Neuigkeiten:

Privates MODX und LINUX BLOG, User Registrierung ist deaktiviert! Fragen oder Tipps? Bitte per Matrix: @jolichter:tchncs.de

Hauptmenü

Fritzbox DNS over TLS (DoT)

Begonnen von Jo, 2020-12-15 | 21:30:12

« vorheriges - nächstes »

Jo

Inzwischen laufen fast alle Webseiten über HTTPS (SSL) und Provider können nicht sehen welche Daten wir übermitteln, besonders Benutzername und Passwort. Jedoch sind die Verbindung zum DNS-Server immer noch unverschlüsselt und der Provider kann diese in Klarschrift mitlesen. Diese Verbindungsdaten könnten an Werbetreibende verkauft werden oder MITM-Angriffe wären möglich. Im Firefox oder Chrome kann dafür DoH (DNS über HTTPS) aktiviert werden.

Besser und global für das ganze Heimnetz geht das Konfigurieren zentral auf dem Router, z.B. FritzBox seit OS 7.2, die zwar kein DoH aber DoT unterstützt. Damit werden alle DNS Abfragen in eurem privaten Netz per TLS verschlüsselt übertragen. Nebenbei bekommt ihr auch ein Internet ohne Zensur, was es inzwischen auch in Deutschland gibt (Link)!

Verbreitet ist z.B. Cloudflare oder Quad9 als DNS Provider (Link mit DoT Server) welche im Menü unter Internet->Zugangsdaten->DNS-Server definiert werden.

Beispiel mit Quad9
  • Bevorzugter DNSv4-Server: 9.9.9.9
  • Alternativer DNSv4-Server: 149.112.112.112
  • Auflösungsnamen der zu verwendenden DNS-Server: dns.quad9.net

Die DoT Funktion kann per Fritz Online-Monitor geprüft werden, hier steht dann z.B.:
ZitatGenutzte DNS-Server:
9.9.9.9
149.112.112.112
9.9.9.9 (DoT verschlüsselt)
149.112.112.112 (aktuell genutzt für Standardanfragen - DoT verschlüsselt)



Aber es geht noch besser. Wie wäre es inkl. Werbe- und Tracking-Filterliste via deutschen DNS-Server oder eigenen Pi-hole. Warum? Nun Werbung nervt die meisten Leser und viele Seiten müssen es extrem übertreiben. Bei manchen fällt das in den Bereich Belästigung und Nötigung. Die komplette Seite wird überlagert und der Schliess-Button ist zu klein oder fast nicht erkennbar, selbst dann poppt wieder eine Werbung auf. Schlimmer: Online-Werbung ist ein Sicherheitsrisiko! Ad-Netzwerke werden gerne für die Verteilung von Malware (Schadsoftware) missbraucht. Also müssen wir uns wehren und nutzen Ad-Blocker. Nun heulen Pressverlage und bild.de sperrte deswegen als erster die Nutzer von Ad-Blockern aus. Danke bild! Behaltet eure billigen Klatsch- und Skandalberichte, ihr habt mir damit einen großen Gefallen getan (wenn ich aus versehen dort hin verlinkt werde). Dabei gibt es andere verbraucherfreundliche Finanzierungsmöglichkeiten und wenn gute Verlage das nicht erkannt haben, leben diese nicht mehr lange.

Beispiel mit 2 deutschen DNS-Server dnsforge.de und dismail.de | siehe auch privacy-handbuch.de
Besonderheit: Serverstandort ist Deutschland ohne Benutzerprotokollierung inkl. Werbe- und Tracking-Filterliste! Diese Seiten arbeiten ohne Werbung und benötigen als Unterstützung daher freiwillige Spenden. Die Vorteile gegenüber Quad9 oder Cloudflare sind klar, jedoch sollte man bedenken das diese Projekte von unabhängigen Einzelpersonen betrieben werden. Hoffe daher nicht das beide Server irgendwann gleichzeitig ausfallen.
  • Bevorzugter DNSv4-Server: 176.9.93.198
  • Alternativer DNSv4-Server: 176.9.1.17
  • Auflösungsnamen der zu verwendenden DNS-Server: dnsforge.de und fdns1.dismail.de und fdns2.dismail.de

Die DoT Funktion kann per Fritz Online-Monitor geprüft werden, hier steht dann z.B.:
ZitatGenutzte DNS-Server:
176.9.93.197
176.9.1.118
80.241.218.68 (DoT verschlüsselt)
159.69.114.157 (DoT verschlüsselt)
176.9.1.117 (aktuell genutzt für Standardanfragen - DoT verschlüsselt)
176.9.93.198 (DoT verschlüsselt)
(nutzt also im Moment dnsforge.de mit DoT)


Das Beste, ich nutze daher im add-on uBlock Origin nur noch eine Filterliste um nervige Cookie Meldungen zu unterdrücken (Belästigungen -> EasyList Cookie) und diese 2 manuell erstellten Filter (Quelle):
!Google
google.*##^script:has-text(consentCookiePayload)
  !Archive (my old solution):
  !google.*###xe7COe
  !google.*##html:style(overflow-x: auto visible !important;)

!Youtube (unterdrückt "In YouTube anmelden")
youtube.com##.opened
youtube.com###dialog
youtube.com##.no-transition.yt-upsell-dialog-renderer.style-scope
(zuletzt getestet 2021-05-11)

FAZIT: Ein Großteil der Werbung und Tracker sind bei mir verschwunden, besonders auf Smartphones oder Pads. Keine eingeblendete Werbung und die Filterung auf DNS-Ebene spart unnötige Daten zu laden und daher auch Rechenpower. Wer noch einen Raspberry Pi übrig hat, könnte einen eigenen DNS-Server per Pi-hole aufsetzen. Damit hättet ihr die volle Kontrolle und könnt die Werbe- und Trackerfilter selbst bestimmen und komplett auf uBlock verzichten.

:-[



Derzeit habe ich nur die ersten 2 Checkboxen unter "DNS over TLS (DoT)" an und den Fallback deaktiviert. Anfragen laufen nun über DoT auf dem Port 853. Ein Fallback kann bei einem Serverproblem Anfragen auf den Port 53 leiten, welche dann natürlich unverschlüsselt sind. Ohne diesen Fallback könnte es passieren das ihr keine Internetseite erreicht. Wem das wichtig ist, kann den Fallback aktivieren. Ich teste das erst mal ohne Fallback und den 2 deutschen DNS-Servern.

PS: adminForge.de bietet auf dnsforge.de ein DNS over HTTPS (DoH) Profil für iOS und Android Geräte zur Verfügung (getestet mit iOS 14.3). Bedingt durch Let's Encrypt sollte eine neue signierte Konfigurationsdatei alle 3 Monate herunterladen werden. Die Service Übersicht von adminforge.de mit vielen kostenlosen Diensten ohne Tracking und Werbung ist sehr interessant.

Schneller Link zum Profil laden und installieren ab iOS 14: dnsforge-doh.mobileconfig (DoH)
Kontrolle unter Einstellungen -> Allgemein -> Profil (kann hier auch entfernt werden):



Wer z.B. einen Pi-hole nutzt, kann das interessant sein: