sicherer DNS-Server (Liste)
 

Wir sind alle Paranoid - aber Paranoia ist halt anstrengend :-)

Ich habe mich mal wieder auf die suche nach ein paar sicheren DNS Servern gemacht. Also DNS Server, die meine Anfragen nicht speichen und weitergeben, oder sogar meine Lieblingsseiten blockieren. Muss ja schließlich nicht jeder wissen, auf welchen Pornoseiten ich mich bevorzugt herumtreibe... :rolleyes:

Eine kleine Einführung, wenn das Thema neu für Euch ist:
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Klar kann - und sollte - man in seinem Router einen "guten" DNS eintragen.
Zusätzlich mache ich das aber auch ganz komfortabel via DNS Jumper 2.2. für mein Windoof. Die Software ist virenfrei und frei.
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Schick ist, dass man neben den Standard-Dns-Servern auch seine eigenen Server eintragen kann (in den Optionen) auch kann man spezielle Listen (zb. Sichere Server) anlegen, und nur über diese Listen die DNS-Geschwindigkeit testen.

---> Nur: wo finde ich eine Liste mit brauchbaren sicheren DNS-Servern?

Nach einigem Suchen bin ich auf eine umfangreiche, gepflegten Liste mit "freien" DNS Servern gestoßen:
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Die Pictogramme zeigen, welche Anonymisierungen etc. der jeweilige Server bietet.

Diese (z.b. von mistersixt) kann man dann per Hand in eine geeignete Liste des DNS Jumpers oder direkt in die Fritz eintragen.


Gruß
GWrin

nimm einfach 1.1.1.1 bzw. 1.0.0.1.
Cloudflare hat ne "No-Logs-Policy" und der DNS ist richtig schnell.
Am besten kannst du (wie ich ;) ), einfach nen PI-Hole aufsetzten.

uploaded geht dann nur mit 4 - 5 MB/s im Download:eek:

Was hat denn der Downloadspeed mit einer DNS Abfrage zu tun? :confused:

... so einfach ist es eben nicht.
Und um genau diese Probleme geht es ja in den den von mir verlinkten Artikeln.

Zu Cloudflare wird im "privicy Handbuch" (siehe oben, mein Link) geschrieben:
"Cloudflare behauptet nicht, das der DNS Service zensurfrei ist. Im Blog Artikel wird zwar darauf hingewiesen, dass man mit den DNS-Servern 1.1.1.1 die länderspezifischen Sperren der Zugangsprovider umgehen kann (Beispiel: Türkei), aber man kann davon ausgehen, das Cloudflare die Anforderungen der US-Administration umsetzten wird. "


Übrigens ist die Geschwindigkeit bei einem DNS-Service völlig egal.

einen guten DNS-Server bietet der gemeinnützige Schweizer Bürgerrechtsverein Digitale Gesellschaft an, zusammen mit sehr informativen Konfigurationsanleitungen.
Ich denke, das ist sicher vor Zensur und Bespitzelung.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

speichere den folgenden Inhalt als Datei user.js im Firefox-Profilverzeichnis:

user_pref("network.trr.resolvers", '[{ "name": "Cloudflare", "url": "https://mozilla.cloudflare-dns.com/dns-query" },{ "name": "NextDNS", "url": "https://trr.dns.nextdns.io/" },{ "name": "dnsforge.de", "url": "https://dnsforge.de/dns-query" },{ "name": "Digitale Gesellschaft (CH)", "url": "https://dns.digitale-gesellschaft.ch/dns-query" }, { "name": "Freifunk Muenchen", "url": "https://doh.ffmuc.net/dns-query" }, { "name": "BlahDNS (DE)", "url": "https://doh-de.blahdns.com/dns-query" }, { "name": "BlahDNS (FI)", "url": "https://doh-fi.blahdns.com/dns-query" }, { "name": "Quad9", "url": "https://dns.quad9.net/dns-query" }]');

Auch wenn sich jemand mit solch "sicheren" DNS-Servern verbindet, egal ob über DNS over TLS (Port: 853) oder DNS over HTTPs, so ist die allererste Anfrage zu irgendeiner Webseite über HTTP mit einem sogenannten "Hello Server" und ist unverschlüsselt, dann werden Schlüssel ausgetauscht, usw.
Diese erste Webseiten-Anfrage kann der Provider, falls keine VPN Verbindung besteht, immer mitprotokollieren und sehen welche Seiten angesurft werden.

Mit ESNI wollten Cloudflare und Mozilla dieses Manko beseitigen, aber seit ein paar Firefox-Versionen ist ESNI nicht mehr verfügbar und der anzusurfende Web-Server muss ESNI natürlich auch unterstützen.

Falls jemand wirklich sichere DNS-Server braucht, so sollten diese auch zu allererst DNSSEC unterstützen.
Nur dann ist auch die Antwort des "sicheren" DNS-Servers authentisch und man kann sich zumindest wegen der Webseite ein wenig sicherer fühlen, ob diese auch die Seite ist die man ansurfen wollte.

Viele Apps auf dem Smartphone und sogar Clients in einem Netzwerk umgehen gerne die eingerichteten DNS-Server.

Abhilfe schafft dann meist eine eigene Firewall wie die pfsense mit eigenem Resolver und eigener DNS Server-Liste.
Die Firewall kann dann auch so konfiguriert werden über NAT (Port Forwarding), dass alle DNS Anfragen (Port 53 oder 853) aus dem eigenen Netz nur noch über die Firewall und dessen Resolver (Unbound) laufen und die Anfragen an die "sicheren" DNS Server über DNS over TLS verschlüsseln, DNSSEC nutzen, cname minimization, und vieles mehr.

Der pfBlocker der pfsense ist ein weiteres nützliches Zubehör zur Firewall.
Damit kann man DNS Blocking Listen einpflegen, die unerwünschten Netzverkehr unterbinden, wie z. B. Ads, unerwünschte Seiten, usw. Auch IPs können geblockt werden.
Dann wäre da noch Snort für IDS/IPS (Intrusion Detection System/Intrusion Prevention System) oder Suricata.
Ein Proxy könnte ebenfalls eingerichtet werden. Und, und, und, ...

Ein Pihole auf einem Raspberry Pi ist eine nette Ergänzung zu dem Ganzen und kann dann noch als DNS Cache genutzt werden, oder um mal schnell Seiten auf die Blacklist zu setzen.

Ich hoffe ich konnte Euch einen kleinen Einblick in die Welt des "sicheren" Surfens verschaffen und was es dazu wirklich noch alles benötigt.

Mit einer einfachen Einrichtung eines "sicheren" DNS-Servers über eine eingestellte IP-Adresse alleine oder über den Domainnamen ist es nämlich überhaupt nicht getan.
Die Features der DNS-Server wollen auch genutzt werden. Und manchmal sind die sicheren DNS-Server aus irgendwelchen Public-Listen nicht wirklich sicher, weil privat und der Server kann dann "mitlesen" oder IP-Adressen vorgaukeln, wenn DNSSEC nicht angeboten oder genutzt wird.

Viel Spaß beim "sicheren" Surfen.

cul8'er.

P.S.
Da fällt mir noch eine Kleinigkeit gerade ein:
Jeder, und ich meine wirklich ausnahmslos jeder Browser hat eine fest eingestellte "Signatur", die nicht geändert werden kann, weil sie einmalig ist, wie die MAC-Adresse einer Netzwerkkarte zum Beispiel.
100%ige Anonymität im Netz ist also eine Illusion.

Hallo
Das mit der eindeutigen MAC-Adesse einer, z. B. Netzwerkarte, ist zwar richtig, aber..
.. auch diese lässt sich mit "Spoofing" verschleiern.
Was natürlich der Anonymität hilft..

Don't worry be happy

Raspberry pi + unbound und der Client fragt direkt beim Root Servern nach*
damit hat man mit am Board DNSSEC + DoT oder DoH*

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Cloudflare würde ich nicht als DNS nehmen, die haben Sitz in USA, müssen und dürfen wegen der NSA Daten Speichern.
siehe [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

ich persönlich bevorzuge es meinen Datenverkehr durch Russland zu senden, lieber haben die meine Daten als EU/USA/China