Hallo zusammen
Ich darf mich mit der Aufforderung der Eidgenössische Spielbankenkommission und Suissedigial auseinandersetzen die gewünschten DNS Sperren bei uns per 1. Juli einzurichten.
Es geht mir hierbei hauptsächlich um die technische Umsetzung, so dass der Wunsch der ESBK wirklich umgesetzt wird.
* Muss der Traffic auf Port 53 intercepted werden, damit Kunden keine eigene DNS Server mehr betreiben können und nicht die DNS Server von Google und CloudFlare nutzen können? Wir möchten vor allem verhindert, dass durch diese Aktion unsere Kunden mehr zu Google & Co getrieben werden und diesen noch mehr Daten über ihr Nutzugsverhalten zur Verfügung stellen.
* Wir setzen wir vom Bakom gewünscht DNSSEC Validierung ein. Woher erhalten wir gültige Keys für die DNS Zonen welche wir 'hijacken'?
Suissedigital sagt mir, es gehe nur einzig darum, auf unseren 'Caching' DNS Server die genannten Domains zu sperren, damit die Kunden diese darüber NICHT resolven können. Alles andere sei nicht verlangt.
Ich habe eingewendet, dass dies absolut nutzlos sei, da die Kunden sehr genau wissen, wie dies zu umgehen ist. Suissedigital wie auch Bakom stimmen mir hier zu. Suissedigital sagt mir aber diese DNS Sperren seien bei einer Volksabstimmung Thema gewesen und das Volk habe, obwohl von allen Experten immer wieder darauf hingewiesen wurde, dass dies nicht funktioniert, sich für die Variante DNS Sperren entschieden.
Interessant, ich müsste diese Volksabstimmung doch irgendwie mitgekriegt haben. Stimmt dies?
Wie setzt ihr dies um?
Mit freundlichen Grüssen
-Benoît Panizzon-
Hallo Benoît
Die Abstimmung war am 10. Juni 2018. Du findest sie hier: https://www.admin.ch/gov/de/start/dokumentation/abstimmungen/20180610/Geldsp...
Die Abstimmung hies eben nicht "Einführung von Internet-Zensur". Die Befürworter haben fleissig mit dem Gemeinwohl geworben. Siehe stellvertretend dieser Beitrag: http://www.politnetz.ch/artikel/23583-sport-kultur-und-ahv-brauchen-das-neue...
Zum Thema der Implementation der DNS-Sperren gab es diesen Thread von Alexis Caceda kürzlich drüben auf Twitter:
Diskussion: https://twitter.com/alexiscaceda/status/1136301204336721920 Antwort: https://twitter.com/alexiscaceda/status/1139138168467460096
Das hilft dir vielleicht ein wenig.
tl;dr: So wie ich das verstehe musst du Port 53 nicht intercepten, sondern nur auf deinen den Kunden zur Verfügung gestellten Resolvern die Sperrliste implementieren. (Und intercepten ist in Zeiten von DoT/DoH eh vergebene Mühe. #justsaying)
Gruss, Christian
On Tue, Jun 25, 2019, at 16:02, Benoit Panizzon wrote:
Hallo zusammen
Ich darf mich mit der Aufforderung der Eidgenössische Spielbankenkommission und Suissedigial auseinandersetzen die gewünschten DNS Sperren bei uns per 1. Juli einzurichten.
Es geht mir hierbei hauptsächlich um die technische Umsetzung, so dass der Wunsch der ESBK wirklich umgesetzt wird.
Muss der Traffic auf Port 53 intercepted werden, damit Kunden keine eigene DNS Server mehr betreiben können und nicht die DNS Server von Google und CloudFlare nutzen können? Wir möchten vor allem verhindert, dass durch diese Aktion unsere Kunden mehr zu Google & Co getrieben werden und diesen noch mehr Daten über ihr Nutzugsverhalten zur Verfügung stellen.
Wir setzen wir vom Bakom gewünscht DNSSEC Validierung ein. Woher erhalten wir gültige Keys für die DNS Zonen welche wir 'hijacken'?
Suissedigital sagt mir, es gehe nur einzig darum, auf unseren 'Caching' DNS Server die genannten Domains zu sperren, damit die Kunden diese darüber NICHT resolven können. Alles andere sei nicht verlangt.
Ich habe eingewendet, dass dies absolut nutzlos sei, da die Kunden sehr genau wissen, wie dies zu umgehen ist. Suissedigital wie auch Bakom stimmen mir hier zu. Suissedigital sagt mir aber diese DNS Sperren seien bei einer Volksabstimmung Thema gewesen und das Volk habe, obwohl von allen Experten immer wieder darauf hingewiesen wurde, dass dies nicht funktioniert, sich für die Variante DNS Sperren entschieden.
Interessant, ich müsste diese Volksabstimmung doch irgendwie mitgekriegt haben. Stimmt dies?
Wie setzt ihr dies um?
Mit freundlichen Grüssen
-Benoît Panizzon-
I m p r o W a r e A G - Leiter Commerce Kunden ______________________________________________________
Zurlindenstrasse 29 Tel +41 61 826 93 00 CH-4133 Pratteln Fax +41 61 826 93 01 Schweiz Web http://www.imp.ch ______________________________________________________
swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Hallo Christian
Die Abstimmung war am 10. Juni 2018. Du findest sie hier: https://www.admin.ch/gov/de/start/dokumentation/abstimmungen/20180610/Geldsp...
Danke, dort wird nirgendwo das Wort 'DNS' gefunden.
Woher kommt der Beschluss dies IMHO ziemlich untauglich via DNS umzusetzen?
IP Sperren wären IMHO wirkungsvoller (ok, es gibt Kollateralschaden, aber da können sich die Hoster von solchen Casios helfen, indem sie den casions dedizierte IP's geben die dann gezielt gesperrt werden können).
GovCert bietet ja soviel ich weiss einen BGP Feed an, um z.B: CC Server und andere Malware IP's zu filtern. Warum nicht dasselbe auch für Casinos?
Diskussion: https://twitter.com/alexiscaceda/status/1136301204336721920 Antwort: https://twitter.com/alexiscaceda/status/1139138168467460096
Danke, aber auch hier wird schon grad zu beginn von DNS zur Sperrung ausgegangen. Wer hat dies entschieden? Im Gesetz ist dies nicht spezifiziert und technisch gäbe es IMHO definitiv bessere (aka nicht so leicht vom Durchschnittskunden zu umgehende) Lösungen.
Mit freundlichen Grüssen
-Benoît Panizzon-
Hallo, Das mit dem Port 53 sperren. Das geht sicherlich zu weit und wäre sogar rechtlich anfechtbar. Auch fremde DNS zu sperren ist problematisch... Zudem DNS sec verwendet nicht jeder Provider... Wenn man schlussendlich alle nicht DNS Sec sperrt oder stört dass ist für mich ein wenig komisch... Das Geldspielgesetz geht nur gegen Geldspielbanken. Eine DNS Sperre 53 geht gegen diverse andere Server, was was die Befürworter gesagt haben werden wir nicht machen. Also wenn das so ist müssten wir die ganze Abstimmung vom Bundesgericht für ungültig erklären lassen, mit der Begründung die Befürworter haben total falsche Angaben gemacht. Weil die Sperren über die Spielbanken gehen.
Mit freundlichen Grüssen
X. Aerni
Xaver Aerni
Xariffusion Informatik & Telecom Zürichstrasse 10a 8340 Hinwil Tel. +41 43 843 78 78 +1 707 361 68 39 Fax +41 43 843 78 70 xaerni@pop.ch Web: http://www.pop.ch http://www.xariffusion.ch
-----Ursprüngliche Nachricht----- Von: Xaver Aerni [mailto:xaerni@pop.ch] Gesendet: Dienstag, 25. Juni 2019 17:10 An: 'Benoit Panizzon' benoit.panizzon@imp.ch Betreff: AW: [swinog] Geldspielgesetz: Zugangssperren. Wirklich vom Volk so gewünscht?
Hallo, Das mit dem Port 53 sperren. Das geht sicherlich zu weit und wäre sogar rechtlich anfechtbar. Auch fremde DNS zu sperren ist problematisch... Zudem DNS sec verwendet nicht jeder Provider... Wenn man schlussendlich alle nicht DNS Sec sperrt oder stört dass ist für mich ein wenig komisch... Das Geldspielgesetz geht nur gegen Geldspielbanken. Eine DNS Sperre 53 geht gegen diverse andere Server, was was die Befürworter gesagt haben werden wir nicht machen. Also wenn das so ist müssten wir die ganze Abstimmung vom Bundesgericht für ungültig erklären lassen, mit der Begründung die Befürworter haben total falsche Angaben gemacht. Weil die Sperren über die Spielbanken gehen.
Mit freundlichen Grüssen
X. Aerni
Xaver Aerni
Xariffusion Informatik & Telecom Zürichstrasse 10a 8340 Hinwil Tel. +41 43 843 78 78 +1 707 361 68 39 Fax +41 43 843 78 70 xaerni@pop.ch Web: http://www.pop.ch http://www.xariffusion.ch
-----Ursprüngliche Nachricht----- Von: swinog-bounces@lists.swinog.ch [mailto:swinog-bounces@lists.swinog.ch] Im Auftrag von Benoit Panizzon Gesendet: Dienstag, 25. Juni 2019 15:59 An: SWINOG swinog@swinog.ch Betreff: [swinog] Geldspielgesetz: Zugangssperren. Wirklich vom Volk so gewünscht?
Hallo zusammen
Ich darf mich mit der Aufforderung der Eidgenössische Spielbankenkommission und Suissedigial auseinandersetzen die gewünschten DNS Sperren bei uns per 1. Juli einzurichten.
Es geht mir hierbei hauptsächlich um die technische Umsetzung, so dass der Wunsch der ESBK wirklich umgesetzt wird.
* Muss der Traffic auf Port 53 intercepted werden, damit Kunden keine eigene DNS Server mehr betreiben können und nicht die DNS Server von Google und CloudFlare nutzen können? Wir möchten vor allem verhindert, dass durch diese Aktion unsere Kunden mehr zu Google & Co getrieben werden und diesen noch mehr Daten über ihr Nutzugsverhalten zur Verfügung stellen.
* Wir setzen wir vom Bakom gewünscht DNSSEC Validierung ein. Woher erhalten wir gültige Keys für die DNS Zonen welche wir 'hijacken'?
Suissedigital sagt mir, es gehe nur einzig darum, auf unseren 'Caching' DNS Server die genannten Domains zu sperren, damit die Kunden diese darüber NICHT resolven können. Alles andere sei nicht verlangt.
Ich habe eingewendet, dass dies absolut nutzlos sei, da die Kunden sehr genau wissen, wie dies zu umgehen ist. Suissedigital wie auch Bakom stimmen mir hier zu. Suissedigital sagt mir aber diese DNS Sperren seien bei einer Volksabstimmung Thema gewesen und das Volk habe, obwohl von allen Experten immer wieder darauf hingewiesen wurde, dass dies nicht funktioniert, sich für die Variante DNS Sperren entschieden.
Interessant, ich müsste diese Volksabstimmung doch irgendwie mitgekriegt haben. Stimmt dies?
Wie setzt ihr dies um?
Mit freundlichen Grüssen
-Benoît Panizzon-
Hallo Zusätlich musst Du denken es gibt eine Menge Geräte welche DNS fix integriert haben das heisst sie gehen auf den Home DNS. Wie Alexa und Apple TV etc. wenn Du die aussperst werden zuerst die Kunden Apple verklagen. Anschliessend werden die grossen Anbieter den ISP verkagen... Da müsste der Provider eine Schadensersatzzahlung in Millionenhöhe leisten. Ich weiss und ein Schweizer ISP hat gegen Apple oder Google sehr schlechte Karten.
Mit freundlichen Grüssen
X. Aerni
Xaver Aerni
Xariffusion Informatik & Telecom Zürichstrasse 10a 8340 Hinwil Tel. +41 43 843 78 78 +1 707 361 68 39 Fax +41 43 843 78 70 xaerni@pop.ch Web: http://www.pop.ch http://www.xariffusion.ch
-----Ursprüngliche Nachricht----- Von: swinog-bounces@lists.swinog.ch [mailto:swinog-bounces@lists.swinog.ch] Im Auftrag von Benoit Panizzon Gesendet: Dienstag, 25. Juni 2019 15:59 An: SWINOG swinog@swinog.ch Betreff: [swinog] Geldspielgesetz: Zugangssperren. Wirklich vom Volk so gewünscht?
Hallo zusammen
Ich darf mich mit der Aufforderung der Eidgenössische Spielbankenkommission und Suissedigial auseinandersetzen die gewünschten DNS Sperren bei uns per 1. Juli einzurichten.
Es geht mir hierbei hauptsächlich um die technische Umsetzung, so dass der Wunsch der ESBK wirklich umgesetzt wird.
* Muss der Traffic auf Port 53 intercepted werden, damit Kunden keine eigene DNS Server mehr betreiben können und nicht die DNS Server von Google und CloudFlare nutzen können? Wir möchten vor allem verhindert, dass durch diese Aktion unsere Kunden mehr zu Google & Co getrieben werden und diesen noch mehr Daten über ihr Nutzugsverhalten zur Verfügung stellen.
* Wir setzen wir vom Bakom gewünscht DNSSEC Validierung ein. Woher erhalten wir gültige Keys für die DNS Zonen welche wir 'hijacken'?
Suissedigital sagt mir, es gehe nur einzig darum, auf unseren 'Caching' DNS Server die genannten Domains zu sperren, damit die Kunden diese darüber NICHT resolven können. Alles andere sei nicht verlangt.
Ich habe eingewendet, dass dies absolut nutzlos sei, da die Kunden sehr genau wissen, wie dies zu umgehen ist. Suissedigital wie auch Bakom stimmen mir hier zu. Suissedigital sagt mir aber diese DNS Sperren seien bei einer Volksabstimmung Thema gewesen und das Volk habe, obwohl von allen Experten immer wieder darauf hingewiesen wurde, dass dies nicht funktioniert, sich für die Variante DNS Sperren entschieden.
Interessant, ich müsste diese Volksabstimmung doch irgendwie mitgekriegt haben. Stimmt dies?
Wie setzt ihr dies um?
Mit freundlichen Grüssen
-Benoît Panizzon-
Hallo Xaver
Naja, ich meinte nicht Port 53 'sperren' sondern den Traffic auf die eigenen DNS mit entsprechenden 'Fake' Zonenfiles für die Spielbanken umleiten.
Dies würden möglicherweise die Kunden nicht mal so deutlich merken und alles andere würde weiterlaufen, aber Google und Co und auch eigene DNS wären so abgefangen.
Es gab ja auch früher Zeiten, als gewisse ISP bewusst den HTTP Traffic auf transparente caching proxies umleitete, um Transit Kosten zu sparen.
Mit freundlichen Grüssen
-Benoît Panizzon-
Wie wäre es mit weiterleiten? Ist wahrscheinlich eine Grauzone...., aber soll sich doch Google damit rumschlagen.
Markus
On 25.06.19 17:27, Benoit Panizzon wrote:
Hallo Xaver
Naja, ich meinte nicht Port 53 'sperren' sondern den Traffic auf die eigenen DNS mit entsprechenden 'Fake' Zonenfiles für die Spielbanken umleiten.
Dies würden möglicherweise die Kunden nicht mal so deutlich merken und alles andere würde weiterlaufen, aber Google und Co und auch eigene DNS wären so abgefangen.
Es gab ja auch früher Zeiten, als gewisse ISP bewusst den HTTP Traffic auf transparente caching proxies umleitete, um Transit Kosten zu sparen.
Mit freundlichen Grüssen
-Benoît Panizzon-
IP Sperren wären IMHO wirkungsvoller
Weshalb bist du dieser Meinung? VPN Anbieter gibt es doch fast wie Sand am Meer. Wer es schafft, seinen DNS Server zu ändern, wird es wohl auch hinkriegen, sich ein VPN einzurichten.
Wer hat dies entschieden?
Im Gesetz ist dies tatsächlich nicht so beschrieben. Leider, denn das heisst eine Änderung braucht weder eine Gesetzesrevision, noch eine Anpassung der Verordnung, und es müssen IP Sperren oder Schlimmeres (zB DPI) eingeführt werden.
Im Gesetz heisst es wörtlich:
Die Fernmeldedienstanbieterinnen bestimmen die Sperrmethode unter Berücksichtigung des Stands der Technik und des Verhältnismässigkeitsprinzips im Einvernehmen mit der ESBK und der interkantonalen Behörde.
Quelle: https://www.admin.ch/opc/de/official-compilation/2018/5155.pdf
Dazu aus dem in https://twitter.com/alexiscaceda/status/1139138168467460096 verlinktem Dokument:
Die Fernmeldedienstanbieterinnen haben sich während der Vernehmlassung zur Geldspielverordnung, entweder direkt oder in Vertretung der beiden Verbände Asut und Swissdigital einvernehmlich für die DNS-Sperre ausgesprochen. Beide Behörden (ESBK und Comlot) haben dies zur Kenntnis genommen und die Arbeitssitzungen mit den zuvor genannten Verbänden, welche regelmässig auch von Vertretern von einzelnen Fernmeldedienstanbieterinnen begleitet wurden, wurden mit dem Ziel geführt,die Zugangssperrennach BGS anhand einer DNS-Sperre umzusetzen.
DNS Sperren gelten nun bis auf Weiteres als "Stand der Technik". Hoffen wir, das bleibt so. Sonst gibts für alle ISPs noch mehr Aufwand.
~Christian
On Tue, Jun 25, 2019, at 17:45, Markus Binz wrote:
Wie wäre es mit weiterleiten? Ist wahrscheinlich eine Grauzone...., aber soll sich doch Google damit rumschlagen.
Markus
On 25.06.19 17:27, Benoit Panizzon wrote:
Hallo Xaver
Naja, ich meinte nicht Port 53 'sperren' sondern den Traffic auf die eigenen DNS mit entsprechenden 'Fake' Zonenfiles für die Spielbanken umleiten.
Dies würden möglicherweise die Kunden nicht mal so deutlich merken und alles andere würde weiterlaufen, aber Google und Co und auch eigene DNS wären so abgefangen.
Es gab ja auch früher Zeiten, als gewisse ISP bewusst den HTTP Traffic auf transparente caching proxies umleitete, um Transit Kosten zu sparen.
Mit freundlichen Grüssen
-Benoît Panizzon-
-- Markus Binz, mbinz@solnet.ch, MB44-RIPE, PGPKEY-ABC5F050 SolNet, Internet Solution Provider
swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Hi Benoit,
- Muss der Traffic auf Port 53 intercepted werden, damit Kunden keine
eigene DNS Server mehr betreiben können und nicht die DNS Server von Google und CloudFlare nutzen können? Wir möchten vor allem verhindert, dass durch diese Aktion unsere Kunden mehr zu Google & Co getrieben werden und diesen noch mehr Daten über ihr Nutzugsverhalten zur Verfügung stellen.
Meiner Meinung nach ist es nicht Aufgabe des ISPs zu entscheiden, ob die Endkunden die ISP DNS Server oder diejenigen von Google, CloudFlare & co nutzen sollen. Es soll jeder selber wissen, ob er sein Nutzungsverhalten an Google zur Verfügung stellt, oder nur dem eigenen ISP.
Ich spreche hier als End-User: wenn mein ISP Port 53 intercepten würde, ohne, dass dies im Gesetz so explizit gefordert wird, wäre das für mich ein sofortiger Kündigungsgrund. Solche Eigeninitiativen sollten IMHO unbedingt vermieden werden.
Grüsse Manuel
[Microsoft Teams Direct Routing]https://www.netstream.ch/microsoftteams/?utm_source=email&utm_medium=signature&utm_campaign=microsoftteams Ihre Anbindung ans öffentliche Telefonnetz. Microsoft Teams Direct Routinghttps://www.netstream.ch/microsoftteams/?utm_source=email&utm_medium=signature&utm_campaign=microsoftteams
-
Benoit Panizzon -
Christian Mäder -
Manuel Wenger -
Markus Binz -
Xaver Aerni