DNS-Server spielen eine wichtige Rolle sobald man sich im Netz bewegt und viele wissen gar nicht, welche Informationen hier von den Providern gesammelt werden und welche Sicherheitsrisiken die Wahl eines falschen DNS-Server haben kann.
Was machen DNS-Server überhaupt?
Jeder mit dem Internet verbundene Rechner besitzt eine eigene, einmalige IP-Adresse über die er erreichbar ist. Da man sich aber schlecht Adressen wie 172.245.214.389 (IPv4) oder 2040:xxxx:1234:12:gtas:ztrad:45 (IPv6) merken kann übersetzt ein DNS-Server eure Anfrage einer Webadresse in die dazugehörige IP. Ruft ihr also www.google.de auf, wird diese Adresse in die dazugehörige IP 172.217.23.131 übersetzt. Das hat zudem den Vorteil, dass der Anbieter auch mal seine IP bei einem Serverumzug wechseln kann und immer noch unter der gleichen Adresse erreichbar ist.
Welche Daten werden verarbeitet / protokolliert?
Anbieter von DNS-Servern können alle eure aufgerufenen Webseiten protokollieren mit dem dazugehörigen Zeitpunkt. Besonders die Standard DNS-Server von Providern oder der Google eigene DNS protokollieren eure Anfragen, speichern sie und werten sie aus. Zudem können DNS-Server zur Zensur benutzt werden, wie es inzwischen auch in Deutschland in Einzelfällen bereits gemacht wird. Vodafone sperrt zum Beispiel über DNS Ebene seinen Kunden den Zugriff auf das illegale Streamingportal kinox.to (https://www.spiegel.de/netzwelt/web/vodafone-sperrt-kinox-to-die-wichtigsten-fragen-und-antworten-a-1193259.html) und auch boerse.bz ist u.a. von solch einer Zensur betroffen.
Welche Sicherheitsrisiken gibt es und wie kann man diese verhindern?
Ein bekannter Sicherheitsangriff lautet DNS-Spoofing. Hier wird durch einen Eingriff eine falsche IP-Adresse zurück übermittelt, um den Nutzer auf eine falsche Webseite, z.B. Phishing Seite, umzuleiten ohne dass er es merkt. Dies ist zum Beispiel auch durch eine Router Schwachstelle möglich, bei der ein Angreifer sich Zugriff auf den Router verschaffen kann und dort den DNS-Server ändert.
Validierung von DNS-Anfragen
Um zu verhindern, dass Dritte die DNS Daten manipulieren wird der DNSSEC (Domain Name System Security Extensions) Standard eingesetzt. Damit kann der Server durch unterschiedliche kryptographische Methoden überprüfen, ob die angefragten DNS Informationen auch vom Domaininhaber signiert sind und sie damit verifizieren. Der Standard validiert aber nur den Weg der Daten von Server zum DNS Verzeichnis. Auf der Strecke von DNS Server zu dem PC des Nutzers können die Signaturen nicht validiert werden. Hierzu wäre es dann noch nötig einen DNS-Cache Server auf dem eigenen Computer zu installieren. Auch dies ist z.B. in Pi-Hole mitenthalten und unter den Einstellungen kann DNSSEC aktiviert werden. Jedoch müssen in diesem Fall natürlich auch DNS-Server genutzt werden, die das unterstützen.
Verschlüsselung von DNS Daten
Die Verschlüsselung des DNS Datenverkehrs dient dazu, sicherzustellen, dass man auch mit dem gewünschten DNS Server verbunden ist und die Daten auf dem Weg zum Server sicher vor dem Ausspähen bzw. der Manipulation durch Man-in-the-Middle-Angriffe geschützt sind – nicht jedoch um seine aufgerufenen Webseiten vor dem Provider bzw. den DNS Server Anbietern geheim zu halten. Hier gibt es 3 Möglichkeiten:
1.) DNS-over-TLS:
Die DNS Abfrage wird über das Transport Layer Security (TLS) Protokoll verschlüsselt. Seit Android 9 Pie ist es auch möglich in den Einstellungen über „Private DNS“ einen alternativen DNS-Server mit dieser Sicherheit auf dem Smartphone zu nutzen.
2.) DNS-over-HTTPS
Wie man es von Webseiten kennt wird werden hier die Anfragen über HTTPS verschlüsselt. Dieser Weg wird z.B: in den DNS Einstellungen von FIrefox oder Thunderbird genutzt. Das Protokoll hat jedoch den Nachteil, dass es etwas langsamer als die Verschlüsselung über TLS ist.
3.) DNScrypt: nötig dafür ist die Installation eines dnscrypt-proxy (z.B. mit Simple DNSCrypt)
Empfehlenswerte DNS-Server
Cloudflare Server: 1.1.1.1 (derzeit im Durchschnitt der schnellste DNS-Server, jedoch hat die Firmenphilosophie von Cloudflare einen faden Beigeschmack, weshalb man dem Anbieter trauen muss, was die Versprechen bezüglich No-Logging etc. angeht.)
Quad9: 9.9.9.9 | DNS-over-TLS: dns.quad9.net
DNS-Server ohne Protokollierung
freie, unzensierte Server:
Digitalcourage: 46.182.19.48
DNS-Server mit DNSSEC:
IPv4 | IPv6 | |
Chaos Computer Club | 213.73.91.35 | |
DNS.WATCH | 84.200.69.80 84.200.70.40 | 2001:1608:10:25::1c04:b12f 2001:1608:10:25::9249:d69b |
DNS-Server als Filter für Werbung, Tracking oder anstößiger Seiten
DNS Abfragen können ziemlich effektiv zum Blockieren von Werbung oder Trackinganbietern genutzt werden, aber auch für ungeeignete Seiten für Kinder. In diesem Fall werden erst gar keine Verbindungen zu diesen Webadressen aufgebaut und damit wird auch erst gar keine Werbung geladen. Ein Beispiel wie sich dies selbst anlegen lässt ist der Netzwerkweite Werbeblocker Pi-Hole, den man über den Raspberry PI installieren kann. Bei den meisten Adblock Varianten über Browser Addons wird die Werbung dennoch mit geladen und anschließend nur ausgeblendet. So spart man sich über das Blocken auf DNS-Ebene nicht nur ein bisschen Bandbreite sondern auch unnötige Verbindungen. Werbeanbieter sind zudem gerne ein Ziel für Hackerangriffe mit dem Ziel Schadcode in Werbebanner oder andere Elemente einzuschleusen. Das Blocken dieser Verbindungen ist also ebenso ein zusätzlicher Sicherheitsgewinn.
DNS-Server mit integriertem Werbe- und Trackingblocker
Adguard
Standard:
IPv4 | IPv6 |
176.103.130.130 176.103.130.131 | 2a00:5a60::ad1:0ff 2a00:5a60::ad2:0ff |
Familienschutz:
IPv4 | IPv6 |
176.103.130.132 176.103.130.134 | 2a00:5a60::bad1:0ff 2a00:5a60::bad2:0ff |
Secure DNS
DNS over HTTPS URL: https://ads-doh.securedns.eu/dns-query
DNS over TLS Hostname: ads-dot.securedns.eu
verwendete Blocklist:https://github.com/notracking/hosts-blocklists
Ändern des DNS-Servers unter Windows/Android oder auf dem Router
1.) Windows:
2.) Android
3.) Router