DNS-Server: zensurfrei, datenschutzfreundlich, sicher

Dieser Artikel beschäftigt sich mit sicheren, zensurfreien DNS-Servern. Das Thema hört sich vielleicht kompliziert an, ist aber anhand eines Beispiels recht einfach zu erklären und mit unserer Anleitung einfach umzusetzen. Hier erfahrt ihr, was DNS-Server sind, wozu sie gebraucht werden, wie sie missbraucht werden und wie ihr euch davor ohne großen Aufwand schützen könnt.

DNS: Das “Telefonbuch” des Internets

Die Abkürzung DNS steht für “Domain-Name-System” und ist das Namensverzeichnis des Internets. Hier finden sich zu den Namen, die ihr in euren Browser eingebt, die IP-Adressen, wo die jeweiligen Webauftritte zu finden sind. Die Idee dahinter ist, dass sich Menschen Namen besser merken können als wilde Kombinationen von Nummern, aber gleichzeitig müssen eben diese Nummern am Ende trotzdem aufgerufen werden — darum schlägt sie euer Browser für euch einfach nach. DNS wird aber auch für andere Dienste im Internet verwendet, zum Beispiel E-Mail oder Chat.

Zur Veranschaulichung ein Beispiel:
Max möchte im Internet eine bestimmte Website aufrufen. Er kennt, wie jeder andere auch, natürlich nur die Internet-Adresse (datenschutzhelden.org) und gibt sie in der Adressleiste des Browsers ein. Um Sites anzeigen zu können, muss der Browser allerdings wissen, unter welcher IP-Adresse die Site zu erreichen ist. Hier kommt der DNS-Server ins Spiel, der wie ein Telefonbuch funktioniert und zum Namen “datenschutzhelden.org” die zugehörige Nummer (IP-Adresse) ausgibt. Erst nach diesem Zwischenschritt kann der Browser die gewünschte Site von dem Server laden, bei dem sie hinterlegt ist. Max merkt von diesen Zwischenschritten in der Regel nichts und surft wie gewohnt im Internet.

DNS ist nicht sicher vor Manipulation

Die deutsche Bundesregierung wollte 2009 mit dem Vorwand, gegen Kinderpornografie vorgehen zu wollen, das inländische Internet zensieren. Angriffspunkt dafür war das Domain-Name-System, das über eine Blacklist vom Bundeskriminalamt unerwünschte Sites aussperren sollte. Statt der aufgerufenen Site sollte ein großes Stoppschild zu sehen sein. Zur Umsetzung sollten die Internet-Zugangsanbieter in die Pflicht genommen werden, eure DNS-Anfragen an die zensierten DNS-Server weiterzuleiten. Durch die fragwürdige technische Umsetzung, war es allerdings möglich versehentlich auch legitime Sites mitzusperren — sozusagen als Kollateralschaden. Glücklicherweise konnte der Widerstand aus der Zivilgesellschaft das Gesetz wieder kippen.

Das Beispiel zeigt allerdings sehr deutlich, welche besondere Stellung das Domain-Name-System hat. Der DNS-Server kennt alle von euch verwendeten Internet-Dienste und die Webseiten die ihr besucht. Neben Manipulation ermöglicht es vollständige Überwachung eures Online-Verhaltens.

Andere DNS-Server verwenden

Standardmäßig verwendet euer PC den DNS-Server eures Routers und der wiederum den eures Internet-Zugangsanbieter (Telekom, Vodafone, …) und euer Smartphone den eures Mobilfunkbetreibers (Telekom, Vodafone, O2, …). Das könnt ihr ganz einfach testen, indem ihr die Site DNSleaktest aufruft und den Standard-Test startet. In der ISP-Spalte seht ihr, welcher Anbieter eure DNS-Anfragen entgegen nimmt.

Alternativ dazu könnt ihr einen DNS-Server einstellen (wie das geht, erklären wir euch im Anschluss), der euch nicht überwacht oder zensiert. Zusätzlich sollte der Server DNSSEC unterstützen, was eure DNS-Anfrage vor Manipulation schützt und ohne weitere Konfiguration funktioniert. Zwar gibt es auch hier Angriffsfläche, nämlich beim Weg vom DNS-Server zu eurem Client, es sollte aber als zusätzliche Sicherheitsschicht trotzdem verwendet werden. Um nach der Einrichtung zu überprüfen, ob DNSSEC funktioniert, könnt ihr den Test auf DNSSEC? Or not? verwenden. Am Ende des Artikels haben wir noch einige weiterführende Maßnahmen, um auch diese Lücke zu schließen und eure Sicherheit weiter zu erhöhen. Einige unserer Ansicht nach vertrauenswürdigen Server, findet ihr in der nachfolgenden Liste.

Freie DNS-Server auswählen

Unterstützt DNSSEC:

• DNS.WATCH
  Wird spendenbasiert betrieben und verspricht einen verlässlichen, schnellen, zensurfreien und datenschutzfreundlichen Dienst. Persönliche Informationen werden ausdrücklich nicht geloggt.
  • IPv4
    • 84.200.69.80
    • 84.200.70.40
  • IPv6
    • 2001:1608:10:25::1c04:b12f
    • 2001:1608:10:25::9249:d69b
• UncensoredDNS
  Wird von einer Privatperson betrieben und finanziert und verspricht einen kostenfreien, zensurfreien und datenschutzfreundlichen Dienst. Persönliche Informationen werden ausdrücklich nicht geloggt.
  • IPv4
    • 91.239.100.100
    • 89.233.43.71
  • IPv6
    • 2001:67c:28a4::
    • 2002:d596:2a92:1:71:53::

Unterstützt momentan kein DNSSEC:

• Chaos Computer ClubDer Chaos Computer Club ist ein Verein, der sich netzpolitisch für ein freies Internet und gegen Überwachung einsetzt. Der DNS-Server verspricht, unzensiert und frei zu sein.
  • IPv4
    •  213.73.91.35
• Digitalcourage
  Der Verein setzt sich für Grundrechte und Datenschutz ein. Der spendenfinanzierte DNS-Server verspricht, unzensiert und frei zu sein. Wichtiger Hinweis: Die alten DNS-Server (85.214.20.141 bzw. 2a01:238:42f6:ac00:2a29:4f7f:b6d:ef46) wurden 2020 abgeschaltet
  •  IPv4
    • 46.182.19.48
  • IPv6
    • 2a02:2970:1002::18

Hinweis: Es ist sinnvoll, zwei bis maximal drei DNS-Server anzugeben.

DNS-Server in Windows einstellen

1. Öffnet das Startmenü am unteren linken Bildrand und geht in die Systemeinstellungen.
2. Wählt dort nun das Netzwerk- und Freigabecenter aus.
3. Navigiert jetzt zum Unterpunkt “Adaptereinstellungen ändern”  und wählt diesen aus.
4. Nun seht ihr eine Liste der gespeicherten Netzwerke.
5. Klickt jetzt mit der rechten Maustaste auf eine dieser Verbindungen und öffnet die “Eigenschaften”.
6. Es erscheint eine Element-Liste, in der ihr nach “Internetprotokoll Version 4” suchen müsst, um dann das dazugehörige Eigenschaftsmenü zu öffnen.
7. Sowohl die IP-Adresse als auch die DNS-Serveradresse sind automatisch vorkonfiguriert. Um dies zu ändern, klickt einfach auf “Folgende DNS-Serveradresse verwenden”, um eine DNS-Adresse eurer Wahl einzugeben.

DNS-Server in Linux einstellen

1. Öffnet die Datei “/etc/resolv.conf” (als Superuser).
   z.B. im Terminal mit dem Befehl “sudo nano /etc/resolv.conf”
2. Löscht hier alle Zeilen mit dem Beginn “nameserver”
3. Fügt neue DNS-Server hinzu.
   “nameserver <IP-Adresse-des-Servers>”
4. Speichert die Datei.
   z.B. in Nano mit den Tasten “Str-X” und danach “y”
5. Schützt die Datei vor Veränderung.
   Im Terminal “sudo chattr +i /etc/resolv.conf”

DNS-Server in Mac OS einstellen

1. Drückt auf das Apfel Symbol am linken oberen Bildrand.
2. Klickt auf den Unterpunkt “Systemeinstellungen…” .
   Es öffnet sich nachfolgend das Fenster, in dem ihr die Einstellungen vornehmen könnt.
3. Wählt nun das Symbol in der Mitte mit der Unterschrift “Netzwerk” aus.
4. Jetzt klickt ihr auf die gewünschte Netzwerkverbindung, die ihr in der linken Spalte aufgelistet seht. Eine aktive Verbindung erkennt ihr an dem kleinen grünen Punkt neben der jeweiligen Verbindung.
5. Klickt nun auf “weitere Optionen” in der linken Hälfte des Fensters.
6. Nun seht ihr mehrere Reiter, unter anderem “DNS”. Klickt diesen an.
7. Jetzt könnt ihr nach Belieben die Adresse zu eurem DNS-Server ändern, indem ihr unten auf das kleine “+” klickt.

Weiterführende Schutzmaßnahmen

Ihr könnt den DNS-Server ebenfalls direkt an eurem Router umstellen, dadurch verwenden alle Clients, die damit verbunden sind, automatisch den alternativen Server. Bei euren mobilen Clients (beispielsweise Laptop), sollten ihr dann allerdings zusätzlich die Einstellung im Betriebssystem vornehmen, damit ihr auch unterwegs die richtigen DNS-Server verwendet.

Um den Transportweg abzusichern, gibt es zwei empfehlenswerte Projekte:

• DNSCrypt:
  Verschlüsselt die Kommunikation zum DNS-Server und kann auf diversen Clients und Routern eingerichtet werden. Für das alternative Router-Betriebssystem OpenWRT gibt es dazu eine Anleitung und für Windows gibt es das Programm simple-DNSCrypt.
• DNS-over-TLS:
  Verschlüsselt die Kommunikation zum DNS-Server mit TLS. Auf Clients könnt ihr zum Beispiel mit dem Programm Stubby die Funktion nachrüsten. Momentan unterstützen dieses Feature leider nur wenige Server.

Die Konfiguration ist allerdings nicht ganz einfach, deswegen sollen diese beiden Projekte nur als Anregung für technisch versierte Leser verstanden werden. Wenn es in Zukunft einfachere Lösungen geben sollte, werden wir für euch dazu ebenfalls eine Anleitung schreiben.

Sicher, aber nicht privat

Die hier beschriebenen Maßnahmen sorgen für mehr Sicherheit, aber nicht für mehr Privatsphäre. Das liegt daran, dass eine weitere Partei Daten von euch erhält — der Betreiber des alternativen DNS-Servers. Die anderen Teilnehmer wissen deswegen nicht weniger. Zwar kann euer Internet-Zugangsanbieter nicht mehr die Inhalte eurer DNS-Anfragen sehen, aber er kennt trotzdem weiterhin jede Seite, die ihr aufruft, selbst wenn ihr HTTPS verwendet. Denn beim TLS-Handshake wird der Name der aufzurufenden Webseite unverschlüsselt übermittelt.

Der Nutzen überwiegt hier unserer Meinung nach trotzdem das Risiko. Zwar müsst ihr dem Versprechen der Serverbetreiber ungeprüft glauben, allerdings haben wir extra Server mit einer guten Reputation herausgesucht. Dafür entkommt ihr der möglichen Manipulation eures Internet-Anbieters und profitiert zusätzlich von DNSSEC. Wenn ihr dann noch den Transportweg absichert, seid ihr so gut geschützt, wie ihr es eben sein könnt.

Wenn noch Fragen offen geblieben sein sollten, scheut euch bitte nicht davor, einen Kommentar zu hinterlassen. Wir freuen uns über jedes Feedback und sind offen für Fragen jeglicher Art.

– Eure Datenschutzhelden

Update, 5.11.2017: Wir haben den Artikel komplett überarbeitet und auf den neuesten Stand gebracht.