Privatsphärenschutz mit DNSCrypt-Proxy einrichten

Die Unternehmen Apple, Cloudflare und Fastly haben vor einiger Zeit ein Konzept zum Privatsphärenschutz aufgegriffen, das Paul Schmitt und weitere Mitarbeiter der Universität Princeton 2019 vorgestellt haben. Dabei geht es darum, die IP-Adressen von Nutzern bei der Kommunikation mit dem Domain Name System (DNS) zu verbergen. Netzwerkgeräte müssen nämlich vor jeder Verbindung Domainnamen zu IP-Adressen auflösen lassen und diesen Service bietet das DNS.

Wenn man aber das DNS nach IP-Adressen zu bestimmten Domains befragt, legt man offen, welche Internet-Seiten man besucht. Das können Angreifer nutzen, um DNS-Antworten zu manipulieren, stille Mitleser aus reiner Neugierde oder für den Verkauf von Userprofilen an Werbetreibende oder als vorbereitende Maßnahme zur Industriespionage. Die DNS-Anfragen lassen sich an vielen Stellen im Internet leicht abgreifen, weil sie größtenteils unverschlüsselt sind.

Mittlerweile verbreiten sich verschlüsselnde Protokolle wie DNS-over-TLS und DNS-over-HTTPS, die die DNS-Kommunikation auf dem wichtigsten Teilstück, nämlich zwischen dem Benutzergerät und dem DNS-Resolver kryptografisch absichern. Der Resolver-Betreiber erfährt aber trotz Verschlüsselung, welcher Internetanschluss welche Domains ansteuert und kann so weiterhin Profile von Anwendern erstellen.

Eine detaillierte Beschreibung des Problems und der Lösung finden Sie im Beitrag ab Seite 106. Stark verkürzt kann man sagen: Paul Schmitt und Kollegen schlagen eine zusätzliche Schicht in der DNS-Architektur vor, um die Nutzer-IP-Adressen vor dem Resolver-Betreiber zu verbergen. Apple, Cloudflare und Fastly haben dieses Konzept weiterentwickelt und definieren zurzeit einen herstellerübergreifenden Standard. Er gründet auf DNS-over-HTTPS und heißt Oblivious DoH, kurz ODoH. Apple will auf dieser Grundlage eine kostenpflichtige Funktion im Rahmen des Angebots „Private Relay“ anbieten. Nutzer des Apple-Dienstes iCloud+ sollen sie mit den bald erwarteten Betriebssystemen iOS 15 und macOS 12 aktivieren können.

Wenig bekannt ist aber, dass man Schmitts Konzept bereits heute nutzen kann, und zwar auf zahlreichen Betriebssystemen. Eine Entwicklergruppe, die das quelloffene Protokoll DNSCrypt selbstständig vorantreibt, hat die Anonymisierung der DNS-Kommunikation in den eigenen Client DNSCrypt-Proxy implementiert. Die Software ist gratis für diverse Unix- und Linux-Plattformen sowie für Windows und macOS erhältlich (siehe ct.de/y9mf).

So kann man etwa auch den beliebten DNS-Filter Pi-hole mit DNSCrypt-Proxy aufrüsten. Wie das geht, haben wir bereits gezeigt (ct.de/y9mf). Um darauf die Anonymisierung zu aktivieren, muss man bloß die in diesem Artikel vorgestellte Konfiguration auf den Pi-hole bringen.

Die Entwickler des DNSCrypt-Proxy wollen auch ODoH implementieren. Die Spezifikation ist aber noch nicht fertig, sodass Server und Relays noch nicht zuverlässig arbeiten. Deshalb klammern wir ODoH auf DNSCrypt-Proxy aus und beschreiben nur dessen eigene anonymisierende DNS-Technik.

Wie man den Anonymous-Mode konfiguriert, erklären wir im Weiteren anhand der frisch erschienenen Version DNSCrypt-Proxy 2.1.0. Die Entwickler haben sie für alle unterstützten Plattformen vorkompiliert, sodass die Einrichtung wenig Aufwand erfordert. Für Raspbian OS und für andere Debian-basierte Distributionen ist die Software zwar als Paket erhältlich, aber nur in der veralteten Version 2.0.19, weshalb wir darauf verzichten. Auf dem Raspberry Pi haben wir das Programm mit Raspbian OS ausprobiert (7. Mai 2021, Kernel 5.10), auf Macs mit macOS (Big Sur 11.5.2). Windows haben wir in Version 10, Build-Nummer 20H2 (19042.1052) eingesetzt.

Im Prinzip läuft die Installation auf allen drei Systemen gleich ab: Zunächst lädt man die Software ins Download-Verzeichnis, dann testet man sie und tüftelt kurz an der Konfiguration. Anschließend verschiebt man den gesamten Ordner an den vorgesehenen Platz und richtet DNSCrypt-Proxy als Systemdienst ein.

Die konkreten Arbeitsschritte laufen unter Linux, macOS und Windows im Terminal ab; wir haben sie in der Tabelle aufgeführt. Im Weiteren erläutern wir die wesentlichen Schritte begleitend zur Tabelle. An einigen Stellen sind Benutzerpfade einzugeben. Wir setzen als Beispiel ct ein. Setzen Sie statt ct Ihren Benutzernamen ein.

DNSCrypt-Proxy einrichten

DNSCrypt-Proxy liest seine Konfiguration aus der Datei dnscrypt-proxy.toml. Über ct.de/y9mf finden Sie ein Beispiel, das wir im Test erfolgreich verwendet haben. Falls Sie von null anfangen möchten (empfehlenswert wegen Learning by Doing): Die Entwickler haben dem Archiv ein Beispiel beigefügt, das man nur noch passend benennen muss. Von dieser Ausgangssituation gehen wir bei den Befehlen in der Tabelle aus.

DNSCrypt-Proxy wurde ursprünglich für die einfache verschlüsselte DNS-Kommunikation ausgelegt. Deshalb ist das Einrichten der anonymisierten DNS-Kommunikation zweigeteilt. Im ersten Teil konfiguriert man einen oder mehrere Resolver, die DNSCrypt-Proxy befragen soll. Diese Parameter trägt man im Abschnitt „Global settings“ ein, der am Anfang der Datei steht.

Dort finden Sie ein mit # auskommentiertes, also deaktiviertes Beispiel für die Resolver-Wahl. Entfernt man das Kommentarzeichen, befragt die Software die Resolver von Scaleway, Google, Yandex und Cloudflare. Diese eignen sich aber nicht für die anonyme DNS-Kommunikation. Geeignete Resolver finden Sie auf der Seite dnscrypt.info/public-servers.

Normalerweise würde man aus der Liste ein bis mehrere nahe gelegene Kandidaten auswählen, damit die DNS-Antworten möglichst schnell eingehen – also etwa Resolver in der Schweiz oder Österreich, wenn man dort ins Internet geht. Ein guter Kandidat für Surfer in Deutschland ist dnscrypt-de-blahdns-ipv4. Aber: Wenn man diesen Kandidaten als Laptop-Reisender verwendet, müsste man im Ausland in jedem neuen Land einen anderen suchen und konfigurieren. Man kann daher Zeit sparen, wenn man von vornherein für häufig bereiste Länder oder Kontinente mehrere Resolver aussucht und einträgt – denn DNSCrypt-Proxy fragt sie alle direkt beim Start ab und sortiert sie in einer internen Tabelle nach der Antwortgeschwindigkeit.

Jedoch ist die Suche nach geeigneten Resolvern etwas umständlich, weil nicht jeder Resolver-Name mit einer Länderkennung gekennzeichnet ist. Es geht aber noch etwas einfacher: Manche Anbieter unterhalten nämlich viele gleichnamige Resolver in mehreren Ländern, einige gar auf fast allen Kontinenten. Man findet sie leicht anhand der Bezeichnung „anycast“. Trägt man solche Resolver ein, werden DNSCrypt-Pakete automatisch zur nächstgelegenen Instanz des gewählten Anbieters geroutet. In der Tabelle finden Sie das deaktivierte Beispiel und ein von uns beigesteuertes Beispiel mit einem Anycast- und zwei üblichen Anbietern. Tragen Sie es als eine Zeile unter das deaktivierte Beispiel ein, um es auszuprobieren.

Dabei steht quad9-dnscrypt-ip4-nofilter-pri für den Anycast-Dienst von Quad9, dnscrypt.be für das an der belgischen Universität Leuven stationierte Projekt des dortigen Administrators Sigfried Seldeslachts und moulticast-de-ipv4 für das in Deutschland stationierte Non-Profit-Projekt des Schweizers Herve Rousseau.

Um andere Resolver einzustellen, öffnen Sie die Seite dnscrypt.info/public-servers und klicken auf die Spalte „Protocol“, sodass zuoberst alle Resolver aufgeführt werden, die sich für DNSCrypt eignen. Stellen Sie ganz unten in der Tabelle den Parameter „Rows per Page“ auf „All“, damit alle Kandidaten auf einer Seite aufgeführt werden.

Nehmen Sie sich dann kurz Zeit und entscheiden Sie, ob die Resolver die Antworten gemäß DNSSEC auf Korrektheit und Vertrauenswürdigkeit prüfen sollen (das schützt DNSSEC-signierte Daten gegen Manipulation) und ob sie Anfragen nach Websites mit bekannt kriminellem Hintergrund oder pornografischem Inhalt filtern sollen. Tragen Sie keine Resolver von Cisco ein, weil deren Implementierung des DNSCrypt-Protokolls noch nicht korrekt läuft.

Zu jedem Resolver ist auch aufgeführt, ob die Betreiber eine Protokollierung (logging) ausschließen oder nicht. Darauf müssen Sie keine Rücksicht nehmen, wenn Sie anonymisierendes DNSCrypt verwenden.

Die Einstellungen für anonyme DNS-Anfragen stehen fast am Ende der Datei im Abschnitt [anonymized_dns]. Dort trägt man einen oder mehrere Resolver und Relays ein. Mit einem Relay-Eintrag legt man fest, auf welchem Weg – über welche Relays – die DNSCrypt-Pakete zu einem bestimmten Resolver reisen. Man kann für einen Resolver ein oder mehrere Relays festlegen, denen DNSCrypt-Proxy seine Anfragen dann alternativ zuschickt.

Ein Muster mit einem Resolver und zwei Relays sieht wie folgt aus:

routes = [ { server_name='Resolver1', via=['Relay1', 'Relay2'] } ]

Eine Liste mit Relays finden Sie im DNSCrypt-Proxy-Ordner unter dem Namen relays.md. Der DNS-Client aktualisiert diese Datei bei jedem Start automatisch.

Bei der Auswahl wägt man die Antwortgeschwindigkeit (kürzestmögliche Latenz) gegen die Sicherheitsanforderungen ab. Wenn Sie größeren Wert auf den Schutz der Privatsphäre legen, konfigurieren Sie Resolver und Relays aus verschiedenen Ländern. Wenn Sie schnelle Antworten bevorzugen, tragen Sie Relays und Resolver aus dem Land ein, in dem auch Sie sich befinden.

DNSCrypt-Proxy akzeptiert mehrere Routen. Jedem Resolver lassen sich eigene Relays zuordnen:

routes = [ { server_name='Resolver1', via=['Relay1', 'Relay2'] }, { server_name='Resolver2', via=['Relay3', 'Relay4'] }, { server_name='Resolver3', via=['Relay5', 'Relay6'] } ]

Wir haben der Einfachheit halber den drei weiter oben eingetragenen Resolvern jeweils die Relays anon-cs-de2 und anon-pwoss.org zugeteilt. In der Tabelle finden Sie das Beispiel im „Abschnitt Anonymized DNS“. In diesem Fall könnte man anstatt jede Route einzeln aufzuführen in einer Zeile alle Resolver mit dem Zeichen * definieren:

routes = [ { server_name='*', via=['Relay1', 'Relay2'] } ]

Alternativ könnte man Relays automatisch wählen lassen. DNSCrypt-Proxy sucht dann selbstständig nach Relays, die nicht im selben Netzwerk stehen. Wir raten aber davon ab, weil man dann im Monitoring-Modus prüfen muss, ob die Auswahl tatsächlich den eigenen Vorstellungen entspricht, und gegebenenfalls korrigieren, was den Konfigurationsaufwand wieder erhöht.

Wenn Sie die gewünschten Resolver und Relays eingetragen haben, speichern Sie die Änderungen und starten Sie den DNS-Client wie in der Tabelle beschrieben. Der Proxy prüft beim Start, ob und wie schnell er die konfigurierten Resolver und Relays erreichen kann und gibt eine Reihenfolge wie folgende aus:

14ms quad9-dnscrypt-ip4-nofilter-pri
20ms moulticast-de-ipv4
40ms dnscrypt.be

In der letzten Zeile sollte stehen „dnscrypt-proxy is ready“ und die Anzahl der Resolver (servers), die er erreicht hat. Öffnen Sie ein zweites Terminal-Fenster im selben Verzeichnis und testen Sie die DNS-Auflösung.

In der Antwort sollte 193.99.144.80 und 2a02:2e0:3fe:1001:302:: stehen sowie diverse weitere Auszüge aus der DNS-Datenbank des für ct.de zuständigen autoritativen DNS-Servers. Stoppen Sie nun den Proxy mit Strg+C und installieren Sie ihn so, dass er bei jedem Boot-Vorgang automatisch gestartet wird. Auf dem Raspi bietet es sich an, gleich auch den Ordnernamen besser kenntlich zu machen, weshalb wir dafür drei Schritte notiert haben.

Unter Windows schließen Sie zunächst das Explorer-Fenster, in welchem der Download-Ordner geöffnet ist. Andernfalls blockiert Windows das Verschieben des dnscrypt-proxy-Ordners.

Die Installation als Service erfolgt auf allen drei Systemen aus dem DNSCrypt-Proxy-Pfad heraus und sieht auch sonst sehr ähnlich aus. Prüfen Sie anschließend, ob der Dienst läuft. Auf allen drei Plattformen sollten dieselben Meldungen erscheinen, die das Programm schon beim manuellen Start ausgegeben hat, inklusive der ermittelten Laufzeiten und der Meldung „dnscrypt-proxy is ready“.

Um sich einen Überblick über die DNS-Auflösungen des Proxys zu verschaffen, fügen Sie dnscrypt-proxy.toml wie beschrieben eine Zeile im Bereich query_log hinzu, speichern Sie die Änderungen und starten Sie den Proxy neu. Dann legt das Programm die Datei dnscrypt-proxy-query.log an, das man je nach Betriebssystem mit tail oder type anzeigen lassen kann.

Im Query-Log notiert die Software zu jeder DNS-Anfrage, wie lang die Antwort gedauert hat und an wen sie geschickt wurde. So kommt man auch (sehr seltenen) Ausfällen von Resolvern auf die Spur. Dann notiert der Proxy „Network_Error“, die abgelaufene Frist für die Antwort (z. B. 5048 ms) und den Namen des Resolvers, der innerhalb der Frist nicht geantwortet hat. Wenn Sie mehr als einen konfiguriert haben, sollte der Proxy automatisch einen anderen befragen und dies eine Zeile später notieren. Wenn die Ausfälle zu häufig vorkommen, ersetzen Sie den unzuverlässigen Resolver durch einen anderen.

Generell gilt: Wenn Sie sich an den Logs sattgesehen haben, öffnen Sie wieder die Konfigurationsdatei und schalten Sie das Query-Log ab, um Rechenzeit und Speicherplatz zu sparen. Vergessen Sie nicht, DNSCrypt-Proxy neu zu starten.

Einen Raspi kann man nun als lokalen DNS-Proxy für das gesamte Heimnetz nutzen, indem man dessen IP-Adresse in die DHCP-Einstellungen des Routers einträgt. Sobald sich Netzwerkgeräte neu beim Router anmelden (etwa nach einem Neustart), verwenden sie den DNS-Server, den ihnen der DHCP-Server des Routers mitteilt – also etwa Ihren Raspi.

Einen Desktop-Mac kann man genauso als DNS-Proxy für sein Heimnetz konfigurieren. Wenn es sich um ein MacBook handelt, auf dem DNSCrypt-Proxy auch unterwegs laufen soll, empfiehlt es sich, macOS umzukonfigurieren. Öffnen Sie dazu die Systemeinstellungen und dort den Bereich Netzwerk. Klicken Sie auf die WLAN-Schnittstelle und dann nacheinander auf „weitere Optionen“ und „DNS“. Entfernen Sie alle Einträge in der Spalte „DNS-Server“, indem Sie auf das Minus-Symbol klicken. Klicken Sie auf „+“ und fügen Sie ::1 und in die nächste Zeile 127.0.0.1 ein. Damit befragt macOS sowie darauf eingerichtete Internet-Anwendungen die lokale Maschine; ::1 steht für das IPv6-Protokoll, 127.0.0.1 für das veraltete IPv4.

Wenn Sie sicherstellen wollen, dass der DNS-Dienst auch bei einem Ausfall von DNSCrypt-Proxy weiter funktioniert, tragen Sie in der dritten Zeile einen weiteren Resolver ein, beispielsweise 9.9.9.11 von Quad9. Dabei nutzt ihr Mac weder die Verschlüsselung noch die Anonymisierung von Quad9, weil sich der von Apple eingebaute Stub-Resolver für beides nicht eignet. Aber falls DNSCrypt-Proxy mal ausfällt, haben Sie ein Fallback. Klicken Sie auf OK und dann auf Anwenden, damit der Mac die Einstellungen übernimmt.

In einem ausführlichen Test lief DNSCrypt-Proxy auf einem MacBook Pro mit Apples M1-Chip und aktuellem Big Sur reibungslos – startete also automatisch, legte sich schlafen, wenn der Deckel zuklappte, und wachte umgehend auf, wenn man ihn öffnete, tage- und wochenlang.

Um Windows-Notebooks auf dieselbe Weise einzurichten, tippen Sie Windows+I und öffnen dann im Bereich „Netzwerk und Internet“ die Einstellungen für das WLAN-Interface. Klicken Sie dort auf „Adaptereinstellungen ändern“ und dann auf den betreffenden WLAN-Adapter sowie auf dessen Eigenschaften. Doppelklicken Sie dann auf „Internetprotokoll, Version 4...“ und schalten Sie um auf „Folgende DNS-Serveradressen verwenden“. Tragen Sie im Feld „Bevorzugter DNS-Server“ die IP-Adresse 127.0.0.1 ein. Im unteren Feld kann man einen Ersatz-Server wie 9.9.9.11 eintragen, falls DNSCRypt-Proxy mal ausfällt oder keiner der konfigurierten Server erreichbar ist. Im Bereich „Internetprotokoll, Version 6...“ tragen Sie ::1 ein, damit der lokale DNSCrypt-Proxy auch via IPv6 befragt werden kann. Als Fallback auf zum Beispiel Quad9 setzen Sie 2620:fe::11 ein.

Zu beachten ist, dass ein Laptop mit der hier beschriebenen Konfiguration nicht auf interne Server einer Firma zugreifen kann – externe Resolver kennen keine internen Server. Dafür schaltet man in den Laptop-Einstellungen hilfsweise auf die übliche DNS-Konfiguration zurück. Alternativ nutzt man den VPN-Zugang: Die VPN-Konfiguration enthält die für Firmenzugriffe erforderlichen DNS-Einstellungen grundsätzlich.

Schlussstrich

Anonyme DNS-Anfragen werden über ein zusätzliches Relay zum Resolver geschickt und sind daher etwas langsamer als übliche verschlüsselnde DNS-Anfragen und erst recht langsamer als die Klartext-DNS-Kommunikation. Der Zeitverlust war in unseren mehrwöchigen Tests aber nicht spürbar, auch nicht, als in einem Fall einer von drei konfigurierten Resolvern ausfiel. Um die Software auszuprobieren, genügt ein Stündchen, das Zugriffsprotokoll zeigt klar, wohin die DNS-Anfragen gehen.

Allerdings muss man den Relay-Betreibern vertrauen. Es gibt keinen Mechanismus, der verhindert, dass verschiedene Resolver- und Relay-Betreiber unter der Hand Daten austauschen und doch noch Userprofile erstellen. Es gibt aber etliche vertrauenswürdige Institutionen und auch Privatpersonen, die Relays und Resolver betreiben und sich glaubwürdig für den Privatsphärenschutz engagieren. Und auf Apples ODoH-Implementierung kann man auch schon gespannt sein.

Möglicherweise zweifeln Sie aber am Nutzen der anonymen DNS-Anfragen, denn Netzbetreiber oder auch Staatsschützer können den gesamten Verkehr mitschneiden und dann Paket für Paket versuchen zuzuordnen, welcher User wohin surft. Wie weit diese Versuche tatsächlich gehen, lesen Sie auf Seite 116. (dz@ct.de)

Downloads und Auswahllisten: ct.de/y9mf