DNSCloak: DNS-Abfragen unter iOS verschlüsseln

Anders als Android ab Version 9 Pie unterstützt iOS wie auch sonst kein Betriebssystem die Verschlüsselung von DNS-Abfragen. Damit besteht nicht nur die Gefahr von Man-In-The-Middle-Attacken (MITM), sondern auch, dass Verbindungsdaten vom Provider an Werbetreibende verkauft werden. Mit DNSCloak lassen sich DNS-Abfragen nicht nur verschlüsseln, sondern auch Werbung und Tracking verhindern.

DNSCloak stammt von dem russischen Entwickler Sergey Smirnov und ist für iPhone und iPad ab iOS 10 geeignet. Da Apple seine App-Richtlinien vor einiger Zeit angepasst hatte, die den Zugriff auf die VPN-API von iOS auf Firmen beschränkte, war DNSCloak Anfang letzten Jahres für einige Zeit nicht im App Store verfügbar. Mit der gemeinnützige und in Berlin ansässige Organisation Center for the Cultivation of Technology fand der Entwickler aber einen neuen Herausgeber der App, sodass DNSCloak seit Februar 2019 offiziell im App Store erhältlich ist. Das Programm liegt außerdem als Open Source vor.

Im Prinzip arbeitet DNSCloak wie Simple DNSCrypt für Windows. Das Tool kommuniziert über einen VPN-Tunnel mit speziellen DNS-Servern. Als Verschlüsselungstechniken stehen DNSCrypt und DNS-over-HTTPS (DoH) parat. Seine Serverliste bezieht DNSCloak über dnscrypt.info. Unter diesem Dach haben sich die Entwickler des DNSCrypt-Protokolls zusammgeschlossen. Viele von den dort gelisteten Server protokollieren keinen DNS-Datenverkehr, sodass Surf-Profile nicht erstellt werden können.

DNSCloak einrichten

DNSCloak kann ab iOS 10 genutzt werden. Die App startet mit einer Listensansicht der zur Verfügung stehenden DNS-Server. Bevor man einige von diesen auswählt, sollte man jedoch über das Menü links oben im Bereich „Resolver usage rules“ Paramater zur Vorauswahl der DNS-Server festlegen. Dieser sind unterteilt nach „IP version“, „Protocol“ und „Required properties“. Nach diesen Parametern wählt DNSCloak später die DNS-Server aus. Wer auf besonders hohen Schutz der Privatsphäre Wert legt, sollte DNSSEC, DNSCrypt, DNS-over-HTTP/2 (DoH) sowie die Option „Should not log“ auswählen.

Unter „General otions“ stehen weitere Optionen zur Verfügung. Aktiviert man „Show VPN icon“ wird das VPN-Symbol in der Statusleiste angezeigt, sodass der Nutzer schnell erkennen kann, ob DNSCloak aktiv ist. Der Einsatz von DNSCloak bedeutet jedoch auch, dass gleichzeitig kein weiterer VPN-Dienst genutzt werden kann.

Wer während der Nutzung von DNSCloak bestimmte Webseiten nicht mehr erreicht, kann im Abschnitt „Blacklist & Whitelist“ entsprechende Anpassungen vornehmen. Allerdings lässt sich eine Liste nicht innerhalb der App erstellen, sondern kann nur eingebunden werden.

Unter „Advanced options“ gibt es weitere Konfigurationsmöglichkeiten. Als wichtigste dürfte dabei „Srtict mode“ sein, womit ein Fallback auf die von iOS vorgeschlagenen DNS-Server verhindert wird.

DNS-Server auswählen

Hat man die Einstellungen wie gewünscht vorgenommen, geht es nun zurück zur Auswahl der DNS-Server. Die Liste der DNS-Server enthält eine Beschreibung des Angebots sowie über Schlagworte eine Kennzeichnung der unterstützten Funktionen wie DoH, No logs, DNSSEC, Filters. Über den Standort der Server informiert DNSCloak hingegen nicht. Dieser nicht ganz unwichtige Aspekt lässt sich allerdings über das Internet recherchieren. Die mit dnswarden, securedns und blahdns gekennzeichneten DNS-Server stehen beispielsweise in Europa.

Eine Liste der ausgewählten Server wird über das Symbol links neben „Search“ angezeigt.

Über dnsleaktest.com lässt sich überprüfen, welcher DNS-Server gerade verwendet wird. Somit hat man schnell Gewissheit, ob DNSCloak auch wie gewünscht funktioniert.

Ob die Server auch DNSSEC unterstützen, lässt sich ebenfalls überprüfen.

Fazit: DNSCloak

DNSCloak erreicht mit 4,8 von 5 möglichen Punkten eine sehr hohe Bewertung im App Store. Die App lässt sich leicht konfigurieren und bietet mit der Verschlüsselung von DNS-Abfragen systemweit Schutz vor Spionage und MITM-Attacken.