DNS-Filter für mehr Sicherheit

Stop
CC0 | Pixabay.com

Malware, Phishing und andere ungewollte Internet-Inhalte netzwerkweit und damit clientunabhängig durch DNS-Filter blockieren.

Warum?

Je nach Schutzbedarf ergeben sich viele Möglichkeiten. Beispielsweise ein Browser-Plugin wie uBlock blockiert bereits so ziemlich jede Werbung, und Tracking. Allerdings müssen Plugins oder andere Softwarelösungen auf jedem Client und unterschiedlichsten Plattformen (Windows, macOS, iOS, Android…) installiert und teilweise gewartet werden. Eleganter und auch netzwerkweit einfacher zu implementieren, ist entweder eine Firewall mit bereits integriertem Contentfilter oder ein DNS-Filter. Da Firewalls mit Contentfilter meist in den gehobeneren Klassen zu finden sind stellt der DNS-Filter gerade im Small-Business- oder Home-Sektor die attraktivste Lösung dar. Nachdem man sich für einen DNS-Anbieter entschieden und ggf. eine Konfiguration durchgeführt hat, muss nur mehr der bisherige DNS-Server in der Firewall, DHCP-Konfiguration und/oder ggf. internen DNS-Servern geändert werden. Damit der Filter nicht einfach durch einen anderen manuellen DNS-Servereintrag am Client umgangen werden kann, sollte die Firewall außerdem den DNS-Dienst (TCP- und UDP-Ports: 53, 853) ausgehend nur mehr eingeschränkt erlauben.

ACHTUNG: DNS-Filter sind kein Ersatz für AntiViren-Software, restriktive Firewall und sichere Systemkonfiguration! DNS-Filter stellen lediglich eine Ergänzung zu bestehenden Sicherheitslösungen dar!

DNS?

Das „Domain Name System“ (kurz DNS) stellt die Namensauflösung in Computer-Netzwerken bzw. dem Internet zur Verfügung. Ohne DNS müsste beispielsweise statt www.google.at die schwerer zu merkende IP-Adresse 172.217.16.195 in den Browser eingeben werden. Kann der eingegebene Domainname nicht in eine IP-Adresse aufgelöst (umgewandelt) werden, schlägt die gestellte Anfrage fehl. Die angeforderte Website oder der angeforderte Dienst kann das Zielsystem (= Server bzw. Serverdienst) nicht erreichen. Normale DNS-Server stellen eine uneingeschränkte/ungefilterte Namensauflösung zur Verfügung. DNS Security Dienste schalten hingegen stattdessen einen Filter davor und lösen unerwünschte Webseiten nicht mehr im DNS auf, sondern bringen eine Fehlerseite.

Schutz wovor?

Je nach Anbieter und Serviceumfang stehen unterschiedliche Leistungen bzw. Blockaden zur Verfügung, z.B.:

  • Inhaltsbezogene Filter: Inhalte für Erwachsene, sonstige unerwünschte Inhalte (Inhaltkategorien)
  • Malware und Phishing: Virenverseuchte und betrügerische Webseiten
  • Botnet: Falls Clients bereits infiziert sind, wird die Kommunikation mit dem befehlgebenen Server blockiert.
  • Werbung: stellt eine andere Art von Inhaltsfilter dar und blockiert z.B. Werbebanner auf Websites
  • URL-Schreibkorrektur: gogle.com wird automatisch in google.com umgewandelt.

Anbieter

Cloudflare DNS Resolver

DNS-Server: 1.1.1.1, 1.0.0.1

Zielgruppe: Alle

Cloudflare bietet aktuell keinen Schutz vor Malware, verspricht aber umfassenden Datenschutz.

Google Public DNS

DNS-Server: 8.8.8.8 und 8.8.4.4

Zielgruppe: Alle

Die Google Public DNS Server schützen vor Malware und anderen sicherheitsrelevanten Bedrohungen. Filter-Einstellungen können nicht angepasst werden.

OpenDNS

DNS-Server: 208.67.222.222 und 208.67.220.220

Zielgruppe: Alle

Cisco’s OpenDNS richtet sich an Home und Business-User. Zu den angebotenen Diensten zählen unter anderem über 50 anpassbare inhaltsbezogene Filter und Phishing-Schutz.

Norton ConnectSafe

DNS-Server:

  • A – Security (Malware, Phishing und Scam)
    199.85.126.10 und 199.85.127.10
  • B – Security + Pornografie
    199.85.126.20 und 199.85.127.20
  • C – Security + Pornografie + Andere
    199.85.126.30 und 199.85.127.30

Zielgruppe: Home

Norton bietet mit ConnectSafe je nach Geschmacksrichtung unterschiedliche DNS-Server an. Es können aber keine weiteren Einstellungen gesetzt werden. Die Kategorie „Andere“ umfasst übrigens „mature content, abortion, alcohol, crime, drugs, file sharing, gambling, hate, suicide, tobacco or violence.“

Quad9

DNS-Server: 9.9.9.9

Zielgruppe: Alle

Quad9 bietet ausschließlich Schutz vor Malware und anderen sicherheitsrelevanten Bedrohungen. Es können keine weiteren Einstellungen vorgenommen werden.

Verisign Public DNS

DNS-Server: 64.6.64.6 und 64.6.65.6

Zielgruppe: Alle

Verisign Public DNS filtert sicherheitsrelevante Webseiten aus. Keine individuellen Einstellungen möglich.

Quelle: ComputerworldUK.com

Fazit

Für sicherheitsrelevante DNS-Filter sind mit Ausnahme von Cloudflare grundsätzlich alle hier gelisteten Anbieter geeignet. Möchte man darüber hinaus mehr sperren und auch überwachen, ist OpenDNS aktuell der beste Anbieter. Aber auch Norton ConnectSafe bietet mit den unterschiedlichen DNS-Servern zusätzliche und leicht anwendbare Filter an. Leider handelt es sich bei allen Anbietern um US-Unternehmen (Datenschutz!).

nach oben