Sicherheit im Internet erhöhen mit DNS

Kaufempfehlungen, Hardwaretips, Softwareprobleme, Overclocking, Technikfragen ohne Bezug zu DC.
Nachricht
Autor
Benutzeravatar
yoyo
Vereinsvorstand
Vereinsvorstand
Beiträge: 8045
Registriert: 17.12.2002 14:09
Wohnort: Berlin
Kontaktdaten:

Sicherheit im Internet erhöhen mit DNS

#1 Ungelesener Beitrag von yoyo » 31.12.2022 11:02

Da ich gelegentlich Fragen zum DNS erhalte, hier mal ein Artikel zu dem Thema, wie ich das sehe und in meinem Heimnetz handhabe.

Natürlich sind für die Sicherheit im Internet zunächst Basismechanismen, wie Virenscanner, das regelmäßige automatische Einspielen von Patches für jede Software die man benutzt, eine Firewall und vor allem dass man nicht auf alles klickt was einem auf dem Bildschirm angezeigt wird oder in Mails daher kommt, zu etablieren. Mittels DNS kann die Sicherheit aber weiter erhöht werden.

Was ist DNS?

Der Domain Name Service übersetzt Domainnamen, wie z.B. rechenkraft.net, in die zugehörige IP Adresse z.B. 116.203.62.4. Rechner kommunizieren über die IP Adresse miteinander. Diese sind aber für Menschen eher schlecht zu merken und wir Menschen wollen da lieber schöne Namen für haben. Also jeder Rechner in meinem Heimnetz, jedes Handy in meinem WLAN und jedes SmartHome Gerät (smarte Steckdose, Staubsauger, Lampe, Lautsprecher, Streamingbox, Klimagerät, ...) fragt vor jeder Kommunikation den DNS um den Domainnamen in eine IP zu übersetzen.

Damit sollte klar sein, dass der, der meinen DNS betreibt mitbekommt wohin die Geräte meines Heimnetzes kommunizieren, was ich daher für Geräte habe, wohin gesurft wird. Auch kann er z.B. bei nicht gefundenen Domains (z.B. wenn man sich vertippt hat) dir statt eines "not found", eine Suche bei der Suchmaschiene an der er beteiligt ist zurückliefern. Glaub die Telekom hat das früher so gemacht.
Auch kann er natürlich Seiten im guten und bösen Sinn blockieren, indem er statt der IP "not found" liefert. So soll und wird in einigen Ländern der Zugriff auf Internetseiten blockiert.
Ob und in welchem Maße dass Euer Internetprovider macht müßtet ihr selbst herausbekommen. Ich nutze schon seit Jahren nicht mehr den DNS meines Providers.

Der Standardweg ist, dass man den DNS beim Internetverbindungsaufbau mitgeteilt bekommt. In der FritzBox (stellvertretend für alle Internetrouter die man so zu Hause haben kann) kann man nachsehen welcher das ist und diesen auch ändern. Die Geräte im eigenen Heimnetz haben die FritzBox als DNS und die FritzBox routet die Anfrage dann an den eingetragenen DNS weiter. Wenn man in einer DOS Box
nslookup rechenkraft.net
eingibt, sieht man dass die FritzBox als DNS benutzt wird.

Stellt man jetzt den DNS in der FritzBox um, gilt das für ALLE Geräte im Heimnetz selbst für Geräte im Gäste WLAN.

Welchen DNS nehmen?

Es gibt sicherlich dutzende DNS, die man aus irgend welchen Gründen nehmen will. Hier nur einige mit denen ich Erfahrung und eine Meinung habe.

8.8.8.8 - der Google DNS. Den gibts schon lange, ist sehr schnell und die IP ist einfach zu merken. Daher nehmen ihn auch viele. Ich kann davon aber nur abraten. Google muss nicht auch noch darüber erfahren wohin ich und meine Geräte surfen. Die Datenkrake sammelt eh schon genug.

1.1.1.1 - der CloudFlare DNS. Der ist jünger als der von Google, aber glaub ich noch schneller. Also wenn dann lieber den nehmen.

Ich aber nehme https://www.opendns.com/ und habe dort sogar einen kostenlosen Account. Wie oben beschrieben, kann der DNS auch Anfragen blockieren und so den Zugriff auf Seiten die für Malware, Ransomware, Phishing, Botnetze, Werbung genutzt werden verweigern. Man kann auch viele weitere Kategorien auswählen und eigene Domains eintragen die geblockt werden sollen. Und wichtig, das gilt dann für ALLE Geräte (Rechner, Handies, Smartdevices, TV) in meinem Heimnetz und erhöht damit die Sicherheit. Damit gibts dann u.a. auch weniger Werbung auf Handy und TV.

Wer weitere DNS kennt, die sowas können, bitte kommentieren.

PS:
In meinem Netz läuft dazu noch ein PiHole um netzweit noch mehr Werbung und gefährliche Adressen zu blokieren. Das aber setzt zusätzliche Hardware voraus und läßt sich nicht so einfach für jederman wie das obige umsetzen.
HILF mit im Rechenkraft-WiKi, dies gibts zu tun.
Wiki - FAQ - Verein - Chat

Bild Bild

Benutzeravatar
Rs232
Brain-Bug
Brain-Bug
Beiträge: 598
Registriert: 06.01.2017 18:37
Wohnort: Harz

Re: Sicherheit im Internet erhöhen mit DNS

#2 Ungelesener Beitrag von Rs232 » 31.12.2022 13:16

Ein Thema mit dem ich mich auch schon länger befasse!

Ich gehe dort aber noch einen Schritt weiter und verschlüssele meine DNS Anfragen. (DNS over TLS)
(Das ist an sich sehr einfach und kann die Fritz.Box erledigen)
Für die die es nicht wissen die Anfragen erfolgen im Klartext können also ohne Probleme mitgelesen werden.

Meine genutzten Server sind:

Primär: 5.9.164.112 (2a01:4f8:251:554::2) dns3.digitalcourage.de (Digitalcourage DNS)
Sekundär: 5.1.66.255 (2001:678:e68:f000::) dot.ffmuc.net (Freifunk München DNS)

beste Grüße

Edit:
Schreibfehler korrigiert
Zuletzt geändert von Rs232 am 31.12.2022 13:33, insgesamt 3-mal geändert.
Ryzen 9 3950X / 32GB Crucial BallistiX LT / ASUS RTX 3050 DUAL OC / Mint 21.3
Bild

Benutzeravatar
Michael H.W. Weber
Vereinsvorstand
Vereinsvorstand
Beiträge: 22418
Registriert: 07.01.2002 01:00
Wohnort: Marpurk
Kontaktdaten:

Re: Sicherheit im Internet erhöhen mit DNS

#3 Ungelesener Beitrag von Michael H.W. Weber » 31.12.2022 13:22

Rs232 hat geschrieben:
31.12.2022 13:16
Ein Thema mit dem ich mich auch schon länger befasse!

Ich gehe dort aber noch einen Schritt weiter und verschlüssele meine DNS Anfragen. (DNS over TLS)
Für die die es nicht wissen die Anfragen erfolgen im Klartext können also ohne Probleme mitgelesen werden.
(Das ist an sich sehr einfach und kann die Fritz.Box erledigen)

Meine genutzten Server sind:

Primär: 5.9.216.112 (2a01:4f8:251:554::2) dns3.digitalcourage.de (Digitalcourage DNS)
Sekundär: 5.1.66.255 (2001:678:e68:f000::) dot.ffmuc.net (Freifunk München DNS)

beste Grüße
Jawoll. Wobei die IPv4-Adresse des genannten Servers diese sein sollte: 5.9.164.112
Dazu noch ein Artikel: https://digitalcourage.de/support/zensu ... dns-server

Michael.
Fördern, kooperieren und konstruieren statt fordern, konkurrieren und konsumieren.

http://signature.statseb.fr I: Kaputte Seite A
http://signature.statseb.fr II: Kaputte Seite B

Bild Bild Bild

Benutzeravatar
Rs232
Brain-Bug
Brain-Bug
Beiträge: 598
Registriert: 06.01.2017 18:37
Wohnort: Harz

Re: Sicherheit im Internet erhöhen mit DNS

#4 Ungelesener Beitrag von Rs232 » 31.12.2022 13:37

Oh Danke Michael hab es korrigiert war Coppy und Paste, nur sollte man das dann auch können. (lol)

beste Grüße
Zuletzt geändert von Rs232 am 31.12.2022 13:39, insgesamt 1-mal geändert.
Ryzen 9 3950X / 32GB Crucial BallistiX LT / ASUS RTX 3050 DUAL OC / Mint 21.3
Bild

Benutzeravatar
Kolossus
TuX-omane
TuX-omane
Beiträge: 4277
Registriert: 26.10.2014 14:51

Re: Sicherheit im Internet erhöhen mit DNS

#5 Ungelesener Beitrag von Kolossus » 31.12.2022 13:39

Rs232 hat geschrieben:
31.12.2022 13:16
Ich gehe dort aber noch einen Schritt weiter und verschlüssele meine DNS Anfragen. (DNS over TLS)
(Das ist an sich sehr einfach und kann die Fritz.Box erledigen)
Edit:
Schreibfehler korrigiert
Meine Fritzbox fragt aber dann nach einem Auflösungsnamen der DNS-Server, wenn ich DNS over TLS (DoT) aktivieren möchte, und erwartet da wohl eine Eingabe.
Gruß Harald

Bild

Benutzeravatar
Rs232
Brain-Bug
Brain-Bug
Beiträge: 598
Registriert: 06.01.2017 18:37
Wohnort: Harz

Re: Sicherheit im Internet erhöhen mit DNS

#6 Ungelesener Beitrag von Rs232 » 31.12.2022 13:41

Kolossus hat geschrieben:
31.12.2022 13:39
Rs232 hat geschrieben:
31.12.2022 13:16
Ich gehe dort aber noch einen Schritt weiter und verschlüssele meine DNS Anfragen. (DNS over TLS)
(Das ist an sich sehr einfach und kann die Fritz.Box erledigen)
Edit:
Schreibfehler korrigiert
Meine Fritzbox fragt aber dann nach einem Auflösungsnamen der DNS-Server, wenn ich DNS over TLS (DoT) aktivieren möchte, und erwartet da wohl eine Eingabe.
Die Auflösenamen stehen in meinem Post direkt hinter der ipv6
Hab sie mal in Rot Markiert für dich.

Primär: 5.9.164.112 (2a01:4f8:251:554::2) dns3.digitalcourage.de (Digitalcourage DNS)
Sekundär: 5.1.66.255 (2001:678:e68:f000::) dot.ffmuc.net (Freifunk München DNS)

beste Grüße
Ryzen 9 3950X / 32GB Crucial BallistiX LT / ASUS RTX 3050 DUAL OC / Mint 21.3
Bild

Benutzeravatar
Kolossus
TuX-omane
TuX-omane
Beiträge: 4277
Registriert: 26.10.2014 14:51

Re: Sicherheit im Internet erhöhen mit DNS

#7 Ungelesener Beitrag von Kolossus » 31.12.2022 13:44

Autsch! Man sollte schon seine fünf Sinne zusammenhalten.....
Danke!
Gruß Harald

Bild

Antworten

Zurück zu „Hardware, Software, Technik, Betriebssysteme“