Machtfrage. Wer kontrolliert das Internet? c't 5/2010

(17) (16), Länderdomain -.af von Afghanistan wieder online, Netzwoche 11.03.2003

(18) Regional Internet Registry - RIR

(19) American Registry for Internet Numbers - ARIN

(20) Latin American and Caribbean Internet Addresses Registry - LACNIC

(21) RIPE Network Coordination Centre;
Réseaux IP Européens Network Coordination Centre - RIPE NCC

(22) African Network Information Centre - AfriNIC

(23) Asia-Pacific Network Information Centre - APNIC

(24) IANA IPv4 Address Space Registry;
IPv6 Global Unicast Address Assignments.

(25) (10); bei den AS-Nummern handelt es sich um 5-stellige Ziffernfolgen (16 Bit, Autonomous System (AS) Numbers), wobei der Ziffernraum inzwischen auf 32 Bit erweitert wurde: 32-bit Autonomous System Numbers.

(26) Liste länderspezifischer Top-Level-Domains
 

zurück zum Verweis
 

 
(27) Siehe zum Beispiel Alex Pilosov, Toni Kapela, Stealing The Internet. An Internet-Scale Man In The Middle Attack, 10.08.2008

(28) Routingtabelle

(29) Routing;
Übertragung im Netz - Routing, netplanet o.D.;
3 IP-Adressierungs- und Verteilungs-Techniken, Leseprobe bei Markt + Technik o.D.

(30) Sehr zu empfehlen: Stefan Dierichs, Norbert Pohlmann, Internet Deutschland
- Struktur und Aufbau
, 13.11.2005

(31) Der Nummernblock 91.0.0.0 bis 91.255.255.255 ist zum Beispiel der DTAG zugeordnet: Datenbank der RIPE NCC,
Who is (91.15.)
.

(32) (12)

(33) (13). Auf Anweisung ihrer Regierung meldete am 24.02.2008 die Pakistan Telecom eine falsche Erreichbarkeit für YouTube. Die falschen Routingangaben übernahm ein internationaler Verbindungsnetzbetreiber ( Tier-1), PCCW Global, und verbreitete sie dadurch. YouTube war darauf weltweit für 1 1/2 Stunden nicht erreichbar. Siehe:
YouTube Hijacking: A RIPE NCC RIS case study, RIPE o.D.;
Pakistan sperrt YouTube, Heise online 25.02.2008;
"Router lügen nicht" - was, wenn doch? Heise online 27.08.2008;
siehe auch (27).

(34) (24); IANA IPv4 Address Space Registry.

(35) (24); Autonomous System (AS) Numbers.

(36) Top-Level-Domain - TLD
 

 
(37) Generische und länderbezogene Top Level Domains, DENIC o.D.

(38) nicht gesponserte TLD

(39) gesponserte TLD

(40) Domainzahlen, 08.07.2010

(41) (21)

(42) Eine gute Beschreibung des DNS stammt vom BSI, dem DENIC und von ECO: DNSSEC. Testbed für Deutschland, 24.04.2009. Chapeau!

(43) Dazu wird noch immer der Adressraum des ARPA-Netzes als Basis verwendet: .arpa.

(44) Root-Nameserver;
Standorte.

(45) Anycast

(46) The root zone will be DNSSEC signed in July 2010, root-servers.org

(47) Sie dienen zum glaubwürdigen Abgleich der gespeicherten Daten. Siehe auch Der Nameserverdienst der DENIC, DENIC o.D.

(48) schnöde Formalitäten, 14.07.2010

(49) Domain Name System Security Extensions - DNSSEC

(50) Kaminsky veröffentlicht letzte Details zur DNS-Schwachstelle, Heise online 07.08.2008

(51) DENIC

(52) Domainzahlen, 08.07.2010

(55) German Commercial Internet Exchange - DE-CIX
 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 25.07.2010