Thailändisch lernen

Tools für Digitale Sicherheit: Pi-hole, Browser-Plugins, sicheres Surfen und Kommunizieren

        #31  

Member

Member hat gesagt:
Das kann jedes Gerät selber entscheiden. Das ist richtig. Wenn du dich mit deinem Handy in meinem Netzwerk anmeldest kannst du natürlich deinen eigenen DNS verwenden. Den Rest deiner Frage verstehe ich dann nicht so ganz. Wenn du von IP Adressen in Anwendungen sprichst, dann hat das nichts mehr mit DNS zu tun und der Pi-hole ist aus dem Spiel. Es ist zwar selten, aber es kommt vor, dass Geräte über hard-gecodete IP-Adressen den Kontakt zur Außenwelt suchen. Aus verschiedenen Gründen wird das aber von vertrauensvollen Geräteherstellern eher selten gemacht, weil so etwas immer den Verdacht erweckt, dass etwas verschleiert werden soll. Viren arbeiten meist auch so. Wenn man einen Verdacht hat und es genauer wissen möchte, dann ist das wirklich ein Fall für Wireshark. Bei Viren oder Verschleierung wird man aber dann auch nicht viel sehen können, weil das verschlüsselt abläuft. Die Aufgabe des Pi-hole ist von daher keine Firewall die Hackerangriffe von innen abwehren kann.



Schlecht umgesetzt aber im Prinzip ziemlich richtig. Cookies werden aber stark an Bedeutung verlieren weil GAFAM diese schon lange nicht mehr brauchen. Die sammeln genug Daten über andere Wege. Um Browser zu identifizieren reicht auch ein Fingerprint, da haben Cookies eh ausgedient. Ist aber vielleicht mal ein zusätzliches Thema wert.

Wenn dich die Cookie Bestätigungen nerven, dann kannst du folgendes Addon nutzen. Ich setze es auch ein. Allerdings nutze ich einen normalen Browser eh nur noch ganz selten, und dann lasse ich die Cookies nach der Session eh wieder alle löschen, bzw. gebe zuvor kaum etwas von mir preis.



Ich würde Wireshark nur nutzen wenn du in die Pakete hineinschauen möchtest. Wobei wohl eh das meiste verschlüsselt ist. Oder wenn du den Verdacht hast es werden Server direkt per IP und nicht über DNS angefunkt. Ich glaube aber LG, Samsung & Co arbeiten ja alle mit den großen Werbenetzwerken, Trackern und Videooptimierern (z.B. Conviva) zusammen die alle aus Usability Gründen über DNS angesprochen werden.

Meine Frage ziehlte eher darauf ab dass Du sowieso identifizierbar resp. rückverfolgbar bist, über Browserparameter und eben die externe IP Adresse, welche bei Privatanschlüssen bei vielen Provideren nur selten ändert. Aber Danke, ich verstehe nun den Einsatzzweck von Pi-hole.

Ich könnte bei passender Gelegenheit vielleicht mal ein paar Einblicke geben aus IT Forensik Sicht. War einige Jahre in dem Bereich tätig . Heute beschäftige ich mich nur noch ausschliesslich mit "offensiver Sicherheit" und Abwehr.

Meine Strategie bezüglich Datenschutz ist aber eher eine andere, würde aber zu weit führen die hier zu erläutern. Pi-hole ist daher wohl eher nichts für mich. Auch die Inbetriebnahme scheint mir nicht die Herausforderung zu sein die ich bei solchen Projekten normalerweise suche. Ich bastle und bastle und verzweifle am liebsten bei meinen Projekten und wenns dann läuft stelle ich fest dass ich gar keinen Anwendungszweck dafür habe. Dann mach ich was neues. 🤣 Vermutlich gibts dafür auch eine Psychologische Diagnose. Leider fehlte mir in letzter Zeit die Zeit dafür. Finde es aber sehr cool hier einen technischen Thread zu haben.

Ich hole mir heute Nachmittag gleich noch den Raspberry mit 8 GB RAM. Den 4GB hab ich bereits aber mit 8 GB geht schon noch etwas mehr...

Was ich immer noch nicht kapiere :) , in keiner Weise negativ gemeint : willst Du hier "nur" über Pi-hole berichten und für andere Themen eigene Threads machen ,willst Du dies alleine tun oder soll man sich beteiligen in Form von eigenen Beiträgen mit Tools und Techniken? Für mich passt beides, verstehe aber noch nicht in welche Richtung es gehen soll.

Das Plugin zu den Cookies probiere ich gleich heute Abend mal aus, kannte ich noch nicht. Danke!
 
        #32  

Member

Member hat gesagt:
Meine Frage ziehlte eher darauf ab dass Du sowieso identifizierbar resp. rückverfolgbar bist, über Browserparameter und eben die externe IP Adresse, welche bei Privatanschlüssen bei vielen Provideren nur selten ändert. Aber Danke, ich verstehe nun den Einsatzzweck von Pi-hole.

Ich könnte bei passender Gelegenheit vielleicht mal ein paar Einblicke geben aus IT Forensik Sicht. War einige Jahre in dem Bereich tätig . Heute beschäftige ich mich nur noch ausschliesslich mit "offensiver Sicherheit" und Abwehr.

Meine Strategie bezüglich Datenschutz ist aber eher eine andere, würde aber zu weit führen die hier zu erläutern. Pi-hole ist daher wohl eher nichts für mich. Auch die Inbetriebnahme scheint mir nicht die Herausforderung zu sein die ich bei solchen Projekten normalerweise suche. Ich bastle und bastle und verzweifle am liebsten bei meinen Projekten und wenns dann läuft stelle ich fest dass ich gar keinen Anwendungszweck dafür habe. Dann mach ich was neues. 🤣 Vermutlich gibts dafür auch eine Psychologische Diagnose. Leider fehlte mir in letzter Zeit die Zeit dafür. Finde es aber sehr cool hier einen technischen Thread zu haben.

Ich hole mir heute Nachmittag gleich noch den Raspberry mit 8 GB RAM. Den 4GB hab ich bereits aber mit 8 GB geht schon noch etwas mehr...

Was ich immer noch nicht kapiere :) , in keiner Weise negativ gemeint : willst Du hier "nur" über Pi-hole berichten und für andere Themen eigene Threads machen ,willst Du dies alleine tun oder soll man sich beteiligen in Form von eigenen Beiträgen mit Tools und Techniken? Für mich passt beides, verstehe aber noch nicht in welche Richtung es gehen soll.

Das Plugin zu den Cookies probiere ich gleich heute Abend mal aus, kannte ich noch nicht. Danke!

Ich erkläre es mal mit einem Vergleich welches näher am TAF ist ;-)

Stell dir vor, du gehst in eine Bar, holst ein Mädel zu dir und als sie neben dir sitzt, ruft sie ungefragt 5 Sisters und 3 Bros mit dazu. Die 3 Bros stehen auf deiner Blacklist und werden von Mama direkt zurückgepfiffen. Die 5 Sisters setzen sich zu dir und du merkst das sie nur Drinks ziehen und dir keinen Mehrwert bieten. Du schickst die 5 Mädels weg und setzt sie auf deine Blacklist damit sie nie wieder angedackelt kommen. Dann sagt dein Mädel, dass sie nur mit dir mitgehen kann wenn ihre beste Sis dabei ist. Sie muss beim Vögeln Händchenhalten oder sonst was. Jetzt kannst du entscheiden ob du beide wegschickst oder die eine Sis wieder auf die Whitelist setzen lässt. So in etwa funktioniert der Pi-hole. Ob dein Mädel jetzt private Dinge von dir erfährt oder du dich anonymisierst hat damit noch nichts zu tun.

Pi-hole kann höchstens Teil einer Datenschutzstrategie sein. Du verweigerst die Kommunikation mit einem großen Teil der "Diensteanbieter" die dir keinen Mehrwert bieten, sondern die sich nur an deinen Daten "bereichern" wollen. Dienste mit denen du in Kontakt treten möchtest, zum Beispiel Amazon für eine Bestellung, werden auch weiterhin deine IP Adresse sehen und können auch deine Browserparameter auslesen. Um das zu vermeiden, nutzt man andere Tools, diese Tools können dann aber nicht das was der Pi-hole kann.

Von daher möchte ich in diesem Thread (wie anfangs angekündigt) auch eine ganze Reihe an solchen Tools oder Strategien vorstellen. Dabei geht es nicht darum einen möglichst hohen Schwierigkeitsgrad der Installation zu erreichen, sondern darum ein Verständnis für die Funktionen und die persönlichen Notwendigkeiten zu schaffen.

Das soll hier kein Monolog werden, von daher bin ich für deine Teilnahme dankbar. Wenn du eigene Tools oder Einblicke in die IT Forensik vorstellen möchtest, fände ich das in einem eigenen Thread besser aufgehoben. Ich denke der IT Bereich kann ein paar aktive Threads noch ganz gut vertragen.
 
Zuletzt bearbeitet:
        #33  

Member

Member hat gesagt:
Ich erkläre es mal mit einem Vergleich welches näher am TAF ist ;-)

Stell dir vor, du gehst in eine Bar, holst ein Mädel zu dir und als sie neben dir sitzt, ruft sie ungefragt 5 Sisters und 3 Bros mit dazu. Die 3 Bros stehen auf deiner Blacklist und werden von Mama direkt zurückgepfiffen. Die 5 Sisters setzen sich zu dir und du merkst das sie nur Drinks ziehen und dir keinen Mehrwert bieten. Du schickst die 5 Mädels weg und setzt sie auf deine Blacklist damit sie nie wieder angedackelt kommen. Dann sagt dein Mädel, dass sie nur mit dir mitgehen kann wenn ihre beste Sis dabei ist. Sie muss beim Vögeln Händchenhalten oder sonst was. Jetzt kannst du entscheiden ob du beide wegschickst oder die eine Sis wieder auf die Whitelist setzen lässt. So in etwa funktioniert der Pi-hole. Ob dein Mädel jetzt private Dinge von dir erfährt oder du dich anonymisierst hat damit noch nichts zu tun.

Pi-hole kann höchstens Teil einer Datenschutzstrategie sein. Du verweigerst die Kommunikation mit einem großen Teil der "Diensteanbieter" die dir keinen Mehrwert bieten, sondern die sich nur an deinen Daten "bereichern" wollen. Dienste mit denen du in Kontakt treten möchtest, zum Beispiel Amazon für eine Bestellung, werden auch weiterhin deine IP Adresse sehen und können auch deine Browserparameter auslesen. Um das zu vermeiden, nutzt man andere Tools, diese Tools können dann aber nicht das was der Pi-hole kann.

Von daher möchte ich in diesem Thread (wie anfangs angekündigt) auch eine ganze Reihe an solchen Tools oder Strategien vorstellen. Dabei geht es nicht darum einen möglichst hohen Schwierigkeitsgrad der Installation zu erreichen, sondern darum ein Verständnis für die Funktionen und die persönlichen Notwendigkeiten zu schaffen.

Das soll hier kein Monolog werden, von daher bin ich für deine Teilnahme dankbar. Wenn du eigene Tools oder Einblicke in die IT Forensik vorstellen möchtest, fände ich das in einem eigenen Thread besser aufgehoben. Ich denke der IT Bereich kann ein paar aktive Threads noch ganz gut vertragen.
Man muss es nur anhand praktischer Beispiele erklären, dann versteht man es auch 🤣👍👯
 
        #34  

Member

Secure DNS

Pi-hole ist also eine DNS Firewall. Aber warum kann der Pi-hole den DNS Verkehr denn überhaupt so einfach mitlesen? Im Gegensatz zu den Inhalten, die heute zu weit über 90 % verschlüsselt über HTTPS übertragen werden, finden die DNS Anfragen meist unverschlüsselt statt. Dabei lassen sich gerade über die DNS Anfragen hervorragend Nutzerprofile erstellen. An einem Single Point kann man alle Webseiten, Dienste usw. mitlesen die ihr aufruft. In Zeiten von Big Data sind genau diese Metadaten meist viel wichtiger als die Inhalte. Vor allem dann, wenn der DNS Provider z.B. Google über eigene Dienste wie GMail auch noch Informationen mit persönlichen Daten sammeln kann, wie Name und Anschrift.

DNS ist also ideal um Daten über euch zu sammeln. Das kann ein Pi-hole erstmal nicht verhindern. Unverschlüsseltes DNS erlaubt es auch, dass DNS Anfragen von Dritten, als man-in-the-middle mitgelesen werden und auch kompromittiert werden, in dem ihr auf "böse" Webseiten "umgeleitet" werdet.

Seit ein paar Monaten könnt ihr euch aber absichern. Es wurden verschiedene Lösungen für verschlüsseltes DNS spezifiziert und aktuell scheint DoT (DNS over TLS) die Nase vorn zu haben. Damit werden die DNS Anfragen und Antworten, von euch zum DNS Provider verschlüsselt. Das Auslesen Dritter wird also verhindert. Trotzdem müsst ihr dem DNS Provider noch vertrauen, weil er die DNS Anfragen ja entschlüsselt um sie beantworten zu können.

Seit dem Sommer können die meisten FritzBoxen DoT. In Verbindung mit dem Pi-hole müsst ihr also die FritzBox als Upstream DNS Provider einstellen und die verschlüsselt dann DNS zu einem DNS-Provider eurer Wahl.

Ob ihr bereits DoT nutzt, könnt ihr über einen Test erfahren:


Welche Clients DoT erlauben, steht hier:


Ich habe mich für Cloudflare als DoT Provider entschieden. Der Dienst ist zwar kostenlos, was meist gegen einen Schutz der Daten spricht. Allerdings verspricht Cloudflare die DNS Daten nur für die Optimierung ihrer Infrastruktur einzusetzen. Das klingt für mich Glaubhaft, weil Cloudflare ein Geschäftsmodell betreibt welches nicht auf Datenhandel basiert. Sie sind einer der größten Infrastruktur Anbieter für das Internet und verkaufen diese Leistungen und nichts anderes. Beim Thema Sicherheit geht es aber immer auch um vertrauen und das muss jeder für sich entscheiden.
 
        #35  

Member

Interessantes Thema. DoT werde ich demnächst mal testweise in meiner FritzBox aktivieren. Sagt dir die Digitale Gesellschaft Schweiz als alternativer DoT Provider etwas? Klingt gut, was die machen, und die Schweiz hat ja auch schärfere Datenschutzgesetze als D.

Kann man dem Pi-hole selbst eigentlich vertrauen? Ist ja wohl open source, aber nicht dass das Ding selbst zum man-in-the-middle wird??
 
        #36  

Member

Member hat gesagt:
Interessantes Thema. DoT werde ich demnächst mal testweise in meiner FritzBox aktivieren. Sagt dir die Digitale Gesellschaft Schweiz als alternativer DoT Provider etwas? Klingt gut, was die machen, und die Schweiz hat ja auch schärfere Datenschutzgesetze als D.

Kann man dem Pi-hole selbst eigentlich vertrauen? Ist ja wohl open source, aber nicht dass das Ding selbst zum man-in-the-middle wird??

Schön, dass es etwas Feedback in diesem Thread gibt.

Digitale Gesellschaft Schweiz würde ich persönlich vertrauen. Ich empfehle eigentlich selten, sondern ich denke jeder sollte selber am besten nachforschen, ob er einer Organisation trauen kann. Weil es für DNS wichtig ist geringe Latenzzeiten zu haben, würde ich als Schweizer diesen Dienst nutzen. Als Kölner bin ich mit meinen Ping wahrscheinlich schneller über Frankfurt an der US Ostküste. Die Aktivitäten der Digitalen Gesellschaft Schweiz verfolge ich. Klasse auch, dass sie Tor Server zur Verfügung stellen. Zu Tor kann ich später auch noch etwas in diesem Thread schreiben.

Was vertrauen gegenüber dem Pi-hole betrifft, ist es absolut richtig sich das zu fragen. Wie du schon schreibst, ist er Open Source. Dritte, denen du vertrauen kannst, haben den Code auditiert und für unbedenklich attestiert. Man kann natürlich auch versuchen den Code selber zu lesen. Ansonsten hat man noch die Möglichkeit, mit einem Netzwerksniffer wie Wireshark den Traffic vom Pi-hole mitzulesen. Dann würde man auch erkennen, wenn er böse Dinge tut.
 
        #37  

Member

So, DoT habe ich jetzt aktiviert. War mit der Beschreibung von oben ganz einfach. Ich habe mich auch für Cloudflare entschieden, weil die Ping-Zeiten nur halb so lange waren wie für die Schweiz. Ob die paar Millisekunden allerdings einen Unterschied machen würden??
Das sieht jetzt so aus:
Anhang anzeigen ME12NXTY_t.jpg

Das fehlende ESNI ist wohl ein Problem von Chromium-basierten Browsern wie meinem (Vivaldi). Wird nicht unterstützt, soweit ich gelesen habe.
 
        #38  

Member

Hab mich gerade gefragt, ob man Pi-hole nicht direkt AUF die Fritzbox installieren kann???
 
        #39  

Member

Member hat gesagt:
So, DoT habe ich jetzt aktiviert. War mit der Beschreibung von oben ganz einfach. Ich habe mich auch für Cloudflare entschieden, weil die Ping-Zeiten nur halb so lange waren wie für die Schweiz. Ob die paar Millisekunden allerdings einen Unterschied machen würden??
Das sieht jetzt so aus:
Anhang anzeigen ME12NXTY_t.jpg

Das fehlende ESNI ist wohl ein Problem von Chromium-basierten Browsern wie meinem (Vivaldi). Wird nicht unterstützt, soweit ich gelesen habe.

Ich denke Cloudflare ist ein sehr guter Kompromiss. Die Performance stimmt!

Firefox kann ESNI. Bezüglich Datenschutz ist der Firefox nach meinem Empfinden dem Chromium-basierten Browsern ein kleines Stück voraus. Auch wenn das wie so oft eine Glaubensfrage ist. Zum Glück gibt es aber mit Firefox noch einen relativ starken Konkurrenten, so dass auch Technologien vorangetrieben werden, an denen Google oder die Chromium Community vielleicht sonst nur wenig Interesse hätten. Wir erinnern uns noch an Zeiten als Netscape tot war und der Internet Explorer Marktanteile von 99% hatte.

Member hat gesagt:
Hab mich gerade gefragt, ob man Pi-hole nicht direkt AUF die Fritzbox installieren kann???

Soweit ich weiß nicht. Vielleicht bauen sie ja mal eine ähnliche Funktion ein. Ich glaube es gibt ja ein recht triebiges Beta Software Projekt bei FritzOS. Für den Normaluser würde so eine DNS Firewall wohl zu viel Customersupport für AVM bedeuten. Letzte Woche lief Prime Video bei mir nicht, weil die notwendige Anfragen wohl über Server umgeleitet haben welche in meiner Blacklist waren. Für mich waren es zwei Klicks auf dem Handy, diesen Server von der Blacklist zu nehmen. Ob die durchschnittliche FritzBox Kundschaft das machen würde, bezweifel ich allerdings.

Generell ist der Router sicherlich ein guter Ort für einen DNS Filter. @Pilo hatte sich Pi-hole auf seinem Synology NAS installiert. Macht ja eigentlich auch Sinn, weil so ein NAS ja meist 24/7 läuft. Möglicherweise hat man aber einen höheren Stromverbrauch. Ein Pi verbraucht 2-3 Watt. Ein NAS möglicherweise wesentlich mehr. Wenn Pi-hole installiert ist, kann das Gerät nicht in den Idle-Mode gehen und der Mehrverbrauch liegt sehr wahrscheinlich oberhalb der 2-3 Watt.

Ich bin allerdings auch niemand der das letzte Watt sparen will. Es gab Zeiten da habe ich ein halbes Rechenzentrum im Keller betieben.
 
        #40  

Member

In den nächsten Beiträgen könnte ich auf Browser-Addons eingehen, die dir helfen etwas datensparsamer unterwegs zu sein und dir zeigen wo deine Daten so hinwandern. Eigentlich wollte ich auch etwas zum oftmals überschätzten Incognito Mode der Browser schreiben, aber dieser kürzlich erschienene Artikel auf Vice, macht das viel besser. Ist nicht zu lang und nicht zu techie.

 
  • Standard Pattaya Afrika Afrika Phillipinen Phillipinen Amerika Amerika Blank
    Oben Unten