Schützt euer Smart Home mit dem Quad9-DNS

Sicherheit & Privatsphäre

DNS, das Domain Name System, arbeitet in jedem internetfähigen Gerät. Normalerweise bemerken wir Nutzer den Dienst kaum, aber er ist essentiell: DNS wandelt die Adressen von Webseiten in IP-Adressen um. Sprich, statt 193.110.109.50:80 in die Adressezeile einzugeben, kommt man bequem per www.f-secure.de auf unsere Webseite.

DNS arbeitet dabei so transparent, dass man es als Nutzer eigentlich nicht wahr nimmt. Die Server dafür stehen meist beim Internetanbieter, als Kunde hat man damit nichts zu zun und muss nichts unternehmen.

Aber man sollte es. Der Grund dafür: Auch Kriminelle nutzen DNS. Beispielsweise, damit sich infizierte Rechner mit einem Kontrollserver verbinden können. Die IP des Servers kann sich so ständig ändern, dennoch ist er für die Bots über eine normale Adresse erreichbar.

Bei F-Secure sehen wir täglich hunderte wenn nicht tausende von solchen Adressen, hinter denen kein legitimes Angebot sondern eine Malware steckt. Wie also kann man dieses Wissen nutzen, um unsere Kunden (und idealerweise auch alle anderen Internetnutzer) zu schützen?

Die Antwort heißt Quad9.

Quad9 ist ein DNS-Server, der für jeden, egal ob Einzelperson oder Firma, kostenlos zugänlich ist. Alle Anfragen an Quad9 werden anonym und schnell mit Listen von bösartigen URLs abgeglichen. Die Adressen auf diesen Listen stammen direkt aus den F-Secure Labs und werden ständig aktualisiert. Will ein Gerät, ein Nutzer oder ein Browser eine der bekannten, bösartigen Adressen besuchen, wird der Zugriff blockiert – eine Verbindung kommt gar nicht erst zu Stande.

Und das Beste: Da DNS in jedes Internet-fähige Gerät integriert ist und das Blocken auf dem Server geschieht, braucht man keine Applikation oder sonstige zusätzliche Software-Komponente. „Die Block-Funktion im DNS lässt sich in allen Geräten – egal ob Computer, Laptop oder smarter Kühlschrank – ohne zusätzliche Software aktivieren“, sagt Rüdiger Trost, Head of Cyber Security Solutions bei F-Secure DACH. „Mit wenigen Klicks kann jeder Quad9 in seinem Heimnetzwerk aktivieren und so seine Geräte und Daten zusätzlich schützen.“

So schützt Quad9

DNS funktioniert, stark vereinfacht gesagt, in einer Kette. Gibt der Nutzer beispielsweise eine Web-Adresse im Browser ein, sieht das jeweilige Gerät zunächst lokal nach, ob die dazugehörige IP vielleicht schon bekannt ist. Wenn nicht, frägt es das nächste Gerät, im Heim-Netzwerk ist das meist der Router. Kenn dieser die IP nicht, frägt der Router beim nächsten Server nach – in der Praxis ist das meist ein DNS-Server eines Internetanbieters. Sollte dieser es ebenfalls nicht lokal zwischengespeichert haben, zerlegt er die Adresse in ihre Bestandteile und rollt sie von hinten auf.

Bei www.F-Secure.de würde der Server des ISP also zunächst den für die „de“-Top-Level-Domain zuständigen Root-Server fragen. Dieser liefert einen passenden Top-Level-Domain (TLD) Name Server, bei dem die Informationen für den eigentlichen F-Secure.de Name Server hinterlegt sind. Und dieser wiederum hat dann die spezielle IP für die jeweilige Webseite parat. Der letzte Name Server schickt die Daten an den anfragenden Rechner zurück, die Kommunikation wird aufgebaut und die Webseite geladen.

Quad9 klinkt sich in diesem Aufbau nach dem Router ein. Statt des Servers beim Internetanbieter schickt der Router die Anfrage an Quad9. Hier wird die Adresse mit den lokal gespeicherten Daten UND der aktuellen Blacklist an bösartigen Adressen verglichen. Ist die jeweils angeforderte Webseite auf der dieser Liste, wird der Verbindungsaufbau blockiert, bevor Daten ausgetauscht werden.

So richtet Ihr Quad9 bei euch ein

Um Quad9 zu nutzen, reicht eine Änderung der DNS-Einträge – mehr braucht es nicht. Zu Hause solltet ihr das idealerweise am Router machen, dieser weitet den Schutz dann automatisch auf jedes internet-fähige Gerät im LAN aus.

Leider gibt es keine einheiteliche Anleitung dafür aber eine kurze Suche nach „Routername + DNS Server ändern“ sollte für jeden Router die passende Antwort auswerfen.

Tragt als Adresse des primären DNS die 9.9.9.9 ein. Sollte es eine Einstellung für Ipv6 geben, der richtige Eintrag hier lautet 2620:fe::fe. Der sekundäre DNS kann frei bleiben, dieser wird nur genommen, falls der primäre DNS ausfällt. Wer auf Nummer sicher gehen möchte, kann hier den Eintrag seines Internetanbieters einfügen, den Google-DNS oder den von OpenDNS. Werden diese Server genutzt, fällt aber der Schutz durch die Quad9-Blacklist weg.

Und das war es schon, eventuell braucht es noch einen Router-Neustart und ab sofort sind alle eure Geräte im LAN geschützt.

Alternativ könnt ihr jedes Gerät manuell absichern. Bei Windows und Mac OS ist das relativ einfach, denn diese Einstellungen gelten für alle Netzwerke, mit denen ihr euch verbindet. Bei Android müsst ihr jedes WLAN manuell verändern – ein ziemlicher Aufwand, weswegen wir hier eher den Einsatz eines VPN-Dienstes wie Freedome empfehlen.

Wer übrigens einen F-Secure SENSE Router nutzt, muss sich um die Sicherheit keine Sorgen machen. Wir nutzen die DNS-Funktion bereits, um den Zugriff zu bösartigen Seiten zu blocken.

Fragen und Antworten

Wer steht hinter Quad9?
Die Infrastruktur kommt von IBM, der Dienst wird gemeinsam mit der Global Cyber Alliance und dem Packet Clearing House betrieben. Die Blocklisten liefert unter anderem F-Secure.

Wie steht es um den Datenschutz?
Quad9 speichert bei Anfragen keine persönlichen Daten, auch nicht die IP-Adresse. Gespeichert werden Details zum angefragten DNS-Eintrag, ein Zeitstempel und Geo-Daten (Stadt, Bundesland, Land) der Anfrage. Letzteres wird für die Analyse von Bedrohungen verwendet. Daten werden nicht mit Werbetreibenden geteilt und es werden keine demografischen Analysen damit durchgeführt. Es geht lediglich darum, Bedrohungen besser erkennen zu können.

Wie sieht es mit Uptime und Resilienz gegen Angriffe aus?
Quad9 ist ein global aufgebauter Anycast-Dienst. Geht ein Resolve-Server offline, springen andere ein. Die Uptime liegt bei 99,999 Prozent. Seit der Beta im August 2016 wurde das System kontinuierlich ausgebaut. Leider kann kein Server im Internet einen hundertprozentigen Schutz gegen Angriffe garantieren. Bislang konnten aber alle Sicherheitsfunktionen greifen und eine längere Downtime verhindern.

Unterstützt Quad9 DNSSEC?
Ja, auf der Ipv4 9.9.9.9 und der IPv6 2620:fe::fe ist DNSSEC aktiviert.

Filtert Quad9 Anfragen oder werden falsche Eingaben korrigiert?
Nein. Quad9 ist kein Zensur-Werkzeug, sondern blockiert nur bekannte, bösartige Webseiten. Falsch eingegebene Domains werden nicht automatisch korrigiert.

Ist der Dienst wirklich gratis? Oder gibt es doch versteckte Kosten?
Nein, Quad9 ist für Einzelpersonen und Unternehmen kostenlos nutzbar.

Diesen Beitrag bewerten

0 Bewertungen

0 Kommentare

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Könnte Ihnen ebenfalls gefallen