Erhöhen Sie die Sicherheit mit DNS-Filterung

FRITZ!Box / / Von / FRITZ!Box, Internetzugang, Router, Sicherheit / 7 Minuten zum Lesen
Inhalt
Einschränkungen
Implementierungsmethoden
einige mögliche Lösungen für die dns-Filterung
Router-Konfiguration
WARP-Client-Konfiguration

Wenn Sie bereits die Standard-Sicherheitstools wie Echtzeit-Antimalware-Scans, die Installation von System-Updates und die Firewall-Funktionen des Betriebssystems nutzen, sind Sie vielleicht daran interessiert, mit der DNS-Filterung einen Schritt weiter zu gehen. DNS (oder Domain Name System) ist für die Übersetzung von Internetnamen (wie www.google.com) in technische IP-Adressen zuständig, die verwendet werden, um die Anfrage an den Server und die gewünschten Daten zurück zu erhalten. Wenn die zurückgegebenen Daten schädlich sind, wird der Anti-Malware-Scanner sie hoffentlich abfangen - aber was wäre, wenn wir die Anfrage einfach auf Malware-Seiten umleiten könnten? Hier kann die DNS-Filterung helfen - bekannte bösartige oder ungeeignete Webadressen werden einfach mit einer anderen IP-Adresse beantwortet, so dass der Zugriff auf die Inhalte, die über die ursprünglich angegebene Adresse bereitgestellt werden, einfach nicht möglich ist. Dies kann verwendet werden, um den Zugang zu bekannten Malware-Seiten oder Content-Servern zu beschränken, die zusätzliche Downloads für Malware-Tools anbieten, aber auch um den Zugang zu Inhalten für Erwachsene zu beschränken. Wenn dies auf DNS-Ebene geschieht, wirkt es sich nicht nur auf den Webbrowser aus, sondern auch auf alles, was in E-Mails eingebettet ist oder worauf Sie direkt von einer auf Ihrem Gerät laufenden Anwendung aus zugreifen. In einigen Fällen können auch neue, aber nicht kategorisierte, gewünschte Inhalte blockiert werden, aber das kommt wirklich selten vor. Klingt interessant? Dann fangen wir an!

Einschränkungen

Ich habe eine Einschränkung gefunden, auf die Sie stoßen könnten: Ich nutze Vodafone als Mobilfunkanbieter in Deutschland und Vodafone erlaubt nur DNS-Servern mit Sitz in Deutschland, die erforderlichen DNS-Einträge für Wifi Calling aufzulösen. Wenn Sie DNS-Server außerhalb Deutschlands zum Filtern oder anstelle der DNS-Server Ihres Anbieters verwenden (8.8.8.8 von Google ist nicht der DNS Ihres Anbieters!), funktioniert Wifi Calling nicht mehr. Wir haben Sie gewarnt - wenn Sie Wifi Calling benötigen, kann eine Änderung der verwendeten DNS-Server dazu führen, dass diese Form nicht mehr funktioniert.

Implementierungsmethoden

Mir sind derzeit zwei Implementierungsmöglichkeiten bekannt, die Sie in Ihrem Heimnetzwerk oder auf Ihren Geräten nutzen können. Die erste besteht darin, die DNS-Server zu ändern, auf die Ihr Internet-Router verweist. Dadurch wird das gesamte interne Netzwerk geschützt, es sei denn, es wird direkt auf dem Client außer Kraft gesetzt. Da Sie vielleicht auch Ihre mobilen Geräte wie Telefone, Tablets oder Notebooks schützen möchten, wenn Sie unterwegs sind, können Sie diese durch die Installation eines zusätzlichen Clients schützen, der den DNS-Verkehr umleitet, auch wenn Sie sie außerhalb Ihres geschützten Heimnetzwerks verwenden. Die Kombination beider Ansätze bietet eine saubere und recht einfache Einrichtung, die Ihr Sicherheits- und Schutzniveau mit einer Lösung erhöht, die von den meisten größeren Unternehmen bereits seit Jahren eingesetzt wird.

einige mögliche Lösungen für die dns-Filterung

Hier ist eine kurze Liste einiger bekannter Lösungen für die DNS-Filterung, die mir in der Vergangenheit begegnet sind, und wo zutreffend habe ich auch einige Kommentare zu meinen bisherigen Erfahrungen damit hinzugefügt.

  • OpenDNS Family Shield / Home (kostenlos) oder Home VIP (kostenpflichtig)
    • hatte schon alle, blockiert im Allgemeinen zu viel und lässt nicht-englische Seiten weiterhin zugänglich, Home VIP empfohlen, damit Sie die benötigten Seiten auf eine Whitelist setzen können
    • die Leistung war merklich langsamer als bei der Verwendung der DNS-Server des Internetanbieters
    • keine Lösung für mobile Clients, damals, als ich es benutzte, gab es keine IPv6-Unterstützung
  • OpenDNS Umbrella Prosumer (bezahlt)
    • Das ist die Cisco Umbrella Internet-Sicherheitslösung mit einer Beschränkung auf 5 Benutzer
    • hatte dies auch ein ganzes Jahr lang: gute Funktionen, Whitelisting möglich, gute Grundblockierung
    • Mobile Schutzagenten für Windows- oder macOS-Clients enthalten, aber keinen Schutz für Mobiltelefone oder Tablets (zumindest ohne ein vollständiges Mobile Device Management zur Hand zu haben und einzusetzen)
  • Quad9 (kostenlos)
    • kommt für mich ohne Roaming oder mobile OS-Clients nicht in Frage
  • NxFilter (kostenlos)
    • kein Roaming oder mobile OS-Clients und erfordert außerdem, dass Sie einen DNS-Server auf Ihrem eigenen Rechner betreiben
  • 1.1.1.1 (kostenlos) / Cloudflare Teams ZeroTrust WebSecurityGateway (kostenlos für bis zu 50 Benutzer)
    • Das ist es, was ich derzeit benutze - sehr solide, schnell und zuverlässig mit guter Filterung
    • Clients für Windows und macOS sowie Android oder iOS verfügbar und Sie können auch Ihren Internet-Router mit allen möglichen DNS-Protokollen neu konfigurieren, damit das funktioniert
    • Cloudflare Teams ist für bis zu 50 Benutzer kostenlos und ermöglicht es Ihnen, Black- und Whitelisting selbst zu konfigurieren, erfordert jedoch etwas mehr Einrichtungsaufwand und bietet einige weitere Optionen/Erweiterungen, die für Sie interessant sein könnten, wenn Sie eher auf der technischen Seite stehen

Wenn Sie 1.1.1.1 ausprobieren möchten, lesen Sie bitte weiter, um einige zusätzliche Informationen und Tipps zur Implementierung zu erhalten.

Router-Konfiguration

Um Ihren Router zu konfigurieren, öffnen Sie 1.1.1.1 Familie und scrollen Sie nach unten, bis Sie die beiden Kästchen mit "Nur Malware-Blockierung" auf der linken Seite und "Malware- und Erwachsenen-Inhaltsblockierung zusammen" auf der rechten Seite sehen können. Klicken Sie einfach auf einen der Links mit den entsprechenden Einrichtungsanweisungen am unteren Rand des Feldes und Sie erhalten die Informationen, die Sie für die Einrichtung Ihres Routers benötigen. Auf der FRITZ!Box können Sie die verwendeten DNS-Server unter Internet / Kontoinformationen auf der Registerkarte DNS-Server ändern. Je nach Modell und Firmware können Sie auch DNS über HTTPS oder DNS über TLS verwenden - meine hier unterstützt diese neuen Protokolle nicht, so dass ich dort nur die angegebenen IPv4- und IPv6-Adressen für ihre Nameserver eingeben musste und anschließend auf Übernehmen klicken musste, um die Einstellungen zu speichern.

Testlinks zur Überprüfung der Einrichtung sind ebenfalls in der Konfigurationsanleitung enthalten. Diese funktionieren nur, wenn Sie die Filterung mit 1.1.1.1 testen:
Test für 1.1.1.1 Malware-Filterung
Test für 1.1.1.1 Filterung von Inhalten für Erwachsene und Malware
Wenn Sie diese Links ausprobiert haben, bevor die Implementierung abgeschlossen war, müssen Sie eine Weile warten, bis der DNS-Cache gealtert ist und die Anfrage erneut an das DNS gesendet wird, das dann das neue Ziel der umgeleiteten IP-Adresse abruft.

FRITZ!Box DNS-Einstellungen für 1.1.1.1 für Familien
benötigte Einstellungen auf FRITZ!Box für 1.1.1.1 für Familien

WARP-Client-Konfiguration

Das Herunterladen und Installieren des Clients auf Ihrem Notebook oder Mobilgerät ist ziemlich einfach und Sie müssen nur den Anweisungen folgen. Zumindest auf iOS müssen Sie den von der App bereitgestellten VPN-Tunnel implementieren, da dies dort die einzige Möglichkeit ist, DNS-Anfragen umzuleiten. Da ich nicht möchte, dass Sie später auf bestimmte Probleme stoßen, möchte ich Sie hier auf einige Dinge aufmerksam machen, die Sie selbst entscheiden müssen:

  • WARP verwenden, um den gesamten Webverkehr an Cloudflare umzuleiten, damit er dort gescannt wird
    • würde die Sicherheit auf Kosten eines geringeren Datenschutzes verbessern, und zumindest auf mobilen Geräten müssen Sie dafür bezahlen, dass Ihr Datenverkehr gescannt wird.
    • wird ganz sicher Probleme mit latenzempfindlichem Datenverkehr wie Sprachanrufen, Videokonferenzen, Spielen oder Fernsteuerungslösungen verursachen
    • Modus kann auf dem Windows Client über das Zahnradsymbol zwischen 1.1.1.1 und 1.1.1.1 mit WARP umgeschaltet werden - vergessen Sie nicht, dass Sie den Hauptschalter nach rechts umlegen müssen, um den Schutz zu aktivieren
  • In den WARP-Client-Einstellungen auf der Registerkarte Verbindungen können Sie Ihr WLAN ausschließen, wenn Sie die DNS-Filterung auf dem Router bereits eingerichtet haben - wenn Sie den WARP-Tunnel verwenden, wird dadurch auch die Überprüfung des Fernverkehrs ausgeschaltet!
  • DIES IST WICHTIG: Auf der gleichen Registerkarte müssen Sie den Familienmodus 1.1.1.1 einstellen - der seltsamerweise standardmäßig ausgeschaltet ist
  • auf der Registerkarte Konto können Sie Ihre Geräte miteinander verknüpfen - dadurch werden die Einstellungen nicht synchronisiert, aber wenn Sie das Remote-Scanning verwenden, benötigen Sie nur ein Abonnement
    • auf derselben Registerkarte können Sie sich bei Cloudflare Zero Trust anmelden, wenn Sie sich für die vollständig konfigurierbare Lösung entscheiden möchten
  • Die Registerkarte "Erweitert" ist etwas, das Sie sich vielleicht auch ansehen sollten. Der lokale Domänen-Fallback sollte auf jeden Fall Ihren internen Domänennamen enthalten, der von Ihrem Router bereitgestellt wird, da Sie sonst im schlimmsten Fall nicht in der Lage sind, interne Hostnamen aufzulösen.
    • Sie erhalten diese Informationen unter Windows, wenn Sie eine Eingabeaufforderung oder die Powershell starten und dort 'ipconfig' ausführen - suchen Sie nach dem dort angezeigten verbindungsspezifischen dns-Suffix
    • für eine FRITZ!Box ist es 'fritz.box' und das sollten Sie auf jeden Fall in die Liste aufnehmen
Nach oben scrollen