Tools für Digitale Sicherheit: Pi-hole, Browser-Plugins, sicheres Surfen und Kommunizieren

@Yodrak im Schritt 4, bevor Du den sudo docker run.... Befehl absetzt, erstelle erst mal das portainer_data Verzeichnis, sonst schlägt der Befehl fehl.

Und dann danach der WebLink ist nicht https. Das muss http (ohne s) heißen.

Dann wirklich einige Minuten warten. Das kann 5 bis 10 Minuten dauern bis Du die Container siehst.

 

So ich bin durch mit der Konfiguration, genau so wie beschrieben.

Aber am Ende wenn ich mit http://IPaddresse des NAS/admin drauf gehe, bekomme ich eine Fehlermeldung:
404 Die Seite, nach der Sie suchen, kann nicht gefunden werden.

im Log sehe ich diese Zeilen die mir nicht so sehr gefallen:

2020-11-20 11:32:13	stdout	chown: cannot access '/etc/pihole/dhcp.leases': No such file or directory
2020-11-20 11:32:13	stdout	chmod: cannot access '': No such file or directory
2020-11-20 11:32:13	stdout	chown: cannot access '': No such file or directory
2020-11-20 11:32:13	stdout	Copying 01-pihole.conf to /etc/dnsmasq.d/01-pihole.conf... [K [[32m✓[0m] Copying 01-pihole.conf to /etc/dnsmasq.d/01-pihole.conf

[TR]
[TD]2020-11-20 11:32:13[/TD][TD]stdout[/TD][TD] Existing dnsmasq.conf found... it is not a Pi-hole file, leaving alone![/TD]
[/TR]
[TR]
[TD]2020-11-20 11:32:13[/TD][TD]stdout[/TD][TD] Installing configs from /etc/.pihole...[/TD]
[/TR]


Da passt noch was nicht.

 

Das ist glaube ich dann doch etwas zu speziell @Pilo und wir kommen vom Thema ab. Vielleicht ist es ja ok, wenn du das in einem eigenen Thread bearbeitest. Wenn dann alles funktioniert, kannst du ja abschließend das hier posten oder darauf verweisen. Schwerpunkt ist hier mehr Verschlüsselung, Überwachung und Sicherheit.

 

Habs geschafft, nun funktioniert es.
Hatte an einer Stelle ne falsche IP angegeben.
@Yodrak wenn Du magst können wir das in einem eigenen Docker Thread bereden.

 

Die obere Kurve zeigt an wieviele Anfragen geblockt werden und die zweite Kurve zeigt die Aktivität der Clients. Das ist schon sehr interessant welche Geräte auch Nachts ständig irgendwelche Server anfragen. Wenn ihr weitere Teilnehmer in eurem Netzwerk habt, zum Beispiel Familie, Nachbarn usw. dann solltet ihr die über den Pi-hole informieren. Schließlich spielt ihr automatisch ein bisschen Stasi und ihr seht welche Geräte sich zu welchen Servern verbinden.

Weiter mit dem Dashboard des Pi-holes.



Auch hier ein Screenshot des Pi-holes aus dem Internet, weil ich euch natürlich nicht so einen tiefen Einblick in mein eigenen Traffic geben möchte. Top Domain "PoHub"...

Hier könnt ihr auf einem Blick sehen, welche Clients (rechts) die meisten Anfragen erzeugen und welche Domains (mitte) am häufigsten geblockt werden. In meinem Dashboard gibt es eine weitere Tabelle mit den Top Clients mit geblockten Anfragen. Anders als in dem Screenshot, kommen die Client IP Adressen ja alle aus dem LAN, hier sind fälschlicherweise WAN Adressen aufgeführt. Diese IP Adressen könnt ihr in der Web-Gui auch bequem auf eure Gerätenamen mappen. Dann stehen dort keine IPs mehr, sondern HandyVomSchatzi, FirestickWohnzimmer, SamsungOled, AlexaKüche, Dödelcam usw....

Wenn ihr IPv6 eingerichtet habt, dann müsst ihr auch diese Adressen mappen. Das ist manchmal etwas mühevoll. Viele Geräte nutzen beide IP Versionen. Das ist aber eine einmalige Fleißarbeit.

Die Liste mit blocked Domains wird bei mir wegen starker Nutzung Teams, Microsoft365 auch von Microsoft angeführt. Ich habe in den letzten 24 Stunden etwa 20.000 DNS Anfragen von Microsoft verwerfen lassen. Ohne spürbare Nachteile. Google Adserver stehen bei mir erst an 5. Stelle. Das liegt aber daran, dass ich die meisten direkt am Browser herausfilter. Ich denke die meisten nutzlosen Googleserver Anfragen bei mir kommen von Android Phones. Auf den Geräten selber kann man ohne Root meist keine sinnvollen Blocker installieren. Von daher ist ein Pi-hole eigentlich die einzige Möglichkeit nervige Werbung in Browser und Apps für Android herauszufiltern. Funktioniert natürlich nur im Heimnetz. Webseiten die ihr unterstützen möchtet, wie zum Beispiel dieses Forum, könnt ihr auf die Whitelist setzen. Die meiste Werbung des TAF sind aber klassische Werbebanner und die kommen eh von der TAF Domain. Das würde wahrscheinlich nur Booking com betreffen.

An dritter Stelle bei den blocked Domains und an erster Stelle bei den blockierten Client Anfragen, werkelt bei mir eine Webcam aus China bei mir. Wenn sie könnte, würde sie 24/7 irgendwas nach China schicken. Ich habe fast alle Anfragen der Cam nachträglich geblockt und sie macht immer noch das was sie machen soll. Moderne Geräte wie Webcams, Hausautomatisierung usw. bekommt ihr fast gar nicht mehr ohne Cloud Anbindung. Aber nicht alle Geräte kommunizieren gleich viel. Dank Pi-hole ist das auch egal weil ihr es selber im Griff habt. Das ist ein gutes Gefühl etwas mehr Kontrolle über sein Heimnetz zu bekommen. Auch wenn es euch keine falsche Sicherheit vorgaukeln sollte. Dazu später mehr.

 

In dem Zusammenhang würde mich noch interessieren, wieviel der Flatbild Fernseher mit Wlan Anschluss so rumfunkt.

Kann ich sowas mit dem Rasp auch basteln, wenn meine Internetversorgung zu Hause über einen mobilen Router via Handynetz läuft?

 

In dem Zusammenhang würde mich noch interessieren, wieviel der Flatbild Fernseher mit Wlan Anschluss so rumfunkt.

Kann ich sowas mit dem Rasp auch basteln, wenn meine Internetversorgung zu Hause über einen mobilen Router via Handynetz läuft?

Mein Fernseher funkt erstaunlich wenig. Ich habe in den Einstellungen schon alles Mögliche in dieser Richtung deaktiviert und ich schaue fast kein Privatfernsehen. Bei RTL & Co laden häufig irgendwelche HbbTV Anwendungen die zum Teil auch eine aktive Zustimmung für die Datenschutzerklärung bedürfen.

Du kannst auf jedem Fall den Raspi direkt als DNS Server einzeln für deine Endgeräte eintragen. Wenn du sie nicht auf DHCP stehen hast, kannst du in den Netzwerkeinstellungen einen DNS Server eintragen. Meist wird dort über DHCP die IP deines Routers eingetragen. Am einfachsten geht es halt wenn du an deinem mobilen Router den Raspi als DNS Server einträgst. Dann brauchst du das nicht für jedes Gerät einzeln machen. Allerdings weiß ich nicht ob das bei deinem mobilen Router geht. FritzBoxen können das zum Beispiel alle.

 

Wenn ihr weitere Teilnehmer in eurem Netzwerk habt, zum Beispiel Familie, Nachbarn usw. dann solltet ihr die über den Pi-hole informieren. Schließlich spielt ihr automatisch ein bisschen Stasi und ihr seht welche Geräte sich zu welchen Servern verbinden.

Ich habe mich noch nicht sehr intensiv mit dem Pi-hole befasst, aber mal angenommen als Beispiel: wenn ich in deinem Heim-Netzwerk bin und bei mir den DNS Server manuell eintrage, dann umgehe ich deine Schutzmassnahmen mit dem Pi-Hole, oder nicht? OK, das kann Dir natürlich theoretisch egal sein, aber die ganzen Werbedienste stützen sich ja nicht nur ausschliesslich auf Browser plugins und Cookies sondern z.B. auch auf die externe IP Adresse, die wir dann beide teilen. Somit könntest Du mit "meiner" Werbung belästigt werden. Oder gibts da noch zusätzliche Schutzmassnahmen beim Pi-hole? Ich kann mir einfach nicht so recht vorstellen, wie diese sein könnten, resp. wie Du dies verhindern willst.

Werde das Ding aber sicher mal aufsetzen die nächsten Tage.
Mal ganz nebenbei zum Thema Cookies: wenn ich den Politiker erwische welcher noch Stolz darauf ist dass sie die EU Cookie Richtlinien durchboxen konnten, den schlage ich.
Verbringe gefült mein halbes Leben damit Cookie Meldungen zu approven. Etwas dümmeres und benutzerunfreundlicheres habe ich noch nie gesehen. Bin aber anscheinend der einzige der sich darüber nervt.

In dem Zusammenhang würde mich noch interessieren, wieviel der Flatbild Fernseher mit Wlan Anschluss so rumfunkt.

Kann ich sowas mit dem Rasp auch basteln, wenn meine Internetversorgung zu Hause über einen mobilen Router via Handynetz läuft?

Dazu empfehle ich Dir eher das Tool Wireshark. Anleitungen dazu findest Du hundertfach auf You-Toube.

 

Ich habe mich noch nicht sehr intensiv mit dem Pi-hole befasst, aber mal angenommen als Beispiel: wenn ich in deinem Heim-Netzwerk bin und bei mir den DNS Server manuell eintrage, dann umgehe ich deine Schutzmassnahmen mit dem Pi-Hole, oder nicht? OK, das kann Dir natürlich theoretisch egal sein, aber die ganzen Werbedienste stützen sich ja nicht nur ausschliesslich auf Browser plugins und Cookies sondern z.B. auch auf die externe IP Adresse, die wir dann beide teilen. Somit könntest Du mit "meiner" Werbung belästigt werden. Oder gibts da noch zusätzliche Schutzmassnahmen beim Pi-hole? Ich kann mir einfach nicht so recht vorstellen, wie diese sein könnten, resp. wie Du dies verhindern willst.

Das kann jedes Gerät selber entscheiden. Das ist richtig. Wenn du dich mit deinem Handy in meinem Netzwerk anmeldest kannst du natürlich deinen eigenen DNS verwenden. Den Rest deiner Frage verstehe ich dann nicht so ganz. Wenn du von IP Adressen in Anwendungen sprichst, dann hat das nichts mehr mit DNS zu tun und der Pi-hole ist aus dem Spiel. Es ist zwar selten, aber es kommt vor, dass Geräte über hard-gecodete IP-Adressen den Kontakt zur Außenwelt suchen. Aus verschiedenen Gründen wird das aber von vertrauensvollen Geräteherstellern eher selten gemacht, weil so etwas immer den Verdacht erweckt, dass etwas verschleiert werden soll. Viren arbeiten meist auch so. Wenn man einen Verdacht hat und es genauer wissen möchte, dann ist das wirklich ein Fall für Wireshark. Bei Viren oder Verschleierung wird man aber dann auch nicht viel sehen können, weil das verschlüsselt abläuft. Die Aufgabe des Pi-hole ist von daher keine Firewall die Hackerangriffe von innen abwehren kann.

Werde das Ding aber sicher mal aufsetzen die nächsten Tage.
Mal ganz nebenbei zum Thema Cookies: wenn ich den Politiker erwische welcher noch Stolz darauf ist dass sie die EU Cookie Richtlinien durchboxen konnten, den schlage ich.
Verbringe gefült mein halbes Leben damit Cookie Meldungen zu approven. Etwas dümmeres und benutzerunfreundlicheres habe ich noch nie gesehen. Bin aber anscheinend der einzige der sich darüber nervt.

Schlecht umgesetzt aber im Prinzip ziemlich richtig. Cookies werden aber stark an Bedeutung verlieren weil GAFAM diese schon lange nicht mehr brauchen. Die sammeln genug Daten über andere Wege. Um Browser zu identifizieren reicht auch ein Fingerprint, da haben Cookies eh ausgedient. Ist aber vielleicht mal ein zusätzliches Thema wert.

Wenn dich die Cookie Bestätigungen nerven, dann kannst du folgendes Addon nutzen. Ich setze es auch ein. Allerdings nutze ich einen normalen Browser eh nur noch ganz selten, und dann lasse ich die Cookies nach der Session eh wieder alle löschen, bzw. gebe zuvor kaum etwas von mir preis.

I don't care about cookies

Remove cookie warnings from almost all websites! The EU regulations require that any website using tracking cookies must get…

chrome.google.com

Dazu empfehle ich Dir eher das Tool Wireshark. Anleitungen dazu findest Du hundertfach auf You-Toube.

Ich würde Wireshark nur nutzen wenn du in die Pakete hineinschauen möchtest. Wobei wohl eh das meiste verschlüsselt ist. Oder wenn du den Verdacht hast es werden Server direkt per IP und nicht über DNS angefunkt. Ich glaube aber LG, Samsung & Co arbeiten ja alle mit den großen Werbenetzwerken, Trackern und Videooptimierern (z.B. Conviva) zusammen die alle aus Usability Gründen über DNS angesprochen werden.

 

(...)

Mal ganz nebenbei zum Thema Cookies: wenn ich den Politiker erwische welcher noch Stolz darauf ist dass sie die EU Cookie Richtlinien durchboxen konnten, den schlage ich.
Verbringe gefült mein halbes Leben damit Cookie Meldungen zu approven. Etwas dümmeres und benutzerunfreundlicheres habe ich noch nie gesehen. Bin aber anscheinend der einzige der sich darüber nervt.

Ich kann dich beruhigen. Du bist nicht der einzige, den es nervt. In mir steigen zeitweise regelrecht Agressionen auf, wenn diese Fenster zur Bestätigung der Cookie-Speicherung erscheinen.

 

Das kann jedes Gerät selber entscheiden. Das ist richtig. Wenn du dich mit deinem Handy in meinem Netzwerk anmeldest kannst du natürlich deinen eigenen DNS verwenden. Den Rest deiner Frage verstehe ich dann nicht so ganz. Wenn du von IP Adressen in Anwendungen sprichst, dann hat das nichts mehr mit DNS zu tun und der Pi-hole ist aus dem Spiel. Es ist zwar selten, aber es kommt vor, dass Geräte über hard-gecodete IP-Adressen den Kontakt zur Außenwelt suchen. Aus verschiedenen Gründen wird das aber von vertrauensvollen Geräteherstellern eher selten gemacht, weil so etwas immer den Verdacht erweckt, dass etwas verschleiert werden soll. Viren arbeiten meist auch so. Wenn man einen Verdacht hat und es genauer wissen möchte, dann ist das wirklich ein Fall für Wireshark. Bei Viren oder Verschleierung wird man aber dann auch nicht viel sehen können, weil das verschlüsselt abläuft. Die Aufgabe des Pi-hole ist von daher keine Firewall die Hackerangriffe von innen abwehren kann.



Schlecht umgesetzt aber im Prinzip ziemlich richtig. Cookies werden aber stark an Bedeutung verlieren weil GAFAM diese schon lange nicht mehr brauchen. Die sammeln genug Daten über andere Wege. Um Browser zu identifizieren reicht auch ein Fingerprint, da haben Cookies eh ausgedient. Ist aber vielleicht mal ein zusätzliches Thema wert.

Wenn dich die Cookie Bestätigungen nerven, dann kannst du folgendes Addon nutzen. Ich setze es auch ein. Allerdings nutze ich einen normalen Browser eh nur noch ganz selten, und dann lasse ich die Cookies nach der Session eh wieder alle löschen, bzw. gebe zuvor kaum etwas von mir preis.

I don't care about cookies

Remove cookie warnings from almost all websites! The EU regulations require that any website using tracking cookies must get…

chrome.google.com

Ich würde Wireshark nur nutzen wenn du in die Pakete hineinschauen möchtest. Wobei wohl eh das meiste verschlüsselt ist. Oder wenn du den Verdacht hast es werden Server direkt per IP und nicht über DNS angefunkt. Ich glaube aber LG, Samsung & Co arbeiten ja alle mit den großen Werbenetzwerken, Trackern und Videooptimierern (z.B. Conviva) zusammen die alle aus Usability Gründen über DNS angesprochen werden.

Meine Frage ziehlte eher darauf ab dass Du sowieso identifizierbar resp. rückverfolgbar bist, über Browserparameter und eben die externe IP Adresse, welche bei Privatanschlüssen bei vielen Provideren nur selten ändert. Aber Danke, ich verstehe nun den Einsatzzweck von Pi-hole.

Ich könnte bei passender Gelegenheit vielleicht mal ein paar Einblicke geben aus IT Forensik Sicht. War einige Jahre in dem Bereich tätig . Heute beschäftige ich mich nur noch ausschliesslich mit "offensiver Sicherheit" und Abwehr.

Meine Strategie bezüglich Datenschutz ist aber eher eine andere, würde aber zu weit führen die hier zu erläutern. Pi-hole ist daher wohl eher nichts für mich. Auch die Inbetriebnahme scheint mir nicht die Herausforderung zu sein die ich bei solchen Projekten normalerweise suche. Ich bastle und bastle und verzweifle am liebsten bei meinen Projekten und wenns dann läuft stelle ich fest dass ich gar keinen Anwendungszweck dafür habe. Dann mach ich was neues. Vermutlich gibts dafür auch eine Psychologische Diagnose. Leider fehlte mir in letzter Zeit die Zeit dafür. Finde es aber sehr cool hier einen technischen Thread zu haben.

Ich hole mir heute Nachmittag gleich noch den Raspberry mit 8 GB RAM. Den 4GB hab ich bereits aber mit 8 GB geht schon noch etwas mehr...

Was ich immer noch nicht kapiere , in keiner Weise negativ gemeint : willst Du hier "nur" über Pi-hole berichten und für andere Themen eigene Threads machen ,willst Du dies alleine tun oder soll man sich beteiligen in Form von eigenen Beiträgen mit Tools und Techniken? Für mich passt beides, verstehe aber noch nicht in welche Richtung es gehen soll.

Das Plugin zu den Cookies probiere ich gleich heute Abend mal aus, kannte ich noch nicht. Danke!

 

Meine Frage ziehlte eher darauf ab dass Du sowieso identifizierbar resp. rückverfolgbar bist, über Browserparameter und eben die externe IP Adresse, welche bei Privatanschlüssen bei vielen Provideren nur selten ändert. Aber Danke, ich verstehe nun den Einsatzzweck von Pi-hole.

Ich könnte bei passender Gelegenheit vielleicht mal ein paar Einblicke geben aus IT Forensik Sicht. War einige Jahre in dem Bereich tätig . Heute beschäftige ich mich nur noch ausschliesslich mit "offensiver Sicherheit" und Abwehr.

Meine Strategie bezüglich Datenschutz ist aber eher eine andere, würde aber zu weit führen die hier zu erläutern. Pi-hole ist daher wohl eher nichts für mich. Auch die Inbetriebnahme scheint mir nicht die Herausforderung zu sein die ich bei solchen Projekten normalerweise suche. Ich bastle und bastle und verzweifle am liebsten bei meinen Projekten und wenns dann läuft stelle ich fest dass ich gar keinen Anwendungszweck dafür habe. Dann mach ich was neues. Vermutlich gibts dafür auch eine Psychologische Diagnose. Leider fehlte mir in letzter Zeit die Zeit dafür. Finde es aber sehr cool hier einen technischen Thread zu haben.

Ich hole mir heute Nachmittag gleich noch den Raspberry mit 8 GB RAM. Den 4GB hab ich bereits aber mit 8 GB geht schon noch etwas mehr...

Was ich immer noch nicht kapiere , in keiner Weise negativ gemeint : willst Du hier "nur" über Pi-hole berichten und für andere Themen eigene Threads machen ,willst Du dies alleine tun oder soll man sich beteiligen in Form von eigenen Beiträgen mit Tools und Techniken? Für mich passt beides, verstehe aber noch nicht in welche Richtung es gehen soll.

Das Plugin zu den Cookies probiere ich gleich heute Abend mal aus, kannte ich noch nicht. Danke!

Ich erkläre es mal mit einem Vergleich welches näher am TAF ist

Stell dir vor, du gehst in eine Bar, holst ein Mädel zu dir und als sie neben dir sitzt, ruft sie ungefragt 5 Sisters und 3 Bros mit dazu. Die 3 Bros stehen auf deiner Blacklist und werden von Mama direkt zurückgepfiffen. Die 5 Sisters setzen sich zu dir und du merkst das sie nur Drinks ziehen und dir keinen Mehrwert bieten. Du schickst die 5 Mädels weg und setzt sie auf deine Blacklist damit sie nie wieder angedackelt kommen. Dann sagt dein Mädel, dass sie nur mit dir mitgehen kann wenn ihre beste Sis dabei ist. Sie muss beim Vögeln Händchenhalten oder sonst was. Jetzt kannst du entscheiden ob du beide wegschickst oder die eine Sis wieder auf die Whitelist setzen lässt. So in etwa funktioniert der Pi-hole. Ob dein Mädel jetzt private Dinge von dir erfährt oder du dich anonymisierst hat damit noch nichts zu tun.

Pi-hole kann höchstens Teil einer Datenschutzstrategie sein. Du verweigerst die Kommunikation mit einem großen Teil der "Diensteanbieter" die dir keinen Mehrwert bieten, sondern die sich nur an deinen Daten "bereichern" wollen. Dienste mit denen du in Kontakt treten möchtest, zum Beispiel Amazon für eine Bestellung, werden auch weiterhin deine IP Adresse sehen und können auch deine Browserparameter auslesen. Um das zu vermeiden, nutzt man andere Tools, diese Tools können dann aber nicht das was der Pi-hole kann.

Von daher möchte ich in diesem Thread (wie anfangs angekündigt) auch eine ganze Reihe an solchen Tools oder Strategien vorstellen. Dabei geht es nicht darum einen möglichst hohen Schwierigkeitsgrad der Installation zu erreichen, sondern darum ein Verständnis für die Funktionen und die persönlichen Notwendigkeiten zu schaffen.

Das soll hier kein Monolog werden, von daher bin ich für deine Teilnahme dankbar. Wenn du eigene Tools oder Einblicke in die IT Forensik vorstellen möchtest, fände ich das in einem eigenen Thread besser aufgehoben. Ich denke der IT Bereich kann ein paar aktive Threads noch ganz gut vertragen.

 

Ich erkläre es mal mit einem Vergleich welches näher am TAF ist

Stell dir vor, du gehst in eine Bar, holst ein Mädel zu dir und als sie neben dir sitzt, ruft sie ungefragt 5 Sisters und 3 Bros mit dazu. Die 3 Bros stehen auf deiner Blacklist und werden von Mama direkt zurückgepfiffen. Die 5 Sisters setzen sich zu dir und du merkst das sie nur Drinks ziehen und dir keinen Mehrwert bieten. Du schickst die 5 Mädels weg und setzt sie auf deine Blacklist damit sie nie wieder angedackelt kommen. Dann sagt dein Mädel, dass sie nur mit dir mitgehen kann wenn ihre beste Sis dabei ist. Sie muss beim Vögeln Händchenhalten oder sonst was. Jetzt kannst du entscheiden ob du beide wegschickst oder die eine Sis wieder auf die Whitelist setzen lässt. So in etwa funktioniert der Pi-hole. Ob dein Mädel jetzt private Dinge von dir erfährt oder du dich anonymisierst hat damit noch nichts zu tun.

Pi-hole kann höchstens Teil einer Datenschutzstrategie sein. Du verweigerst die Kommunikation mit einem großen Teil der "Diensteanbieter" die dir keinen Mehrwert bieten, sondern die sich nur an deinen Daten "bereichern" wollen. Dienste mit denen du in Kontakt treten möchtest, zum Beispiel Amazon für eine Bestellung, werden auch weiterhin deine IP Adresse sehen und können auch deine Browserparameter auslesen. Um das zu vermeiden, nutzt man andere Tools, diese Tools können dann aber nicht das was der Pi-hole kann.

Von daher möchte ich in diesem Thread (wie anfangs angekündigt) auch eine ganze Reihe an solchen Tools oder Strategien vorstellen. Dabei geht es nicht darum einen möglichst hohen Schwierigkeitsgrad der Installation zu erreichen, sondern darum ein Verständnis für die Funktionen und die persönlichen Notwendigkeiten zu schaffen.

Das soll hier kein Monolog werden, von daher bin ich für deine Teilnahme dankbar. Wenn du eigene Tools oder Einblicke in die IT Forensik vorstellen möchtest, fände ich das in einem eigenen Thread besser aufgehoben. Ich denke der IT Bereich kann ein paar aktive Threads noch ganz gut vertragen.

Man muss es nur anhand praktischer Beispiele erklären, dann versteht man es auch

 

Secure DNS​

Pi-hole ist also eine DNS Firewall. Aber warum kann der Pi-hole den DNS Verkehr denn überhaupt so einfach mitlesen? Im Gegensatz zu den Inhalten, die heute zu weit über 90 % verschlüsselt über HTTPS übertragen werden, finden die DNS Anfragen meist unverschlüsselt statt. Dabei lassen sich gerade über die DNS Anfragen hervorragend Nutzerprofile erstellen. An einem Single Point kann man alle Webseiten, Dienste usw. mitlesen die ihr aufruft. In Zeiten von Big Data sind genau diese Metadaten meist viel wichtiger als die Inhalte. Vor allem dann, wenn der DNS Provider z.B. Google über eigene Dienste wie GMail auch noch Informationen mit persönlichen Daten sammeln kann, wie Name und Anschrift.

DNS ist also ideal um Daten über euch zu sammeln. Das kann ein Pi-hole erstmal nicht verhindern. Unverschlüsseltes DNS erlaubt es auch, dass DNS Anfragen von Dritten, als man-in-the-middle mitgelesen werden und auch kompromittiert werden, in dem ihr auf "böse" Webseiten "umgeleitet" werdet.

Seit ein paar Monaten könnt ihr euch aber absichern. Es wurden verschiedene Lösungen für verschlüsseltes DNS spezifiziert und aktuell scheint DoT (DNS over TLS) die Nase vorn zu haben. Damit werden die DNS Anfragen und Antworten, von euch zum DNS Provider verschlüsselt. Das Auslesen Dritter wird also verhindert. Trotzdem müsst ihr dem DNS Provider noch vertrauen, weil er die DNS Anfragen ja entschlüsselt um sie beantworten zu können.

Seit dem Sommer können die meisten FritzBoxen DoT. In Verbindung mit dem Pi-hole müsst ihr also die FritzBox als Upstream DNS Provider einstellen und die verschlüsselt dann DNS zu einem DNS-Provider eurer Wahl.

Ob ihr bereits DoT nutzt, könnt ihr über einen Test erfahren:

Cloudflare ESNI Checker | Cloudflare

Secure DNS Transport using DoH (DNS over HTTPS) or DoT (DNS over TLS)

www.cloudflare.com

Welche Clients DoT erlauben, steht hier:

DNS Privacy Clients - DNS Privacy Project - Global Site

dnsprivacy.org

Ich habe mich für Cloudflare als DoT Provider entschieden. Der Dienst ist zwar kostenlos, was meist gegen einen Schutz der Daten spricht. Allerdings verspricht Cloudflare die DNS Daten nur für die Optimierung ihrer Infrastruktur einzusetzen. Das klingt für mich Glaubhaft, weil Cloudflare ein Geschäftsmodell betreibt welches nicht auf Datenhandel basiert. Sie sind einer der größten Infrastruktur Anbieter für das Internet und verkaufen diese Leistungen und nichts anderes. Beim Thema Sicherheit geht es aber immer auch um vertrauen und das muss jeder für sich entscheiden.

 

Interessantes Thema. DoT werde ich demnächst mal testweise in meiner FritzBox aktivieren. Sagt dir die Digitale Gesellschaft Schweiz als alternativer DoT Provider etwas? Klingt gut, was die machen, und die Schweiz hat ja auch schärfere Datenschutzgesetze als D.

Kann man dem Pi-hole selbst eigentlich vertrauen? Ist ja wohl open source, aber nicht dass das Ding selbst zum man-in-the-middle wird??

 

Interessantes Thema. DoT werde ich demnächst mal testweise in meiner FritzBox aktivieren. Sagt dir die Digitale Gesellschaft Schweiz als alternativer DoT Provider etwas? Klingt gut, was die machen, und die Schweiz hat ja auch schärfere Datenschutzgesetze als D.

Kann man dem Pi-hole selbst eigentlich vertrauen? Ist ja wohl open source, aber nicht dass das Ding selbst zum man-in-the-middle wird??

Schön, dass es etwas Feedback in diesem Thread gibt.

Digitale Gesellschaft Schweiz würde ich persönlich vertrauen. Ich empfehle eigentlich selten, sondern ich denke jeder sollte selber am besten nachforschen, ob er einer Organisation trauen kann. Weil es für DNS wichtig ist geringe Latenzzeiten zu haben, würde ich als Schweizer diesen Dienst nutzen. Als Kölner bin ich mit meinen Ping wahrscheinlich schneller über Frankfurt an der US Ostküste. Die Aktivitäten der Digitalen Gesellschaft Schweiz verfolge ich. Klasse auch, dass sie Tor Server zur Verfügung stellen. Zu Tor kann ich später auch noch etwas in diesem Thread schreiben.

Was vertrauen gegenüber dem Pi-hole betrifft, ist es absolut richtig sich das zu fragen. Wie du schon schreibst, ist er Open Source. Dritte, denen du vertrauen kannst, haben den Code auditiert und für unbedenklich attestiert. Man kann natürlich auch versuchen den Code selber zu lesen. Ansonsten hat man noch die Möglichkeit, mit einem Netzwerksniffer wie Wireshark den Traffic vom Pi-hole mitzulesen. Dann würde man auch erkennen, wenn er böse Dinge tut.

 

So, DoT habe ich jetzt aktiviert. War mit der Beschreibung von oben ganz einfach. Ich habe mich auch für Cloudflare entschieden, weil die Ping-Zeiten nur halb so lange waren wie für die Schweiz. Ob die paar Millisekunden allerdings einen Unterschied machen würden??
Das sieht jetzt so aus:


Das fehlende ESNI ist wohl ein Problem von Chromium-basierten Browsern wie meinem (Vivaldi). Wird nicht unterstützt, soweit ich gelesen habe.

 

Hab mich gerade gefragt, ob man Pi-hole nicht direkt AUF die Fritzbox installieren kann???

 

So, DoT habe ich jetzt aktiviert. War mit der Beschreibung von oben ganz einfach. Ich habe mich auch für Cloudflare entschieden, weil die Ping-Zeiten nur halb so lange waren wie für die Schweiz. Ob die paar Millisekunden allerdings einen Unterschied machen würden??
Das sieht jetzt so aus:


Das fehlende ESNI ist wohl ein Problem von Chromium-basierten Browsern wie meinem (Vivaldi). Wird nicht unterstützt, soweit ich gelesen habe.

Ich denke Cloudflare ist ein sehr guter Kompromiss. Die Performance stimmt!

Firefox kann ESNI. Bezüglich Datenschutz ist der Firefox nach meinem Empfinden dem Chromium-basierten Browsern ein kleines Stück voraus. Auch wenn das wie so oft eine Glaubensfrage ist. Zum Glück gibt es aber mit Firefox noch einen relativ starken Konkurrenten, so dass auch Technologien vorangetrieben werden, an denen Google oder die Chromium Community vielleicht sonst nur wenig Interesse hätten. Wir erinnern uns noch an Zeiten als Netscape tot war und der Internet Explorer Marktanteile von 99% hatte.

Hab mich gerade gefragt, ob man Pi-hole nicht direkt AUF die Fritzbox installieren kann???

Soweit ich weiß nicht. Vielleicht bauen sie ja mal eine ähnliche Funktion ein. Ich glaube es gibt ja ein recht triebiges Beta Software Projekt bei FritzOS. Für den Normaluser würde so eine DNS Firewall wohl zu viel Customersupport für AVM bedeuten. Letzte Woche lief Prime Video bei mir nicht, weil die notwendige Anfragen wohl über Server umgeleitet haben welche in meiner Blacklist waren. Für mich waren es zwei Klicks auf dem Handy, diesen Server von der Blacklist zu nehmen. Ob die durchschnittliche FritzBox Kundschaft das machen würde, bezweifel ich allerdings.

Generell ist der Router sicherlich ein guter Ort für einen DNS Filter. @Pilo hatte sich Pi-hole auf seinem Synology NAS installiert. Macht ja eigentlich auch Sinn, weil so ein NAS ja meist 24/7 läuft. Möglicherweise hat man aber einen höheren Stromverbrauch. Ein Pi verbraucht 2-3 Watt. Ein NAS möglicherweise wesentlich mehr. Wenn Pi-hole installiert ist, kann das Gerät nicht in den Idle-Mode gehen und der Mehrverbrauch liegt sehr wahrscheinlich oberhalb der 2-3 Watt.

Ich bin allerdings auch niemand der das letzte Watt sparen will. Es gab Zeiten da habe ich ein halbes Rechenzentrum im Keller betieben.

 

In den nächsten Beiträgen könnte ich auf Browser-Addons eingehen, die dir helfen etwas datensparsamer unterwegs zu sein und dir zeigen wo deine Daten so hinwandern. Eigentlich wollte ich auch etwas zum oftmals überschätzten Incognito Mode der Browser schreiben, aber dieser kürzlich erschienene Artikel auf Vice, macht das viel besser. Ist nicht zu lang und nicht zu techie.

Does Incognito Mode Actually Work?

Unless you just enjoy browsing with a dark colour scheme.

www.vice.com