Cloudflare: DNS-Server für Familien kann vor Malware und Erwachseneninhalten schützen
2018 stampfte man bei Cloudflare den alternativen DNS-Dienst 1.1.1.1 aus dem Boden. Das relativ komplexe Gebilde (welches ich hier erkläre) soll den Fokus auf Privatsphäre und Geschwindigkeit legen.
Cloudflare sieht es so: Man möchte unter anderem nicht, dass Provider sehen, welche Seiten Besucher angesurft haben, da es wohl einige schwarze Schafe gibt, die den Browserverlauf der Kunden verkaufen. Nutzt man also den DNS-Server (Domain Name System) von Coudflare, dann soll man privater unterwegs sein. Das kann man auf Gerätebasis einstellen – oder direkt im Router, woraufhin Geräte im Netz diesen Server nutzen.
Cloudflare führt nun zwei neue „Server“ ein. Während 1.1.1.1 ohne „Zensur“ ist, geht man nun mit 1.1.1.2 und 1.1.1.3 weiter. In Kurzform – das Ganze ist für Familien gedacht und auch kostenlos. 1.1.1.2 als DNS gesetzt, soll von Cloudflare erkannte Malware blocken, während 1.1.1.3 nicht nur diese erkennt, sondern auch „Erwachsenenseiten“ blockiert.
Dies ist kein Aprilscherz, ich habe das Ganze eben selbst getestet, entsprechende Seiten werden nicht erlaubt. Problem: Man hat weder Zugriff auf White- oder Blacklisten, derzeit heißt es: Friss oder stirb. Das sieht bei Eigenbau-Lösungen (z. B. auf dem Raspberry Pi) oder bei anderen DNS-Diensten anders aus.
In den kommenden Monaten wolle man aber die Möglichkeit bieten, zusätzliche Konfigurationseinstellungen für „1.1.1.1 für Familien“ zu definieren. Dazu gehören Optionen zur Erstellung spezifischer Whitelists und Blacklists bestimmter Websites. Nutzer werden die Tageszeiten festlegen können, in denen Kategorien wie Social Media blockiert werden, und Berichte über die Internetnutzung des Haushalts erhalten.
„1.1.1.1 for Families“ basiert auf der gleichen Website-Kategorisierungs- und Filtertechnologie, die auch das Gateway-Produkt von Cloudflare verwendet. Mit dem Erfolg von „Gateway“ wolle man einen benutzerfreundlichen Dienst anbieten, der jedes Heimnetzwerk schnell, zuverlässig und sicher macht und vor potenziell schädlichen Inhalten schützt.
Mal schauen – Cloudflare generiert sein Geld aus Verkäufen von Dienstleistungen an Unternehmen, mal sehen, ob der DNS für Familien auch in späterer Form kostenlos bleibt.
Gibts auch schon die IPv6 Adressen?
Auf Cloudflare steht noch nichts.
2606:4700:4700::1112
2606:4700:4700::1002
Quelle:
https://developers.cloudflare.com/1.1.1.1/1.1.1.1-for-families/setup-instructions/router/
Malware Only:
2606:4700:4700::1112
2606:4700:4700::1002
Malware + Adult:
2606:4700:4700::1113
2606:4700:4700::1003
DoT:
1dot1dot1dot2.cloudflare-dns.com
1dot1dot1dot3.cloudflare-dns.com
Dankeschön
„DoT:
1dot1dot1dot2.cloudflare-dns.com
1dot1dot1dot3.cloudflare-dns.com“
geht zumindest mit der FritzBox nicht als DoT.
Bzw. kommen dort andere IPs heraus (die von cloudflare.com) und diese sind auch nicht als verschlüsselte Verbindung
DoT in Fritzbox:
Nimm doch in der Fritzbox einfach nur den Teilstring (s.u.) der URL. Bei mir funktioniert die Namensauflösung (Fallback ist ausgeschlossen/ nicht angehakt)
Auflösungsnamen des DNS-Server:
cloudflare-dns.com
auch unter
https://developers.cloudflare.com/1.1.1.1/dns-over-tls/
(1112 und 1002 funktionieren auch über DoT)
Dann sind es aber irgendwelche Cloudflare IPs.
Nichts mit 1.x.x.x
Außerdem wird in der FritzBox nicht angezeigt das eine Verschlüsselung aktiv ist.
Nur mit one.one.one.one funktioniert die Verschlüsselung und es sind die richtigen IPs.
one.one.one.two gibt es leider (noch?) nicht für DoT.
Du hast vollkommen Recht Sebastian. Nur mit cloudflare-dns.com besteht KEIN DoT.
Ich hatte dies angenommen, da die Fritzbox beim Abspeichern nicht meckerte.
Wieder ‚was gelernt heute!!
Im Online Monitor der FB wird es dann auch korrekt angezeigt wenn man z.B.
1dot0dot0dot1.cloudflare-dns.com einträgt.
Genutzte DNS-Server :
2606:4700:4700::1111 (DoT verschlüsselt)
2606:4700:4700::1001 (aktuell genutzt für Standardanfragen – DoT verschlüsselt)
1.0.0.1 (DoT verschlüsselt)
1.1.1.1 (DoT verschlüsselt)
Alternativ kann man dies im Browser auch bei Cloudflare direkt überprüfen
https://www.cloudflare.com/ssl/encrypted-sni
Secure DNS hat dann einen grünen Haken
DoT dot2 und dot3 geht bei mir leider unter Android nicht. nur dot1 wie ich es bisher eingestellt hatte :-/
Sorry, was bedeutet DoT:?
Heißt DNS over TLS, also verschlüsselte DNS Abfragen.
https://de.wikipedia.org/wiki/DNS_over_TLS
Ich musste es auch raus suchen 🙂
Die 1.1.1.2 Variante klingt doch attraktiv (ich nutze 1.1.1.1 seit Anbeginn und bin sehr zufrieden, zumal es bei UnityMedia auch schon DNS Probleme gab).
Dito, Unitymedia Kunde und nutze ebenfalls 1111, werde ggf mal 1112 testen; Frage ist nur was wirklich als Malware definiert ist
Mit den neuen Vodafone Station Routern ist eine Änderung des DNS nicht mehr möglich.
Man kann die DNS Beispielsweise in den Windows Netzwerkeinstellungen ändern.
Ich will sie aber generell ändern, eben damit ich sie nicht an allen Endgeräten anpassen muss.
Dann kauft man sich halt einen eigenen Router
Lieber ein Pihole: Filterlisten unter eigener Kontrolle, keine Zensurmöglichkeiten seitens Dritter, Privatsphäre.
Mit einem PiHole kannst du nicht gezielt einzelne Seiten unterstützen, sofern diese auf geblockte Services setzen.
Ja, leider, ich weiß.
Wo ich aber eine andere Möglichkeit zur Unterstützung habe, nutze ich die hingegen gern ab und an mal. 😉
Man kann das aich anders sehen. Wen man einen bestimmen Service blockt, hat man seinen Grund dafür. stattdessen kann man anders unterstützen, z.B. durch Spende. Das ist zumindest mein Plan wenn ich piHole einrichte.
Nutze seit längerem auch schon sehr erfolgreich AdGuard DNS („Standard“) als Basis-Adblocker im Router Geräteübergreifend.
Selbstverständlich werden sowohl inzer Windows (Adguard Desktop) als auch Smartphone (1Blocker, Better…) Adblocker eingesetzt.
PiHole hab ich ebenso wie AdGuard Home ausprobiert auf einem Raspberry – konnten mich nicht überzeugen.
Werde mir demnächst mal eblocker anschauen.
Ich nutze PiHole und bin eigentlich recht zufrieden damit. Was für Probleme hattest du?
Fand die Konfiguration reichlich aufwändig vor allem mit IPv6 Adressen.
IPv4 ist schnell ermittelt vom Raspberry in und für die Fritzbox als DNS – aber IPv6 macht da schon Probleme.
Egal – der Raspberry läuft nicht weg mal schauen was die Zukunft bringt – werde Eblocker auf dem Pi testen.
Für IPV6 im pihole kannst du einfach in der Fritzbox eine Adresse erzeugen: Unique Local Addresses (ULA) immer zuweisen
Hatte ich auch schonmal nachgelesen – aber das Ganze ist mir persönlich zu viel Frickelei – schade, dass sowas nicht unkomplizierter geht.
Die Beschreibungen/Anleitungen für eBlocker hören sich zumindest wesentlich unkomplizierter an:
https://eblocker.org/eblockeros-download-2/
Naja, AdGuard-DNS in der Fritzbox als DNS-Server in Kombi mit AdGuard Desktop (Notebook) sowie Adblocker-Apps auf Smartphone (1Blocker/Wipr…) läuft super.
So wird „Basic“ auf der FritzBox geblockt und die Feinheiten laufen dann auf den Geräten.
Zum Blocken auf Endgeräten wie Streamingboxen usw. langt AdGuard DNS bisher noch gut.
Kann man machen, aber dadurch musst Du der Firma Adguard auch potenziell absolut uneingeschränkt vertrauen, da sie prinzipiell die Möglichkeit hätten jeden Internetverkehr zu manipulieren, auch sicherheitskritischen wie Banking und Co.
Und so weit geht mein Vertrauen in diese Firma dann wahrlich nicht.
eBlocker gibt es nicht mehr. Ist btw. auch nichts anderes wie PiHole mit ein bisschen ChiChi drumherum.
https://www.eblocker.com/wp-content/uploads/2019/06/190603_eBlocker_Insolvenz_Stellungnahme.pdf
eBlocker gibt es schon noch – und zwar als OpenSource bzw. Gratis (man kann spenden):
https://eblocker.org/
Kann man direkt für Raspberry etc. laden:
https://eblocker.org/eblockeros-download-2/
Fahre jedoch aktuell mit dem AdGuard-DNS in der Fritzbox sehr gut.
Für Feinheiten gibts auf den Notebooks bzw. Smartphones noch entsprechende Apps/Programme und gut ist.
Ich nutze dafür zur Zeit die DNS von Dismail, weil die schon länger Malware blockieren. Nun könnte Cloudflare ja wieder eine Option sein, gibt es aber bestimmte Gründe, die für oder gegen diesen oder jenen Dienst sprechen?
Lesestoff
https://www.privacy-handbuch.de/handbuch_93d.htm
Und Cloudflare zeigt gleich noch selbst, warum ich fremde DNS Server nicht mehr nutze: Nicht nachvollziehbares Blocking! (https://blog.cloudflare.com/the-mistake-that-caused-1-1-1-3-to-block-lgbtqia-sites-today/)
Wer kann uns dort garantieren, dass nicht irgendwann Politik als „Adult Content“ gewertet wird? Oder das nochmal jemand bei Cloudflare „ausversehen“ den falschen Filter aktiviert?
Niemand kann Dir das garantieren, aber es ist auch niemand verpflichtet die Cloudflare-DNS-Server zu verwenden, es ist ein kostenfreies Angebot. Sollte bekannt werden, dass Cloudflare seine Position missbräuchlich verwendet und falsch bzw. zu viel filtert, sind die Leute ganz schnell wieder weg. Und Dein Link um Cloudflare-Blog zeigt doch eigentlich, dass man offen mit der Problematik umgeht.
Türlich kann mir das niemand garantieren. Und das ist das Problem. Auch heißt doch nicht, wenn sie jetzt offen damit umgehen, dass sie das bei jedem Thema und in Zukunft noch tun werden.
Und natürlich muss ich das nicht nutzen. Ich mag nur Gründe für die Nichtbenutzung solcher Services nennen und darauf hinweisen, dass alternative Angebote durchaus sinnvoll sind und – trotz Aufwand und ein bisschen weniger Bequemlichkeit – eine Menge Vorteile bieten.
Dann nimm einer der es auch ohne Filter gibt, zB DNS.WATCH, wer garantiert Dir dass Dein Provider nicht filtert?!
Mein Provider filtert mit Sicherheit … daher betreibe ich auch meinen eigenen DNS-Server mit Pihole. Die Performance ist in Ordnung, die Filterlisten wähle ich selbst aus, gelogt wird nichts und Downtimes sind quasi nicht vorhanden. Klar habe ich Aufwand und (geringe) Kosten damit, aber das ist mir allemal lieber, als mein komplette Internetnutzung auch noch gegenüber Cloudflare offen zu legen.
Und wer „garantiert“ dir das in den von dir verwendeten Filterlisten nicht aus versehen mal Politik oder andere Seiten zu unrecht geblockt werden? Niemand – du vertraust halt nur jemand anderem, nämlich dem Ersteller / Maintainer der Liste. Oder pflgest du deine Blocklisten alle selbst und verifizierst diese?
Also alles in allem das gleiche Spiel. Im Pihole könntest du die Listen zwar manuell editieren, macht aber keiner.
Ich verwende seit Jahren Quad9 mit Malware Block und hatte noch nicht einmal ein Problem mit der externen Liste.
Manche Blocklist „übertreibt“ es manchmal. Dafür gibt es die Whitlist. Die ist in der Priorität höher und überstimmt die Blocklist. Zusätzlich pflege ich auch eine eigene Blocklist, die Fakeshops blockiert.
Die Listen sind offen … ich schaue regelmäßig drüber, was sich verändert hat. Zudem arbeiten an den Listen nicht nur einzelne Leute, „unangenehme“ Änderungen fallen da auf. Zudem nutze ich einige selbst-verwaltete Listen, Änderungen mache ich da komplett manuell. Dadurch bin ich sicher nicht immer auf dem aktuellsten Stand, aber weiß zumindest, was passiert.
Sagen wir mal so, sie Deutsche Telekom oder sonst ein großer deutscher Provider ist sicher erst Mal tendenziell vertrauenswürdiger als irgendeine Hinterhof Klitsche im Ausland die einen DNS Dienst betreibt. Um das jetzt mal etwas überspitzt zu formulieren.
Also, die Filterfunktion verstehe ich ja noch, ist nett, wenn eine DNS-Anfrage zu etwas Bösem schon ins Leere läuft. Aber den Aspekt Datenschutz verstehe ich nicht so ganz. Mit meinem Provider habe ich einen Vertrag, der sitzt hier in Deutschland und muss sich mindestens theoretisch an irgendeinen Datenschutz halten. Mit Cloudflare habe ich gar nichts, dort nutze ich nur einen Dienst. Zudem noch einen Dienst aus den USA, die sogar wissen, dass sie ihre Daten mindestens mal der Regierung ständig geben müssen. Dazu kommt, dass die Anfragen an den DNS-Dienst offen durchs Internet geistern, der Provider diese also sogar ebenfalls lesen kann. Nutzt man Cloudflare also nicht als DNS over Https oder dergleichen, gibt man die Daten gleich zwei Firmen.
Davon unberührt sind natürlich Problemlösungen wie ein unzuverlässiger DNS des Providers oder die Filterung, aber mit Datenschutz hat das nichts zu tun.
Naja, das deutsche Unternehmen gibt deutschen und amerikanischen Geheimdiensten alles, das amerikanische nur den amerikanischen. …da fällt die Wahl doch nicht schwer, oder? 😉
Ich nutze immer und überall https://cleanbrowsing.org/
Es gibt verschiedene Filter oder gar keine und bieten DoH, DoT, DNSCrypt.
Schlimmer gehts immer…
Stimmt! Da die Filter nach eigenem Ermessen eingesetzt werden können, die Verbindung verschlüsselt und der Datenverkehr nicht geloggt wird, geht`s wirklich nur noch schlimmer… 😉
Klar, man kann auch alles selbst betreiben/ verwalten, der Aufwand ist mir aber zu groß.
Pihole + Unbound
Kann https://github.com/0xERR0R/blocky empfehlen: schlank, schnell, läuft auf dem Raspberry und/oder als Docker. Kann pro Benutzergruppe (z.B. Kinder) andere Blocklisten benutzen. Macht Anfragen parallel an mehrere externe DNS-Server -> so wird auch Privatsphäre geschützt, da nicht nur 1 Anbieter alle Anfragen bekommt.
Welche Provider sollen das denn sein, die den Surfverlauf ihrer Kunden weiterverkaufen?
Zumindest in Deutschland dürfte das ganz empfindliche Strafen wegen Datenschutzverstößen nach sich ziehen, von daher fällt es mir schwer daran zu glauben, dass dies praktiziert wird auf der Ebene.
Ich glaube auch, dieser Ansatz kommt eher aus den USA oder Ländern, wo das halt normal ist.
Hatte mal deren DNS-Server benutzt -> viele Seiten luden nur noch extrem langsam
Nun wieder bei google und es läuft deutlich schneller