Wer mal einen Blick auf phpDNSAdmin werfen möchte, kann sich die Preview-Version hier herunterladen. Weitere Informationen zu den Projekt gibt es unter http://phpdnsadmin.sourceforge.net/ und http://sourceforge.net/projects/phpdnsadmin/.

Auf http://www.fixmbr.de/opendns-und-andere-freie-dns-server/ findet man eine Vielfalt von alternativen DNS-Servern und sogar Anleitungen, wie man diese konfiguriert.

Beleuchten wir kurz die Funktionsweise dieser Sperre: Bei jedem Zugriff auf eine Internetseite schickt der Browser zunächst einen DNS-Request an den im PC eingestellten DNS-Server, meist den des Providers (z. B. Telekom). Dieser Server prüft nun, ob der zu dem angeforderten Namen (z. B. matthias-lohr.net) auch eine IP kennt. Wenn ja, liefert er diese zurück, wenn nein fragt er den nächst “höheren” Server (bei einer .de-Domain die Nameserver der DENIC) “wer kennt denn die IP zu dieser Domain?”. Dieses Fragespielchen geht solange, bis der erste angefragte DNS-Server die Antwort kennt, diese speichert (falls noch mehr Anfragen zu dieser Domain kommen) und das Ergebnis an den Kunden zurückliefert. Die Telekom und alle anderen Internetzugangsprovider werden im Rahmen der Internet-Sperren dazu verpflichtet, bestimmte Domains, die im Zusammenhang mit Kinderpornographie bekannt geworden sind, immer auf eine feste IP umzuleiten, die nicht mehr dem Original-Ziel entspricht. Auf dem damit angefragten Server hat Frau Von der Leyen ein Stoppschild mit Apellen an die Menschlichkeit hinterlassen, welches sich der Internetbenutzer nun ansehen darf.

Wie schon oft und reichlich diskutiert, kann der Benutzer aber in seinem Betriebssystem selbst wählen, welche DNS-Server er benutzt. Beispielsweise kann man, statt die IP der heimischen FritzBox, einfach die DNS-Server von Google eintragen (8.8.4.4, 8.8.8.8). Schon ist man nicht mehr auf DNS-Server, die der deutschen Gerichtsbarkeit unterliegen, angewiesen, und merkt von den Websperren nichts.

Nun ist aber DNS dafür bekannt, dass es relativ leicht zu beeinflussen und die Daten darin zu fälschen sind (siehe Heise-Meldung). Um DNS ein klein wenig sicherer zu machen, wurde das DNSSEC-Protokoll entwickelt, welches es ermöglichst, gefälschte DNS-Antworten zu erkennen und ggf. auf andere Server auszuweichen, von denen man eine korrekte Antwort erhalten hat. Zur Zeit beraten die Betreiber der root-Zone, sowie auch die DENIC, wie der Betrieb mit DNSSEC aussehen kann und stellen entsprechende Testszenarien zusammen.

Der interessante Punkt ist nun folgender: Die Eingriffe der Provider in das DNS-System sehen für jeden Rechner, der DNSSEC versteht und überprüft, nun wie Fälschungen aus. Ein gut konfigurierter Rechner meldet also seinem Benutzer, dass jemand versucht, offensichtlich falsche Daten zuzustellen bzw. ignoriert der Rechner diese sogar und fragt direkt andere Nameserver. Der Effekt dabei ist, dass die IP mit dem schönen Stoppschild nie zum Kunden kommt, sie ist ja eine Fälschung. Also wird auch niemand das Stoppschild sehen, sondern nach ein wenig Arbeit (nämlich der Konfiguration anderer Nameserver) die Original-Inhalte.

(Für diejenigen, die wissen, wie DNSSEC funktioniert) Natürlich ist es möglich, in der einer gesperrten Domain übergeordneten Zone einen eigenen DS-Schlüssel hinterlegen zu lassen, mit dem sich die Echtheit der gefälschten Daten beweisen lassen würde (welch ein Satz…), allerdings untersteht nur ungefähr eine TLD der deutschen Regierung, weswegen diese Lösung ausschließlich für die de-Zone anwendbar wäre. Eine weitere Alternative wäre die komplette Filterung des innerdeutschen Datenverkehrs, um die Nutzung von nicht erlaubten DNS-Servern aufzuspüren. Allerdings wandere ich vorher nach China aus!

Nach soviel destruktiver Kritik noch ein wenig Konstruktives: Mir ist kein Staat bekannt, der Kinderpornographie befürwortet. Daher sollte es in einer internationalen Initiative doch eigentlich möglich sein, ein Informations-Netzwerk aufzubauen, in dem Regierungen sich untereinander informieren, wenn Sie in einem nicht unter ihrer Kontrolle stehenden Internet-Bereich einen Server aufgespürt haben, der kinderpornographische oder sonstige verwerfliche Inhalte enthält. Damit wäre dann auch die Löschung – die meines Erachtens ohnehin vorgenommen werden sollte, allerdings nicht ohne Anordnung eines Richters – von Seiten möglich und die Welt ein klein wenig schöner…

Nachdem ich nun schon mehrere DNS-Server aufgesetzt habe und diese teilweise bis heute administriere, weiß ich, wie problematisch und aufwendig das dadurch wird. So entstand die Idee, eine Software zu programmieren, die – unabhängig vom Backend – alle für DNS wichtigen Features implementiert. Gleichzeitig, um größtmöglichen Nutzen an der Software zu haben, sollen viele DNS-Server bzw. deren Backends unterstützt werden. So entstand schnell die Idee einer modulbasierten Lösung. Wenn man dann schon am modularisieren ist, kommt man auch schnell auf die Idee, neben verschiedenen Quellen für Zonendaten auch Benutzerdaten- und Rechte-Quellen zu modularisieren, sodass man das entstandene Projekt wie Lego für alle erdenklichen Szenarien zusammen- und einsetzen kann.

So entstand phpDNSAdmin, ein Projekt mit dem Ziel, gut ausgestattetes Admin-Interface für nahezu alle (wichtigen) DNS-Server zu werden. Zur Zeit sind wir davon aufgrund des relati jungen Alters des Projekts noch weit entfernt, aber die Basis für das Interface steht. Was uns hauptsächlich noch fehlt sind Module für alle zu unterstützenden DNS-Server, Authentifikations-Quellen etc. Wer möchte, ist herzlich eingeladen, unser Projekt bei SourceForge zu unterstützen. Wir suchen Betatester, Programmierer, Autoren für die Dokumentation, DNS-Fachleute uvm., bei Interesse einfach per E-Mail bei mir melden.