Sicherer DNS-Verkehr

Fast alles können wir heute schon im Internetverkehr verschlüsseln, sodass der Inhalt nicht mit massivem Einsatz von Ressourcen gelesen werden kann: Mailverkehr mit Office365, Datenaustausch mit OneDrive for Business, Chat mit Skype for Business, lokaler Netzwerkverkehr mit Vermeidung von SMB 1.x, nur ein wesentlicher Punkt, die Namensauflösung wird gerne übersehen.

Hintergrund: wenn Sie in Ihrem Browser ‚www.ehouse.at‘ eingeben, weiß in aller Regel Ihr Rechner nicht, wo auf welcher IP-Adresse unser Webserver weltweit erreichbar ist – also fragt er den lokalen DNS-Server (Domain Name Service). Da ist die Kette so eingerichtet, wenn dieser es (in aller Regel) auch nicht weiß, den nächsten bis zu den sog. Root-Servern „hinauf“ zu fragen. Das nennt sich Namensauflösung. Viele dieser Root-Server standen im Jahre 2001 im World Trade Center, so dass es damals zu massiven Internetausfällen während 9/11 kam – das Problem wurde in der Zwischenzeit etwas entschärft, wobei die Amerikaner noch immer praktisch alle Root-Server bei sich stehen haben und die EU erst anfängt sich auf die Füße zu stellen.

Jetzt geht aber diese Anfrage im Klartext (also unverschlüsselt!) mit der IP-Adresse Ihres Anschlusses und ihrer lokalen IP Ihres Computers hinaus und Sie bekommen dann die IP von z.B. www.ehouse.at im Klartext retour, und zwar ungeprüft und nicht fälschungssicher (Man-in-the-middle-Attacken möglich) zurück, damit Ihr Browser die Seite darstellen kann.

Damit ist Ihr Surfverhalten nachvollziehbar, veränderbar, etc., also eine datentechnische Katastrophe.

Dagegen wurden mit Hilfe des Projekts DoT, DNS over TLS eine sichere Variante geschaffen. Kollege Marcel Polesovsky hat dies im Freeware-Projekt Stubby auf einem Rasperry Pi realisiert, somit gehen alle DNS Anfragen bei uns im Haus nur mehr verschlüsselt rein und raus!

In Kombination mit der im letzten Artikel vorgestellten Lösung, ein erheblicher Zugewinn an Sicherheit! Wenn Sie dies auch bei Ihnen realisiert haben wollen, kontaktieren Sie uns!

Werbeblocker

Da geht man auf eine ganz normale Informationsseite wie orf.at, presse.at, standard.at, usw. und wird zuerst einmal zugemüllt mit halbseitigen, animierten, lauten Werbebannern. All diese kosten Rechenzeit, Darstellungszeit und natürlich auch Bandbreite. Oder noch schlimmer, es kommen gleich Crypto-Miner oder andere Schädlinge mit, weil die Webpage gehackt wurde!

Eine Methode zum Ausfiltern der unerwünschten Werbebanner wäre es, mit Plug Ins (AdBlocker) den jeweiligen Browser dazu zu bringen, diese nicht anzuzeigen. Da ist aber der große Nachteil, dass der lokale Rechner überprüfen muss, was Werbung ist und was nicht, also ich erspare mir gerade mal die „Anzeige“. Ebenso kann ich natürlich den Browser gegen weitere Attacken „härten“, dies geht aber immer auf Kosten der Rechenzeit – und dann ist das böse Programm schon auf meinem Rechner!

Schöner wäre es, wenn man gleich den Internet-Verkehr filtern würde, oder?

Dazu hat unser Kollege Polesovsky ein Open-Source Projekt genommen und in ein fertiges Produkt gegossen, welches wir nun schon seit einigen Monaten erfolgreich im Einsatz haben. Das Projekt basiert auf der Hardware eines Raspberry Pi, verbraucht damit praktisch keinen Strom, und die Software basiert auf dem Open Source Projekt Pi-hole.

Sie können sich dies gerne bei uns anschauen, wenn Sie es selbst zum Einsatz bringen möchten, rechnen Sie mit insgesamt € 250,- da sind bereits die Hardware-Kosten und die Donation für das Open-Source-Projekt dabei.

PS.: Natürlich ist auch die FortiGate nach wie vor im Einsatz gegen Malware – nur mit einem anderen Ansatz (z.B. Filterlisten vs. verhaltensbasierend, etc.). D.h., Sie erhalten doppelten Schutz zu einem minimalen Aufpreis und zusätzlichem Komfort des AdBlockers!