iOS Reloaded Teil 10a: DNS

DNS ist eigentlich nur die Auflösung der Adresse, wie bspw. apple.com in eine IP-Adresse, die Computer verstehen. Damit hat der Anbieter eines DNS-Dienstes eine volle Übersicht aller Ihrer Internetverbindungen. Für mich ist das ein Problem, denn die ISPs (Vodafone etc.) kennen damit Ihr gesamtes Internetverhalten. Zumindest wissen sie, wann Sie welche Verbindung mit welchem Dienst (Browser, Mail, Chat etc.) durchgeführt haben. Daher ist es auf jeden Fall hilfreich, einen anderen DNS Server zu verwenden. Sie können meine früheren Artikel dazu lesen.

Mittlerweile haben sich Tools und Dienste etabliert, die nicht nur die Auflösung verschlüsselt gewährleisten, sondern auch unerwünschte Verbindungen verhindern, in dem sie z. B. Internet-Adressen, die Werbung oder Schadsoftware ausliefern, schlicht blockieren.

Dabei können Sie zwischen Apps, die das auf Ihrem iPhone steuern und Diensten im Internet wählen. Von mir in der Vergangenheit empfohlene Apps auf dem Rechner waren u.a. Lockdown Privacy und AdGuard Pro.

Ich empfehle die Lockdown-Firewall-Anwendung, die ich in der Vergangenheit mit Begeisterung empfohlen habe, nicht mehr. Sie hat sich zu einem Stromverbrauchskiller entwickelt. Außerdem sagte mir ein Freund, dass er mit der Facebook App Probleme hatte. Weiterhin umgeht Apple die meisten Schutzmechanismen mittlerweile ohnehin. So wie Google auch. Damit ist auch AdGuard Pro nicht mehr die beste Wahl. Beide VPN Implementierung auf den Geräten sind defekte Software, denn sie tut nicht das, was sie soll. Also nochmal im Klartext: Sowohl Google als auch Apple haben bewusst und hinterhältig die Programme zur Unterstützung von VPN kastriert, um an Ihre Daten zu kommen.

Sie dürfen sich Gedanken machen, wieso beide (!!!) das tun. Weil Ihnen Ihre Privatsphäre so wichtig ist?

Ein kurzer Abstecher:

Google’s Antwort ist eine arrogante Frechheit. Aber das ist bei Google zu erwarten, aber bei Apple, dem Gralshüter unserer Privatsphäre?

Google’s Antwort (zur Unterhaltung, es geht hier ja um iOS):

We have looked into the feature request you have reported and would like to inform you that this is working as intended. We do not think such an option would be understandable by most users, so we don’t think there is a strong case for offering this.

As for disabling connectivity checks :

  • the VPN might be actually relying on the result of these connectivity checks (they are available through public APIs).
  • the VPN may be a split tunnel, letting part of the traffic over the underlying network, or only affect a given set of apps. In both these cases, the connectivity checks are still necessary for smooth operation of all the legitimate traffic that doesn’t go over the VPN.
  • the connectivity checks are far from the only thing exempted from the VPN ; privileged apps can also bypass the VPN and this is necessary for their operation in many cases. An example is IWLAN, or tethering traffic.
  • it’s unclear to us what specific privacy impact is meant. The connectivity checks reveal there is an Android device at this address, which is plenty clear from the L2 connection and from the traffic going over the VPN anyway.
Kuketz-Blog

Einige Leser werden sich vielleicht darüber aufregen, dass ich NextDNS gegenüber AdGuard als DNS-Filter-Anbieter gewählt habe. Meine Gründe dafür sind die folgenden.   

  • Für mich mittlerweile am Wichtigsten: AdGuard ist ein russisches Unternehmen, das zwar nach Zypern verlagert wurde, aber seine Infrastruktur steht weiterhin in Russland.
  • Ein russischer CEO hat eine minimale Präsenz im Internet und es gibt keine Informationen über andere Eigentümer. Gehen Sie auf deren Webseite und suchen Sie einfach mal nach einer Organisationsstruktur, einem Namen oder sonst was. Nichts. AdGuard hat einen guten Ruf, aber das Gesagte hat für mich durch den Angriffskrieg auf die Ukraine an Gewicht gewonnen.
  • Ich hatte immer mal wieder Probleme mit der AdGuard Pro App in Kombination mit meinem ProtonVPN. Das beschreibe ich später.
  • Oben gesagte Umgehung Apple’s, die ich als Frechheit bezeichne. Apple hat bewußt die VPN Implementierung verkrüppelt. Welcher App können Sie jetzt noch vertrauen?
  • Ich habe mehr Vertrauen in NextDNS. Die Gründer sind öffentlich sichtbar, Sie geben Ihre berufliche Laufbahn preis und ich weiß, wer das Unternehmen leitet. Es handelt sich meiner Meinung nach um seriöse Geschäftsleute, die sich in diesem Bereich stark engagiert haben und ihre Gründe für den Dienst transparent darlegen.
  • Der Support von NextDNS ist hervorragend. AdGuard ist bisher auch gut gewesen, aber NextDNS war noch besser. 
  • AdGuard hat vor kurzem ein neues Programm angekündigt, das angeblich NextDNS ähneln soll und benutzerdefinierte Filterung auf deren Servern und nicht in der lokalen App ermöglicht. Wir werden sehen, was da kommt und wie es aussieht. Die benutzerdefinierten Optionen von NextDNS sind gründlich getestet und geprüft worden. Ich habe lange getestet und ausprobiert, auf verschiedenen Plattformen.

Die letzte Überlegung zum Schutz der Privatsphäre im Zusammenhang mit DNS betrifft die kontobasierten (wie NextDNS, wo Sie ein Konto anlegen müssen) und die öffentlich zugänglichen (wie dnsforge oder dismail) Server. Ein benutzerdefiniertes NextDNS-Konto kann zwar wunderbar zum Blockieren (oder Zulassen) von Verbindungen genutzt werden, birgt aber auch ein gewisses Risiko. Da Sie über ein Konto verfügen, können alle Abfragen zu einem bestimmten Benutzer zurückverfolgt werden. Die Deaktivierung der Protokollierung der Anfragen in NextDNS sollte dies verhindern können, aber ein Gerichtsbeschluss könnte Ihre Konfiguration außer Kraft setzen. Die Verwendung eines Alias-Namens mit einer Alias-E-Mail-Adresse sollte hier Abhilfe schaffen. Wenn Sie dann noch einen VPN verwenden, wird es aufwändig, Sie zu finden. Aber nicht unmöglich.

Für die öffentlichen NextDNS-Server ist kein Konto erforderlich, sie bieten jedoch keine benutzerdefinierte Filterung. Wenn Sie Anzeigen ohne ein Konto filtern möchten, gibt es viele Lösungen, beispielsweise Mullvad (adblock.doh.mullvad.net), die eben genannten, aber auch AdGuard (dns.adguard.com), ohne Verwendung der App. Allerdings können Sie den Schutz nicht ändern. Wenn eine Domäne blockiert wird, gibt es keine Möglichkeit, sie wieder freizugeben. Auch hier ist die benutzerdefinierte Filterung von NextDNS überlegen.

Und wie gesagt: Die lokalen Möglichkeiten werden von Apple teilweise umgangen. Daher ist es besser, einen Service ausserhalb des Telefons zu verwenden. Zu Hause habe ich eine Firewall (pfSense), die das alles für mich erledigt. Sie können sich pi-Hole oder eBlocker anschauen, die sind einfacher zu nutzen und sehr effektiv. Aber unterwegs benötige ich eine andere Lösung. Apple erlaubt keine einfache Änderung des DNS für das mobile Netz. Sie können nicht einfach, wie bei Android oder bei iOS für das Wi-Fi Netz, eine IP Adresse eintragen und haben einen anderen DNS Server. Und wenn Sie sicheres DNS (verschlüsselt) verwenden wollen, müssen Sie sowieso ein Profil herunterladen.

Wie Sie das durchführen können, habe ich schon erläutert. Sie können einfach nur einen anderen DNS nutzen, einen verschlüsselten oder einen, der Ihnen erlaubt, selber einzugreifen und Seiten zu sperren oder zuzulassen. Wie gesagt, beim Mobilfunknetz benötigen Sie für alle Fälle ein Profil, das Sie herunterladen müssen.

Wenn Sie das aber sowieso tun müssen, dann können Sie gleich einen Anbieter wählen, der Ihnen auch hilft, bestimmte Adressen zu sperren, so wie das Lockdown Privacy oder auch AdGuard Pro können. Für mich ist dieser Anbieter NextDNS. Zuerst habe ich diesen auf meinem GrapheneOS verwendet, aber mittlerweile nutze ich ihn auf jedem mobilen Gerät. Bis zu 300.000 Anfragen im Monat sind kostenlos, danach kostet es zwei Euro/Monat. Bei GrapheneOS komme ich maximal auf 30.000 Anfragen, da die Apps und das System so gut wie keine unnötigen Verbindungen anfragen. Bei iOS habe ich sehr viel mehr, da Apple andauernd seine eigenen Adressen anpingt, die aufgelöst werden müssen, das kostet. Im wahrsten Sinne des Wortes. Aber der Service von NextDNS ist es mir wert.

Wichtig ist auch zu wissen, dass Sie NextDNS sieben Tage ohne Konto testen können. Messen Sie in der Zeit, wieviele Anfragen Sie benötigen und rechnen das dann auf einen Monat hoch. Mich haben diese sieben Tage mit GrapheneOS überzeugt und das hat mich dann, nach Monaten, dazu gebracht, diese Lösung auch bei iPhone und iPad anzuwenden. Sie könnten mit NextDNS auch Ihr Apple TV schützen, falls Sie zu Hause nicht hinter einer Firewall sind.

Die Konfigurationsschritte sind bei Android sehr einfach, bei iOS leider nicht. Führen Sie die folgenden Schritte von Ihrem iOS-Mobilgerät aus (analog zum eben beschriebenen anderen Artikel). 

  • Öffnen Sie Safari (keinen anderen Browser) und gehen Sie zu https://nextdns.io.
  • Wenn noch nicht geschehen, legen Sie ein Konto an. Sie benötigen lediglich eine E-Mail-Adresse und ein Passwort. Die ersten sieben Tage benötigen Sie nicht mal das. Aber ich bin sicher, NextDNS überzeugt Sie ebenso wie mich.
  • Dann gehen Sie auf https://apple.nextdns.io. Die folgenden Schritte gelten, wenn Sie ein Konto verwenden. Tun Sie das nicht, werden Standardnamen vergeben.
  • Geben Sie einen Profilnamen und einen Namen für das Gerät an und tippen Sie auf „Download“.
  • Tippen Sie auf „Zulassen“.
  • Tippen Sie auf „Schließen“.
  • Gehen Sie in die Einstellungen-App und tippen Sie direkt unter Ihrem Namen auf „Profil geladen“.
  • Tippen Sie rechts oben auf „Installieren“.
  • Geben Sie Ihre Pin ein.
  • Tippen Sie rechts oben auf „Installieren“.
  • Tippen Sie auf „Installieren“.
  • Tippen Sie auf „Fertig“.
  • Das zuletzt installierte Profil wird aktiv.

Alternativ können Sie auch die NextDNS App aus dem App Store installieren. Ich weiss nicht mehr genau warum ich das nicht mehr mache, ich denke es gab einen Konflikt mit meinem VPN, weil die App den VPN belegt. Ich konnte also nur VPN oder NextDNS verwenden. Davon abgesehen finde ich die Installation von Profilen nicht so schwierig.

Ihr iPhone verwendet jetzt NextDNS für DNS-Anfragen. Im linken Tab „Einstellungen“ auf der NextDNS Seite sollte ein grüner Punkt leuchten und ein Text wie „Alles in Ordnung“ oder so erscheinen. Sie können die Protokollierung Ihrer DNS-Anfragen in Ihrem NextDNS-Portal sehen. Dies mag für einige Leser alarmierend sein. Der Tab „Logs“ (zweite von rechts) in Ihrem Portal identifiziert jede Verbindung, die von Ihrem Gerät aus hergestellt wird. Das kann ein Problem für den Datenschutz sein, hat aber auch viele Vorteile. Das sehen wir gleich.

Sie können Filter anwenden, die viele unerwünschte Verbindungen blockieren. Klicken Sie auf den Tab „Datenschutz“ und beachten Sie die automatisch angewendete Blockliste. Wenn diese nicht aktiviert wurde, fügen Sie die „NextDNS Anzeigen & Tracker Blockliste“ hinzu. Diese Datenbank blockiert über 100.000 Verbindungen, die mit Werbung, Trackern und Schadsoftware in Verbindung gebracht werden. Dadurch werden viele unerwünschte Verbindungen wie Popup-Werbung, Tracking-Code, Telemetrie und Benutzeranalysen blockiert. Sie haben jetzt einen besseren Schutz. Diese alleine reicht für viele Menschen schon aus und sie ist standardmässig meist aktiviert. Für diese Menschen: Das war’s. Mehr ist nicht zu tun. Happy Surfing.

Wenn Sie sich entscheiden, mehr zu wollen, z. B. alles von Google oder Facebook zu blockieren, bietet NextDNS dafür separate Filter, die Sie zusätzlich aktivieren können. Gehen Sie auf den Tab „Datenschutz“ > „Blocklisten“ und tippen Sie auf „Fügen Sie eine Blockliste hinzu“. Die Liste ist lang, spielen Sie damit. Aber nicht einfach alles aktivieren, das verlangsamt die Anfragen und bringt meist wenig Mehrwert.

Tipp: Pete Lowe’s und Stephen Black‘s Listen haben einen sehr guten Ruf.

Sie sehen auch, dass Sie die AdGuard Blocklisten aktivieren können. Weiter unten finden Sie Listen um alle Google- oder alle Facebook-Tracker zu blockieren. Meine Welt.

Beachten Sie, dass diese Listen möglicherweise mehr blockieren, als Sie wünschen. Gelegentlich (sehr sehr selten) weigert sich der Browser meines Geräts, eine Website anzuzeigen, die ich besuchen will. Es ist nicht das Gerät, das sie blockiert, sondern NextDNS. Wenn Sie eine Website finden, die nicht geladen werden kann, ändern Sie die DNS-Option Ihres Geräts wieder auf „Automatisch“ und laden Sie die Seite erneut. Wenn sie geladen wird, kennen Sie den Grund. Dies ist eine Seltenheit, aber Sie sollten wissen, was Sie tun können, wenn Sie es brauchen. 

Dazu gehen Sie in Ihrem iPhone auf 

  • Einstellungen > Allgemein > VPN, DNS & Geräteverwaltung > DNS und tippen Sie auf „Automatisch“.

Klicken Sie bei NextDNS auf der Webseite auf die Registerkarte „Protokolle“ und sehen Sie sich den Datenverkehr an. Hier finden Sie auch, wenn ein Filter eine Seite blockiert hat. Diese können Sie dann in die Allowlist aufnehmen und sind auf der sicheren Seite.

Sie können auch zuerst ein paar Ihrer Webseiten öffnen. Wenn Sie bisher noch keine derartigen Blocker verwendet haben, bereiten Sie sich auf einen Schock vor. Eine Seite angesurft, 50 oder mehr Einträge. Viele davon zu Werbetreibenden. Aktualisieren Sie die NextDNS-Protokollseite (Symbol mit den kreisförmigen Pfeilen) und beobachten Sie den Unterschied. Sie werden wahrscheinlich sehen, dass einige Verbindungen zugelassen und andere blockiert werden. Das ist die Filterliste in Aktion. Wenn Sie sehen, dass eine Verbindung zugelassen wird, die Sie nicht wünschen, können Sie diese Domäne kopieren und sie zur Registerkarte „Denylist“ hinzufügen. Ich habe dies für einige Domänen getan, die ich Paranoiker nicht wollte. Aber meist braucht man das nicht und die Liste ist auch bei mir sehr kurz. Durch tippen auf den Namen der blockierten Domäne können Sie sehen, welche Liste, wenn Sie mehrere Nutzen, diesen Eintrag blockiert.

Wenn Sie NextDNS von nun an immer auf Ihrem(n) Gerät(en) verwenden möchten, empfehle ich Ihnen dringend, die Protokollierungsaspekte zu ändern. Klicken Sie auf den Tab „Einstellungen“ in Ihrem NextDNS-Portal und sehen Sie sich den Abschnitt „Protokolle“ an. Sie können die Protokolle vollständig deaktivieren oder den Aufbewahrungszeitraum ändern. Ich wähle Letzteres, während ich meine Geräte teste. Ich lasse die Protokolle aktiviert, deaktiviere „IP-Adressen der Clients protokollieren“, aktiviere „Domains protokollieren“ und setze die Aufbewahrungsfrist auf „1 Stunde“. Auf diese Weise kann ich immer im Portal sehen, was blockiert und zugelassen wird, aber die Protokolle werden eine Stunde nach jeder Aktivität gelöscht. Ich kann Änderungen vornehmen, während ich mein iPhone konfiguriere, und sehe die Ergebnisse sofort. Auch wenn ich neue Apps das erste Mal installiere, aktiviere ich die Protokollfunktion bevor ich die App das erste Mal starte. Dann schaue ich, was sie treibt. Danach deaktiviere ich die Protokollfunktion wieder. Dadurch werden alle Aufzeichnungen über meine Internet-Aktivitäten über NextDNS gelöscht. Wann immer Sie wollen, können Sie alle Protokolle mit der Schaltfläche „Protokolle löschen“ löschen.  

Als nächstes sollten Sie sicherstellen, dass Ihre Verbindungen verschlüsselt sind. Navigieren Sie in Safari zu https://cloudflare.com/ssl/encrypted-sni und führen Sie einen Test durch, in dem Sie auf „Browser testen“ tippen. Sie sollten neben DNSSEC und TLS ein Häkchen sehen. Wenn dies der Fall ist, verbergen Sie einen Großteil Ihres Internetverkehrs vor Ihrem ISP und Ihrem VPN (dazu im nächsten Teil mehr, denn das ist standardmässig nicht immer der Fall). Die beiden anderen Optionen auf dieser Seite gelten für den DNS-Dienst von Cloudflare. Sie können sie ignorieren. Für diesen Test ist mir nur wichtig, dass der Datenverkehr mit einer TLS-Verbindung verschlüsselt wird. DNSSEC stellt die Integrität des DNS Servers sicher.

Besuchen Sie bei geöffnetem Safari-Browser amazon.com oder focus.de oder anderen und lassen Sie die gesamte Seite laden. Wenn Sie mit dieser Website vertraut sind, werden Sie feststellen, dass die meisten störenden Popups, eingebetteten Videos und blinkenden Anzeigen nicht mehr vorhanden sind. Das liegt daran, dass NextDNS diese Verbindungen blockiert hat, bevor sie Ihr Gerät erreichen. Kehren Sie dann zu Ihrem NextDNS-Portal zurück und laden Sie die Seite „Logs“ erneut. Es kann selten ein paar wenige Minuten dauern, bis die Ergebnisse angezeigt werden. Meist werden sie in Echtzeit angezeigt.

Der rote Balken auf der linken Seite bestätigt, welche eingehenden Verbindungen NextDNS blockiert hat. Sie können Ihre Blockliste(n) in Aktion sehen. Auf den Seiten werden Dutzende von Anzeigen und Trackern ohne unser Zutun blockiert. Wir brauchen keine Browser-Erweiterungen oder Firewall-Anwendungen. Das ist die wahre Stärke von NextDNS. Diese Implementierung ist viel sauberer und verbraucht nur minimale Ressourcen. Sie verhindert auch Konflikte mit VPN-Anwendungen. Ich bezahle die 2€/Monat gerne, denn ich spare so viel Zeit.

Das ist alles ganz schön viel, ich weiß. Aber es ist wirklich hilfreich und das stärkste Mittel, unerwünschte Tracker und Werbung loszuwerden. In meinen Kursen ist das oftmals die einzige Einstellung, die ich mit den Teilnehmern am ersten Tag durchführe. Der Effekt war bisher immer: Wow!

Fassen wir einige der wichtigsten Erkenntnisse zusammen. Standardmäßig stellt Ihr Internetdienstanbieter DNS-Dienste zur Verfügung und nutzt diese Daten („Vorratsdatenspeicherung“). Wenn Sie NextDNS auf Ihrem iPhone konfigurieren, verwenden Sie stattdessen den Lookup-Service von NextDNS, verschlüsselt. Außerdem können die Blocklisten Anwendungen daran hindern, Telemetrie- und Analysedaten über Ihre Nutzung zu übermitteln. Theoretisch könnten Sie so die gesamte Apple Telemetrie unterbinden. Probieren Sie es aus. Funktioniert Ihr iPhone noch? Wohl kaum. Denn auch wenn Sie glauben es gekauft zu haben, es gehört Ihnen nicht.

Denken Sie an die Grenzen der kostenlosen Version. Die meisten Nutzer werden nicht mehr als 300.000 Abfragen pro Monat durchführen, aber das hängt natürlich vo Ihrer Nutzung ab. Wenn Sie mehrere Geräte haben, können Sie entweder ein Konto für jedes Gerät einrichten, müssen dann aber alle Einstellungen mehrfach vornehmen, oder bei gesammelt mehr als 300.00 Anfragen eine geringe Gebühr von 2€/Monat für den Premium-Service von NextDNS bezahlen.