DNS-Server spielen eine wichtige Rolle sobald man sich im Netz bewegt und viele wissen gar nicht, welche Informationen hier von den Providern gesammelt werden und welche Sicherheitsrisiken die Wahl eines falschen DNS-Server haben kann.

Was machen DNS-Server überhaupt?

Jeder mit dem Internet verbundene Rechner besitzt eine eigene, einmalige IP-Adresse über die er erreichbar ist. Da man sich aber schlecht Adressen wie 172.245.214.389 (IPv4) oder 2040:xxxx:1234:12:gtas:ztrad:45 (IPv6) merken kann übersetzt ein DNS-Server eure Anfrage einer Webadresse in die dazugehörige IP. Gebt ihr also www.google.de wird diese Adresse in die dazugehörige IP 172.217.23.131 übersetzt. Das hat zudem den Vorteil, dass der Anbieter auch mal seine IP bei einem Serverumzug wechseln kann und immer noch unter der gleichen Adresse erreichbar ist.

Welche Daten werden verarbeitet / protokolliert?

Anbieter von DNS-Servern können alle eure aufgerufenen Webseiten protokollieren mit dem dazugehörigen Zeitpunkt. Besonders die Standard DNS-Server von Providern oder der von Google protokollieren eure Anfragen, speichern sie und werten sie aus. Zudem können DNS-Server zur Zensur benutzt werden, wie es inzwischen auch in Deutschland in Einzelfällen bereits gemacht wird. Vodafone sperrt zum Beispiel über DNS Ebene seinen Kunden den Zugriff auf das illegale Streamingportal kinox.to (https://www.spiegel.de/netzwelt/web/vodafone-sperrt-kinox-to-die-wichtigsten-fragen-und-antworten-a-1193259.html) und aktuell gab es den gleichen Fall mit boerse.bz.

Welche Sicherheitsrisiken gibt es und wie kann man diese verhindern?

Ein bekannter Sicherheitsangriff lautet DNS-Spoofing. Hier wird durch einen Eingriff eine falsche IP-Adresse zurück übermittelt, um den Nutzer auf eine falsche Webseite, z.B. Phishing Seite, umzuleiten ohne dass er es merkt. Dies ist zum Beispiel auch durch eine Router Schwachstelle möglich, bei der ein Angreifer sich Zugriff auf den Router verschaffen kann und dort den DNS-Server ändert.

Validierung von DNS-Anfragen

Um zu verhindern, dass Dritte die DNS Daten manipulieren wird der DNSSEC (Domain Name System Security Extensions) Standard eingesetzt. Damit kann der Server durch unterschiedliche kryptographische Methoden überprüfen, ob die angefragten DNS Informationen auch vom Domaininhaber signiert sind und sie damit verifizieren. Der Standard validiert aber nur den Weg der Daten von Server zum DNS Verzeichnis. Auf der Strecke von DNS Server zu dem PC des Nutzers können die Signaturen nicht validiert werden. Hierzu wäre es dann noch nötig einen DNS-Cache Server auf dem eigenen Computer zu installieren. Auch dies ist z.B. in Pi-Hole mitenthalten und unter den Einstellungen kann DNSSEC aktiviert werden. Jedoch müssen in diesem Fall natürlich auch DNS-Server genutzt werden, die das unterstützen.

Verschlüsselung von DNS Daten

Die Verschlüsselung des DNS Datenverkehrs dient dazu, sicherzustellen, dass man auch mit dem gewünschten DNS Server verbunden ist und die Daten auf dem Weg zum Server sicher vor dem Ausspähen bzw. der Manipulation durch Man-in-the-Middle-Angriffe geschützt sind – nicht jedoch um seine aufgerufenen Webseiten vor dem Provider bzw. den DNS Server Anbietern geheim zu halten. Hier gibt es 3 Möglichkeiten:

1.) DNS-over-TLS:

Die DNS Abfrage wird über das Transport Layer Security (TLS)  Protokoll verschlüsselt. Seit Android 9 Pie ist es auch möglich in den Einstellungen über “Private DNS” einen alternativen DNS-Server mit dieser Sicherheit auf dem Smartphone zu nutzen.

2.) DNS-over-HTTPS

Wie man es von Webseiten kennt wird werden hier die Anfragen über HTTPS verschlüsselt. Dieser Weg wird z.B: in den DNS Einstellungen von FIrefox oder Thunderbird genutzt. Das Protokoll hat jedoch den Nachteil, dass es etwas langsamer als die Verschlüsselung über TLS ist.

3.) DNScrypt: nötig dafür ist die Installation eines dnscrypt-proxy (z.B. mit Simple DNSCrypt)

Empfehlenswerte DNS-Server

Cloudflare Server: 1.1.1.1 (derzeit im Durchschnitt der schnellste DNS-Server, jedoch hat die Firmenphilosophie von Cloudflare einen faden Beigeschmack, weshalb man dem Anbieter trauen muss, was die Versprechen bezüglich No-Logging etc. angeht.)

Quad9: 9.9.9.9 | DNS-over-TLS: dns.quad9.net

DNS-Server ohne Protokollierung

freie, unzensierte Server:

Digitalcourage: 46.182.19.48

DNS-Server mit DNSSEC:

IPv4IPv6
Chaos Computer Club
213.73.91.35

DNS.WATCH84.200.69.80
84.200.70.40
2001:1608:10:25::1c04:b12f
2001:1608:10:25::9249:d69b

DNS-Server als Filter für Werbung, Tracking oder anstößiger Seiten

DNS Abfragen können ziemlich effektiv zum Blockieren von Werbung oder Trackinganbietern genutzt werden, aber auch für ungeeignete Seiten für Kinder. In diesem Fall werden erst gar keine Verbindungen zu der Webadresse aufgebaut und damit auch keine Werbung geladen. Ein Beispiel wie sich dies selbst anlegen lässt ist der Netzwerkweite Werbeblocker Pi-Hole, den man über den Raspberry PI installieren kann. Bei den meisten Adblock Varianten über Browser Addons wird die Werbung dennoch mitgeladen und anschließend nur ausgeblendet. So spart man sich über das Blocken auf DNS-Ebene nicht nur ein bisschen Bandbreite sondern auch unnötige Verbindungen. Werbeanbieter sind zudem gerne ein Ziel für Hackerangriffe mit dem Ziel Schadecode in Werbebanner oder andere Elemente einzuschleußen. Das Blocken dieser Verbindungen ist also ebenso ein zusätzlicher Sicherheitsgewinn.

DNS-Server mit integriertem Werbe- und Trackingblocker

Adguard

Standard:

IPv4IPv6
176.103.130.130
176.103.130.131
2a00:5a60::ad1:0ff
2a00:5a60::ad2:0ff

Familienschutz:

IPv4IPv6
176.103.130.132
176.103.130.134
2a00:5a60::bad1:0ff
2a00:5a60::bad2:0ff

Secure DNS

DNS over HTTPS URL: https://ads-doh.securedns.eu/dns-query
DNS over TLS Hostname: ads-dot.securedns.eu

verwendete Blocklist:https://github.com/notracking/hosts-blocklists

Ändern des DNS-Servers unter Windows/Android oder auf dem Router

1.) Windows:

Navigiert euch in den Pfad Systemsteuerung\Netzwerk und Internet\Netzwerkverbindungen und wählt mit einem Rechtsklick auf euren Netzwerk Adapter (Netzwerkkarte oder WLAN Karte) Eigeschaften aus. Unter Interprotokoll, Version 4 (TCP/IPV4) bzw. Version 6 könnt ihr unter den Eigenschaften nun 2 DNS-Server eintragen.

2.) Android

Seit Android 9 habt ihr die Möglichkeit in Android einen eignenen DNS-Server zu nutzen. Unter den Einstellungen – Netzwerk & Internet lässt sich unter dem Punkt “Privater DNS” die Adresse eines DNS-Severs nutzen, der DNS-over-TLS unterstützt.


3.) Router

Am Beispiel eines ASUS Router: Navigiert euch unter die LAN oder auch WAN Einstellungen zu dem Menüpunkt DNS auf eurem Router. Dort könnt ihr die IP-Adresse eures DNS-Servers eingeben. Das hat den Vorteil, dass alle Geräte die mit dem Router verbunden sind, diesen DNS-Server nutzen. Hinweis: Bei der Unitymedia ConnectBox ist das Ändern des DNS-Servers nicht möglich und auch nicht bei Geräten die im Access-Point Modus laufen.
Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.