Simple DNSCrypt: DNS-Abfragen unter Windows verschlüsseln

Simple DNSCrypt verschlüsselt unter Windows DNS-Abfragen. Durch die Auswahl bestimmter DNS-Server kann außerdem Werbung und Tracking blockiert werden. Dadurch steigt der Schutz vor Angriffen und Überwachung.

Nach dem Eintippen einer Internet-Adresse im Browser wird zunächst ein DNS-Server kontaktiert, der die IP-Adresse der Webseite kennt und damit die Anfrage an diese weiterleitet. Der DNS-Server übersetzt also zum Beispiel google.de in 172.217.23.67. Sämtliche Kommunikation wird somit über die Vermittlungsstelle DNS initiiert. Während Verbindungen zwischen Client und Server mittlerweile größtenteils etwa mit https verschlüsselt sind, geschieht die Kontaktaufnahme über einen DNS-Server in der Regel unverschlüsselt.

Durch die unverschlüsselte Übermittlung einer DNS-Anfrage besteht nicht nur die Gefahr, dass diese ausgespäht, sondern auch gefälscht oder manipuliert werden kann. Dadurch wird nicht nur die Sicherheit gefährdet, sondern auch die Privatsphäre des Nutzers. Bereits 2017 hat der Informatiker Dominik Herrmann in seiner Dissertation „Das Internet-Adressbuch bedroht unsere Privatsphäre“ (PDF) nachgewiesen, wie anhand von unverschlüsselten DNS-Abfragen, die Identität eines Internetnutzers ermittelt werden kann. Herrmann sieht eine Zentralisierung der Namensauflösung für die internationale Konzerne wie Google, OpenDNS und Symantec verantwortlich seien. „Im Jahr 2016 beantworteten allein die DNS-Server von Google schon mehr als 13 Prozent aller DNS-Anfragen pro Tag.“

Um sich vor diesen Gefahren zu schützen, müssen Anwender den Datenverkehr zu einem DNS-Server verschlüsseln. Und um der Konzentration des DNS-Verkehrs vorzubeugen, sollten DNS-Server gewählt werden, die nicht von großen Konzernen betrieben werden.

DNS-Anfragen verschlüsseln

Seit Version 9 ist es unter Android möglich, DNS-Anfragen mit DNS-over-TLS (DoT) zu verschlüsseln. Allerdings ist die Funktion, die unter Netzwerk & Internet – Privates DNS konfiguriert wird, standardmäßig ausgeschaltet.

Leider bietet derzeit kein anderes Betriebssystem standardmäßig Unterstützung für die Verschlüsselung von DNS-Abfragen. Firefox ermöglicht zwar die Nutzung eines verschlüsselten DNS-Servers, doch alle anderen installierten Anwendungen nutzen weiterhin unverschlüsselte DNS-Server. Microsoft hat zwar angekündigt, DNS-over-HTTPs nativ in Windows zu integrieren. Dafür wurde der Konzern sogar von der amerikansichen Datenschutzorganisation EFF gelobt, doch leider steht das Feature in Windows noch nicht zur Verfügung.

HIGHLIGHT

DNSCrypt

DNSCrypt ist ein Protokoll, das die Kommunikation zwischen einem DNS-Client und einem DNS-Resolver authentifiziert. Es verwendet kryptografische Signaturen, um zu verifizieren, dass die Antworten von auch tatsächlich von dem gewählten DNS-Server stammen und nicht manipuliert wurden und schützt somit vor DNS-Spoofing. DNSCrypt ist eine offene Spezifikation mit freien und quelloffenen Referenzimplementierungen, die mit keiner Firma oder Organisation verbunden ist. Kostenlose, DNSCrypt-fähige Resolver sind weltweit verfügbar.

Mit Simple DNSCrypt des deutschen Entwicklers Christian Hermann liegt ein Tool für Windows vor, das mit Hilfe des DNSCrypt-Proxy, Anfragen an einen DNS-Server verschlüsselt und verifiziert. DNSCrypt stellt also sicher, dass die Antworten auch vom gewählten DNS-Resolvers stammen. Natürlich muss dieses Verfahren auch vom DNS-Server unterstützt werden. Inzwischen gibt es jedoch ein großes Angebot öffentlicher DNS-Server mit Verschlüsselung. Da einige davon außerdem Tracking- und Werbe-Server filtern, kann Simple DNSCrypt auch als Werbeblocker dienen.

DNSCrypt mit DNSSEC (Bild: DNSCrypt.info)DNSCrypt mit DNSSEC (Bild: DNSCrypt.info)

Simple DNSCrypt: Konfiguration

Nach dem Start von Simple DNSCrypt öffnet sich eine graphische Benutzeroberfläche, die standardmäßig in die Bereiche Hauptmenü, Resolver, Erweiterete Einstellungen und Query Log unterteilt ist.

Simple DNSCrypt: Hauptmenü (Screenshot: ZDNet.de)

Im Hauptmenü legt man zunächst die grundsätzliche Konfiguration fest. Neben der Auswahl des IP-Protokolltyps IPv6 und IPv4 können für die Nutzung der DNS-Resolver zusätzliche Parameter eingestellt werden. Wer DNS-Server mit Filter für Adblocker, Tracking oder Erwachsenen-Content nutzen möchte, deaktiviert die Option „Nur Server ohne Filter“. Ein Klick auf „einstellungen anwenden“ sorgt dafür, dass Simple DNSCrypt mit den gewünschten Optionen betrieben wird.

Damit Simple DNSCrypt als Dienst in Windows funktioniert, schiebt man den Regler neben „DNSCrypt Dienst“ nach rechts. Ganz wichtig: unter „Netzwerkkarten“ muss man die Netzwerkkarte auswählen für die Simple DNSCrypt aktiviert werden soll.

Simple DNSCrypt: Resolver auswählen

Im Abschnitt „Resolver“ lässt ich festlegen, ob die Auswahl der DNS-Resolver nach den in der Grundkonfiguration festgelegten Parametern automatisch oder manuell erfolgen soll. Standardmäßig ist die automatische Auswahl aktiv.

Simple DNSCrypt: Resolver automatisch (Screenshot: ZDNet.de)

Wer dies nicht wünscht, wählt unter „Verfügbare Resolver“ eine oder mehrere Alternativen aus.

Simple DNSCrypt: Resolver manuell (Screenshot: ZDNet.de)

Unter „Erweiterte Einstellungen“ lassen sich weitere Betriebsparameter wie DNS-Cache oder das Blockieren von IPv6-Abragen festlegen.

Simple DNSCrypt: Erweiterte Einstellungen (Screenshot: ZDNet.de)

Der letzte Abschnitt „Query Log“ zeigt die aktuellen Datenverbindungen an.

Simple DNSCrypt: Query Log (Screenshot: ZDNet.de)

Unter dnsleaktest.com lässt ich überprüfen, ob die eingestellten DNS-Server auch verwendet werden. Sollte an dieser Stelle ein anderer als in Simple DNSCrypt eingestellter DNS-Server auftauchen, hat man vermutlich in den Einstellungen seines Browsers einen DNS-Server konfiguriert. Mit anderen Worten: Wer Simple DNSCrypt unter Windows nutzt, kann sich die Einstellungen eines DNS-Server mit Unterstützung von DNS-over-HTTPs in Firefox sparen.

Simple DNSCrypt: Mit DNS-Leak-Test DNS-Konfiguration überprüfen (Screenshot: ZDNet.de)

Über Einstellungen in der Menüleiste von Simple DNSCrypt lassen sich außerdem noch weitere Funktionen konfigurieren. Wer beispielsweise einen DNS-Server mit Tracking- und Werbefilter nutzt, kann Domains auf eine Whitelist setzen, sodass diese von der Filterung ausgenommen sind. Ebenso ist es möglich, Serveradressen auf eine Blacklist zu setzen, sodass diese gefiltert werden. Für die Aktivierung der Blacklist muss man außerdem auf der rechten Seite auf das dritte Symbol von unten klicken.

Simple DNSCrypt: Blacklist aktivieren (Screenshot: ZDNet.de)Simple DNSCrypt: Blacklist aktivieren (Screenshot: ZDNet.de)

Infos & Downloads

Themenseiten: Microsoft, Privacy

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Simple DNSCrypt: DNS-Abfragen unter Windows verschlüsseln

Kommentar hinzufügen
  • Am 7. Februar 2020 um 10:36 von Privat

    Noch mehr Hinweise in Sachen Privatsphäre bietet auch:
    Privacy Handbuch

  • Am 1. August 2020 um 15:28 von Forscher

    Danke. Beim letzten Versuch den Server von Digital Courage für DoS/DoT zu nutzen, scheiterte es an Verzögerungen. DNS-Server aus LAN-Sicht ist hier eine Fritte mit entsprechender Konfiguration. In Windows, FF und der Fritte (alles neuste ‚Beta‘) war meines Erachtens alles korrekt aber nur jeder dritte Aufruf einer Site kam durch bzw. war es so nicht wirklich nutzbar. Fallback-DNS war nicht konfiguriert. Ich war dann zugegeben einfach zu faul, und habe wieder auf User im Wartemodus geschalten. Direkt aus dem OS will ich keine echten DNS-Server (wie auch Zeitserver) ansprechen aber versuche es trotzdem einmal mit DNSCrypt, also dort die Fritte einzutragen.?.. *wenn Ende der Faulheit erreicht

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *