Desktop

DNS-Server: zensurfrei, datenschutzfreundlich, sicher

Sichere DNS Server

Quelle: http://www.freepik.com/index.php?goto=74&idfoto=716262

Dieser Beitrag wurde am 26. Januar 2018 das letzte Mal aktualisiert.

Dieser Artikel beschäftigt sich mit sicheren, zensurfreien DNS-Servern. Das Thema hört sich vielleicht kompliziert an, ist aber anhand eines Beispiels recht einfach zu erklären und mit unserer Anleitung einfach umzusetzen. Hier erfahrt ihr, was DNS-Server sind, wozu sie gebraucht werden, wie sie missbraucht werden und wie ihr euch davor ohne großen Aufwand schützen könnt.

DNS: Das “Telefonbuch” des Internets

Die Abkürzung DNS steht für “Domain-Name-System” und ist das Namensverzeichnis des Internets. Hier finden sich zu den Namen, die ihr in euren Browser eingebt, die IP-Adressen, wo die jeweiligen Webauftritte zu finden sind. Die Idee dahinter ist, dass sich Menschen Namen besser merken können als wilde Kombinationen von Nummern, aber gleichzeitig müssen eben diese Nummern am Ende trotzdem aufgerufen werden — darum schlägt sie euer Browser für euch einfach nach. DNS wird aber auch für andere Dienste im Internet verwendet, zum Beispiel E-Mail oder Chat.

Zur Veranschaulichung ein Beispiel:
Max möchte im Internet eine bestimmte Website aufrufen. Er kennt, wie jeder andere auch, natürlich nur die Internet-Adresse (datenschutzhelden.org) und gibt sie in der Adressleiste des Browsers ein. Um Sites anzeigen zu können, muss der Browser allerdings wissen, unter welcher IP-Adresse die Site zu erreichen ist. Hier kommt der DNS-Server ins Spiel, der wie ein Telefonbuch funktioniert und zum Namen “datenschutzhelden.org” die zugehörige Nummer (IP-Adresse) ausgibt. Erst nach diesem Zwischenschritt kann der Browser die gewünschte Site von dem Server laden, bei dem sie hinterlegt ist. Max merkt von diesen Zwischenschritten in der Regel nichts und surft wie gewohnt im Internet.

DNS ist nicht sicher vor Manipulation

Die deutsche Bundesregierung wollte 2009 mit dem Vorwand, gegen Kinderpornografie vorgehen zu wollen, das inländische Internet zensieren. Angriffspunkt dafür war das Domain-Name-System, das über eine Blacklist vom Bundeskriminalamt unerwünschte Sites aussperren sollte. Statt der aufgerufenen Site sollte ein großes Stoppschild zu sehen sein. Zur Umsetzung sollten die Internet-Zugangsanbieter in die Pflicht genommen werden, eure DNS-Anfragen an die zensierten DNS-Server weiterzuleiten. Durch die fragwürdige technische Umsetzung, war es allerdings möglich versehentlich auch legitime Sites mitzusperren — sozusagen als Kollateralschaden. Glücklicherweise konnte der Widerstand aus der Zivilgesellschaft das Gesetz wieder kippen.

Das Beispiel zeigt allerdings sehr deutlich, welche besondere Stellung das Domain-Name-System hat. Der DNS-Server kennt alle von euch verwendeten Internet-Dienste und die Webseiten die ihr besucht. Neben Manipulation ermöglicht es vollständige Überwachung eures Online-Verhaltens.

Andere DNS-Server verwenden

Standardmäßig verwendet euer PC den DNS-Server eures Routers und der wiederum den eures Internet-Zugangsanbieter (Telekom, Vodafone, …) und euer Smartphone den eures Mobilfunkbetreibers (Telekom, Vodafone, O2, …). Das könnt ihr ganz einfach testen, indem ihr die Site DNSleaktest aufruft und den Standard-Test startet. In der ISP-Spalte seht ihr, welcher Anbieter eure DNS-Anfragen entgegen nimmt.

Alternativ dazu könnt ihr einen DNS-Server einstellen (wie das geht, erklären wir euch im Anschluss), der euch nicht überwacht oder zensiert. Zusätzlich sollte der Server DNSSEC unterstützen, was eure DNS-Anfrage vor Manipulation schützt und ohne weitere Konfiguration funktioniert. Zwar gibt es auch hier Angriffsfläche, nämlich beim Weg vom DNS-Server zu eurem Client, es sollte aber als zusätzliche Sicherheitsschicht trotzdem verwendet werden. Um nach der Einrichtung zu überprüfen, ob DNSSEC funktioniert, könnt ihr den Test auf DNSSEC? Or not? verwenden. Am Ende des Artikels haben wir noch einige weiterführende Maßnahmen, um auch diese Lücke zu schließen und eure Sicherheit weiter zu erhöhen. Einige unserer Ansicht nach vertrauenswürdigen Server, findet ihr in der nachfolgenden Liste.

Freie DNS-Server auswählen

Unterstützt DNSSEC:

  • DNS.WATCH
    Wird spendenbasiert betrieben und verspricht einen verlässlichen, schnellen, zensurfreien und datenschutzfreundlichen Dienst. Persönliche Informationen werden ausdrücklich nicht geloggt.

    • IPv4
      • 84.200.69.80
      • 84.200.70.40
    • IPv6
      • 2001:1608:10:25::1c04:b12f
      • 2001:1608:10:25::9249:d69b
  • UncensoredDNS
    Wird von einer Privatperson betrieben und finanziert und verspricht einen kostenfreien, zensurfreien und datenschutzfreundlichen Dienst. Persönliche Informationen werden ausdrücklich nicht geloggt.

    • IPv4
      • 91.239.100.100
      • 89.233.43.71
    • IPv6
      • 2001:67c:28a4::
      • 2002:d596:2a92:1:71:53::

 

Unterstützt momentan kein DNSSEC:

  • Chaos Computer Club
    Der Chaos Computer Club ist ein Verein, der sich netzpolitisch für ein freies Internet und gegen Überwachung einsetzt. Der DNS-Server verspricht, unzensiert und frei zu sein.

    • IPv4
      •  213.73.91.35
  • Digitalcourage
    Der Verein setzt sich für Grundrechte und Datenschutz ein. Der spendenfinanzierte DNS-Server verspricht, unzensiert und frei zu sein.

    •  IPv4
      • 85.214.20.141

Hinweis: Es ist sinnvoll, zwei bis maximal drei DNS-Server anzugeben.

DNS-Server in Windows einstellen

  1.  Öffnet das Startmenü am unteren linken Bildrand und geht in die Systemeinstellungen.
  2. Wählt dort nun das Netzwerk- und Freigabecenter aus.
  3. Navigiert jetzt zum Unterpunkt “Adaptereinstellungen ändern”  und wählt diesen aus.
  4. Nun seht ihr eine Liste der gespeicherten Netzwerke.
  5. Klickt jetzt mit der rechten Maustaste auf eine dieser Verbindungen und öffnet die “Eigenschaften”.
  6. Es erscheint eine Element-Liste, in der ihr nach “Internetprotokoll Version 4” suchen müsst, um dann das dazugehörige Eigenschaftsmenü zu öffnen.
  7. Sowohl die IP-Adresse als auch die DNS-Serveradresse sind automatisch vorkonfiguriert. Um dies zu ändern, klickt einfach auf “Folgende DNS-Serveradresse verwenden”, um eine DNS-Adresse eurer Wahl einzugeben.

DNS Server in Linux einstellen

  1. Öffnet die Datei “/etc/resolv.conf” (als Superuser).
    z.B. im Terminal mit dem Befehl “sudo nano /etc/resolv.conf”
  2. Löscht hier alle Zeilen mit dem Beginn “nameserver”
  3. Fügt neue DNS-Server hinzu.
    “nameserver <IP-Adresse-des-Servers>”
  4. Speichert die Datei.
    z.B. in Nano mit den Tasten “Str-X” und danach “y”
  5. Schützt die Datei vor Veränderung.
    Im Terminal “sudo chattr +i /etc/resolv.conf”

DNS-Server in Mac OS einstellen

  1. Drückt auf das Apfel Symbol am linken oberen Bildrand.
  2. Klickt auf den Unterpunkt “Systemeinstellungen…” .
    Es öffnet sich nachfolgend das Fenster, in dem ihr die Einstellungen vornehmen könnt.
  3. Wählt nun das Symbol in der Mitte mit der Unterschrift “Netzwerk” aus.
  4. Jetzt klickt ihr auf die gewünschte Netzwerkverbindung, die ihr in der linken Spalte aufgelistet seht. Eine aktive Verbindung erkennt ihr an dem kleinen grünen Punkt neben der jeweiligen Verbindung.
  5. Klickt nun auf “weitere Optionen” in der linken Hälfte des Fensters.
  6. Nun seht ihr mehrere Reiter, unter anderem “DNS”. Klickt diesen an.
  7. Jetzt könnt ihr nach Belieben die Adresse zu eurem DNS-Server ändern, indem ihr unten auf das kleine “+” klickt.

Weiterführende Schutzmaßnahmen

Ihr könnt den DNS-Server ebenfalls direkt an eurem Router umstellen, dadurch verwenden alle Clients, die damit verbunden sind, automatisch den alternativen Server. Bei euren mobilen Clients (beispielsweise Laptop), sollten ihr dann allerdings zusätzlich die Einstellung im Betriebssystem vornehmen, damit ihr auch unterwegs die richtigen DNS-Server verwendet.

Um den Transportweg abzusichern, gibt es zwei empfehlenswerte Projekte:

Die Konfiguration ist allerdings nicht ganz einfach, deswegen sollen diese beiden Projekte nur als Anregung für technisch versierte Leser verstanden werden. Wenn es in Zukunft einfachere Lösungen geben sollte, werden wir für euch dazu ebenfalls eine Anleitung schreiben.

Sicher, aber nicht privat

Die hier beschriebenen Maßnahmen sorgen für mehr Sicherheit, aber nicht für mehr Privatsphäre. Das liegt daran, dass eine weitere Partei Daten von euch erhält — der Betreiber des alternativen DNS-Servers. Die anderen Teilnehmer wissen deswegen nicht weniger. Zwar kann euer Internet-Zugangsanbieter nicht mehr die Inhalte eurer DNS-Anfragen sehen, aber er kennt trotzdem weiterhin jede Seite, die ihr aufruft, selbst wenn ihr HTTPS verwendet. Denn beim TLS-Handshake wird der Name der aufzurufenden Webseite unverschlüsselt übermittelt.

Der Nutzen überwiegt hier unserer Meinung nach trotzdem das Risiko. Zwar müsst ihr dem Versprechen der Serverbetreiber ungeprüft glauben, allerdings haben wir extra Server mit einer guten Reputation herausgesucht. Dafür entkommt ihr der möglichen Manipulation eures Internet-Anbieters und profitiert zusätzlich von DNSSEC. Wenn ihr dann noch den Transportweg absichert, seid ihr so gut geschützt, wie ihr es eben sein könnt.

Wenn noch Fragen offen geblieben sein sollten, scheut euch bitte nicht davor, einen Kommentar zu hinterlassen. Wir freuen uns über jedes Feedback und sind offen für Fragen jeglicher Art.

– Eure Datenschutzhelden

 

Update, 5.11.2017: Wir haben den Artikel komplett überarbeitet und auf den neuesten Stand gebracht.





  1. kitkat

    Machen diese DNS Server mein Internet langsamer als die automatischen Server?
    + unter Windows kann man weitere DNS Server angeben (wenn man auf advanced klickt wenn man schon in den DNS properties ist) ist das sinnvoll? Ich schätze wenn der erste DNS Server die ip-Adresse nicht findet, wird automatisch der nächste Server verwendet?

    • Datenschutzhelden

      Durch die neuen DNS-Server wird das Surfen nicht langsamer!
      Wie beschrieben ist es nicht sinnvoll mehr als drei unterschiedliche DNS-Server anzugeben, da je nach Konfiguration alle DNS-Server gleichzeitig abgefragt werden und somit bei einer großen Anzahl an Server diese Anfragen länger dauern könnten. Drei ist die optimale Anzahl damit man alle Domains abdeckt und trotzdem kein Geschwindigkeitseinbußen hat.

  2. kitkat

    Mein PC, der im Firmennetzwerk ist, hat die neuen DNS Einstellungen nicht anerkannt – offenbar spielt sich das Firmenintern ab.
    Ich kann anderen empfehlen die DNS Server umzustellen, die Einstellung allerdings im Hinterkopf zu behalten.

  3. bdch

    Hallo
    Sind diese DNS, die hier vorgeschlagen werden,
    nicht aus den USA ?
    Wie sicher ist das ? (evtl. NSA ?)

    Open DNS
    IPv4
    208.67.222.222
    208.67.220.220

    • Thorsten

      Hallo,

      wie du bereits richtig vermutest ist eine gesunde Skepsis gegenüber Dienstanbieter aus den USA angebracht. Ja, die OpenDNS Server stehen in den USA. Als ich mich vor kurzem nach einem guten DNS-Server umgeschaut hatte, habe ich mich auch gegen OpenDNS entschieden. Die Empfehlungen habe ich deswegen kurz geprüft und überarbeitet. Danke für dein Kommentar. Uns wäre das wahrscheinlich erst viel später aufgefallen.

      Viele Grüße,
      Thorsten

  4. Timm

    “sicheren, zensurfreien DNS-Servern” janee iss klar,… was macht denn diese Server sicherer und unzensierter? Wer betreibt die, und warum? Wo liegt der Profit? Was ist mit den Daten die an diesen Servern anfallen? Fragen über Fragen… die dieser Artikel offen lässt.

    • Thorsten

      Hi Timm,

      ich stimme dir zu, dass bei kostenlosen Diensten die Finanzierung hinterfragt werden muss. Hast du denn begründeten Verdacht, dass einer der hier genannten Server nicht vertrauenswürdig ist? Dann würde ich mich über eine Erläuterung freuen, damit wir die Empfehlungen dementsprechend verbessern können.

      Viele Grüße,
      Thorsten

Einen Kommentar abgeben

Achtung! Alle Daten, die ihr in das Kommentarfeld eingebt, werden bei uns auf dem Server gespeichert. Eine Weitergabe eurer Daten an Dritte findet nicht statt.

Es ist möglich, ohne die Angabe einer Email-Adresse zu kommentieren.

Die Kommentare werden moderiert und wir versuchen, schnellstmöglich auf eure Fragen einzugehen. Bitte habt Nachsicht mit uns, wenn das auch mal ein paar Tagen dauern kann.

CC-BY-NC-SA
Alle Texte auf Datenschutzhelden.org stehen, sofern nicht anders publiziert, unter Creative Commons Attribution 4.0 International License.