Unter einem Dach : VPN-Dienst und DNS-Proxy

Autor : Gerd Raudenbusch
Stand : 12.09.2024

Inhalt

• Motivation
• Was ist ein "Proxy"
• Warum ein anderer DNS-Resolver ?
• Warum ein DNS-Proxy ?
• Warum ein VPN-Dienst ?
• Architektur-Vorschläge
  • Bedachter Client
  • Bedachtes Heim
• Weiterführende Links

Motivation

Proprietäre, geschlossene Betriebssysteme, insbesondere die mobilen, dienen heutzutage nur noch bedingt dem Benutzer. Die Betriebssystem-Anbieter verfolgen meist von Anfang an auch eigene Interessen, die sich nicht unbedingt mit denen des Benutzers decken. Sie sammeln nicht nur seine Daten, sondern sie verletzen auch Protokolle um jederzeit Hersteller-Verbindungen zu ermöglichen. Damit paternalisieren sie den Benutzer, und stellen sich ungefragt als Schirmherr über seine Sicherheit. Regulierende Gesetze führen dabei meist nur zu geheuchelten Benutzeroberflächen, anstatt zu aufrichtiger Transparenz.

Dem Datensammeln folgen auch die meisten Apps und Programme, die auf dem Betriebssystem laufen. Durch entsprechende Datenaggregation - man nennt es "Big Data" - kann man ein Avatar des Benutzers schaffen, um ihn gläsern zu machen.

Und bisher hat es nicht den geringsten Anschein, als ob dieser gläsern geschaffene Mensch einer wäre, der am Ende sämtliche Tugenden besäße. Viel mehr formt die freie Marktwirtschaft ein für sie perfektes Werkzeug, und bringt einen unmündigen Konsumenten und Arbeiter hervor - einen digital resignierten Hampelmann und Sklaven, der nichts zu verbergen hat und sein Geld mit Freude für Illusionen ausgibt, die ihm mit Schuld und Angst die Augen bis an sein Lebensende zudrücken und die positive Rückkopplung zwischen seiner abgestumpften Unmündigkeit und seinen paternalistischen Schirmherren endlos weiterverstärkt, um dafür zu sorgen, daß seine Energie - sein Geld - weiter in ihre Hände fließt. Er wird zum Handschuh, und die Finger gehören Mächten, die für ihn unkontrollierbar, und irgendwann unbekannt sind.

Da das Internet ein verteiltes Netz ist, welches - kommunikativ gesehen - allen Menschen gleichermaßen gehört, ist es kontraproduktiv, dieses Informationsnetz auf seine eigenen Kosten zu bezahlen, nämlich dadurch, daß man seine dezentrale Informationsstruktur oligarchischen Konzernen opfert. Und dies muss es immer dann tun, wenn wir uns dem Irrglauben unterwerfen, daß uns seine Dienste einfach nur geschenkt werden dürfen und alles andere zu teuer wäre. Dadurch entstehen und etablieren sich Strategien ihrer Monetarisierung, die am Ende menschenfressende Geldmaschienen hervorbringen.

---

---

Die Erhaltung des Internets beinhaltet somit nicht nur, seine Dienste angemessen zu bezahlen, sondern auch, an seiner dezentralen Struktur als Wiederverkörperung von Gleichheit, Brüderlichkeit und Demokratie festzuhalten. Und dies beginnt vor der eigenen Haustür !

Die Tatsache, daß alle Domainnamen (z. B. "www.example.org") des eigenen Datenverkehrs unverschlüsselt zum Internet Service Provider gelangen, der womöglich zensiert und dieser die Ziele im Netz mit einer IP-Adresse ansteuert, die zur persönlichen Identifikation geeignet ist, stellt einen Sachverhalt dar, der aus Sicht des Datenschutzes nicht geduldet werden muss und nicht geduldet werden sollte.

In Deutschland sollten alle Provider von Telekommunikationsdiensten seit dem 01. Juli 2017 dazu verpflichtet sein, Verbindungs- und Standortdaten über einen längeren Zeitraum zu speichern. Die Standortdaten aller Bürger sollen für vier Wochen, deren Kommunikations- und andere Verbindungsdaten bis zu zehn Wochen vorsorglich gespeichert werden.

Obwohl die Vorratsdatenspeicherung in Deutschland auf Eis liegt, speichern Internet Service Provider die Daten ihrer Kunden teils monatelang und übermitteln sie auch an die Ermittlungsbehörden. Die Praxis beweist, dass diverse Internet Service Provider Daten von ihren Kunden oft viel länger vorhalten, als vorgeschrieben. Die Speicherdauer ist abhängig von der Art der Daten : Standortinformationen sollen vier Wochen lang, personenbezogene Informationen zehn Wochen lang vorgehalten werden. Sind die vorgeschriebenen Fristen abgelaufen, sollen die Daten nachweislich gelöscht werden.

Dieses Vorgehen wird nicht zuletzt durch eine technische Machtkonzentration beim Internet Service Provider ermöglicht, welche durch einen DNS-Proxy, der einen alternativen DNS-Resolver verwendet, sowie durch einen VPN-Proxy-Dienst zerschlagen werden kann.

Was ist ein "Proxy"

Der Begriff "Proxy" stammt von dem englischen Wort "proxy", was "Stellvertreter" bedeutet. Er wurde von William R. Cheswick geprägt und leitet sich vom lateinischen "Procuratorem" ab, was "für etwas sorgen" bedeutet).

Ein Proxy-Server fungiert als Vermittler zwischen Client, dem anfragenden und Server, dem antwortenden Dienst. Anstatt sich direkt mit einem Server zu verbinden, wird die Anfrage vom Client über den Proxy als Zwischenstation geleitet, der sie filtern und verändern kann, bevor er sie an den tatsächlichen Server weiterleitet.

Warum ein anderer DNS-Resolver ?

Der DNS-Resolver ist ein Server, welcher im Netz die Domains in IP-Adressen auflöst, die zur Kommunikation notwendig sind. Wenn man zur Machtzerschlagung einen selbsterwählten DNS-Resolver verwendet, der weder vom Internet Service Provider noch vom VPN-Dienstleister zugewiesen wurde, packt man idealerweise die Gelegenheit beim Schopfe und sichert den DNS-Verkehr gleich durch die Wahl entsprechender Protokolle DNS over TLS (DoT), DNS over HTTPS (DoH) und DNSSEC, sodaß er von außen unlesbar und unfälschbar wird.

Warum ein DNS-Proxy ?

Der DNS-Proxy ermöglicht die Entscheidung darüber, welche Domainnamen des Datenverkehrs, der das Haus verläßt, aufgelöst werden dürfen und welche unbeantwortet bleiben sollen. Über die Hälfte des Internet-Verkehrs eines heutigen Endbenutzers entspricht nicht den ursprünglichen Zwecken und geht an Datensammler und Werbetreibende. Ein DNS-Proxy kann diesen Mangel durch den Einsatz von Filterlisten zum größten Teil beheben - und dies mit größter Sicherheit auf einem freien Betriebssystem, wie es Linux ist.

Warum ein VPN-Dienst ?

Ganz allgemein bietet ein VPN-Dienst den VPN-Zugang zu verschiedenen Servern, die er betreibt, um das Umgehen von Zensur durch Geoblocking zu ermöglichen. Dabei wird die eigene IP-Adresse verschleiert, und der VPN-Tunnel verschlüsselt alles, was ihn passiert, so auch Kommunikation (wie z. B. DNS), die normalerweise ungesichert wäre. Durch eine VPN-Verbindung können auch öffentliche WLAN-Netzwerke (z. B. in Hotels oder Cafés) mit gutem Gewissen genutzt werden.

Was die Machtzerschlagung anbetrifft, so sieht der Internet Service Provider nur noch die Verbindung zum VPN-Dienst in seinen Verbindungsprotokollen. Dieser jedoch versetzt - im Gegensatz zum Internet Service Provider - seine Systeme mutwillig und absichtlich in die Lage, keine Verkehrsdaten erfassen zu KÖNNEN.

Eher zweitrangig ist dabei für jeden rechtschaffenen Internet-Benutzer die Wahl des rechtlichen Firmensitzes des VPN-Anbieters (z. B. Kaimaninseln o. britische Jungferninseln), um keinem zu verfallen, der gerichtlich gezwungen werden kann, seinen guten Vorsatz hinterhältig brechen zu müssen, um dadurch den eines Verbrechens verdächtigten Benutzer über die IP-Adresse zu identifizieren.

Trotz dieser guten Gründe, nicht auf einen VPN-Anbieter zu verzichten, ist es aus der Perspektive des Autors jedoch mehr als fragwürdig, VPN-Anbietern jährliche Beiträge zu überlassen, da die Lifetime-Abos genauso gut funktionieren.

Architektur-Vorschläge

Bedachter Client

Bei der folgenden Architektur wird der Client "bedacht". Sie kann sowohl zu Hause als insbesondere auch mobil zum Einsatz kommen.

Der Client tunnelt seinen gesamten Internet-Verkehr zu einem vertrauenswürdigen VPN-Dienst. Damit dieser den DNS-Verkehr nicht liest, wird eine verschlüsselte Verbindung zu einem vertrauenswürdigen DNS-Server verwendet, der nicht dem VPN-Dienst gehört und die dieser einfach durchtunnelt. Außerdem laufen sämtliche DNS-Anfragen zuvor durch den lokalen DNS-Proxy des Clients, um unerwünschte Kommunikation abzustellen, welche unnötig zum digitalen Fußabdruck, zum gläsernen Menschen beiträgt.

• Umsetzung auf Linux
  Als DNS-Proxy kann z. B. Unbound oder dnscrypt-proxy verwendet werden. Er muss so konfiguriert werden, daß er alle Anfragen über DNS over TLS (DoT), DNS over HTTPS (DoH) und DNSSEC an einen freien DNS-Resolver weiterleitet. Der Netzwerk-Manager unterstützt bereits VPN-Verbindungen, Pakete für Protokolle wie Wireguard oder IKEv2 können einfach nachinstalliert werden. In den Verbindungseinstellungen der VPN-Verbindung konfiguriert man als DNS-Server die IP-Adresse des lokalen DNS-Proxies.

• Umsetzung auf MacOS
  Unbound gibt es auch für MacOS. Er muss so konfiguriert werden, daß er alle Anfragen über DNS over TLS (DoT), DNS over HTTPS (DoH) und DNSSEC an einen freien DNS-Resolver weiterleitet. Da MacOS kein freies Betriebssystem ist, ist diese Architektur nur bedingt effektiv.

• Umsetzung auf Windows
  Als DNS-Proxy kann man Unbound, dnscrypt-proxy oder auch Acrylic verwenden. Er muss so konfiguriert werden, daß er alle Anfragen über DNS over TLS (DoT), DNS over HTTPS (DoH) und DNSSEC an einen freien DNS-Resolver weiterleitet. In den VPN-Einstellungen kann der lokale DNS-Proxy konfiguriert werden. Da Windows kein freies Betriebssystem ist, ist diese Architektur nur bedingt effektiv.

• Umsetzung auf iOS
  Als DNS-Proxy kann DNSCloak, eine Portierung von dnscrypt-proxy fungieren. Den VPN-Client kann man nur dann parallel im zweiten VPN-Slot betreiben, wenn man dort das IKEv2-Protokoll benutzt. Da iOS kein freies Betriebssystem ist, ist diese Architektur nur bedingt effektiv. Mobile Betriebssysteme sind vom Paternalismus ihrer Hersteller besonders betroffen. Von iOS ist lange bekannt, daß sämtliche VPN-Verbindungen undicht sind und das Gerät immer direkt mit dem Hersteller kommuniziert. Es empfiehlt sich langfristig der Umstieg auf GrapheneOS.

• Umsetzung auf Android
  RethinkDNS erfüllt sowohl die DNS-Filterung, als auch die verschlüsselte Verbindung zum DNS-Resolver und zum VPN-Dienst. Da Android kein freies Betriebssystem ist, ist diese Architektur nur bedingt effektiv. Mobile Betriebssysteme sind vom Paternalismus ihrer Hersteller besonders betroffen. Es empfiehlt sich langfristig der Umstieg auf GrapheneOS.

Bedachtes Heim

Dieses Modell nimmt die proprietären Betriebssysteme besser in Gewahrsam, als das erste Modell. Eine Abdeckung der Mobilgeräte außer Haus gestaltet sich mit dieser Architektur schwieriger; dazu muss der Router als VPN-Server konfiguriert werden, damit sich die Mobilgeräte per VPN-Verbindung unter dieses Dach zu Hause stellen können.

Die Umsetzung ist analog zur ersten Architektur, außer, daß die DNS-Adresse des DNS-Proxies nun nicht mehr lokal (0.0.0.0 oder 127.0.0.1) ist. Dem DNS-Proxy im Heimnetz vergibt man eine feste IP-Adresse. Ein Pi-Hole auf einem Raspberry Pi leistet sehr gute Dienste, er kann Filterlisten problemlos importieren. Die feste IP-Adresse des DNS-Proxies wird auf jedem Client des Hauses konfiguriert. Auch dem Hausrouter kann diese gegeben werden, um jene Clients abzudecken, welche keine explizite Konfiguration des DNS-Servers erlauben.

Weiterführende Links

• Raspberry Pi Shop
• Pi-Hole home
• Liste sicherer freier DNS-Resolver
• Portal für DNS-Filterlisten
• Unbound DNS-Proxy
• dnscrypt-proxy
• VPN Lifetime-Abos bei Stacksocial

---

Zurück zur Hauptseite