Simple DNSCrypt: DNS-Abfragen unter Windows verschlüsseln

Nach dem Eintippen einer Internet-Adresse im Browser wird zunächst ein DNS-Server kontaktiert, der die IP-Adresse der Webseite kennt und damit die Anfrage an diese weiterleitet. Der DNS-Server übersetzt also zum Beispiel google.de in 172.217.23.67. Sämtliche Kommunikation wird somit über die Vermittlungsstelle DNS initiiert. Während Verbindungen zwischen Client und Server mittlerweile größtenteils etwa mit https verschlüsselt sind, geschieht die Kontaktaufnahme über einen DNS-Server in der Regel unverschlüsselt.

Durch die unverschlüsselte Übermittlung einer DNS-Anfrage besteht nicht nur die Gefahr, dass diese ausgespäht, sondern auch gefälscht oder manipuliert werden kann. Dadurch wird nicht nur die Sicherheit gefährdet, sondern auch die Privatsphäre des Nutzers. Bereits 2017 hat der Informatiker Dominik Herrmann in seiner Dissertation „Das Internet-Adressbuch bedroht unsere Privatsphäre“ (PDF) nachgewiesen, wie anhand von unverschlüsselten DNS-Abfragen, die Identität eines Internetnutzers ermittelt werden kann. Herrmann sieht eine Zentralisierung der Namensauflösung für die internationale Konzerne wie Google, OpenDNS und Symantec verantwortlich seien. „Im Jahr 2016 beantworteten allein die DNS-Server von Google schon mehr als 13 Prozent aller DNS-Anfragen pro Tag.“

Um sich vor diesen Gefahren zu schützen, müssen Anwender den Datenverkehr zu einem DNS-Server verschlüsseln. Und um der Konzentration des DNS-Verkehrs vorzubeugen, sollten DNS-Server gewählt werden, die nicht von großen Konzernen betrieben werden.

DNS-Anfragen verschlüsseln

Seit Version 9 ist es unter Android möglich, DNS-Anfragen mit DNS-over-TLS (DoT) zu verschlüsseln. Allerdings ist die Funktion, die unter Netzwerk & Internet – Privates DNS konfiguriert wird, standardmäßig ausgeschaltet.

Leider bietet derzeit kein anderes Betriebssystem standardmäßig Unterstützung für die Verschlüsselung von DNS-Abfragen. Firefox ermöglicht zwar die Nutzung eines verschlüsselten DNS-Servers, doch alle anderen installierten Anwendungen nutzen weiterhin unverschlüsselte DNS-Server. Microsoft hat zwar angekündigt, DNS-over-HTTPs nativ in Windows zu integrieren. Dafür wurde der Konzern sogar von der amerikansichen Datenschutzorganisation EFF gelobt, doch leider steht das Feature in Windows noch nicht zur Verfügung.

Mit Simple DNSCrypt des deutschen Entwicklers Christian Hermann liegt ein Tool für Windows vor, das mit Hilfe des DNSCrypt-Proxy, Anfragen an einen DNS-Server verschlüsselt und verifiziert. DNSCrypt stellt also sicher, dass die Antworten auch vom gewählten DNS-Resolvers stammen. Natürlich muss dieses Verfahren auch vom DNS-Server unterstützt werden. Inzwischen gibt es jedoch ein großes Angebot öffentlicher DNS-Server mit Verschlüsselung. Da einige davon außerdem Tracking- und Werbe-Server filtern, kann Simple DNSCrypt auch als Werbeblocker dienen.

DNSCrypt mit DNSSEC (Bild: DNSCrypt.info)

Simple DNSCrypt: Konfiguration

Nach dem Start von Simple DNSCrypt öffnet sich eine graphische Benutzeroberfläche, die standardmäßig in die Bereiche Hauptmenü, Resolver, Erweiterete Einstellungen und Query Log unterteilt ist.

Im Hauptmenü legt man zunächst die grundsätzliche Konfiguration fest. Neben der Auswahl des IP-Protokolltyps IPv6 und IPv4 können für die Nutzung der DNS-Resolver zusätzliche Parameter eingestellt werden. Wer DNS-Server mit Filter für Adblocker, Tracking oder Erwachsenen-Content nutzen möchte, deaktiviert die Option „Nur Server ohne Filter“. Ein Klick auf „einstellungen anwenden“ sorgt dafür, dass Simple DNSCrypt mit den gewünschten Optionen betrieben wird.

Damit Simple DNSCrypt als Dienst in Windows funktioniert, schiebt man den Regler neben „DNSCrypt Dienst“ nach rechts. Ganz wichtig: unter „Netzwerkkarten“ muss man die Netzwerkkarte auswählen für die Simple DNSCrypt aktiviert werden soll.

Simple DNSCrypt: Resolver auswählen

Im Abschnitt „Resolver“ lässt ich festlegen, ob die Auswahl der DNS-Resolver nach den in der Grundkonfiguration festgelegten Parametern automatisch oder manuell erfolgen soll. Standardmäßig ist die automatische Auswahl aktiv.

Wer dies nicht wünscht, wählt unter „Verfügbare Resolver“ eine oder mehrere Alternativen aus.

Unter „Erweiterte Einstellungen“ lassen sich weitere Betriebsparameter wie DNS-Cache oder das Blockieren von IPv6-Abragen festlegen.

Der letzte Abschnitt „Query Log“ zeigt die aktuellen Datenverbindungen an.

Unter dnsleaktest.com lässt ich überprüfen, ob die eingestellten DNS-Server auch verwendet werden. Sollte an dieser Stelle ein anderer als in Simple DNSCrypt eingestellter DNS-Server auftauchen, hat man vermutlich in den Einstellungen seines Browsers einen DNS-Server konfiguriert. Mit anderen Worten: Wer Simple DNSCrypt unter Windows nutzt, kann sich die Einstellungen eines DNS-Server mit Unterstützung von DNS-over-HTTPs in Firefox sparen.

Über Einstellungen in der Menüleiste von Simple DNSCrypt lassen sich außerdem noch weitere Funktionen konfigurieren. Wer beispielsweise einen DNS-Server mit Tracking- und Werbefilter nutzt, kann Domains auf eine Whitelist setzen, sodass diese von der Filterung ausgenommen sind. Ebenso ist es möglich, Serveradressen auf eine Blacklist zu setzen, sodass diese gefiltert werden. Für die Aktivierung der Blacklist muss man außerdem auf der rechten Seite auf das dritte Symbol von unten klicken.

Simple DNSCrypt: Blacklist aktivieren (Screenshot: ZDNet.de)