Fragen zu AdGuard + (DNS)

[SchöneBlume]

Hallo,

ich bin am Überlegen mir AdGuard und deren DNS-Blocker zuzulegen, nur habe ich einige Fragen dazu.

1. Lohnt sich AdGuard und ist es gegen Werbung auch wirksam? Heißt das, ich kann dann getrost uBlock Origin vom Browser entfernen?

2. Lohnt sich AdGuard DNS und braucht man dazu die APP oder kann man das auch ohne APP am Router einrichten?

3. Was sind die Unterschiede zwischen DNSCrypt, -over HTTPS, -over TLC & -over QUIC und was ist am besten? So wie ich das als Laie verstehe, verschlüsseln diese nur den Datenverkehr und erhöhen die Sicherheit gegen diverse Angriffe.

4. Funktioniert AdGuard so, wie wenn ich auf einem Rasperry Pi, Pi-Hole installiere? Scheint für mich das gleiche Prinzip zu sein, außer das Pi-Hole lokal und bei AdGuard über deren Server geleitet wird.

Ich bedanke mich schon einmal und hoffe, dass ich durch die Antworten etwas klüger werde.

 

[kartoffelpü]

zu 1)
es reduziert die Werbung, die ankommen kann. Aber so effizient wie ein Adblocker im Browser ist Adguard oder pihole niemals, da die Funktionsweise komplett anders ist.

 

[kachiri]

Habe es auf MacBook und iPhone im Einsatz weil einzig effektive Möglichkeit.
Aber nicht so gut wie uBlock und hin und wieder werden auch Elemente geblockt, die man eher nicht geblockt haben möchte (im Zweifel funktioniert dann nämlich etwas nicht)

 

[seluce]

DNS AdBlock ungleich Adblocker als Plugin. DNS AdBlock kann schön als Private DNS im Router oder so eingetragen werden, damit alle Geräte gleichermaßen weniger Werbung sehen. DNS Block bedeutet aber, dass YouTube trotzdem Werbung bringt und Werbebanner haben sind halt leer, aber benutzen weiterhin die Fläche.

Wenn möglich, dann ist das Plugin deutlich besser. Da gehen auch Ausnahmen für bestimmte Webseiten, wie Computerbase. DNS dagegen ist ein friss oder Stirb-Ding.

 

[x.treme]

1. ein DNS-Server kann nur auf Domains/Subdomain-Level sperren, uBlock kann detailierter Regeln nutzen und somit deutlich mehr Werbung filtern, e.g. URL-patterns / DIVs / etc.
2. Es lohnt sich insb. dann, wenn man es direkt als DNS-Server im Router und im Smartphone einträgt, weil dann auch Werbung auf SmartTV oder in Apps gefiltert werden können, wo kein uBlock möglich ist
3. Die DNS-Requests werden damit verschlüsselt und können somit z.B. nicht von deinem Internet-Provider oder Netzwerk-Administrator mitgelesen oder umgelenkt werden. Ob du nun DNS-over-HTTPS / QUIC etc. nutzt ist dabei aber eigentlich egal
4. Genau, ist halt ein PiHole in der Cloud. Beliebter als AdGuard DNS ist hier aber https://nextdns.io/de, vmtl. auch weil AdGuard wegen ihres Ursprungs aus Russland immer mal wieder kontroverser diskutiert wird - ob nun begründet oder nicht (ich hoste aber selber AdGuard Home auf meinem Homeserver, gefällt mir besser als PiHole und ist auch OpenSource)

 

[JustAnotherTux]

1.

Es gibt viele DNS Blocklisten, uBlock Origin verwendet einige davon und AFAIK kannst du auch weitere hinzufügen.

Ich verwende einen anderen Anbieter als AdGuard allerdings kannst du dort vermutlich auch verschiedene Listen auswählen.

Mit pfsense und OpnSense kannst du das auch selbst machen (oder mit Pi-Hole)

So gut wie uBlock Origin wird das vermutlich nicht funktionieren sollte uBlock Origin mehr als nur DNS queries blockieren.


2. Keine Ahnung ich verwende controlD und OpnSense zuhause.

3. Das sind verschiedene Protokolle über welche die DNS Anfragen versendet werden können.
Alle in deiner Auflistung sind verschlüsselt.
Wenn du willst das auch dein DNS anbieter nicht weiß welche DNS Anfragen du machst müsstest du aber "oblivous dns over https" verwenden (https://blog.cloudflare.com/oblivious-dns-de-de)

Ergänzung (30. Mai 2024)

3. Die DNS-Requests werden damit verschlüsselt und können somit z.B. nicht von deinem Internet-Provider oder Netzwerk-Administrator mitgelesen oder umgelenkt werden. Ob du nun DNS-over-HTTPS / QUIC etc. nutzt ist dabei aber eigentlich egal

Den TLS SNI header kann man aber mitlesen und in diesem steht auch die Domain drin.

Deshalb hat CloudFlare ECH (Encrypted Client Hello) entworfen allerdings muss das sowohl vom Client als auch Server unterstützt werden und ist nicht teil von TLS 1.3 daher wird das bisher kaum verwendet.

https://blog.cloudflare.com/announcing-encrypted-client-hello

That leaves SNI as the last unencrypted bit that intermediaries can use to determine which website you're visiting. After performing a DNS query, one of the first things a browser will do is perform a TLS handshake. The handshake constitutes several steps, including which cipher to use, which TLS version and which certificate will be used to verify the web server's identity. As part of this handshake, the browser will indicate the name of the server (website) that it intends to visit: the Server Name Indication.

 

[x.treme]

@JustAnotherTux: Korrigiere mich, aber bei deinem TLS SNI Header geht es doch eher darum, dass wenn ich https://dns.google/query?name=computerbase.de aufrufe, im TLS Header ersichtlich ist dass ich dns.google aufgerufen habe (anstatt nur die IP 8.8.8.8).

Die DNS-Anfrage selber erfolgt über den Path, und dieser wird nie im TLS handshake übergeben, sondern immer nachgelagert abgefragt sobald der TLS-Channel aufgebaut ist ...

 

[xexex]

1. Lohnt sich AdGuard und ist es gegen Werbung auch wirksam? Heißt das, ich kann dann getrost uBlock Origin vom Browser entfernen?

Für mich ist es jeden Cent wert, sowohl auf dem PC, Notebook, als auch auf meinem Smartphone. Vom Grundsatz her kannst du damit jegliche Plugins die du bisher genutzt hast in die Tonne werfen. AdGuard schlägt sie eh alle und du muss dich nie wieder damit rumplagen, egal welchen Browser du nutzt.

Du kannst es aber auch schlichtweg 7 Tage testen meines Wissens und dich selbst vergewissern. Allerdings brauchst du die DNS Server von AdGuard nicht zu benutzen, die sind primär für Leute gedacht die nicht die Software im Einsatz haben.

Ergänzung (30. Mai 2024)

4. Funktioniert AdGuard so, wie wenn ich auf einem Rasperry Pi, Pi-Hole installiere? Scheint für mich das gleiche Prinzip zu sein, außer das Pi-Hole lokal und bei AdGuard über deren Server geleitet wird.

Worüber reden wir? Über AdGuard oder AdGuard Home? AdGuard Home ist eine erweiterte DNS Blocker Lösung und unterliegt ähnlichen Einschränkungen wie Pi-Hole, AdGuard ist ein lokal installierter Webfilter der jegliche Werbung filtert, Verschlüsselung aufbrechen kann und noch einige andere nützliche Features mitliefert.

Beide sind technisch gesehen zwei völlig verschiedene Lösungen, für AdGuard gibt es derzeit keinerlei Alternativen.

 

[JustAnotherTux]

@JustAnotherTux: Korrigiere mich, aber bei deinem TLS SNI Header geht es doch eher darum, dass wenn ich https://dns.google/query?name=computerbase.de aufrufe, im TLS Header ersichtlich ist dass ich dns.google aufgerufen habe (anstatt nur die IP 8.8.8.8).

Ja genau aber hier geht es nicht um DNS.

Bei jedem TLS handshake kann die Domain mitgelesen werden.

Daher kann der Netzwerk Admin oder dein Internet Anbieter sehr wohl mitlesen welche Websites du aufrufst auch wenn die DNS Anfrage vorher verschlüsselt getätigt wurde weil die gleiche Domain dann noch einmal beim TLS handshake unverschlüsselt übertragen wird.

Wenn du also zb den Google dns verwendest sieht dein Internet Anbieter zwar nicht die DNS query für zb computerbase.de aber sobald dein Browser dann die TLS Verbindung für https aufbaut wird die Domain also z.b. Computerbase.de im TLS handshake unverschlüsselt übertragen also geleaked.

Ein verschlüsselter DNS hilft dir also nicht wenn du nicht willst das dein Internet Anbieter die Seiten mitlesen kann welche du auch tatsächlich besuchst.