Nebenwirkungen von IP-basierten Filtern

[Florian Weimer <fw@deneb.enyo.de>]

Filter, die einzelne Webseiten gegenüber Zugriff sperren sollen,
können weitaus mehr Seiten sperren, als beabsichtigt. Diese
Problematik ist wohlbekannt, konkrete Beispiele fehlten jedoch
bislang.

Im Februar 2002 stellte die Bezirksregierung Düsseldorf ausgewählten
Netzbetreibern in Nordrhein-Westfalen eine sogennante Sperrverfügung
(Kopie[1], Abschrift in Textform[2]) zu, in der die Empfänger aufgefordert
wurden,

    "den Zugang zur Nutzung der Internet-Seiten
    http://www.stormfront.org und http://www.nazi-lauck-nsdapao.com im
    Rahmen des von Ihnen vermittelten Nutzungsangebotes zu sperren."

Maximillian Dornseif beschrieb bereits die Probleme bei der
ordnungsgemäßen Umsetzung der Sperrverfügung (Government mandated
blocking of foreign Web content[3], Meldung von Heise Online[4]).

Mittlerweile existiert mit passiver DNS-Replikation[5] ein Verfahren,
um die Auswirkungen der dritten, von der Bezirksregierung Düsseldorf
vorgeschlagenen Sperrmaßnahme zu untersuchen (Seite 7f. der
Sperrverfügung):

    "3. Ausschluss von IPs durch Sperrung im Router

    Der Router kann so konfiguriert werden, dass der komplette
    Datenverkehr zu einer bestimmten IP-Adresse nicht weitergeleitet
    wird."

Es ist technisch problemlos möglich, unter derselben IP-Adresse völlig
verschiedene Web-Angebote für unterschiedliche Kunden anzubieten. Bei
den großen Massenanbietern teilen sich so die aktiv genutzten
Web-Angebote mehrerer tausender Kunden eine einzige IP-Adresse. Anhand
der DNS-Replikation kann in vielen Fällen festgestellt werden, ob zu
einer IP-Adresse, unter der ein bestimmtes Web-Angebot verfügbar ist,
noch weitere Web-Angebote unter weiteren Domains vorhanden sind. Für
die Domains aus der Sperrverfügung ergibt sich dabei folgendes:

  • Für die IP-Adresse 66.194.239.192, die zu der Domain
    www.stormfront.org gehört, wurden als weitere Domains lediglich
    stormfront.org und www4.stormfront.org ermittelt, unter denen
    offenbar derselbe Inhalt angeboten wird. Aufgrund der
    unvollständigen Natur passiver DNS-Replikation kann das
    Vorhandensein weiterer Web-Angebote zwar nicht ausgeschlossen
    werden, es scheint aber unwahrscheinlich.

  • Bei www.nazi-lauck-nsdapao.com stellt sich die Situation dagegen
    anders dar. Unter der IP-Adresse 64.82.99.192 sind mindestens noch
    die folgenden Web-Angebote verfügbar:

      □ http://citylegacy.com/
      □ http://conceptorg.com/
      □ http://kinggroup.com/
      □ http://languagetapes.com/

    Zusätzlich verweisen noch die Varianten mit dem vorangestellten
    www. auf diese IP-Adresse. Zwischenzeitlich hatte auch
    http://pearsoncurrent.com/ dieselbe IP-Adresse, was allerdings
    nicht mehr zutrifft.

    Die Betreiber der unbeabsichtigt gesperrten Webseiten wurden
    benachrichtigt. Eine Reaktion steht aber bislang aus.

Dieses Beispiel zeigt, daß rein IP-basierte Sperrungen wie erwartet
problematisch sind.

Links:

1. http://odem.org/material/verfuegung/sperrungsverfuegung.pdf
2. http://odem.org/material/verfuegung/
3. http://md.hudora.de/publications/200306-gi-blocking/200306-gi-blocking.pdf
4. http://www.heise.de/newsticker/meldung/37632
5. http://www.enyo.de/fw/software/dnslogger/

Aktuelle Fassung: <http://www.enyo.de/fw/notes/ip-filter-nebenwirkung.html>

--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de