[UPDATE hier]
Durch die Enthüllungen von Edward Snowden wurde 2013 einer größeren Öffentlichkeit bekannt, dass Geheimdienste im Auftrag ihrer Regierungen das Kommunikationsverhalten der Internetnutzer ausspähen. Das geschieht auch mit Hilfe der großen Internetkonzerne. Laut internen NSA-Dokumenten hat der US-Geheimdienst Zugriff auf Datenbanken von Apple, Google, Facebook, Microsoft und vielen anderen Firmen.
Nach den Snowden-Enthüllungen begannen immer mehr Websites Datenverbindungen zu den Nutzern mit dem HTTPS-Protokoll abzusichern. Allerdings bannt das nicht die Gefahr, dass Metadaten aus bislang unverschlüsselten DNS-Abfragen gewonnen werden können. Dadurch ist sehr einfach, ein Bild von einer Person zu gewinnen, da man weiß, welche Server sie besucht.
Eine unverschlüsselte Abfrage zu einem DNS-Server sorgt also dafür, dass der DNS-Server als ständiger Begleiter sehr gut über unsere Online-Aktivitäten informiert ist. Zumal dann, wenn, wie in den meisten Fällen, diese Abfragen auch noch protokolliert werden. Über diese „Kraft der Metadaten“ stolperte selbst Ex-CIA-Direktor Patraeus, dessen außereheliche Affäre durch die Analyse von Metadaten öffentlich wurde. Das kostete ihn seinen Job.
Außerdem stellen unverschlüsselte DNS-Abfragen einen Angriffsvektor für sogenannten Man-in-the-Middle-Attacken dar. Bei einem solchen Angriff täuscht der Angreifer vor, dass seine Pakete von einem Rechner kommen, dem das angegriffene Ziel vertraut. Neben dem Schutz der Privatsphäre dient eine Verschlüsselung von DNS-Abfragen somit auch der Sicherheit.
Als bislang einziges Betriebssystem unterstützt Android ab Version 9.0 mit der Funktion „Privates DNS“ die Verschlüsselung von DNS-Abfragen über das Protokoll DNS over TLS (DoT). Für iOS, macOS, Linux und Windows existieren derzeit nur Lösungen von Drittanbietern, um DNS-Abfragen zu verschlüsseln. Im Herbst 2019 hatte Microsoft aber angekündigt, die Verschlüsselung von DNS-Abfragen in einer zukünftigen Version mittels DNS over HTTPS (DoH) zu unterstützen. Mit dem Insider-Build 19628.1 steht DoH nun für Windows 10 erstmals zur Verfügung.
Die Aktivierung von DNS over HTTPS in Windows 10 Build 19628.1 erfolgt über einen zusätzlichen Eintrag in der Registry. Hierfür startet man Regedit und fügt unter Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
den DWORD-Parameter „EnableAutoDoh
“ hinzu und trägt als Wert „2
“ ein.
Doch das ist noch nicht alles. Außerdem muss man noch die genutzte Netzwerkschnittstelle konfigurieren. Hierfür gibt man in der Windows-Suche „ncpa.cpl“ ein und drückt Enter. Anschließend öffnet sich die Systemsteuerung. Dort wählt man den zu konfigurierende Netzwerkschnittstelle aus und konfiguriert das genutzte IP-Protokoll mit den Daten zum DNS-Server.
Standardmäßig unterstützt Windows 10 DoH-DNS-Server von Cloudflare, Google und Quad9:
Da auch ein DoH-DNS-Server grundsätzlich Kenntnis davon hat, welche Webseiten Nutzer aufrufen, sollte man aus Gründen des Datenschutzes in Betracht ziehen, einen auszuwählen, der keiner Werbefirma gehört und DNS-Anfragen nicht aufzeichnen. Empfehlenswerte DNS-Server finden sich beispielsweise hier. Diese bieten zum Teil auch einen Ad- und Tracking-Schutz und filtern bekannte Malware- und Phishing-Sites.
Damit diese Server genutzt werden können, muss jede einzelne IP-Adresse und die DoH-URI-Vorlage dem System hinzugefügt werden. Das geschieht mit dem Kommando:
netsh dns add encryption server="DoH-DNS-Server-IP-Adresse" dohtemplate="DoH-URI-Vorlage"
Für BlahDNS lauten diese wie folgt:
netsh dns add encryption server=159.69.198.101 dohtemplate=https://doh-de.blahdns.com/dns-query
netsh dns add encryption server=95.216.212.177 dohtemplate=https://doh-fi.blahdns.com/dns-query
Ob die Konfiguration gelungen ist, lässt sich mit folgendem Kommando überprüfen:
Nun nutzt Windows 10 den konfigurierten DoH-DNS-Server. Entsprechend werden alle DNS-Abfragen über den Port 443 verschlüsselt. Über den klassischen DNS-Port 53 sieht man nun keinen Datenverkehr mehr. Das lässt sich mit folgenden Kommandos überprüfen:
pktmon filter remove
pktmon filter add -p 53
pktmon start --etw -m real-time
Im Rahmen des Safer Internet Day erläutert ZDNet sechs Maßnahmen, wie man die Sicherheit im Internet erhöhen und den Schutz der Privatsphäre verbessern kann.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…