15 Sep 2013

Dynamisches DNS

Submitted by ebertus

Der "Domain Name Service" kurz DNS löst die für Menschen eher unhandlichen Zahlenungetüme (IP-Adressen) in umgangsprachliche Namen auf. In der Regel und soweit nicht gerade ein sog. Downloader von illegalem Content (Musik, Videos etc.) hat der normale Internetnutzer aktiv sehr wenig bis nichts mit dem DNS zu tun. Das läuft und funktioniert alles im Hintergrund.

Aber was ist schon normal? Der genannte Downloader und soweit er um die Problematik weiss, er wird sich schützen, einen VPN-Dienst beispielsweise nutzen. Und der gern genannte KiPo-Konsument -man denke an die geplanten Netzsperren der Zensursula- hat dahingehend eh' kaum Sorgen, weil genau diese Sperren eben nicht auf IP-Ebene sondern über die Klarnamen der Webseiten funktionieren sollten. Wer also die jeweilige IP kennt, der kann sie im Browser ebenso eingeben wie den Namen. Und damit nun zu rechtskonformen Beschäftigungen mit dem DNS-System in seiner Ausprägung als ein dynamisches Vergeben eben dieser IP-Adressen.

Von den aktuell nutzbaren rund 4,3 Milliarden (bei IPv4) öffentlichen Adressen erhalten die jeweiligen Provider ein bestimmtes Koningent, welches durchaus kleiner sein kann als die Zahl der von diesem Provider zu versorgenden Anschlüsse. Neben den im Businessbereich oft eingesetzten festen IP-Adressen erhält die Mehrzahl der Anschlussinhaber vom Provider eine sog. dynamische Adresse, welche nach bestimmten Kriterien (je Tag, je Einwahl etc.) immer mal wechseln kann. Der Provider registriert für eine gewisse Zeitspanne (in der Regel mindestens für den jeweiligen Abrechnungszeitraum) wer und für welche Zeit eine bestimmte IP-Adresse zugeteilt bekommen hat. Darüber kann dann zwar nicht die reale Person ermittelt werden welche den Anschluß in der fraglichen Zeit genutzt hat; aber in jedem Falle der verantwortliche Anschlußinhaber. Hierzulande realpraktisch, gar strafrechtlich verwertbar natürlich nur, soweit der Anschlußinhaber keine entsprechenden Vorkehrungen getroffen hat.

Der genau entgegengesetzte Fall liegt vor, wenn die jeweils gültige, öffentliche IP-Adresse eines Anschlusses (im Normalfall die des Routers) ja gerade und zu jeder Zeit gefunden werden soll. Dies betrifft durchaus nicht seltene Fälle, wenn im lokalen Netz ein Server, ein NAS oder anderes von außen gewollt erreichbares System betrieben wird oder, gerade im Businessumfeld gefordert, wenn sich Kunden oder Mitarbeiter aus einer externen, möglicherweise auch heterogenen und nicht gesicherten Umgebung mit dem Firmennetz verbinden wollen. Auch die Router/Router-Koppelung aus externen Standorten (beispielsweise jeweils lokale Netze zum sog. Intranet verbinden) gehört in dieses Anwendungsspektrum. Größere Unternehmen und Organisationen nutzen in der Regel feste IP-Adressen für diese Anforderungen, sind daher generell über den Namen erreichbar. Darüber hinaus ist allen vorgenannten Anforderungen gemein, dass die Verbindungen über verschiedenen Varianten von gesicherten VPN-Connects realisiert werden.

- - - - -

DynDNS ist nun so ein Dienst, der genau diese Zuordnung von jeweils geltender IP-Adresse zu einem generell geltenden und jederzeit ansprechbaren Netz/Router-Namen etc. sicherstellt. Man legt sich bei der Firma Dyn einen Account an, wählt bzw. erhält die dann im Router (der sollte dafür geeignet sein) zu hinterlegenden Zugriffsdaten. Wenn nun die vom Provider zugeteilte öffentliche IP-Adresse wechselt, so meldet dies der Router an das DynDNS-System und der dort hinterlegte, quasi öffentlich bekannte Name wird mit der neuen IP verbunden. Absolut simpel im Grunde und die Firma Dyn, dahingehend ein nordamerikanischer BigPlayer hatte über lange Jahre einen kostenlosen Dienst im Programm, über den man bis zu fünf Clients, sprich Router in verschiedenen Standorten von externen Clients aus ansprechen, die lokalen Netze gar zum Intranet verbinden konnte.

Nach den jüngsten Berichten zur allumfassenden Überwachung durch unsere amerikanischen Freunde könnte man nun ironisch verbrämt fragen, ob es denn Probleme mit der NSA gab, da dieser kostenlose Dienst schon lange vor den aktuellen Enthüllungen nach und nach eingeschränkt wurde, es heute nur noch zahlungspflichtige Angebote (ab 25 USD/Jahr) gibt. Oder anders herum: Da meinerseits und dahingehend eh' der Bedarf für drei dynamische Accounts besteht, somit entweder die Firma Dyn zu bezahlen wäre oder sich nach einem anderen Provider umzusehen, so fiel nun und "nach Snowden" die Entscheidung relativ leicht.

- - - - -

"Think global, act local" wurde hier an anderer Stelle erwähnt, am Beispiel des Webspaceanbieters Alfahosting und des Maildienstes Posteo bereits exemplarisch umgesetzt. Für die Anforderung an ein dynamisches DNS sollte daher eine kleine, eine möglichst lokale und dennoch nicht vollkommen neu im Geschäft sich tummelnde Firma gefunden werden. Ein möglicher Kostenfaktor darf dabei kein wirkliches Hindernis sein, wenn der Gegenwert passt.

Selfhost ist für mich nun dieser Dienstleister geworden. Die Firma bietet einen kostenlosen Testaccout an, der dann gleich mal geordert wurde. Die Zugangsdaten waren schnell im Router hinterlegt, da die von mir eingesetzten Fritzboxen den Provider sogar kennen, die Konfiguration sich damit sehr einfach gestaltet. Über die zugeteilte Subdomain, mit einem Aufruf von "https://abc.selfhost.eu:xyz" war der Router sofort aus dem Internet erreichbar, wobei "abc" für den Subdomainnamen steht, "selfhost.eu" die eigentliche Domain ist (sie kann, siehe unten, durch eine eigene ersetzt werden) und "xyz" optional einen Port, abweichend vom https-Standardport 443 angibt.    

Der nächste Test galt dann der VPN-Verbindung von extern zum heimischen Netz. Zur Simulation wurde das Notebook  zusätzlich auf dem Schreibtisch postiert und hochgefahren, vom heimischen WLan getrennt und dann über den UMTS-Stick mit dem Internet verbunden. Natürlich, sowohl im Router als auch bei dem VPN-Client im Notebook müssen die neuen Zugriffsdaten (des Accounts von selfhost) hinterlegt sein. AVM bietet für diesen Zweck zwei kostenlose Tools an, die mir natürlich seit den ersten Schritten mit dem VPN-System dieser Firma bekannt sind, hier nun mal gleich Gelegenheit und Anlass bestand, die aktuellen Versionen herunterzuladen und einzusetzen.

Machbar, wenngleich irgendwie umständlich wäre es, für die drei geografisch getrennten Standorte jeweils einen separaten, eben kostenlosen Account bei selfhost einzurichten. Ja und dann gibt es noch so eine de.-Domain aus einem gekündigten Vertrag die ich gern behalten wollte, also während der noch laufenden Kündigungsfrist umgezogen werden sollte. Für so eine Domain allein, lediglich geparkt und ohne weitere Funktionalität sind 12 Euro/Jahr gängig. Hier bei selfhost gibt es die Domain mit drei dynamischen Accounts (also genau das, was ich brauche) für 18 Euro/Jahr  , die reinen dynamischen Accounts schlagen nach dieser Rechnung lediglich mit 6 Euro/Jahr zu Buche. Also gleich mal das KK Formular ausgefüllt und an selfhost gefaxt, parallel dazu beim bisherigen Provider der Domain den zum Wechsel notwendigen "Authcode" angefordert.

Nun lautet der Aufruf relativ einheitlich und vertraut "<standort>.meinedomain.de", wobei die Standortkennung (Subdomain) natürlich individuell festgelegt werden kann, ja muss. Darüber hinaus und im letzten Link zu selfhost gut zu erkennen gibt es für einen Euro mehr im Monat eine unbeschränkte Anzahl von dynamischen Accounts; momentan für mich nicht relevant, aber man weiss ja nie...

 

mit der Umstellung des Internetprotokolls

von Version 4 auf Version 6 wird dies alles zur Makulatur werden.
Allein die derzeitige parallele Vorhaltung beider Protokolle auf den Servern hält diese Entwicklung noch ein wenig auf.

http://j.mp/1bmjczs
http://j.mp/1bmj6I6

IPv6 auch 2020++ ?

Was das hier abgehandelte dynamische DNS betrifft, so mag IPv6 dies hinfällig machen. Da geht es ja bewußt um ein "identifiziert zu werden" - erst recht, wenn so wie bei mir dann noch eine offiziell registrierte .de Domain dahinter steht.

Der andere Punkt neben den technischen Problemen von IPv6 ist ja die aus heutiger Sicht damit einhergehende (beinahe) biometrische Kennung von Systemen (ganz allgemein formuliert). Herkömmliche VPN-Systeme werden dann nicht mehr ausreichen, die Anonymität eines Anwenders und soweit gewünscht sicher zu stellen, da diverse andere IP-Kennungen parallel übertragen werden, daraus bzw. aus den Kontexten natürlich sog. Bewegungsprofile bis auf die Ebene von Individuen zu bilden sind.

Ein spannendes Thema mit Sicherheit...