Sicherheit im Internet erhöhen mit DNS
Sicherheit im Internet erhöhen mit DNS
Da ich gelegentlich Fragen zum DNS erhalte, hier mal ein Artikel zu dem Thema, wie ich das sehe und in meinem Heimnetz handhabe.
Natürlich sind für die Sicherheit im Internet zunächst Basismechanismen, wie Virenscanner, das regelmäßige automatische Einspielen von Patches für jede Software die man benutzt, eine Firewall und vor allem dass man nicht auf alles klickt was einem auf dem Bildschirm angezeigt wird oder in Mails daher kommt, zu etablieren. Mittels DNS kann die Sicherheit aber weiter erhöht werden.
Was ist DNS?
Der Domain Name Service übersetzt Domainnamen, wie z.B. rechenkraft.net, in die zugehörige IP Adresse z.B. 116.203.62.4. Rechner kommunizieren über die IP Adresse miteinander. Diese sind aber für Menschen eher schlecht zu merken und wir Menschen wollen da lieber schöne Namen für haben. Also jeder Rechner in meinem Heimnetz, jedes Handy in meinem WLAN und jedes SmartHome Gerät (smarte Steckdose, Staubsauger, Lampe, Lautsprecher, Streamingbox, Klimagerät, ...) fragt vor jeder Kommunikation den DNS um den Domainnamen in eine IP zu übersetzen.
Damit sollte klar sein, dass der, der meinen DNS betreibt mitbekommt wohin die Geräte meines Heimnetzes kommunizieren, was ich daher für Geräte habe, wohin gesurft wird. Auch kann er z.B. bei nicht gefundenen Domains (z.B. wenn man sich vertippt hat) dir statt eines "not found", eine Suche bei der Suchmaschiene an der er beteiligt ist zurückliefern. Glaub die Telekom hat das früher so gemacht.
Auch kann er natürlich Seiten im guten und bösen Sinn blockieren, indem er statt der IP "not found" liefert. So soll und wird in einigen Ländern der Zugriff auf Internetseiten blockiert.
Ob und in welchem Maße dass Euer Internetprovider macht müßtet ihr selbst herausbekommen. Ich nutze schon seit Jahren nicht mehr den DNS meines Providers.
Der Standardweg ist, dass man den DNS beim Internetverbindungsaufbau mitgeteilt bekommt. In der FritzBox (stellvertretend für alle Internetrouter die man so zu Hause haben kann) kann man nachsehen welcher das ist und diesen auch ändern. Die Geräte im eigenen Heimnetz haben die FritzBox als DNS und die FritzBox routet die Anfrage dann an den eingetragenen DNS weiter. Wenn man in einer DOS Box
nslookup rechenkraft.net
eingibt, sieht man dass die FritzBox als DNS benutzt wird.
Stellt man jetzt den DNS in der FritzBox um, gilt das für ALLE Geräte im Heimnetz selbst für Geräte im Gäste WLAN.
Welchen DNS nehmen?
Es gibt sicherlich dutzende DNS, die man aus irgend welchen Gründen nehmen will. Hier nur einige mit denen ich Erfahrung und eine Meinung habe.
8.8.8.8 - der Google DNS. Den gibts schon lange, ist sehr schnell und die IP ist einfach zu merken. Daher nehmen ihn auch viele. Ich kann davon aber nur abraten. Google muss nicht auch noch darüber erfahren wohin ich und meine Geräte surfen. Die Datenkrake sammelt eh schon genug.
1.1.1.1 - der CloudFlare DNS. Der ist jünger als der von Google, aber glaub ich noch schneller. Also wenn dann lieber den nehmen.
Ich aber nehme https://www.opendns.com/ und habe dort sogar einen kostenlosen Account. Wie oben beschrieben, kann der DNS auch Anfragen blockieren und so den Zugriff auf Seiten die für Malware, Ransomware, Phishing, Botnetze, Werbung genutzt werden verweigern. Man kann auch viele weitere Kategorien auswählen und eigene Domains eintragen die geblockt werden sollen. Und wichtig, das gilt dann für ALLE Geräte (Rechner, Handies, Smartdevices, TV) in meinem Heimnetz und erhöht damit die Sicherheit. Damit gibts dann u.a. auch weniger Werbung auf Handy und TV.
Wer weitere DNS kennt, die sowas können, bitte kommentieren.
PS:
In meinem Netz läuft dazu noch ein PiHole um netzweit noch mehr Werbung und gefährliche Adressen zu blokieren. Das aber setzt zusätzliche Hardware voraus und läßt sich nicht so einfach für jederman wie das obige umsetzen.
Natürlich sind für die Sicherheit im Internet zunächst Basismechanismen, wie Virenscanner, das regelmäßige automatische Einspielen von Patches für jede Software die man benutzt, eine Firewall und vor allem dass man nicht auf alles klickt was einem auf dem Bildschirm angezeigt wird oder in Mails daher kommt, zu etablieren. Mittels DNS kann die Sicherheit aber weiter erhöht werden.
Was ist DNS?
Der Domain Name Service übersetzt Domainnamen, wie z.B. rechenkraft.net, in die zugehörige IP Adresse z.B. 116.203.62.4. Rechner kommunizieren über die IP Adresse miteinander. Diese sind aber für Menschen eher schlecht zu merken und wir Menschen wollen da lieber schöne Namen für haben. Also jeder Rechner in meinem Heimnetz, jedes Handy in meinem WLAN und jedes SmartHome Gerät (smarte Steckdose, Staubsauger, Lampe, Lautsprecher, Streamingbox, Klimagerät, ...) fragt vor jeder Kommunikation den DNS um den Domainnamen in eine IP zu übersetzen.
Damit sollte klar sein, dass der, der meinen DNS betreibt mitbekommt wohin die Geräte meines Heimnetzes kommunizieren, was ich daher für Geräte habe, wohin gesurft wird. Auch kann er z.B. bei nicht gefundenen Domains (z.B. wenn man sich vertippt hat) dir statt eines "not found", eine Suche bei der Suchmaschiene an der er beteiligt ist zurückliefern. Glaub die Telekom hat das früher so gemacht.
Auch kann er natürlich Seiten im guten und bösen Sinn blockieren, indem er statt der IP "not found" liefert. So soll und wird in einigen Ländern der Zugriff auf Internetseiten blockiert.
Ob und in welchem Maße dass Euer Internetprovider macht müßtet ihr selbst herausbekommen. Ich nutze schon seit Jahren nicht mehr den DNS meines Providers.
Der Standardweg ist, dass man den DNS beim Internetverbindungsaufbau mitgeteilt bekommt. In der FritzBox (stellvertretend für alle Internetrouter die man so zu Hause haben kann) kann man nachsehen welcher das ist und diesen auch ändern. Die Geräte im eigenen Heimnetz haben die FritzBox als DNS und die FritzBox routet die Anfrage dann an den eingetragenen DNS weiter. Wenn man in einer DOS Box
nslookup rechenkraft.net
eingibt, sieht man dass die FritzBox als DNS benutzt wird.
Stellt man jetzt den DNS in der FritzBox um, gilt das für ALLE Geräte im Heimnetz selbst für Geräte im Gäste WLAN.
Welchen DNS nehmen?
Es gibt sicherlich dutzende DNS, die man aus irgend welchen Gründen nehmen will. Hier nur einige mit denen ich Erfahrung und eine Meinung habe.
8.8.8.8 - der Google DNS. Den gibts schon lange, ist sehr schnell und die IP ist einfach zu merken. Daher nehmen ihn auch viele. Ich kann davon aber nur abraten. Google muss nicht auch noch darüber erfahren wohin ich und meine Geräte surfen. Die Datenkrake sammelt eh schon genug.
1.1.1.1 - der CloudFlare DNS. Der ist jünger als der von Google, aber glaub ich noch schneller. Also wenn dann lieber den nehmen.
Ich aber nehme https://www.opendns.com/ und habe dort sogar einen kostenlosen Account. Wie oben beschrieben, kann der DNS auch Anfragen blockieren und so den Zugriff auf Seiten die für Malware, Ransomware, Phishing, Botnetze, Werbung genutzt werden verweigern. Man kann auch viele weitere Kategorien auswählen und eigene Domains eintragen die geblockt werden sollen. Und wichtig, das gilt dann für ALLE Geräte (Rechner, Handies, Smartdevices, TV) in meinem Heimnetz und erhöht damit die Sicherheit. Damit gibts dann u.a. auch weniger Werbung auf Handy und TV.
Wer weitere DNS kennt, die sowas können, bitte kommentieren.
PS:
In meinem Netz läuft dazu noch ein PiHole um netzweit noch mehr Werbung und gefährliche Adressen zu blokieren. Das aber setzt zusätzliche Hardware voraus und läßt sich nicht so einfach für jederman wie das obige umsetzen.
Re: Sicherheit im Internet erhöhen mit DNS
Ein Thema mit dem ich mich auch schon länger befasse!
Ich gehe dort aber noch einen Schritt weiter und verschlüssele meine DNS Anfragen. (DNS over TLS)
(Das ist an sich sehr einfach und kann die Fritz.Box erledigen)
Für die die es nicht wissen die Anfragen erfolgen im Klartext können also ohne Probleme mitgelesen werden.
Meine genutzten Server sind:
Primär: 5.9.164.112 (2a01:4f8:251:554::2) dns3.digitalcourage.de (Digitalcourage DNS)
Sekundär: 5.1.66.255 (2001:678:e68:f000::) dot.ffmuc.net (Freifunk München DNS)
beste Grüße
Edit:
Schreibfehler korrigiert
Ich gehe dort aber noch einen Schritt weiter und verschlüssele meine DNS Anfragen. (DNS over TLS)
(Das ist an sich sehr einfach und kann die Fritz.Box erledigen)
Für die die es nicht wissen die Anfragen erfolgen im Klartext können also ohne Probleme mitgelesen werden.
Meine genutzten Server sind:
Primär: 5.9.164.112 (2a01:4f8:251:554::2) dns3.digitalcourage.de (Digitalcourage DNS)
Sekundär: 5.1.66.255 (2001:678:e68:f000::) dot.ffmuc.net (Freifunk München DNS)
beste Grüße
Edit:
Schreibfehler korrigiert
Zuletzt geändert von Rs232 am 31.12.2022 13:33, insgesamt 3-mal geändert.
Ryzen 9 3950X / 32GB Crucial BallistiX LT / ASUS RTX 3050 DUAL OC / Mint 21.3
- Michael H.W. Weber
- Vereinsvorstand
- Beiträge: 22519
- Registriert: 07.01.2002 01:00
- Wohnort: Marpurk
- Kontaktdaten:
Re: Sicherheit im Internet erhöhen mit DNS
Jawoll. Wobei die IPv4-Adresse des genannten Servers diese sein sollte: 5.9.164.112Rs232 hat geschrieben: ↑31.12.2022 13:16Ein Thema mit dem ich mich auch schon länger befasse!
Ich gehe dort aber noch einen Schritt weiter und verschlüssele meine DNS Anfragen. (DNS over TLS)
Für die die es nicht wissen die Anfragen erfolgen im Klartext können also ohne Probleme mitgelesen werden.
(Das ist an sich sehr einfach und kann die Fritz.Box erledigen)
Meine genutzten Server sind:
Primär: 5.9.216.112 (2a01:4f8:251:554::2) dns3.digitalcourage.de (Digitalcourage DNS)
Sekundär: 5.1.66.255 (2001:678:e68:f000::) dot.ffmuc.net (Freifunk München DNS)
beste Grüße
Dazu noch ein Artikel: https://digitalcourage.de/support/zensu ... dns-server
Michael.
Fördern, kooperieren und konstruieren statt fordern, konkurrieren und konsumieren.
http://signature.statseb.fr I: Kaputte Seite A
http://signature.statseb.fr II: Kaputte Seite B
http://signature.statseb.fr I: Kaputte Seite A
http://signature.statseb.fr II: Kaputte Seite B
Re: Sicherheit im Internet erhöhen mit DNS
Oh Danke Michael hab es korrigiert war Coppy und Paste, nur sollte man das dann auch können. (lol)
beste Grüße
beste Grüße
Zuletzt geändert von Rs232 am 31.12.2022 13:39, insgesamt 1-mal geändert.
Ryzen 9 3950X / 32GB Crucial BallistiX LT / ASUS RTX 3050 DUAL OC / Mint 21.3
Re: Sicherheit im Internet erhöhen mit DNS
Meine Fritzbox fragt aber dann nach einem Auflösungsnamen der DNS-Server, wenn ich DNS over TLS (DoT) aktivieren möchte, und erwartet da wohl eine Eingabe.
Re: Sicherheit im Internet erhöhen mit DNS
Die Auflösenamen stehen in meinem Post direkt hinter der ipv6
Hab sie mal in Rot Markiert für dich.
Primär: 5.9.164.112 (2a01:4f8:251:554::2) dns3.digitalcourage.de (Digitalcourage DNS)
Sekundär: 5.1.66.255 (2001:678:e68:f000::) dot.ffmuc.net (Freifunk München DNS)
beste Grüße
Ryzen 9 3950X / 32GB Crucial BallistiX LT / ASUS RTX 3050 DUAL OC / Mint 21.3
Re: Sicherheit im Internet erhöhen mit DNS
Autsch! Man sollte schon seine fünf Sinne zusammenhalten.....
Danke!
Danke!