Wer heutzutage im Internet surft, der setzt sich an einen Rechner mit Browser und tippt Namen von Websites ein, zum Beispiel www.dradio.de. Per Mausklick wird dieser Name an einen sogenannten Name Server übergeben, der dann die dazu passende IP-Adresse heraussucht, aufgrund derer der Browser wiederum die gesuchte Website findet. So funktioniert der Domain Name Service, an dessen Spitze die Root Server der Internet Corporation for Assigned Names and Numbers stehen, kurz ICANN genannt. Das ist eine amerikanische Non-Profit-Organisation, die im Internet exklusiv die Vergabe von Domainnamen und IP-Adressen kontrolliert, und die dem amerikanischen Handelsministerium untersteht. Doch deren Root-Server haben jetzt Konkurrenz.
"Das Open Root Server Network ist ein System, was sich von dem amerikanischen DNS Root Server Netzwerk distanzieren soll. Na, es ist auch viel Protest bei diesem Projekt, bei der Wiederbelebung dabei."
Es ist ein Protest gegen die Selbstverständlichkeit, mit der Geheimdienste wie die US-amerikanische National Security Agency heutzutage das Internet belauschen. Markus Grundmann will ein Zeichen setzen. Root-Name-Server verwalten die IP-Adressen der nachgeordneten Nameserver für die jeweilige Top-Level-Domain wie .de oder .com. Die Listen dafür verwaltet die ICANN. Doch es geht auch anders.
Markus Grundmann:
"In dem neuen System machen wir das so: Wir benutzen weder ICANN noch IANA als Quelle, sondern bei einem Referenzstamm aller Toplevel-Domains, die circa 337 Namen umfassen, fragen wir jetzt die Registry-Server direkt über eine Software, die wir entwickelt haben. Und das sind etwa 1760 Systeme. Und dabei entstehen etwa 10.000 Datensätze. Und diese 10.000 Datensätze, die an sich in sich redundant sind, also immer die gleichen Informationen liefern, werden halt so aufbereitet, dass eben halt alle Daten dann vollständig vorliegen, selbst wenn sich von einigen Geräten keine melden, können wir immer sicherstellen, dass wir eine genaue Beschreibung der TLD vorliegen haben und daraus erstellen wir dann unsere Datenbasis."
Das so etwas funktioniert, bestätigt Peter Koch vom deutschen Network Information Center DENIC, der Registry für die Topleveldomain .de.
"Die Information, die Sie normalerweise von den Root-Name-Servern erhalten, ist die Liste der Namen und Adressen unserer Name-Server. Wir haben die auf unserer Webseite zur Verfügung gestellt. In dem Fall ist es also möglich, einfach auf unsere Webseite www.denic.de zu gehen, und sich dort die Namen und Adressen der Nameserver zu kopieren."
Markus Grundmann gründete das Open Root Server Network bereits im Jahre 2002, weil es seiner Meinung nach damals zu wenige Root Server gab. Doch die ICANN stockte auf, und das Open Root Server Network wurde obsolet und deshalb 2008 zunächst eingestellt. Nun umfasst das wiederbelebte System zusätzlich auch noch alternative Nameserver mit dem Vorteil der völligen Anonymität.
"Die alternativen Nameserver werden denn halt aus der Community gestellt. Ich hab darauf bestanden, dass auch die Root Server, die ich selbst alle persönlich auch mit kontrolliert habe und teilsweise auch mit aufgesetzt habe, dass dort keinerlei Aufzeichnung stattfindet. Und das möchte ich auch so, dass das für die öffentlichen, also die Public-DNS-Server das gleiche gilt, weil, es wird einfach schon zuviel mitgeschnitten, und deshalb unterbinden wir sowas."
Doch um Abhörsicherheit bemühen sich auch die Serverbetreiber, die mit der ICANN zusammenarbeiten. So werden DNS-Anfragen aus Deutschland von Nameservern und Root-Nameservern bearbeitet, die in Deutschland stehen. Außerdem ist der Datenaustausch verschlüsselbar. Peter Koch:
"Die Rootzone von ICANN ist mit DNS-SEC signiert, sodass die Antworten der Root-Name-Server insoweit kryptografisch abgesichert sind. Das sie nicht durch Spoofing-Attacken, durch Cache-Poisoning verfälscht werden können."
Hier muss sich ein Benutzer vom Open Root Server Network dennoch keine Sorgen machen, auch dieser Rechnerverbund verschlüsselt seine Kommunikation mit SSL. Ein anderes Problem wiegt da schon schwerer: Was ist von einem Internet zu halten, in dem es plötzlich mehr als ein Wurzelverzeichnis gibt? Die Gefahr besteht, dass man künftig nicht nur einen Roots Server abfragen muss, sondern gleich mehrere, wenn man eine Verbindung mittels IP aufbauen will. Markus Grundmann weist diese Befürchtungen allerdings zurück.
"Es gibt auch bestimmt den einen oder anderen, der unser System nicht gut findet. Ich weiß aus der Vergangenheit, dass mir vorgeworfen wurde, ich würde das Internet spalten mit diesem Projekt. Aber wenn das ausgebaut ist, dann werden wir an der Optimierung arbeiten. Und das wird so die Zukunft von ORSN sein."
Zum Themenportal "Risiko Internet"
"Das Open Root Server Network ist ein System, was sich von dem amerikanischen DNS Root Server Netzwerk distanzieren soll. Na, es ist auch viel Protest bei diesem Projekt, bei der Wiederbelebung dabei."
Es ist ein Protest gegen die Selbstverständlichkeit, mit der Geheimdienste wie die US-amerikanische National Security Agency heutzutage das Internet belauschen. Markus Grundmann will ein Zeichen setzen. Root-Name-Server verwalten die IP-Adressen der nachgeordneten Nameserver für die jeweilige Top-Level-Domain wie .de oder .com. Die Listen dafür verwaltet die ICANN. Doch es geht auch anders.
Markus Grundmann:
"In dem neuen System machen wir das so: Wir benutzen weder ICANN noch IANA als Quelle, sondern bei einem Referenzstamm aller Toplevel-Domains, die circa 337 Namen umfassen, fragen wir jetzt die Registry-Server direkt über eine Software, die wir entwickelt haben. Und das sind etwa 1760 Systeme. Und dabei entstehen etwa 10.000 Datensätze. Und diese 10.000 Datensätze, die an sich in sich redundant sind, also immer die gleichen Informationen liefern, werden halt so aufbereitet, dass eben halt alle Daten dann vollständig vorliegen, selbst wenn sich von einigen Geräten keine melden, können wir immer sicherstellen, dass wir eine genaue Beschreibung der TLD vorliegen haben und daraus erstellen wir dann unsere Datenbasis."
Das so etwas funktioniert, bestätigt Peter Koch vom deutschen Network Information Center DENIC, der Registry für die Topleveldomain .de.
"Die Information, die Sie normalerweise von den Root-Name-Servern erhalten, ist die Liste der Namen und Adressen unserer Name-Server. Wir haben die auf unserer Webseite zur Verfügung gestellt. In dem Fall ist es also möglich, einfach auf unsere Webseite www.denic.de zu gehen, und sich dort die Namen und Adressen der Nameserver zu kopieren."
Markus Grundmann gründete das Open Root Server Network bereits im Jahre 2002, weil es seiner Meinung nach damals zu wenige Root Server gab. Doch die ICANN stockte auf, und das Open Root Server Network wurde obsolet und deshalb 2008 zunächst eingestellt. Nun umfasst das wiederbelebte System zusätzlich auch noch alternative Nameserver mit dem Vorteil der völligen Anonymität.
"Die alternativen Nameserver werden denn halt aus der Community gestellt. Ich hab darauf bestanden, dass auch die Root Server, die ich selbst alle persönlich auch mit kontrolliert habe und teilsweise auch mit aufgesetzt habe, dass dort keinerlei Aufzeichnung stattfindet. Und das möchte ich auch so, dass das für die öffentlichen, also die Public-DNS-Server das gleiche gilt, weil, es wird einfach schon zuviel mitgeschnitten, und deshalb unterbinden wir sowas."
Doch um Abhörsicherheit bemühen sich auch die Serverbetreiber, die mit der ICANN zusammenarbeiten. So werden DNS-Anfragen aus Deutschland von Nameservern und Root-Nameservern bearbeitet, die in Deutschland stehen. Außerdem ist der Datenaustausch verschlüsselbar. Peter Koch:
"Die Rootzone von ICANN ist mit DNS-SEC signiert, sodass die Antworten der Root-Name-Server insoweit kryptografisch abgesichert sind. Das sie nicht durch Spoofing-Attacken, durch Cache-Poisoning verfälscht werden können."
Hier muss sich ein Benutzer vom Open Root Server Network dennoch keine Sorgen machen, auch dieser Rechnerverbund verschlüsselt seine Kommunikation mit SSL. Ein anderes Problem wiegt da schon schwerer: Was ist von einem Internet zu halten, in dem es plötzlich mehr als ein Wurzelverzeichnis gibt? Die Gefahr besteht, dass man künftig nicht nur einen Roots Server abfragen muss, sondern gleich mehrere, wenn man eine Verbindung mittels IP aufbauen will. Markus Grundmann weist diese Befürchtungen allerdings zurück.
"Es gibt auch bestimmt den einen oder anderen, der unser System nicht gut findet. Ich weiß aus der Vergangenheit, dass mir vorgeworfen wurde, ich würde das Internet spalten mit diesem Projekt. Aber wenn das ausgebaut ist, dann werden wir an der Optimierung arbeiten. Und das wird so die Zukunft von ORSN sein."
Zum Themenportal "Risiko Internet"