Täglich werden Millionen von Webseiten im Internet aufgerufen. DNS ist dafür zuständig, dass die Webserver über das Internet erreichbar sind. Doch wie sieht es mit der Sicherheit rund um DNS aus? Dank dem Angebot von Cloud-Services können wir mit zwei einfachen Massnahmen auch unser Heimnetzwerk sicherer machen und dabei noch unsere Privatsphäre schützen – dies kostenlos und ohne umfassende IT-Kenntnisse.
Was ist DNS?
Sobald wir die Adresse einer Webseite im Browser eingetippt haben, erscheint innerhalb weniger Augenblicke das Resultat auf unserem Bildschirm. Dazu ist nicht nur die Geschwindigkeit der Internetverbindung relevant, sondern auch wie schnell die Adresse (z.B. hslu.ch) zu einer IP Adresse aufgelöst wird. Damit dies möglich ist, benötigen wir das Domain Name System (DNS), welche die Übersetzung von einem Hostnamen zu einer IP Adresse vornimmt. Ohne DNS müssten wir anstelle eines Namens die IP Adresse im Browser eintippen – es ist also eine Art Telefonbuch für das Internet.
DNS als potenzielles Sicherheitsrisiko auch im Heimnetzwerk
Im geschäftlichen Umfeld kümmert sich die IT-Security professionell um die Sicherheitsfragen. In unserem Heimnetzwerk haben wir in der Regel lediglich ein Antivirus-Programm auf den Rechnern installiert und die wenigsten Privatpersonen machen sich weiterführende Gedanken rund um die Netzwerksicherheit – schon gar nicht welcher DNS Resolver die Webseiten-Adressen auflöst. Dieser ist nämlich bereits vom Internet Service Provider (ISP) auf dem Router vorkonfiguriert, damit wir ohne grossen Konfigurationsaufwand im Internet surfen können. Meistens werden dabei die DNS Server des ISP verwendet. Doch wie sicher sind diese? Stehen Sicherheitsfeatures wie beispielsweise Verschlüsselung zur Verfügung? Was macht der ISP mit den Daten? Diese Fragen sind rund um die Sicherheit im Netzwerk bzw. Internet sehr wichtig. Beispielsweise könnte ein Hacker den DNS Server manipulieren (DNS-Hijacking) und unsere Anfrage an eine manipulierte Webseite umleiten. Nun könnte Malware auf unserem Rechner installiert werden oder mit Phishing versucht werden, an sensitive Daten wie Benutzernamen und Passwort zu gelangen. Zu den genannten Risiken kommt hinzu, dass DNS-Abfragen standardmässig im Klartext übertragen werden. Jemand der sich nun im Netzwerk dazwischen schaltet, kann alle Abfragen mitlesen oder die Daten personenbezogen auswerten – ebenso der ISP. Dies sind Gründe genug, sich auch im Privaten mit dem Thema DNS Sicherheit auseinander zu setzen.
Zwei einfache Massnahmen helfen für einen besseren Schutz
Dank dem Angebot von diversen Cloud-Anbietern gibt es einfache Möglichkeiten, den Schutz für unsere DNS-Abfragen ebenfalls im privaten Heimnetzwerk punkto Sicherheit und Privatsphäre zu erhöhen, ohne dafür Geld auszugeben oder umfassende technische Kenntnisse zu haben (z.B. Cloudflare, OpenDNS, quad9, …).
Die erste Massnahme ist die Umstellung der DNS Server damit potenzielle Malware-Seiten gar nicht erst aufgerufen werden können. Dies geschieht am besten gleich auf dem Router, damit alle Geräte im Netzwerk davon profitieren. Dazu sind ein paar wenige Schritte notwendig, wie das folgende Beispiel an einem Swisscom Router und den DNS Server for Families von Cloudflare verdeutlicht:
- Auf dem Router einloggen (die Zugangsdaten sind im Kundencenter ersichtlich)
- In den Experten-Modus wechseln und zum Bereich Netzwerk navigieren
- Unter Einstellungen den DNS Server Modus auf Manuell setzen
- DNS Server 1 und DNS Server 2 Adressen ändern in
- 1.1.1.2
- 1.0.0.2
- Speichern und ggf. Computer neu starten
Nun wird anstelle der DNS Server des ISPs neu diejenigen von Cloudflare, welche einen erhöhten Schutz für Malware bieten, verwendet.
Die zweite Massnahme betrifft die Verschlüsselung. Damit DNS-Abfragen nicht mehr lesbar übertragen und manipuliert werden können (DNS over HTTPS (DoH)), kann dies direkt im Browser aktiviert werden. Dies geschieht beispielsweise in Chrome in wenigen Schritten:
- In den Einstellungen unter Datenschutz & Sicherheit -> Sicherheit öffnen
- Zu «Sicheres DNS verwenden» navigieren und prüfen, ob dies aktiviert ist
- Unter «DNS-Anbieter auswählen» Cloudflare auswählen
- Tab schliessen
Ab diesem Zeitpunkt werden sämtliche DNS-Abfragen mit DoH verschlüsselt und können dadurch nicht mehr durch Dritte manipuliert werden.
Fazit
Die DNS Sicherheit ist ein Thema, welches im Heimnetzwerk grosses Potenzial hat. Heute gibt es bereits einfache, kostenlose Massnahmen mit Hilfe von Cloud-Services, welche ergänzend zum Antivirus-Programm, zu einem besseren Schutz beim Surfen im Internet beitragen.
Weiterführende Links zum Thema