Matthias Lohr's technical stuff

Gestern haben wir eine erste Preview-Version von phpDNSAdmin veröffentlicht. Diese Version beinhaltet zur Zeit lediglich das PowerDNS-Modul für PostgreSQL als Zonenbackend sowie .htaccess-Files als Benutzerdatenquelle. Durch dieses Preview möchten wir einen ersten Einblick auf phpDNSAdmin gewähren und Anregungen schaffen, uns durch Feature Requests und/oder Bug Reports zu unterstützen.

Wer mal einen Blick auf phpDNSAdmin werfen möchte, kann sich die Preview-Version hier herunterladen. Weitere Informationen zu den Projekt gibt es unter http://phpdnsadmin.sourceforge.net/ und http://sourceforge.net/projects/phpdnsadmin/.

Als kleine Ergänzung noch eine Liste von DNS-Servern, da Google wohl mit seinen DNS größeres vor hat… (siehe Heise/IX):

Auf http://www.fixmbr.de/opendns-und-andere-freie-dns-server/ findet man eine Vielfalt von alternativen DNS-Servern und sogar Anleitungen, wie man diese konfiguriert.

Es erstaunt mich immer wieder, mit welcher Naivität Politiker, in diesem Fall (mal wieder) die der deutschen Regierung, über internetrechtliche Belange diskutieren, ohne auch nur zu Wissen, von was man da eigentlich redet. Das Thema ist zwar nun schon etwas älter, die Diskussion aber läuft und läuft… Reden wir heute mal wieder über das beliebte Zugangserschwernisgesetz. Frau Von der Leyen und die Teile der Regierung, die sie damit überzeugen konnte, möchten damit das Besuchen von – zunächst  ausschließlich – kinderpornographischen Seiten unmöglich machen. Auf den ersten Blick scheint diese Initiative recht sinnvoll, denn wenn die Nachfrage fehlt, stirbt der Markt für solche Inhalte (um es mal sehr trocken auszudrücken). Eine Kleinigkeit hat Frau Von der Leyen dennoch vergessen: Die Inhalte sind noch da, und im Internet sind – man höre und staune – auch Fachleute unterwegs. Fachleute, die wissen, wie man solche Sperren, wie sie von der Regierung beschlossen wurden, innerhalb von Sekunden unwirksam machen kann.

Beleuchten wir kurz die Funktionsweise dieser Sperre: Bei jedem Zugriff auf eine Internetseite schickt der Browser zunächst einen DNS-Request an den im PC eingestellten DNS-Server, meist den des Providers (z. B. Telekom). Dieser Server prüft nun, ob der zu dem angeforderten Namen (z. B. matthias-lohr.net) auch eine IP kennt. Wenn ja, liefert er diese zurück, wenn nein fragt er den nächst “höheren” Server (bei einer .de-Domain die Nameserver der DENIC) “wer kennt denn die IP zu dieser Domain?”. Dieses Fragespielchen geht solange, bis der erste angefragte DNS-Server die Antwort kennt, diese speichert (falls noch mehr Anfragen zu dieser Domain kommen) und das Ergebnis an den Kunden zurückliefert. Die Telekom und alle anderen Internetzugangsprovider werden im Rahmen der Internet-Sperren dazu verpflichtet, bestimmte Domains, die im Zusammenhang mit Kinderpornographie bekannt geworden sind, immer auf eine feste IP umzuleiten, die nicht mehr dem Original-Ziel entspricht. Auf dem damit angefragten Server hat Frau Von der Leyen ein Stoppschild mit Apellen an die Menschlichkeit hinterlassen, welches sich der Internetbenutzer nun ansehen darf.

Wie schon oft und reichlich diskutiert, kann der Benutzer aber in seinem Betriebssystem selbst wählen, welche DNS-Server er benutzt. Beispielsweise kann man, statt die IP der heimischen FritzBox, einfach die DNS-Server von Google eintragen (8.8.4.4, 8.8.8.8). Schon ist man nicht mehr auf DNS-Server, die der deutschen Gerichtsbarkeit unterliegen, angewiesen, und merkt von den Websperren nichts.

Nun ist aber DNS dafür bekannt, dass es relativ leicht zu beeinflussen und die Daten darin zu fälschen sind (siehe Heise-Meldung). Um DNS ein klein wenig sicherer zu machen, wurde das DNSSEC-Protokoll entwickelt, welches es ermöglichst, gefälschte DNS-Antworten zu erkennen und ggf. auf andere Server auszuweichen, von denen man eine korrekte Antwort erhalten hat. Zur Zeit beraten die Betreiber der root-Zone, sowie auch die DENIC, wie der Betrieb mit DNSSEC aussehen kann und stellen entsprechende Testszenarien zusammen.

Der interessante Punkt ist nun folgender: Die Eingriffe der Provider in das DNS-System sehen für jeden Rechner, der DNSSEC versteht und überprüft, nun wie Fälschungen aus. Ein gut konfigurierter Rechner meldet also seinem Benutzer, dass jemand versucht, offensichtlich falsche Daten zuzustellen bzw. ignoriert der Rechner diese sogar und fragt direkt andere Nameserver. Der Effekt dabei ist, dass die IP mit dem schönen Stoppschild nie zum Kunden kommt, sie ist ja eine Fälschung. Also wird auch niemand das Stoppschild sehen, sondern nach ein wenig Arbeit (nämlich der Konfiguration anderer Nameserver) die Original-Inhalte.

(Für diejenigen, die wissen, wie DNSSEC funktioniert) Natürlich ist es möglich, in der einer gesperrten Domain übergeordneten Zone einen eigenen DS-Schlüssel hinterlegen zu lassen, mit dem sich die Echtheit der gefälschten Daten beweisen lassen würde (welch ein Satz…), allerdings untersteht nur ungefähr eine TLD der deutschen Regierung, weswegen diese Lösung ausschließlich für die de-Zone anwendbar wäre. Eine weitere Alternative wäre die komplette Filterung des innerdeutschen Datenverkehrs, um die Nutzung von nicht erlaubten DNS-Servern aufzuspüren. Allerdings wandere ich vorher nach China aus!

Nach soviel destruktiver Kritik noch ein wenig Konstruktives: Mir ist kein Staat bekannt, der Kinderpornographie befürwortet. Daher sollte es in einer internationalen Initiative doch eigentlich möglich sein, ein Informations-Netzwerk aufzubauen, in dem Regierungen sich untereinander informieren, wenn Sie in einem nicht unter ihrer Kontrolle stehenden Internet-Bereich einen Server aufgespürt haben, der kinderpornographische oder sonstige verwerfliche Inhalte enthält. Damit wäre dann auch die Löschung – die meines Erachtens ohnehin vorgenommen werden sollte, allerdings nicht ohne Anordnung eines Richters – von Seiten möglich und die Welt ein klein wenig schöner…

Jeder, der einen DNS-Server aufsetzt, hat die Wahl zwischen händischer Administration (editieren der Zonefiles bei BIND bzw. einfügen der Daten in die Datenbank per phpMyAdmin/phpPgAdmin). Für die faulen unter uns (also alle, die sich mit Informatik beschäftigen) gibt es eine große, unüberschaubare Anzahl an Admin-Interfaces für die verschiedensten Arten von DNS-Servern. Das Problem ist dabei, dass jedes dieser Interfaces meistens für genau eine Art von Backend für genau einen DNS-Server geschrieben wurde – wechselt man den Server, benötigt man ein anderes Interface zur Administration. Außerdem wird die wahl durch die verschiedenen Features, die ein Interface anbietet, das nächste aber nicht und umgekehrt nicht einfacher – kurzum: Man muss einen Kompromiss schließen, was man nun möchte und auf was man – zugunsten der anderen Features – verzichtet.

Nachdem ich nun schon mehrere DNS-Server aufgesetzt habe und diese teilweise bis heute administriere, weiß ich, wie problematisch und aufwendig das dadurch wird. So entstand die Idee, eine Software zu programmieren, die – unabhängig vom Backend – alle für DNS wichtigen Features implementiert. Gleichzeitig, um größtmöglichen Nutzen an der Software zu haben, sollen viele DNS-Server bzw. deren Backends unterstützt werden. So entstand schnell die Idee einer modulbasierten Lösung. Wenn man dann schon am modularisieren ist, kommt man auch schnell auf die Idee, neben verschiedenen Quellen für Zonendaten auch Benutzerdaten- und Rechte-Quellen zu modularisieren, sodass man das entstandene Projekt wie Lego für alle erdenklichen Szenarien zusammen- und einsetzen kann.

So entstand phpDNSAdmin, ein Projekt mit dem Ziel, gut ausgestattetes Admin-Interface für nahezu alle (wichtigen) DNS-Server zu werden. Zur Zeit sind wir davon aufgrund des relati jungen Alters des Projekts noch weit entfernt, aber die Basis für das Interface steht. Was uns hauptsächlich noch fehlt sind Module für alle zu unterstützenden DNS-Server, Authentifikations-Quellen etc. Wer möchte, ist herzlich eingeladen, unser Projekt bei SourceForge zu unterstützen. Wir suchen Betatester, Programmierer, Autoren für die Dokumentation, DNS-Fachleute uvm., bei Interesse einfach per E-Mail bei mir melden.

Seit kurzer Zeit haben wir in an der Universität nun auch ein CAcert-Büro. Es ist zwar kein offizieller Bestandteil des URT, aber wir werden vom Rechenzentrum bei der Arbeit mit CAcert unterstützt.

Zur Zeit sind wir dort 5 Assurer mit der Möglichkeit in einem Rutsch bis zu 100 Punkte zu vergeben. Vorbeikommen lohnt sich also .

Desweiteren werden wir zum Semesterbeginn eine kleine Einführungs-Veranstaltung zu CAcert bzw. auch Zertifikate allgemein anbieten.

Wer sich assuren lassen möchte, kann gerne vorbeikommen, nähere Informationen dazu finden sich auf meiner Uni-Seite. Bei Fragen zu dem Thema helfen wir natürlich auch gerne weiter.

Unter Linux gibt es verschiedenste Wege, SSL-Zertifikate zu verwalten und diesen das Vertrauen auszusprechen. Auf welche Quellen sich eine Anwendung beruft ist meist nur sehr schwer herauszufinden. Daher stelle ich hier mal ein paar Möglichkeiten vor, wie man Zertifikaten (wie z. B. der der Zertifizierungsstelle CACert) das Vertrauen aussprechen kann.

Zuersteinmal sollte man sich die Zertifikate der jeweiligen Zertifizierungsstelle im pem-Format herunterladen. Diese Dateien kann man nun (als root) im Verzeichnis /etc/ssl/certs ablegen, dabei sollte man einen aussagekräftigen Namen verwenden, damit man diese Dateien, falls nötig, wiederfindet. Damit nun das Zertifikat auch von Programmen gefunden werden kann, ist es nötig, einen speziellen Symlink auf die Zertifikats-Datei anzulegen. Dazu benötigt man zuerst den Hash-Code des Zertifikats. Diesen bekommt man z. B. mit folgendem Befehl:

mlohr@home:/etc/ssl/certs$ openssl x509 -in CACert_root.pem -noout -hash
5ed36f9

Die Zeichenkette 5ed36f9 ist der gesuchte Hash. Für den Namen des Symlinks hängt man noch .0 (Punkt Null) hintendran:

mlohr@home:/etc/ssl/certs$ sudo ln -s CACert_root.pem 5ed36f9.0

Dieses war der erste Streich, doch der zweite folgt sogleich. Da man nicht immer root ist um solche Vorhaben durchzuführen gibt es von gnupg auch eine Variante, Zertifikaten zu vertrauen (inwiefern dieser und der eben beschriebene Mechanismus zusammen arbeiten weiß ich nicht, da muss ich mich wohl nochmal schlaulesen): In seinem Home-Verzeichnis einfach die Datei ~/.gnupg/trustlist.txt erstellen und in diese Datei die Hashes der zu vertrauenden Zertifikate eintragen. Als Beispiel hier meine Datei mit den Hashes der beiden CACert-Zertifikate:

mlohr@home:~/.gnupg$ cat trustlist.txt
135CEC36F49CB8E93B1AB270CD80884676CE8F33
DB4C4269073FE9C2A37D890A5C1B18C4184E2A2D

Ich hoffe, das hilft erstmal weiter. Wenn jemand Wissenswertes zu den Themen weiß, kann er mir das gerne mitteilen, dann erweitere ich diesen Artikel – oder eben als Kommentar gerade hinterlegen. Gleiches gilt natürlich auch bei groben Fehlern etc.

Ich wünsche allen frohe Weihnachten, besinnliche Festtage und für demnächst auch einen guten Rutsch!

Ich bedanke mich für die Aufmerksamkeit, die Ihr meinem Blog widmet und freue mich auf ein wiederlesen im neuen Jahr!

Viele Grüße
Matthias Lohr

Nach meinem Blog-Umzug habe ich endlich auch die Zeit gefunden, meine persönliche Universitäts-Webseite auf den aktuellen Stand zu bringen. Neben Kontaktinformationen, wie man mich “dienstlich” erreicht, habe ich dort auch eine Übersicht meiner Tätigkeiten und Projekte erstellt.

Ich versuche, sofern praktikabel, zu meinen Uni-Projekten hier ein paar tiefergehende Informationen zu veröffentlichen. Sollten dazu Fragen auftreten oder zu einem interessanten Projekt hier nichts zu finden sein, sind Sie herzlich eingeladen, mich persönlich zu kontaktieren oder auch hier einen Kommentar zu hinterlassen.

Wie immer gilt: Wer irgendwo Rechtschreibfehler findet, darf Sie behalten… Scherz bei Seite: Bitte kurz Bescheid geben Danke.

Mein Blog ist ab sofort unter http://www.matthias-lohr.net/ erreichbar. http://blog.ml.vg/ ist allerdings weiterhin als Redirect auf die neue Adresse aktiv.

Da viele Leute Probleme haben bei einem Wordpress-Umzug hier eine kleine Anleitung, wie ich (nach einigen Versuchen) den Blog umgezogen bekam:

1. Backups! Bevor man irgendetwas an seinem Blog ausprobiert, sollte man sowohl die Dateien als auch die Datenbank sichern, um im Problemfall den alten Stand wiederherstellen zu können.
2. Dateien auf den neuen Server kopieren. Bitte dabei beachten, dass alle Dateien entsprechende Rechte bekommen (und die wp-config.php entsprechend wenige).
3. In der alten Installation (vorsicht, hier machen wir was kaputt!) in den Einstellungen die Seiten URL auf die neue URL ändern. Danach wird der Blog auf der alten URL nicht mehr korrekt angezeigt!
4. Datenbank aus der alten Installation exportieren und in der neuen einfügen. Ggf. die Einstellungen in der wp-config.php anpassen, damit die neue Installation auch auf die Daten zugreifen kann.
5. Auf dem neuen Server die Inhalte von wp-content/cache/ löschen.
6. In der Datei wp-content/advanced-cache.php den Pfad an die aktuelle Konfiguration anpassen.

Theoretisch müsste der Blog nun wieder einwandfrei laufen. Ggf. muss man noch eigene Links in den entsprechenden Seiten anpassen, die man geschrieben hat.

Wenn noch Fragen oder Anmerkungen sind bitte einfach das Kommentarfeld nutzen, vielen Dank!

Seit Mitte dieser Woche darf ich mich guten Gewissens CACert-Assurer nennen, das bedeutet, dass ich die Identität für andere CACert-Benutzer überprüfen und bestätigen darf.

CACert ist eine Organisation, die es sich zum Ziel gesetzt hat, vertrauenswürdige SSL-Zertifikate jedem, der möchte, sehr kostengünstig (meist kostenlos) zur Verfügung zu stellen. Dafür bedient sich CACert der Idee, das deren Mitglieder gegenseitig ihre Identität bestätigen, wobei man für jede erhaltene Bestätigung Punkte erhalten kann. Sobald man 50 Punkte gesammelt hat, kann man z. B. 24 Monate gültige Zertifikate ausstellen (genaueres unter: CACert Punktesystem).

Jeder, der sich von mir assuren (also die Identität überprüfen) lassen möchte (und entweder in der Nähe von Trier, Zell (Mosel) oder bei Koblenz wohnt) kann sich bei mir melden, dann können wir gerne einen Termin für ein persönliches Treffen vereinbaren.