Im zweiten Beitrag wurde dann das DNS mit dem Internet gleichgesetzt. Fällt das DNS aus, bricht die globale Infrastruktur zusammen. Ampeln, Stromnetze usw. sind nicht mehr erreichbar. Komisch nur, die meisten dieser Systeme nutzen zwar das Internet teilweise als Transportmittel, sind aber keinesfalls auf das DNS angewiesen. Meistens werden hier sowieso VPN-Tunnel zwischen routern gebaut. Mal davon abgesehen, dass alle wichtigen Netze nicht über das Internet sondern dezidierte Standleitungen innerhalb der Carriernetze verbunden sind. Hier spricht man dann MPLS, ATM, Ethernet oder ähnliche Protokolle, die im Carriernetz in virtuellen Tunneln zusammen mit Internetpaketen völlig isoliert voneinander transportiert werden. Welchen Physikalischen Weg der Tunnel dabei nutzt, ist abhängig von der Auslastung der jeweiligen Leitungswege und kann am Tage mehrmals wechseln. Das DNS hat mit diesen eigentlichen Netzen nichts zu tun.

Zuletzt wurde es im Beitrag sehr nebulös. Es wurde Metasploit auf eine veraltete WindowsXP Installation losgelassen (zu erkennen am IE6), und ein Botnetz demonstriert. Was das nun mit DNSSEC und den 7 Schlüsselinhabern zu tun haben soll weiß sicher nur Planetopia.

Der Beitrag steht sicher bald im Planetopia Archiv zum anschauen bereit.

Unter der Haube wurde der Browser für HTML5 flott gemacht, nutzt nun Hardwarebeschleunigung und verwendet eine schnellere JavaScript Engine. Die Oberfläche kann nun mit Multitouch und Gesten bedient werden, was für Touchscreen Systeme einige Vorteile bringt.

Nutzt man Firefox an mehreren Systemen, können alle Einstellungen über Firefox Sync online synchronisiert werden. Möchte man seine Daten nicht an Mozilla senden, kann mit etwas technischen KnowHow ein eigener Wave-Server im Heimnetz installiert werden.

In der Summe macht das Surfen deutlich mehr Spaß als mit dem Vorgänger oder anderen Browsern. Einzig Microsofts WebSlices könnten manche zur Nutzung des Internet Explorers überreden.

Die derzeit aktuelle Version ist Beta4, die allerdings schon sehr gut funktioniert und die meisten Features der endgültigen Version enthält.

Mehr dazu findet ihr direkt bei Mozilla.

Aber nun zurück zur DNS-Umleitung. Normalerweise antworten DNS-Server, wenn ein DNS-Name nicht existiert, mit “NXDOMAIN”. Das steht für Non Existent Domain und sagt dem DNS-Client, diese Domain existiert nicht. Der Webbrowser zeigt hier eine Fehlermeldung “Server nicht gefunden” oder, wenn der Benutzer es wünscht, eine Suchseite wie Yahoo oder Bing an. Provider mit dieser Umleitung antworten hier mit den IP-Adressen des eigenen Suchportals, der Webbrowser öffnet mit der Anfrage “Gib mit startseite domain.de” eine Verbindung zu diesen IP-Adressen und verarbeitet die Antwort.

Das interessante daran ist, der Provider weiß dann, User Max Müller, aus Berlin hat am 01.01.2001 um 22:13 Uhr Domain xyz gesucht. Da der Provider ja auch über die Anschrift des Nutzers in seiner Datenbank verfügt, lassen sich aus den Protokollen des Suchseiten-Servers diverse Daten ableiten. Dies kann man nun dazu nutzen, Werbung für eine bestimmte Zielgruppen auf Basis der Kundendaten zu schalten. In der realen Welt würde das mit personenbezogener Werbung in Schaufenstern gleichkommen. Istdas nicht schön wenn man so an 20 Schaufenstern vorbeiläuft und jedes einzelne Hallo Herr xy, sie haben doch neulich … gesucht. Wir haben für Sie …. Mit einem rfid-Tag in Produkten und Leseschleifen vor dem Laden könnte der Ladenbesitzer aus der Kundendatenbank die Daten des Käufers laden und genau so etwas realisieren. Würde er allerdings so etwas machen, würden sich alle Datenschützer aufregen. Komischerweise darf es im Internet ohne Probleme so ablaufen.

Ob große Provider solche Methoden anwenden, ist nicht ganz klar. Um das zu prüfen, müssten möglichst viele Menschen unterschiedlicher Ziel-/Altersgruppen absichtlich exakt die gleichen falschen Domains eingeben und die Ausgabe der Providersuchseite auswerten. Sind hier Muster erkennbar, die auf Zielgruppenwerbung schließen lassen, verwendet der Provider auf jeden Fall Daten aus der Kundendatenbank für die Suchseiten. Ist die Suchseite allerdings bei jedem gleich oder ähnlich, würde das gegen eine solche Verwendung sprechen.

Wie kann man das aber verhindern? Nun, da alle Anfragen an Port 53 auf die DNS-Server des Anbieters umgeleitet werden, muss ein alternativer DNS-Server mit einem nicht Standard Port verwendet werden. Ein sehr guter Anlaufpunkt für genau diese Probleme ist die deutsche Privacy Foundation. Diese betreibt neben Tor Endpoints auch eigene, unmodifizierte Nameserver auf alternativen Ports.

Wie lange das allerdings noch klappt ist fraglich. Theoretisch könnte der Anbieter mit einem L7 Filter alle DNS-Anfragen umleiten. Hier hilft dann wirklich nur noch ein verschlüsselter Tunnel.

Weitere Links zum Thema:
Artikel bei Heise Netze
Artikel über Internetzensur des Chaos Computer Club

Mein Guthaben, dass über die letzten Monate zusammengekommen ist, wurde ja auch eingezogen. Falls das kein Versehen ist, werde ich wohl keine google-services mehr nutzen.

Aber was hat das alles mit diesen Dubiosen Firmen zu tun? Richtig, nichts.

Diese dubiosen Firmen versuchen nun, genau solche Firmen im Internet zu finden und per Mail freundlicherweise zu Informieren „Ihre Konkurrenz versucht gerade ihre Domain „firma-xyz.asia“ zu registrieren. Melden Sie sich dringend um diese Domain vorher zu registrieren“.

Meldet man sich nun bei dieser Firma und registriert „aus Angst vor der bösen Konkurrenz“ diese Domain bei diesem Anbieter, zahlt man meist das Doppelte bis Zehnfache der normalen Gebühren. Es kommt aber noch schlimmer, meistens behält der Anbieter die Rechte an der Domain (Domain-Owner) und verhindert so die Übertragung zu einem seriösen Anbieter.

Kurz gesagt, Finger weg von solchen Anbietern und am besten immer bei bekannten, seriösen Providern Domains registrieren. Emails dieser Art gehören einfach nur gelöscht.

Hier eine dieser Nachrichten:

Dear President&CEO,
.
We are a professional intellectual property right consultant organization in Asia, who mainly deal with
the global domain name registration and internet intellectual property right protection.
Right now we have an important issue to confirm with you. On July 19, 2010, we formally received an
application, one company named San Antonio Group Co., Ltd. applied for the internet keyword
"anb-networkz" and some domain names related to the keyword "anb-networkz" with our organization.
During our preliminary investigation, we found that these domain names' keyword is identical with yours.
I wonder whether you consigned San Antonio Group Co., Ltd. to register these domain names with us?
Or is San Antonio Group Co., Ltd. your business partner or distributor in Asia? If you have no relationship
with this company, we assume that they have other purposes to obtain these domain names. Currently,
we have already postponed this company's application temporarily. Therefore please let the relevant
person make a confirmation with me by telephone or email as soon as possible.
.
.
Thanks & Regards,
.
Tim Yang
Audit Engineer
T: + 852 95660 103
+ 852 95660 489
F: + 852 30696 940
E: Tim@wanyinet.com
Tim@chinaoneeasy.net

Link zum Originalbeitrag auf Hackerinfo.

Die eigentliche DFÜ-Verbindung kann nun unter Netzwerkverbindungen angelegt werden.

Der Assistent wird unter Netzwerkverbindungen links über die Aufgabe “neue Verbindung erstellen” gestartet. Hier klickt man zuerst “weiter”, wählt anschließend “Verbindung mit dem Internet herstellen”, klickt “Weiter”, wählt “Verbindung manuell einrichten” und klickt erneut “Weiter”. In diesem Dialogfeld wird nun das UMTS-Modem ausgewählt. Hier sollte man aufpassen, nicht aus versehen ein eventuell vorhandenes internes Moden zu erwischen.

UMTS-Modemauswahl

Sobald der richtige Haken gesetzt wurde, klickt man erneut auf Weiter. Als nächstes wird der Name der Verbindung eingegeben, zum Beispiel “Vodafone UMTS” eingetragen und mit “Weiter” bestätigt. Nun fragt der Assistent nach der Rufnummer. Für Vodafone UMTS ist an dieser Stelle “*99***1#” einzutragen. Es folgt ein die Bestätigung mit “Weiter”.

Rufnummer

Nach dem Klick auf “Weiter” erscheint die Frage “Alle benutzer” oder “Eigene Verwendung”. Ohne Administratorenrechte kann hier nur “Eigene Verwendung” ausgewäht werden. Also Weiter. Nun fragt der Assistent nach “Benutzername” und “Passwort”. bei Vodafone muss hier nicht eingetragen werden. Es folgt ein klick auf “Weiter” und anschließend “Fertig stellen”. Doch es ist noch nicht überstanden. In der Standardeinstellung fragt das System bei jedem verbindungsaufbau nach Benutzername und Kennwort. Dies kann in den Eigenschaften der DFÜ-Verbindung im Reiter “Optionen” abgeschaltet werden. Hier sollte nur “Status anzeigen” ausgewählt werden.

Optionen der UMTS-Verbindung

Die meisten Anbieter unterstützen zudem keine Verschlüssenung und nur CHAP als Anmeldeprotokoll. Wieder in den Eigenschaften der UMTS-Verbindung, diesmal im Reiter “Sicherheit” kann die unnütze Prüfung abgeschaltet werden. Als Datenverschlüsselung wird hier “Keine” und Protokolle ausschließlich das Challenge-Authentication-Protokoll “CHAP” zugelassen.

Sicherheit der RAS-Verbindung

Nun sollte die Verbindung hergestellt werden können. Zu beachten ist, manche Provider geben keine DNS-Server während des Verbindungsaufbaus an den Client. diese können aber unter dem Reiter “Netzwerk” in den Eigenschaften des Internetprotokolls “TCP/IP” konfiguriert werden. Für Vodafone ist hier “139.7.30.125″ als bevorzugter und “139.7.30.126″ als alternativer DNS-Server einzutragen.

Manuelle Eingabe der DNS-Server

Betsätigt man nun alle offenen Dialogfelder mit OK sollte man die RAS-Verbindung herstellen können. Viel Spaß beim Surfen.

Damit der Empfang auch überall sichergestellt ist, nutzt 1und1 das Vodafone Netz. Sollte es doch einen Haken geben, lasst es mich wissen. Auf den zweiten Blick aber auf jeden Fall eine Alternative zu teuren Flatrates anderer Anbieter. Und selbst wenn man für 0,09. / SMS 500 Nachrichten / Monat versendet, ist dieser Tarif immer noch günstiger als die Vodafone Superflat Allnet mit UMTS-Flatrate.

Hier geht es direkt zum Angebot von 1und1.