Eigener DNS-Resolver?
Guten Tag,
da ich es aus versch. Gründen nicht schön finde ab bald meine Daten durch einen öffentlichen EU DNS-Resolver zu schicken, habe ich dazu 2 Fragen:
- Überwacht bzw. sieht ein DNS-Resolver wirklich alle Anfragen der User?
- Gibt es Möglichkeiten diesen zu umgehen, z.B. durch einen eigenen DNS-Resolver?
Liebe Grüße und Danke im Vorraus.
6 Antworten
Vertrauenswürdige DNS-Server findest du in der Empfehlungsecke des IT-Experten Mike Kuketz und im Privacy-Handbuch.
Überwacht bzw. sieht ein DNS-Resolver wirklich alle Anfragen der User?
Wenn Du mit alle Anfragen die DNS-Anfragen meinst: Ja, natürlich.
Gibt es Möglichkeiten diesen zu umgehen, z.B. durch einen eigenen DNS-Resolver?
Das hilft nicht wirklich. Ein Resolver benötigt einen Upstream Nameserver, den er befragen kann. Dein eigener Resolver schickt also Anfragen an diesen Upstream Nameserver, der dann alles sieht.
Du musst also einen eigenen Nameserver betreiben. Dieser Nameserver weiß natürlich auch nicht alles selbst, aber er fragt nicht immer denselben Upstream Server, sondern nutzt selbst die DNS-Hierarchie. Idealerweise nutzt dieser Nameserver DNS over TLS, damit die Anfragen auf dem Transportweg nicht mitgelesen werden können.
Überwacht bzw. sieht ein DNS-Resolver wirklich alle Anfragen der User?
Nein, nicht alle anfragen. Er übersetzt jedoch die lesbaren Domains zu IP-Adressen und kann dort, wenn es denn gewollt ist, diverse Dinge auch blockieren oder analysieren.
Gibt es Möglichkeiten diesen zu umgehen, z.B. durch einen eigenen DNS-Resolver?
Du kannst einen eigenen Resolver aufbauen. Du wirst jedoch externe Dienste nutzen wollen, damit das Netz auch weiterhin so funktioniert, wie du es erwartest - alle Anfragen, die er nicht selbst beantworten kann, müssen ja dennoch irgendwie aufgelöst werden, wenn du sie nutzen willst
Du musst aber keinen EU-DNS-Resolver nutzen, sondern kannst auch weiterhin deinen Provider, Google, Cloudflare usw nutzen.
Okay, danke! Da ja eine Chatüberwachung kommen soll habe ich da Angst, da ich ein Freak von Verschlüsselungen bin.
¯\_(ツ)_/¯ ich persönlich hab keine Bedenken bei Cloudflare und nutz es auch, um meine Domain-Einträge zu managen. Ist bei mir im gesamten Netzwerk der Default-DNS.
Genaues kann ich jetzt natürlich nicht sagen, da ich die ganzen Hintertüren für Justizorgane nicht kenne. Im Zweifelsfall werden halt die DNS-Anfragen gelesen, aber die übertragenen Daten der Kommunikation selbst sind nicht beim DNS-Anbieter zu finden
Danke, ich werde da mal- nach hoffentlich Schlaf und Schule xD - schauen. Vielen Dank!!
Überwacht bzw. sieht ein DNS-Resolver wirklich alle Anfragen der User?
Er kann das zumindest. Da die Zuordnung dieser Anfragen aber alles andere als einfach ist, ist das meist auch kein so großes Problem selbst wenn geloggt wird.
Gibt es Möglichkeiten diesen zu umgehen, z.B. durch einen eigenen DNS-Resolver?
Völlig umgehen lässt sich diese Problematik nicht, aber man kann die Situation verbessern. Man kann einen eigenen rekursiven DNS Server betreiben. Damit leitet man nicht alles durch einen großen Anbieter sondern fragt direkt die zuständigen Server an. Der meiste Traffic wird aber trotzdem bei einigen wenigen TLD DNS Servern landen.
Darunter leidet jedoch die Performance, da man nicht die Caches der großen Anbieter mit nutzen kann. Hier gibt es eine Anleitung und Erklärung dazu: https://docs.pi-hole.net/guides/dns/unbound/
Okay, vielen Dank! Also kann es nicht die IPS einfach Speichern um den Verlauf der Verbindungen zu kontrollieren?
IPs bei Anbietern für Privatleute ändern sich und heutzutage sitzen in aller Regel mehrere Leute, wenn nicht sogar tausende, hinter einer IPv4. Das schränkt den Nutzen dieser Daten stark ein.
Wenn du nun wirklich paranoid bist solltest du dann nicht den Standard DNS-Server deines ISP nutzen, denn der weiß wem der Anschluss gehört. Ansonsten darf erst mal nur die Strafverfolgung durch die Vorratsdatenspeicherung auf diese Zuordnung zugreifen.
Aber jetzt mal ehrlich, DNS Anfragen sind wirklich nicht so nützlich. Allein schon Gutefrage hat Zugriff auf wesentlich bessere Daten von dir.
Darunter leidet jedoch die Performance, da man nicht die Caches der großen Anbieter mit nutzen kann.
Ob die allerdings schneller als der lokale Cache sind?
Den lokalen Cache hat man so oder so. Die großen Anbieter haben aber nahezu jede Adresse im Cache die ab und zu mal aufgerufen wird. Das ist ein riesiger Vorteil. So einen Cache kann man sich nicht wirklich selbst aufbauen, da die Einträge ja noch eine TTL haben.
Es steht sogar bei unbound erklärt, dass es einen deutlichen Geschwindigkeitsnachteil hat.
Bei vielen Nuitzern ist die Wahrscheinlichkeit, daß Du den Cache-Miss erzeugst halt viel kleiner, aber im Falle eines Miss müssen diese genauso ein Lookup machen.
Und solange die TTL nicht runter ist, wird in beiden Fällen aus dem Cache bedient.
Für TLDs liegt die TTL bei 1 Tag bis 1 Woche, nicht wirklich gravierend. Und wenn es wirklich ein selten angefragtes Record ist, kommt es halt darauf an, wie wahrscheinlich es ist, daß ein anderer Nutzer einen Lookup zeitnah gemacht hatte.
Das Problem sind ja nicht die TLDs sondern die Second und Third Level Domains. Da hat man meist sehr kurze TTLs. Zusammen mit der begrenzten Anzahl an Anfragen ist deshalb der Unterschied zu großen zentraleren Caches sehr deutlich.
Außer natürlich man ruft den ganzen Tag über nur die gleichen drei Domains auf, das trifft aber nun mal auf die wenigsten Nutzer zu.
Normalerweise sind DHCP, DNS und Gateway (Router) in einem Heimnetzwerk ein Gerät (umgangssprachlich Router genannt). Der Client erhält eine IP-Adresse und ihm wird mitgeteilt, welcher Server DNS und welcher Gateway ist (im Normalfall beides die gleiche Kiste, ab jetzt einfach Router genannt).
Nimmt man im Heimnetzwerk einen eigenständigen DNS, so trägt man diesen in der Fritzbox als DNS ein und im DNS den Router als Gateway.
Dann passiert folgendes:
- Der Client (PC, Mobiltelefon, Glotze ...) bekommen vonm Router eine IP-Adresse zugewiesen. Der Router meldet sich dem Client als DNS, leitet die Anfragen jedoch an den wirklichen DNS weiter.
- Der DNS bearbeitet die Anfragen und gibt sie an den Client zurück, womit der dann die IP-Adresse des Servers hat, den er eigentlich erreichen wollte. So kann er also gutefrage.net erreichen. Andere Variante: Der DNS leitet die Anfrage des Clients direkt an gutefrage.net weiter.
- Klar, man kann den Client so konfigurieren, dass er explizit einen anderen DNS nutzt. Dies kann man aber im Router sperren oder einfach an den eigenen DNS weiterleiten. (Kommt eine DNS-Anfrage nach draußen, leite sie ainfach an meinen DNS weiter, der Client muss das ja nicht wissen).
- Wenn Du 3. umgehen willst, benötigst Du VPN. Kann aber auch sein, dass der Router VPN blockt.
Einen eigenen DNS kannst Du zum Beispiel mit PiHole betreiben. In der Fritzbox (Beispiel für einen Router) Deinen PiHole-Server als DNS eintragen, in Deinem PiHole-Server Deine Fritzbox als Gateway, in der Fritzbox alle anderen DNS-Anfragen an PiHole weiterleiten, das war's schon. Wenn Du knallhart bist, blockst Du auch noch VPN.
Einen eigenen DNS kannst Du zum Beispiel mit PiHole betreiben. In der Fritzbox (Beispiel für einen Router) Deinen PiHole-Server als DNS eintragen, in Deinem PiHole-Server Deine Fritzbox als Gateway, in der Fritzbox alle anderen DNS-Anfragen an PiHole weiterleiten, das war's schon. Wenn Du knallhart bist, blockst Du auch noch VPN.
Und welchen Vorteil soll das für den FA genau haben? Dadurch hätte man nur einen lokalen Mittelsmann mehr, ansonsten ändert sich so gut wie gar nichts. Die Fritzbox betreibt einen nahezu identischen DNS Server ohne Blocking Funktion ohnehin intern.
Keine Ahnung, wofür er einen eigenen DNS betreiben will. Ich jedenfalls betreibe mit PiHole einen eigenen DNS, der mir einen Haufen Werbung rausfiltert.
https://pi-hole.net/
Kann übrigens auch ein stinknormaler PC sein (irgendein 10 Jahre alter Thinclient oder so), muss kein Raspberry sein.
Ihm geht es doch offensichtlich um Datenschutz bei der DNS Auflösung. Daran ändert eine normal konfigurierte PiHole nichts.
Ich hatte ihn so verstanden, dass er einfach nur unerwünschten DNS-Traffic unterbinden will. Dass kann er mit PiHole und einem Router wie der Fritzbox sehr einfach einrichten.
Wie steht denn da das BKA zu Cloudflare, im Zusammenhang mit Datenfreigabe etc?