Alternativer DNS - nutzt ihr das?

[iceview]

@maxim.webster Stimmt, mein Fehler 🤦‍♂️Allerdings kommt man ja an die Rasperrys momentan eh kaum ran.

Was ist eigentlich mit den DNS der Deutschen Provider? Telekom testet immer noch den DoH und einige bieten gar keinen eigenen Dienst mehr an oder? Da muss man doch eh schon auf den Dienst seines Vertrauens zurückgreifen

 

[RalphS]

Ich find ja fast, daß das eine Ersatzsonntagsfrage sein könnte @SV3N

Aber trotzdem bin ich grad etwas konfusioniert betreffs des Ziels dieses Threads.

= Ja natürlich braucht es Vertrauen. Es ist nicht "mein" DNS. Ich kann es auch nicht steuern. Was bleibt mir also übrig?
= Wenn es wirklich um Angelegenheiten der "digitalen Selbstbestimmung" geht, dann sind DNSSEC und DoT/H solange unnütz, wie ich über einen deutschen DNS-Service auflösen lasse.
Denn DIE unterliegen der Sperrverfügung. Ob ich meine Infos über DNS nicht bekomme oder ob ich sie über "sicheres" DNS nicht bekomme.... 🤷‍♀️

Wenn die Möglichkeit nicht da ist, und das scheint ja im Moment der Fall zu sein, dann bleibt mir nur die root-server Option. Und auch da ist es egal, ob DNS oder DNSSEC oder DoT/H oder sonst was.
Natürlich besteht prinzipiell die Option, auf L3 die IP-Adressen der root-server zu sperren oder umzubiegen... aber ich denke nicht, daß wir in DE dazu fähig sind hust ich meine natürlich, daß es da nicht so bald Verfügungen dazu geben wird.

Und ja, Resolver wie unbound können da helfen.
Und ebenso ja, die sind schneller als echte DNS-Server. unbound kann nicht mit ISC bind verglichen werden. Komplett anderes Ziel. ISC bind kann DNS Resolver spielen, aber unbound nicht einen auf "bind" machen. Deswegen auch der Name.

 

[iceview]

@RalphS Das ist Ziel ist einfach erklärt: Ein Meinungsbild über das Thema DNS Server Nutzung zu bekommen.
Ob und welche Optionen jeder einsetzt, wem er seine Daten anvertraut oder wie man seine Netzwerke "sichert".

Sicher eine Glaubensfrage ... eine eine technisch begründbare oder gar benchmarkfähige Antwort, ein richtig oder falsch gibt es glaube ich aktuell nicht. Irgendwem muss ich eben meine Daten geben, wenn man nicht eigene Lösungen basteln möchte.

 

[RalphS]

Okay, danke der näheren Erklärung.

Im Hinblick auf meine Verbindungsdaten geben ich die lieber meinem IAP. Dem vertraue ich ohnehin (sonst hätte ich keinen Vertrag mit ihm).
Selbstverständlich erfordert der Namensauflösungsdienst (im weiteren Sinne) eine grundlegende Überarbeitung.
DNS = plaintext und einfach zu manipulieren.
DNSSEC = schützt vor der Manipulation, aber bleibt plaintext.
DNS-over-TLS/HTTPS: architektonischer Blödsinn, der buchstäblich einen Bootstrapper erfordert. Greife ich den Bootstrapper erfolgreich an, ist das System hinüber. Fail.

Rekursive Resolver lösen einen zumindest von der Abhängigkeit an "den" DNS-Provider. Das ist insofern also zu begrüßen. Aber das Grundproblem bleibt halt bestehen - es ist plaintext, jeder kann da mitlesen, und wenn ich über DoT/H gehen will, dann öffne ich nicht Pandoras Büchse sondern gleich ihre ganze Weltkugel.

 

[Raijin]

Ob und welche Optionen jeder einsetzt, wem er seine Daten anvertraut oder wie man seine Netzwerke "sichert".

Der Begriff "Daten" ist im Zusammenhang mit DNS etwas irreführend. Es handelt sich dabei einzig und allein um die Domains in den DNS-Queries und sonst nichts. Der DNS sieht nur "computerbase.de", hat aber keine Ahnung ob man dort nun ein Artikel auf der Seite gelesen hat, im Forum gestöbert wurde oder ob der Admin gerade per ssh auf dem Server eingeloggt ist. Der Informationsgehalt der "Daten" ist bei DNS daher begrenzt.

Im Hinblick auf meine Verbindungsdaten geben ich die lieber meinem IAP. Dem vertraue ich ohnehin (sonst hätte ich keinen Vertrag mit ihm).

Da bin ich voll bei dir. Letztendlich kann der DNS ja wie beschrieben nur sehr eingeschränkte Informationen sammeln, während der ISP theoretisch alle Verbindungen inkl Ports und Daten mitbekommt - vollkommen egal welchen DNS man benutzt. Das soll nicht heißen, dass der ISP da tatsächlich reinguckt, aber theoretisch wäre es möglich, mal von Verschlüsselung abgesehen.
Wenn man also dem DNS des eigenen Providers misstraut, sollte man sich eher Sorgen um seine "echten" Verbindungsdaten machen.......

Standort wäre stadtrand Hamburg.

Interessant. Je nachdem welcher Stadtrand das ist kann es sein, dass wir nur wenige km entfernt wohnen/arbeiten. Ich wohne im Speckgürtel von HH in der Nähe der A1 (aber in SH) und arbeite in Bahrenfeld, also immerhin eine 50%ige Trefferchance 😉

 

[maxim.webster]

Es handelt sich dabei einzig und allein um die Domains in den DNS-Queries und sonst nichts. Der DNS sieht nur "computerbase.de",

Das sagt aber auch schon was aus, für eine Profilierung und eine „personalisierte Werbeerfahrung“ reicht das.

 

[RalphS]

Es handelt sich dabei einzig und allein um die Domains in den DNS-Queries und sonst nichts.

Nur ergänzend: das darf trotzdem nicht unterschätzt werden. Wenn es nur um die Rohdaten ginge, dann würden FB und Co in der Form nicht existieren.

Nein, das "echte" "Problem" sind die generierbaren Statistiken. Denn DNS mag nur Namen auflösen.... aber das tut es in Zeitfenstern und tut es in Verbindung des Kontexts "TCP IP".

Heißt: Ich weiß wer, ich weiß wann, und ich weiß was.
Es heißt auch, ich weiß wer wann nicht mehr.

DNS auf Serverseite verrät mir, daß IP-Adresse sowieso (und die kann ich zuordnen) am Montag, 14. März von 07:00 Uhr bis 08:00 sich auf Computerbase herumgetrieben hat. Je nach Cachingeinstellung erfahre ich auch, wie lange sich auf einer Seite von Computerbase herumgetrieben wurde. Und insoweit ich in der Lage bin, einzelne dieser Seiten über ihren DNS-Fingerprint zu erfahren, bekomme ich sogar raus, WO der sich rumgetrieben hat bei Computerbase.

Metadaten sind empfindliche Informationen.
Und dennoch, wie @Raijin richtig herausstellt: DNS-Daten sind nur ein kleiner Teil der Informationen, die ich als Anbieter bekomme.


=> Was, um den Bogen ein bißchen zu schlagen, auch das zentrale Problem von öffentlichen VPN-Services ist. Dann agieren nämlich DIE als "zusätzlicher" IAP für mich und erfahren buchstäblich alles über mein Surfverhalten.

DAS kann nicht mal FB von sich behaupten (allerdings Google, da deren DNS-Services so bereitwillig eingesetzt werden).

Zusammengenommen also: einen anderen Provider als "meinen eigenen" für Dienste, die was mit meiner Fähigkeit zum Websurfen zu tun haben zu verwenden....

... Das ist KEIN Plus an Sicherheit. Es ist ein MINUS.

 

[Riddimno1]

Es gibt manchmal Probleme mit Wifi Calling, wenn man nicht den passenden (glaube deutschen) DNS Server verwendet... Nur falls noch jemand auf dem Land wohnt und wie ich davon abhängig ist weil Netz=0 🙃

 

[Raijin]

In einen sauren Apfel muss man letztendlich beißen bzw. man kann gar nicht alle sauren Äpfel aussortieren. Öffentliche IP? Kann getracked werden. Dann nimmt man eben ein VPN. Ok, der VPN-Anbieter kann ebenso tracken. Anderer DNS? Ok, dann tracked eben der. Und wenn alle Stricken reißen tracked die angesurfte Seite bzw. die Werbeplugins darauf eben direkt, mittels Browser Agent und was sie sonst noch so an Infos bekommt, Cookies, etc. Also Werbeblocker, Trackerschutz, anonymer Browser Agent. Gegebenfalls im Browser sogar noch ein Plugin mit SkriptBlocker, bei dem man dann ständig Skripte freigeben muss, weil die Seiten nicht richtig laden - aber eben auch weniger Unfug treiben können.
Puh, noch was vergessen? Ach so, ja, natürlich keine aktiven Logins bei Facebook, google und Co. Das ganze dann noch bitte auf jedem genutzten Endgerät - so es denn möglich ist - und durch den ganze Stress hat man etliche graue Haare mehr

Es ist nun mal so, dass es absolute Anonymität in der Form im Internet nicht gibt. Natürlich ist das Sammeln aller privaten Daten grundsätzlich schlecht. Je mehr Parteien man dabei aber involviert - DNS, VPN, what ever, umso größer wird das Datenproblem. Gerade was den ISP angeht muss man eben bedenken, dass dieser in der Theorie alles abfangen kann, auch wenn man einen anderen DNS verwendet. Deswegen halte ich die Nutzung des ISP-DNS noch für vergleichsweise unkritisch - zumindest besser als bei einem beliebigen anderen public DNS, über den man gar nicht weiß was der mit seinen neu gewonnenen Informationen so anstellt.

In Bezug auf die Umgehung etwaiger nationaler DNS-Sperren kann ich es daher nachvollziehen, wenn man einen alternativen DNS wählt, nicht aber, weil man dem Provider nicht vertraut. Am Ende ist es nämlich so: Datenkraken wie google heuern nur die Besten der Besten an und im Zweifelsfalle sind die schlauer als der Nutzer, der zB seine Cookie-Einstellungen nicht im Blick hat oder den Standard Browseragent mit zahlreichen eindeutigen Systemmerkmalen nutzt oder was auch immer die schlauen Köpfe aus den Unmengen an Big Data herauslesen können. Solange man sich "nur" um personalisierte Werbung Sorgen macht, ist das in meinen Augen einerlei. Im Zweifelsfalle pihole, Adguard nutzen.


Unter Strich ist DNS eben nur ein Pfeil im Köcher der Datensammler, tendenziell aber einer mit einer etwas stumpferen Spitze. Um alle Pfeile abzustumpfen, muss man schon ziemlichen Aufwand betreiben und kann sich am Ende doch nicht sicher sein, alle erwischt zu haben

 

[iMadsten]

Man darf bei der ganzen Geschichte nicht vergessen, sich selbst nicht zu wichtig nehmen und einfach aufpassen was man da tut.
Banking etc.

 

[Engaged]

Interessant. Je nachdem welcher Stadtrand das ist kann es sein, dass wir nur wenige km entfernt wohnen/arbeiten. Ich wohne im Speckgürtel von HH in der Nähe der A1 (aber in SH) und arbeite in Bahrenfeld, also immerhin eine 50%ige Trefferchance 😉

Jetzt Schenefeld, habe aber über 10 Jahre in Bahrenfeld gewohnt gegenüber von dem alten Reemtsma Gelände. 😁

 

[Mettmelone]

Nachdem ich lange mit dnsforge.de unterwegs war laufen jetzt seit einer Weile pi-Hole und Adguard auf der Synology Diskstation.

Einer von beiden ist aber meist gestoppt - ich bin mir noch nicht sicher, was es am Ende wird.
Adguard ist von der Konfiguration her deutlich simpler und schmaler , pi-Hole ist das umfangreichere Gesamtpaket, was sich in meinen Augen deutlich spezieller zuschneiden lässt. Die Zeit wird zeigen, was ich wirklich brauche und was nicht.

 

[RalphS]

ISP

Nur ein freundlicher Korinthenkacker Internet Service Provider (ISP) ungleich Internet Access Provider (IAP)

Der eine stellt Dienste im Netz bereit. Der andere stellt den Zugang bereit. Manchmal macht einer auch beides, zB Telekom. Davon ist aber kaum noch was über.

Und ja, "ISP" hat sich hier eingebürgert, aber sachlich ist es halt trotzdem "flasch" 😜 genauso wie "dezidiert" oder "stoppeldock".

 

[SirSilent]

hat sich erledigt

 

[CB_usr90]

Kann mir jemand sagen wie der DNS-Dienst heißt, wo man eigene Blockliste einbinden kann? Das lässt sich alles direkt online konfigurieren und dann nutzen. Ich meine nicht Pihole oder Adguard. Ist ein reiner online-Dienst.

Komme leider nicht auf den Namen...

Edit:

https://nextdns.io/de

 

[Asznee]

Oha das hört sich sehr gut an! Vielen dank für den Link. Dann kann ich den PI evtl doch wieder rausschmeißen

 

[CB_usr90]

@Asznee

Ich habe den gerade einmal getestet.
Kannste eigentlich komplett vergessen.
Viele Listen funktionieren nicht wie erwünscht.
Die Werbung wird zwar größtenteils blockiert, aber die Werbung in den Google-Ergebnissen dagegen nicht.
Ich hatte zuvor den DNS-Server von dnsforge.de in Benutzung und nebenbei zusätzlich noch Ublock.

Den Pi-Hole hatte ich früher auch auf meinem Pi laufen, aber nach längerer Zeit nicht mehr benutzt, da der dnsforge alle Blocklisten beinhaltet die für mich interessant sind und ein Pi Hole keinen Mehrwert bietet (blockt z.B. nicht die Werbung in den Google-Ergebnissen).

Also: dnsforge.de direkt bei Android unter Netzwerk-Einstellungen - Private DNS einfügen, Ublock beim Firefox installieren und fertig.

Nun fragen sich vielleicht einige: "Warum zusätzlich noch einen DNS-Server bei Android einrichten, wenn doch ublock beim Firefox alles blockiert?"
Ganz einfach: damit man keine Werbung mehr in Apps angezeigt bekommt und nebenbei werden zusätzlich die ganzen Tracker geblockt.
Spart nebenbei Akku.

 

[Engaged]

Oha das hört sich sehr gut an! Vielen dank für den Link. Dann kann ich den PI evtl doch wieder rausschmeißen

Der Dienst kostet aber monatlich, warum willst du von einem vorhandenen kostenlosen pihole auf ein Abo Modell wechseln? 🤔

Ob DNSSEC oder ECS unterstützt wird steht dort auch nirgendswo, ebensowenig wie die allgemeine Performance von denen ist. 🤷🏻‍♂️

Ergänzung (9. April 2022)

Nun fragen sich vielleicht einige: "Warum zusätzlich noch einen DNS-Server bei Android einrichten, wenn doch ublock beim Firefox alles blockiert?"
Ganz einfach: damit man keine Werbung mehr in Apps angezeigt bekommt.

Frage ich mich eigentlich nicht denn ein DNS blocker ist eigentlich nur zusätzlich, oder wie ich mein pihole nenne ein grundschutz für das gesamte Netzwerk, denn der kann nicht alles filtern und setzt auch die Seiten nicht zusammen und hinterlässt leere Lücken dort wo Mal Werbung war, man sollte immer wo es geht z.b. im Desktop Browser noch uBlock origin installieren. 😅

 

[Mettmelone]

Kann mir jemand sagen wie der DNS-Dienst heißt, wo man eigene Blockliste einbinden kann? Das lässt sich alles direkt online konfigurieren und dann nutzen. Ich meine nicht Pihole oder Adguard. Ist ein reiner online-Dienst.

Komme leider nicht auf den Namen...

Edit:

https://nextdns.io/de

Blokada Cloud kann das auch. Das funktioniert auch wie gewünscht. Habe das ne Weile für unterwegs auf dem Handy genutzt. Ebenfalls kostenpflichtig.

 

[tzuisc]

Das "beschleunigt" auch das Netzwerk und die Geräte weil ja der ganze Müll schon gefiltert wird bevor es die internetleitung überhaupt berührt

Die Internetleitung wird trotzdem mit der Werbung belastet
Nur alles was hinter dem Raspi liegt nicht mehr.