Malware, Phishing und andere ungewollte Internet-Inhalte netzwerkweit und damit clientunabhängig durch DNS-Filter blockieren.
Inhaltsverzeichnis
Warum?
Je nach Schutzbedarf ergeben sich viele Möglichkeiten. Beispielsweise ein Browser-Plugin wie uBlock blockiert bereits so ziemlich jede Werbung, und Tracking. Allerdings müssen Plugins oder andere Softwarelösungen auf jedem Client und unterschiedlichsten Plattformen (Windows, macOS, iOS, Android…) installiert und teilweise gewartet werden. Eleganter und auch netzwerkweit einfacher zu implementieren, ist entweder eine Firewall mit bereits integriertem Contentfilter oder ein DNS-Filter. Da Firewalls mit Contentfilter meist in den gehobeneren Klassen zu finden sind stellt der DNS-Filter gerade im Small-Business- oder Home-Sektor die attraktivste Lösung dar. Nachdem man sich für einen DNS-Anbieter entschieden und ggf. eine Konfiguration durchgeführt hat, muss nur mehr der bisherige DNS-Server in der Firewall, DHCP-Konfiguration und/oder ggf. internen DNS-Servern geändert werden. Damit der Filter nicht einfach durch einen anderen manuellen DNS-Servereintrag am Client umgangen werden kann, sollte die Firewall außerdem den DNS-Dienst (TCP- und UDP-Ports: 53, 853) ausgehend nur mehr eingeschränkt erlauben.
ACHTUNG: DNS-Filter sind kein Ersatz für AntiViren-Software, restriktive Firewall und sichere Systemkonfiguration! DNS-Filter stellen lediglich eine Ergänzung zu bestehenden Sicherheitslösungen dar!
DNS?
Das „Domain Name System“ (kurz DNS) stellt die Namensauflösung in Computer-Netzwerken bzw. dem Internet zur Verfügung. Ohne DNS müsste beispielsweise statt www.google.at die schwerer zu merkende IP-Adresse 172.217.16.195 in den Browser eingeben werden. Kann der eingegebene Domainname nicht in eine IP-Adresse aufgelöst (umgewandelt) werden, schlägt die gestellte Anfrage fehl. Die angeforderte Website oder der angeforderte Dienst kann das Zielsystem (= Server bzw. Serverdienst) nicht erreichen. Normale DNS-Server stellen eine uneingeschränkte/ungefilterte Namensauflösung zur Verfügung. DNS Security Dienste schalten hingegen stattdessen einen Filter davor und lösen unerwünschte Webseiten nicht mehr im DNS auf, sondern bringen eine Fehlerseite.
Schutz wovor?
Je nach Anbieter und Serviceumfang stehen unterschiedliche Leistungen bzw. Blockaden zur Verfügung, z.B.:
- Inhaltsbezogene Filter: Inhalte für Erwachsene, sonstige unerwünschte Inhalte (Inhaltkategorien)
- Malware und Phishing: Virenverseuchte und betrügerische Webseiten
- Botnet: Falls Clients bereits infiziert sind, wird die Kommunikation mit dem befehlgebenen Server blockiert.
- Werbung: stellt eine andere Art von Inhaltsfilter dar und blockiert z.B. Werbebanner auf Websites
- URL-Schreibkorrektur: gogle.com wird automatisch in google.com umgewandelt.
Anbieter
Cloudflare DNS Resolver
DNS-Server: 1.1.1.1, 1.0.0.1
Zielgruppe: Alle
Cloudflare bietet aktuell keinen Schutz vor Malware, verspricht aber umfassenden Datenschutz.
Google Public DNS
DNS-Server: 8.8.8.8 und 8.8.4.4
Zielgruppe: Alle
Die Google Public DNS Server schützen vor Malware und anderen sicherheitsrelevanten Bedrohungen. Filter-Einstellungen können nicht angepasst werden.
OpenDNS
DNS-Server: 208.67.222.222 und 208.67.220.220
Zielgruppe: Alle
Cisco’s OpenDNS richtet sich an Home und Business-User. Zu den angebotenen Diensten zählen unter anderem über 50 anpassbare inhaltsbezogene Filter und Phishing-Schutz.
Norton ConnectSafe
DNS-Server:
- A – Security (Malware, Phishing und Scam)
199.85.126.10 und 199.85.127.10 - B – Security + Pornografie
199.85.126.20 und 199.85.127.20 - C – Security + Pornografie + Andere
199.85.126.30 und 199.85.127.30
Zielgruppe: Home
Norton bietet mit ConnectSafe je nach Geschmacksrichtung unterschiedliche DNS-Server an. Es können aber keine weiteren Einstellungen gesetzt werden. Die Kategorie „Andere“ umfasst übrigens „mature content, abortion, alcohol, crime, drugs, file sharing, gambling, hate, suicide, tobacco or violence.“
Quad9
DNS-Server: 9.9.9.9
Zielgruppe: Alle
Quad9 bietet ausschließlich Schutz vor Malware und anderen sicherheitsrelevanten Bedrohungen. Es können keine weiteren Einstellungen vorgenommen werden.
Verisign Public DNS
DNS-Server: 64.6.64.6 und 64.6.65.6
Zielgruppe: Alle
Verisign Public DNS filtert sicherheitsrelevante Webseiten aus. Keine individuellen Einstellungen möglich.
Quelle: ComputerworldUK.com
Fazit
Für sicherheitsrelevante DNS-Filter sind mit Ausnahme von Cloudflare grundsätzlich alle hier gelisteten Anbieter geeignet. Möchte man darüber hinaus mehr sperren und auch überwachen, ist OpenDNS aktuell der beste Anbieter. Aber auch Norton ConnectSafe bietet mit den unterschiedlichen DNS-Servern zusätzliche und leicht anwendbare Filter an. Leider handelt es sich bei allen Anbietern um US-Unternehmen (Datenschutz!).