Welchen schnellen und datenschutzfreundlichen Ipv4/6 dns server verwenden?

[madmax2010]

@leipziger1979 Ich kenne meine entscheidung, wenn ich die Wahl zwischen Profitorientierten Unternehmen und Gemmeinnützigen Vereinen habe. Selbst wenn ich keine der Betreiber kennen würde.

 

[DeusoftheWired]

Aktuell gibt es dort aber einen bug in der Fritzbox, daher funktioniert es mit dem Iphone nicht.

Nicht nur iPhones oder andere Apfelgeräte sind davon betroffen, sondern alle Geräte, die an der FREITZ!Box hängen, unabhängig vom Betriebssystem.

Von welcher Unterseite auf privacy-handbuch.de genau hast du verlinkte Configdatei? Steht dort wirklich nichts dazu erklärt?

 

[andy_m4]

DoT verhindert DNS-Spoofing

Nein. Gegen gefälschte Antworten hilft DNSSec.
DNS-over-TLS respektive DNS-over-HTTPS verhindert nur, das jemand die DNS-Anfrage belauscht.

Welcher DNS Server Betreiber macht das nicht?
Glaubt ihr die stellen den Dienst gratis zur Verfügung?

Naja. Es gibt schon ein paar Betreiber die das versuchen. Solche Seiten wie die von Digital Courage oder Digitale Gesellschaft haben sich ja schon deshalb ein gewisses Vertrauen erarbeitet dadurch, das sie eben sich auch gegen andere Überwachungsmaßnahmen einsetzen.
Eine Garantie ist das freilich nicht. Aber es ist dennoch was anderes solchen Anbietern zu vertrauen als z.B. Google die ja sozusagen mit Ansage die Daten sammeln und auswerten.

Das Kostenlos-Argument zieht übrigens nur bedingt. Sagt ja auch keiner das Linux nicht vertrauenswürdig ist bloß weils nix kostet. :-)

 

[humanica]

Ok, ich fasse noch mal zusammen:
1. Wenn ich die DNS Anfrage nicht verschlüsselt zum Server schicke, kann ich privacy vergessen, da zb der ISP die DNS Anfragen auslesen kann.
2. Verschlüsselt wird auf dem Endgerät, das Funktioniert bei Android, Windows, Linux etc automatisch. Bei Ios 14+ muss ich allerdings manuell ein Zertifikat des DNS Anbieters hinterlegen. Muss ich das Zertifikat dann auch manuell erneuern? Dh habe ich hiermit dauerhaft manuelle Arbeit?
3. Es gibt eine Liste von interessanten Anbietern, die wahlweise Datenschutz oder Geschwindigkeit oder beides versprechen. Ein Teil dieser Liste sperrt zusätzlich Scam Seiten. Eine Filterung wie beim Pi ist allerdings eher unüblich. Wie kann ich die Geschwindigkeit der einzelnen DNS Anbieter am besten nachmessen?

 

[luckysh0t]

Also ich verwende PiHole+Unbound (8,5 Mio. auf der Liste) um direkt die autoritativen Nameserver anzusteuern.
Nach der Anleitung https://forum.kuketz-blog.de/viewtopic.php?f=42&t=3067

Verschlüsselung gibts da halt nicht - aber spätestens der DNS Anbeiter muss es ja eh wissen wohin du willst.
DNSSEC ist aber dabei.
Und danach gehst du über deinen ISP auf den entsprechenden Server - ergo weiß auch er wohin du gehst.

 

[Dragon0001]

Bitte bedenke, dass diverse CDN-Anbieter (z.B. Akamai, Google) über DNS die optimalen Server zuordnen. Bei der Verwendung von externen DNS-Servern, die das nicht berücksichtigen, wird man unter Umständen zu Servern geleitet, die weiterer entfernt stehen oder schlechter angebunden sind.

 

[FranzvonAssisi]

Nein. Gegen gefälschte Antworten hilft DNSSec.

Ja, sorry - nach der "wahren" / "old-school" / (wie auch immer) Definition meinte ich MITM-Angriffe. Allerdings verwenden Firefox und andere selbst den Begriff DNS-Spoofing um die Sicherheit ihrer DoH & TRR Strategie zu begründen, weshalb das leicht durcheinander kommt - die meinen damit nämlich auch MitM-Angriffe.
Cache-Poisoning finde ich eindeutiger

Lg

 

[DeusoftheWired]

1. Wenn ich die DNS Anfrage nicht verschlüsselt zum Server schicke, kann ich privacy vergessen, da zb der ISP die DNS Anfragen auslesen kann.

Richtig. Kannst du aber, wenn man’s streng nimmt, auch bei allen anderen. Da kann man höchstens nach deren Reputation gehen. Natürlich ist es unwahrscheinlicher, daß Digitalcourage Schindluder mit deinen DNS-Anfragen treibt als Cloudflare oder Google, trotzdem kannst du allen dreien nicht auf die Finger schauen, sondern mußt ihnen vertrauen.

Mit DoT oder DoH verhinderst du nur, daß dein Internetanbieter in deine DNS-Anfragen schauen kann.

2. Verschlüsselt wird auf dem Endgerät, das Funktioniert bei Android, Windows, Linux etc automatisch. Bei Ios 14+ muss ich allerdings manuell ein Zertifikat des DNS Anbieters hinterlegen. Muss ich das Zertifikat dann auch manuell erneuern? Dh habe ich hiermit dauerhaft manuelle Arbeit?

Yep. Je nachdem, wie lange ein Zertifikat gültig ist, kann das nerven, je nachdem, auf wievielen Geräten man das dann immer neu installieren darf.

3. Es gibt eine Liste von interessanten Anbietern, die wahlweise Datenschutz oder Geschwindigkeit oder beides versprechen. Ein Teil dieser Liste sperrt zusätzlich Scam Seiten. Eine Filterung wie beim Pi ist allerdings eher unüblich. Wie kann ich die Geschwindigkeit der einzelnen DNS Anbieter am besten nachmessen?

Kannst du mit einem Werkzeug wie DNS Benchmark messen und vergleichen. Pihole zeigt übrigens auch die Antwortzeiten zu jeder einzelnen Anfrage an (vorletzte Spalte, Millisekunden).



Eine andere Variante ist noch, entweder in Pihole oder extern einen eigenen DNS-Server wie unbound zu verwenden, der ausschließlich mit den 13 Nameservern spricht.

 

[andy_m4]

1. Wenn ich die DNS Anfrage nicht verschlüsselt zum Server schicke, kann ich privacy vergessen, da zb der ISP die DNS Anfragen auslesen kann.

Wobei das schon fast egal ist, da der IPS ja eh sieht auf welche Seiten Du gehst.
Ob Du dem gegenüber DNS verschlüsselst oder nicht ist Banane.
Wenn Du Dich gegenüber dem ISP schützen willst musst Du alles verschlüsseln z.B. über TOR oder von mir aus auch Anonymisierungsanbieter mit denen Du Dich via VPN verbindest, wobei das das bloß verschiebt. Statt Deinem ISP musst Du dann dem VPN-Anbieter trauen.
Mit TOR hättest Du auch das nicht. Ich zweifle aber, ob TOR mit Deinen Performance-Ansprüchen entspricht :-)

2. Verschlüsselt wird auf dem Endgerät,

Wobei wenn Du eh mehrere Geräte hast ist ein LAN-eigener DNS (Caching) Server der das für Dich macht (was andere tut PiHole ja nicht; außer das der halt noch filtert) schon nicht verkehrt.

Wie kann ich die Geschwindigkeit der einzelnen DNS Anbieter am besten nachmessen?

Da gibts DNS-Benchmarktools wie z.B.
namebench

 

[DeusoftheWired]

Wobei das schon fast egal ist, da der IPS ja eh sieht auf welche Seiten Du gehst.

Wenn ich es richtig verstanden habe, kann man mit SNI das zumindest für Seiten umschiffen, die sich in irgendeinem CDN oder Riesenhoster wie AWS die IP mit -zig anderen teilen. Hat jemand eine dedizierte Büchse mit eigener statischer IP und zeigt nur ein einzige Domäne darauf, weiß der ISP trotzdem, wo man war.

 

[andy_m4]

Wenn ich es richtig verstanden habe, kann man mit SNI das zumindest für Seiten umschiffen

Ja. Du hast richtig verstanden :-)

 

[DeusoftheWired]

Danke für das ACK!

 

[humanica]

Vielen dank für die vielen Ratschläge. Ich habe das Konzept nun vollständig verstanden und attraktive Dns Anbieter gebenchmarked. Dadurch konnte ich einen für mich passenden Anbieter finden. Letztendlich habe ich mich gegen die verschlüsselung per Tls oder https entschieden, in erster linie da ich die Performance Verluste gering halten wollte und der Anbieter später ohnehin meine angefragten Seiten sieht.