Secure DNS
Pi-hole ist also eine DNS Firewall. Aber warum kann der Pi-hole den DNS Verkehr denn überhaupt so einfach mitlesen? Im Gegensatz zu den Inhalten, die heute zu weit über 90 % verschlüsselt über HTTPS übertragen werden, finden die DNS Anfragen meist unverschlüsselt statt. Dabei lassen sich gerade über die DNS Anfragen hervorragend Nutzerprofile erstellen. An einem Single Point kann man alle Webseiten, Dienste usw. mitlesen die ihr aufruft. In Zeiten von Big Data sind genau diese Metadaten meist viel wichtiger als die Inhalte. Vor allem dann, wenn der DNS Provider z.B. Google über eigene Dienste wie GMail auch noch Informationen mit persönlichen Daten sammeln kann, wie Name und Anschrift.
DNS ist also ideal um Daten über euch zu sammeln. Das kann ein Pi-hole erstmal nicht verhindern. Unverschlüsseltes DNS erlaubt es auch, dass DNS Anfragen von Dritten, als man-in-the-middle mitgelesen werden und auch kompromittiert werden, in dem ihr auf "böse" Webseiten "umgeleitet" werdet.
Seit ein paar Monaten könnt ihr euch aber absichern. Es wurden verschiedene Lösungen für verschlüsseltes DNS spezifiziert und aktuell scheint
DoT (DNS over TLS) die Nase vorn zu haben. Damit werden die DNS Anfragen und Antworten, von euch zum DNS Provider verschlüsselt. Das Auslesen Dritter wird also verhindert. Trotzdem müsst ihr dem DNS Provider noch vertrauen, weil er die DNS Anfragen ja entschlüsselt um sie beantworten zu können.
Seit dem Sommer können die meisten
FritzBoxen DoT. In Verbindung mit dem Pi-hole müsst ihr also die FritzBox als Upstream DNS Provider einstellen und die verschlüsselt dann DNS zu einem DNS-Provider eurer Wahl.
Ob ihr bereits DoT nutzt, könnt ihr über einen Test erfahren:
Secure DNS Transport using DoH (DNS over HTTPS) or DoT (DNS over TLS) and SNI with ECH
www.cloudflare.com
Welche Clients DoT erlauben, steht hier:
Ich habe mich für Cloudflare als DoT Provider entschieden. Der Dienst ist zwar kostenlos, was meist gegen einen Schutz der Daten spricht. Allerdings verspricht Cloudflare die DNS Daten nur für die Optimierung ihrer Infrastruktur einzusetzen. Das klingt für mich Glaubhaft, weil Cloudflare ein Geschäftsmodell betreibt welches nicht auf Datenhandel basiert. Sie sind einer der größten Infrastruktur Anbieter für das Internet und verkaufen diese Leistungen und nichts anderes. Beim Thema Sicherheit geht es aber immer auch um vertrauen und das muss jeder für sich entscheiden.
nrkbeta.no
citizenlab.ca
