TechTok Nr. 4: DNS-Filterung und DNS-Datenschutz leicht erklärt
Wir setzen unsere TechTok-Serie fort, in der wir Ihre Fragen zu Werbeblockern, VPNs und Technologie im Allgemeinen beantworten. In den vergangenen Ausgaben haben wir bereits viele spannende Themen rund um VPNs und Werbeblocker behandelt. Heute widmen wir uns Ihren Fragen zur DNS-Filterung und zum DNS-Datenschutz.
Beginnen wir mit der Frage von Lenny:
Wie funktioniert AdGuard DNS? Was sind die Vor- und Nachteile der DNS-Filterung im Vergleich zur regulären Werbeblockierung und wann ist es am besten, beide zu verwenden?
Die DNS-Filterung ist ein äußerst praktisches Werkzeug zum Schutz der Privatsphäre und zur Blockierung von Werbung. Um sie besser zu verstehen, sollten wir uns zuerst anschauen, was DNS ist und wie es funktioniert.
Stellen Sie sich vor, Sie geben eine Adresse in die Leiste Ihres Browsers ein oder klicken auf einen Link. Woher weiß der Browser, wohin er Sie leiten soll? Er versteht keine Namen wie „google.com“, sondern nur IP-Adressen. Um die richtige Adresse herauszufinden, fragt der Browser einen DNS-Server an. DNS steht für „Domain Name System“ und dieses System existiert, um Domainnamen (z. B. „google.com“) in IP-Adressen (z. B. „74.125.139.139“) zu übersetzen. Es gibt viele DNS-Server, die als Übersetzer dienen können, und Sie können einen beliebigen von ihnen verwenden. Ihr Internetdienstanbieter (Internet Service Provider, ISP) stellt Ihnen einen Standard-DNS-Server zur Verfügung, aber Sie können zu jedem anderen Server wechseln, den Sie bevorzugen.
Wie DNS funktioniert
Ein „normaler“ DNS-Server gibt einfach die IP-Adresse der gewünschten Website zurück. Bestimmte DNS-Server jedoch — wie AdGuard DNS — können stattdessen „0.0.0.0“ zurückliefern, um den Zugriff zu blockieren. Genau so funktioniert DNS-basierte Werbeblockierung.
Das Grundprinzip der DNS-Filterung
Verschiedene Server können unterschiedliche Listen von Domains haben, die sie blockieren — im Fall von AdGuard DNS ist es eine lange Liste von Werbe-, Tracking- und bösartigen Domains.
Vergleichen wir nun die DNS-Filterung mit der gewöhnlichen Filterung. Der größte Nachteil liegt auf der Hand: Bei der DNS-Filterung können nur ganze Domains blockiert werden. Es fehlt die Finesse der nuancierten Web-Filterung, die es erlaubt, bestimmte Anfragen zu blockieren, „kosmetische“ Regeln anzuwenden, um die Seite nach dem Blockieren von Werbung besser aussehen zu lassen und vieles mehr. Fast alle anderen Nachteile der DNS-Blockierung sind auf die eine oder andere Weise auf diese Unfähigkeit zurückzuführen und können insgesamt als „viel weniger flexible Filterung“ beschrieben werden. Aber was ist mit den Vorteilen?
In erster Linie ist es die Möglichkeit, sie auf praktisch jedem Gerät einzurichten, das mit dem Internet verbunden ist — Handys und Tablets, Smart-TVs, sogar intelligente Haushaltsgeräte. Während für die Webfilterung eine Browsererweiterung oder eine eigenständige Werbeblocker-App benötigt wird, genügt bei der DNS-Filterung eine buchstäbliche Textzeile in den Einstellungen des Routers, um alle mit dem heimischen WLAN verbundenen Geräte vor Werbung und Trackern zu schützen.
Ein weiterer Vorteil der DNS-Filterung besteht darin, dass sie zum frühestmöglichen Zeitpunkt eingesetzt wird und daher in gewissem Sinne die effizienteste Methode zur Blockierung von Werbung und zur Verhinderung von Tracking ist, insbesondere bei mobilen Geräten, bei denen der Akkuverbrauch und der Datenverkehr von Bedeutung sind.
Um den letzten Teil von Lennys Frage zu beantworten: Im Idealfall sollte man Netzwerkfilterung mit DNS-Filterung auf allen Geräten kombinieren, die beides unterstützen. Sie ergänzen sich gegenseitig, insbesondere im Hinblick auf den Schutz vor Tracking. Wenn Sie die Wahl haben und Ihr Gerät es zulässt, entscheiden Sie sich für die reguläre Webfilterung — sie ist flexibler. Bei Geräten wie Routern und Smart-TVs sollten Sie sich für den DNS-Schutz entscheiden, da dies möglicherweise die einzige verfügbare Option ist.
Nachdem wir nun wissen, wie DNS und DNS-Filterung funktionieren, kommen wir zu einer weiteren Frage: Wie kann ich meine DNS-Verbindung sicher und privat halten. Dazu xiulou fragt:
Was halten Sie vom DNScrypt-Protokoll?
So wie Ihr normaler Internetverkehr geschützt werden muss, gilt das auch für Ihren DNS-Verkehr. DNSCrypt war eines der ersten Protokolle zur Verschlüsselung von DNS-Anfragen. Damals war das ein echter Durchbruch in Sachen DNS-Datenschutz, vor allem aber, weil es praktisch keine Alternativen gab. DNSCrypt gibt es noch heute (und AdGuard DNS unterstützt es immer noch), aber es wurde längst von modernen Protokollen wie DNS-over-HTTPS und DNS-over-TLS überholt und in den Schatten gestellt.
Apropos, Dmitry fragt an:
Bitte erklären Sie „für Dummies“, wie DNS-over-TLS und DNS-over-HTTPS funktionieren.
Während DNSCrypt heute nur noch etwa 10% der verschlüsselten DNS-Anfragen ausmacht, dominieren DoH und DoT mit zusammen rund 90% des gesamten verschlüsselten DNS-Verkehrs. Lassen Sie uns versuchen, ein wenig in ihre Funktionsweise einzutauchen.
Mit unverschlüsseltem DNS geschieht Folgendes: Wenn Ihr Browser die IP-Adresse der Website, die Sie besuchen möchten, abfragt, sendet er die Anfrage zusammen mit dem Domainnamen dieser Website im Klartext an den DNS-Server. Das bedeutet, dass jeder, der Ihren DNS-Verkehr „belauscht“, keine Hürden überwinden muss und problemlos jede Website einsehen kann, die Sie zu besuchen versuchen.
Mit DoH wird Ihre DNS-Kommunikation mit HTTPS verschlüsselt — dem bekannten und sicheren Protokoll, das Sie überall im Internet sehen (wenn Sie das grüne Schlosssymbol neben der Adressleiste Ihres Browsers sehen, handelt es sich um HTTPS). Jede DNS-Anfrage, die Ihr Browser über DoH sendet, wird verschlüsselt, indem sie in eine HTTPS-Anfrage „verpackt“ wird. Dies bietet nicht nur Schutz an sich, sondern lässt auch Ihren DNS-Verkehr für Außenstehende wie normalen HTTPS-Verkehr aussehen. Auf diese Weise erkennen sie nicht einmal, dass das, was sie sehen, eine DNS-Anfrage ist, geschweige denn, dass sie sie lesen können.
DoT funktioniert etwas anders als DoH. Es verwendet das Sicherheitsprotokoll TLS, um einen direkten und sicheren Tunnel zwischen Ihrem Browser und dem DNS-Server aufzubauen, über den DNS-Anfragen in beide Richtungen laufen können. Dadurch wird Ihr DNS-Verkehr nicht nur sicherer, sondern auch für jeden Beobachter leichter erkennbar, da er sich leicht vom normalen HTTPS-Verkehr unterscheiden lässt. Alles in allem bieten beide Protokolle hohen Schutz, unterscheiden sich jedoch in ihrer technischen Umsetzung.
Es gibt noch mehr Fragen rund um DNS, aber wir können leider nicht alle in einem Beitrag beantworten. Wir werden auf jeden Fall später auf DNS-Filterung und DNS-Datenschutz zurückkommen — senden Sie uns weitere Fragen zu DNS und anderen Themen über dieses Formular und vielleicht finden Sie die Antworten schon in der nächsten Ausgabe von TechTok!
