Optional aktiverbar
„DNS für Familien“: Cloudflare-App integriert Malware- und Pornofilter
Mit „DNS für Familien“ bietet Cloudflare seit Monatsbeginn einen DNS-Dienst an, der gezielt Malware oder auch nur für Erwachsene bestimmte Inhalte blockieren kann. Das Angebot soll die Geräteverwaltung im Familienumfeld vereinfachen und steht nun auch direkt über die von Cloudflare veröffentlichte App 1.1.1.1: Faster Internet zur Verfügung.
1.1.1.1 ist eine Kombi aus DNS- und VPN-App und in der Basisversion kostenlos. Ihr könnt die App beispielsweise dazu verwenden, euren Datenverkehr bei der Benutzung fremder WLAN-Netze durch einen VPN-Tunnel zu leiten und somit vor neugierigen Blicken zu schützen. Gleichzeitig integriert die Anwendung aber auch einen DNS-Dienst, der die Basis für die neu integrierten Filtermöglichkeiten schafft.
In den DNS-Einstellungen der App stehen nun zwei neue Optionen als Alternative zum ungefilterten Durchleiten des Netzwerkverkehrs zur Verfügung. Ihr könnt eine Malware-Schutz aktivieren oder mit der Einstellung „Malware und Erwachseneninhalte blockieren“ quasi eine Kindersicherung aktivieren. Die damit verbundenen Sperren greifen auf regelmäßig aktualisierte und teils öffentliche Listen zurück, auf denen einschlägige Webseiten und Angebote gesammelt werden.
Weitere Infos zu Cloudflare DNS für Familien, darunter auch eine grundsätzliche Erklärung „Was ist DNS“ findet ihr hier.
Was ihr mal erwähnen solltet das ein entscheidendes Detail nie genannt wird. Protokolierung! Filter und Schnelligkeit hin oder her. Das man seine Daten einem Unternehmen anvertraut das alles Protokolliert und vielleicht die Daten verkauft.
Man sollte sowas ruhig in solchen Beiträgen erwähnen und auf Alternativen hinweisen. So nutze ich z.B. zentral die DNS Server von dismail.de.
Für alle die es Datenschutzfreundlich angehen wollen oder zumindest sich mal belesen möchten zum Thema Datenschutz, Tracking und was dies für Ausmaße annehmen kann, dem empfehle ich folgende Quellen,
https://www.kuketz-blog.de/
https://www.privacy-handbuch.de/handbuch_93d.htm
Kannst du den ersten Absatz deines Kommentars belegen und umgekehrt auch garantieren, dass das bei dismail anders gehandhabt wird.
Übrigens wird das Thema im verlinkten Beitrag angesprochen inklusive einem Statement von Cloudflare. Wolltest du nur dein Blog verlinken?
Setz dir deinen eigenen unbound auf und du brauchst auch dismail nicht zu vertrauen.
Kuketz ist ganz gut, aber einige Themenbereiche leider nicht mehr ganz aktuell.
Ansonsten geb‘ ich dir Recht: Daten anderen anzuvertrauen, auch wenn sie gegenteiliges Versprechen… das kennt man bei amerikanischen Unternehmen ja schon ;)
Danke für der Info zu Unbound :)
In Bezug auf unbound ist Kuketz aber aktuell? Hab ich vor 2 Wochen in Verbindung mit pi-hole umgesetzt. Einfach genial!
Und wo holt sich Unbound die Daten her? Doch auch wieder nur von einem weiten DNS-Server. – Ich erkenne den Vorteil dabei nicht. Oder stehe ich auf dem Schlauch?
@IchSchreiGleich: Anscheinend stehst du etwas auf dem Schlauch, wenngleich es etwas verwirrend ist, wenn man nur etwas Wissen hat, aber kein fundamentales Wissen zu Netzwerken.. Unbound muss seinerseits natürlich die Namensauflösung von anderen DNS-Servern am Anfang erfahren. Dieser kann sie aber zwischenspeichern, so dass bei weiteren lokalen Anfragen kein externer DNS-Server mehr angefragt werden muss, solange der DNS record noch lebt (kann jeder selbst beim DNS Record für die Domain eintragen, die man besitzt und deren Hauptnamensserver man konfigurieren darf).
Allerdings: Die Daten müssen irgendwie durch das Internet zum Server oder anderen Client. Das heißt, irgendwelche Dritte können auf jeden Fall sehen, wen man kontaktiert. Allerdings ändert sich das BGP immer wieder, weshalb eine Kontrolle für kleine Hosts oder Nodes oft schwer ist. Mächtige können aber das BGP beeinflussen wie z.B. Russland dies schon einmal tat (egal ob Konfigurationsfehler, aber es war so) liefen z.B. viele europäische Internetkommunikationen zu US-Server über russische Server. Das ist das Schlechte am Internet v1, dass dort viel auf Vertrauen basiert.
Pihole mit Unbound installieren. Im Router die IP von pihole als DNS Server eintragen und gut.
Funktioniert genauso so seit langem sehr, sehr gut!
Habt ihr eine gute Anleitung für die Installation von unbound?
Steht in der Dokumentation auf der pihole Webseite
Noch besser finde ich wahrer beschrieben: https://forum.kuketz-blog.de/viewtopic.php?f=42&t=3067
Wäre immer noch interessant zu wissen was mit StreamOn oder den Vodafone Pass dann ist. Wird dieser Traffic dann wieder angerechnet oder bleibt es weiterhin unberührt.
Nein, das ist kein Problem. Wird weiterhin nicht angerechnet, da bei den Pässen „In Packet Analysen“ durchgeführt werden, also die eigentlichen Datenpakete in ihre Schichten zerlegt und dann bspw anhand der Ziel-IP bewertet. Die vorausgehende DNS-Anfrage ist ja nur zur Namensauflösung da.
Klingt schon mal gut, läuft aber immer über VPN am Handy oder?
Ich schätze immer noch die Höflichkeitsform. Vertrauen – was das „du“ verlangt, muss sich erst verdient werden. Wir sind keine Angelsachsen.
Stimmt. Und häufig sind wir einfach stocksteife Deutsche ;-)
Nein, im Netz bist Du Weltenbürger.
Achtung: Die Ratschläge hier zu Pi Hole mit Unbound oder eigene DNS-Server einzurichten und lokal zu nutzen, bringt NICHT eine absolute Privatsphäre. Und der DNS-Server muss am Anfang sowieso erst bei anderen DNS-Servern die Namen auflösen. Aber die Daten müssen irgendwie durch das Internet zum Server oder anderen Client. Das heißt, irgendwelche Dritte können auf jeden Fall sehen, wen man kontaktiert. Allerdings ändert sich das BGP immer wieder, weshalb eine Kontrolle für kleine Hosts oder Nodes oft schwer ist. Es sind also nicht immer die gleichen Dritten, die dies beiläufig erfahren können. Mächtige jedoch können aber das BGP beeinflussen wie z.B. ein großer oder staatlicher Konzern in Russland dies schon einmal tat (egal ob Konfigurationsfehler, aber es war so). Daher liefen z.B. viele europäische Internetkommunikationen zu US-Server über russische Server. Das ist das Schlechte am Internet v1, dass dort viel auf Vertrauen basiert. Deshalb ist ein Internet v2 durchaus denkbar, wobei das Problem ist, dass Russland, China und andere autokratische Staaten mit hinein reden und möglichst für Staaten nutzbare Spionagefunktionen , Kontrollmöglichkeiten wie gewisse Inhalte blockieren zu können integrieren wollen. Wer jetzt behauptet, komplette Zensur vom Staat wird bereits betrieben, der lügt für fast alle Staaten. Denn per staatlichen DNS-Servern kann man man zwar zensieren, aber sobald man unbeschränkte DNS-Server, funktioniert die Zensur nicht. Nur absolute Laien ohne ein paar Minuten Netzrecherche können die Zensur nicht umgehen wie die Ursula von der Laien (gruß Zemsursula!). Gute staatliche Zensur (das nicht gut ist!) per DNS ist wie man aus China erfährt leider doch möglich, indem ausländische DNS-Server blockiert werden und der Datenverkehr aus den Ländergrenzen heraus massiv eingeschränkt wird (deshalb nutzt China ein chinesisches Twitter, weil das originale US-Twitter wegen China zu lahm ist und somit das chinesische Twitter, da von chinesischem Unternehmen, auch ziemlich gut kontrollieren können und Tweets mit Wörtern wie Falun Gong zensieren können).
Viele Dank für Deine ausführliche Erklärung. Da ich kein Netzwerkcrack bin: Ist es nicht ohnehin so, dass im Endeffekt alles über den Internetprovider zusammenläuft und – auch unabhängig von unbound – dort analysiert werden könnte?
Danke, dass meine Beiträge hilfreich sind. Da ich mich in diesem Bereich nicht spezialisiert habe oder ein Studium habe, beschränkt sich mein Wissen auf Fundamentalwissen und aus eigenem Interesse (auch selbst kommerziell betriebenen Server) auf noch etwas weiteres Wissen (im Studium lernt man kaum Praktisches, noch nicht einmal Programmieren … erst „Softwarepraktikum“ einiges, wo man in das kalte Wasser geschleudert wird, wenn man während dem Studium kaum Zeit hatte privat sich mit Programmierung zu beschäftigens …). Aber die Kombination vermittelt etwas mehr Einblick, was ich gerne versuche auch anderen zu vermitteln.
Was ich vergaß zu erwähnen, der eigene Privat-DNS-Server mit Pi Hole und Rebound fährt bei manchen Domains nicht unbedingt zu höherer Privatsphäre. Im domain record einer Domain trägt man eine TTL (time to live) ein. Einige wie ich bei vielen Domains haben z.B. 10 min eingetragen. Nach 10 min muss (wenn es sauber konfiguriert ist) Rebound zur gleichen Domain wieder die IP-Adresse zum Namen erfragen. Wenn DANE überall genutzt wird, verhilft dies zu etwas mehr Privatsphäre (dann sieht der Provider nur verschlüsselte Anfragen und Daten (wenn Server auch verschlüsselt) und die Endpunkte, wenn diese nicht durch ein gutes VPN verschleiert wird – zumindest Verbindung zum VPN sieht der Provider weiterhin, kann aber nicht mehr zwischen Daten an unterschiedliche Hosts unterscheiden, falls der VPN-Service nicht wie viele billige VPN-Services schwere Sicherheitslücken oder zu schwache Verschlüsselungen hat). Vor allem die Domainsicherheit erhöht sich mit DANE dann drastisch (dann ist es schwieriger über ARP Domains in großen Bereichen zu kapern (wozu es auch jetzt zwar nicht unbedingt langfristig in großen Bereichen kommt, aber es kann … außer evtl. durch 3com und ähnlichen … später mehr dazu …).
Zur Frage von @“Hans Hauser“: Die Wenigsten sind mit dem Internet direkt verbunden. Damit meine ich nicht die häuslichen lokalen Netzwerke, sondern die firmeninternen Netzwerke der Provider (die parallel für ihre Mitarbeiter natürlich weitere weitestgehend abgekapselte interne Netzwerke betreiben), die ihrerseits ein Gateway in das Internet sind (eigentlich keine Server sind direkt mit dem Internet verbunden – der kleine Nachteil ist, dies kostet zwar Zeit, aber die paar Millisekunden sind vernachlässigbar und dafür sind effektive Netzwerkfirewalls möglich – daher sprechen Wissendere durch vom Netz der Netze statt Internet). Dann erst gehen die Daten an ein Backbone (dort gibt es unterschiedliche „tier levels“). Es könnte evtl. sein, dass wenn z.B. der Surfende sich über Telekom einwählt (ja, DSL ist kein Telefon und rein digital ein betriebsinternes Netzwerk, aber man muss sich mit diversen Daten anmelden, weshalb ich dies analog als Einwählen bezeichne) und Server steht im Telekom-Netzwerk, dann könnten theoretisch die Daten nur intern verlaufen. Ob es praktisch so ist, weiß ich nicht, da ich mich dort nicht spezialisiert habe und nicht weiteres spezielleres Spezialwissen aus diesem Bereich habe, was zum Teil ein Firmengeheimnis sein kann (jemand, der nicht Informatik studiert hat, sondern z.B. bei Cisco sich als Netzwerkadministrator ausbilden ließ, der weiß sicherlich in vielem vieles besser als ich – eine Immobilienfirma bat um private Hilfe bei ihrem Netzwerkproblem, das andere „PC-Supportler“ nicht lösen konnten – ich fand den Fehler nicht, aber ein Netzwerkadministrator einer Bank erkannte das Problem und es war nur ein „einfaches“ IP-Konflikt …). Bei einem der CCC Meetings erläuterte Linus Neumann, dass es sein kann, dass zum Erreichen eines Hosts in DE von einem Host, der ebenfalls in DE steht, die Daten den Umweg über die USA nehmen (als Beispiel brachte er einen Telekom-Anschluss, dessen Daten den Umweg über die US-Internetbackbone-Forma 3com nahmen – klingt unnatürlich und man könnte denken, dies sei Absicht zum Ausspionieren (NSA! ;) Verschwörungstheorien, auch wenn laut Slides von Snowden manche Theorien tatsächlich teilweise praktisch so umgesetzt wurden … aber – nein, sie wurden vermutlich unterschätzt, aber sind dennoch keine Übermacht, wie manche dies wegen Snowden nun denken, was erstaunlich viele Informatikstudenten glauben, die aber oft nur in den unteren Semestern sind – er selbst sagte in Twitter, dass er von der NSA enttäuscht ist, dass sie angeblich nicht sehen, dass er letztendlich der NSA versucht zu helfen – ich vermute, NSA hat dies zwar erkannt, aber ist natürlich egoistisch (er wird kaum noch dort helfen können) und empören sich öffentlich absichtlich weiterhin (was zum Teil auch verständlich ist), damit sie sich weiterhin als (zurecht, da sie sich zu viele Freiheiten nahmen (und leider weiterhin sogar noch mehr tun – nur durch Let’s Encrypt und weitere Techniken wird wegen dem fantastischen (indirekten) Förderer Snowden das Netz doch sicherer, denn gegen Mathematik kommt auch die NSA nicht an (siehe Folien, wo NSA behauptet „tor stinks“)) Geschädigte darstellen können), aber dies muss nicht der Fall sein, wenn man darin etwas fundamentales Wissen hat – das uns bekannte Internet läuft nur über TCP/IP und das verlangt viel vertrauen – durch eine geschickt ausgedachte Technik verteilen sich Routingtabellen – dort steht, welche IP man zu einer gewissen Zeit erreichen kann – ist 3com also sehr schnell und wird über Routingtabellen in DE bekannt, bevorzugen die Daten den riesigen Umweg über die US-Firma 3com, da sie (falls keine Hosts falsche Routingtabellen verteilen) darüber durchaus praktisch schneller sind (da auf dem direkten Weg z.B. nur langsame Internetleitungen sind))).
*verzeiht, falls Klammerung nicht ganz korrekt*
Übrigensm Durch gutes VPN kann man die meisten Daten über der Provider verstecken, allerdings kanalisiert man dadurch sogar alle Daten über den VPN-Provider. Das ist auch ein ygrind für einige billige VypN-Provider, weil sie aus erster Hand mit noch genaueren Metadaten anderen verkaufen können, die noch nicht mal Internetprovider haben. VPN kann in unsicheren Netzwerken zwar schötzen, aber man muss dem VPN-Provider zwangsläufig sehr viel vertrauen, was einige auch ausnutzen.
Wow! Nochmal vielen Dank für Deine ausführlichen Infos. Jetzt verstehe ich auch die Diskussionen um diese Themen besser und kann etwas konkreter einschätzen, welche Sicherheitsvorkehrungen für mich als Privatperson sinnvoll sein könnten.
Übrigens: Durch gutes VPN kann man die meisten Daten über der Provider verstecken, allerdings kanalisiert man dadurch sogar alle Daten über den VPN-Provider. Das ist auch ein Grund für einige billige VPN-Provider, weil sie aus erster Hand noch genauere Metadaten anderen verkaufen können, die noch nicht mal Internetprovider haben. VPN kann in unsicheren Netzwerken zwar schützen, aber man muss dem VPN-Provider zwangsläufig sehr viel mehr vertrauen, was einige auch ausnutzen.
Ich empfehle die hervorragenden VPN Anbieter „Astrill VPN“ und „goldenfrog“ ( VyprVPN )