NetzwerkSicherheitWeb

DNS over TLS in der FritzBox aktivieren und sicherer surfen

Mit einem verschlüsselten DNS könnt Ihr Euer Surf-Erlebnis nicht nur beschleunigen, sondern auch sicherer machen.

Das Internet ist ein hochkomplexes Konstrukt. Eines der wichtigsten Elemente ist das Domain-Name-System, das Domainnamen in IP-Adressen überführt. Jedes Mal, wenn Ihr eine Website wie Tutonaut.de ansurft, fragt Euer Rechner dazu bei einem DNS-Server nach, welche IP-Adresse sich dahinter verbirgt, etwa bei uns 62.113.218.149. Das dient letztlich der Usability des Webs, schließlich kann sich niemand kryptische IP-Adressen merken. Der Betreiber des DNS-Server – im Normalfall Euer Internet-Provider – kann aber immer sehen, was Ihr so aufruft.

Zudem gibt es einige sicherheitstechnische Bedenken: DNS-Server können einerseits manipuliert werden und auf „falsche“ Seiten verweisen. Dadurch setzen zum Beispiel Zensurmaßnahmen oft im DNS an. Andererseits wird die Anfrage unverschlüsselt übertragen, wodurch jeder Server unterwegs nicht nur mitlesen, sondern die Anfrage gegebenenfalls auch manipulieren kann. Kurzum: Das Domain-Name-System in seiner puren Form ist weder sicher, noch zuverlässig – Grund genug, es mit DNS over TLS zu verschlüsseln. In der FritzBox geht das mit wenigen Handgriffen.

Alternativen DNS verwenden

Der erste Schritt, um das Domain-Name-System sicherer zu machen, ist, einen alternativen DNS-Anbieter zu verwenden. Im Zweifel hat das auch noch andere Vorteile: Gilt etwa in Eurem Heimatland eine gewisse Zensur, die über die Internetprovider durchgeführt wird – das ist in Deutschland etwa bei Seitensperrungen üblich – könnt Ihr mit einem alternativen DNS gut ausweichen. Die wohl interessantesten Dienste dieser Art sind Google und 1.1.1.1 von Cloudflare, es gibt aber eine Vielzahl an Anbietern, etwa OpenDNS, VeriSignDNS oderQuad9. Bei allen erhaltet Ihr je zwei IP-Adressen für IPv4 und IPv6, mit denen Ihr den alternativen DNS in den Einstellungen Eurer Routers oder Computers einstellen könnt. Bei der FritzBox tragt Ihr Ihr diesen Server im Menüpunkt Internet -> Zugangsart -> DNS-Server ein.

Ein alternativer DNS ist schnell aktiviert.
Ein alternativer DNS ist schnell aktiviert.

DNS over TLS in der FritzBox aktivieren

In einem zweiten Schritt könnt Ihr im Menüpunkt Internet -> Zugangsart -> DNS seit FritzOS 7.20 die verschlüsselte Übertragung zum DNS-Server aktivieren. Der Vorteil ist, dass Anfragen an den DNS unterwegs nicht mehr gelesen und dementsprechend auch nicht mehr manipuliert werden können. Aktiviert hierfür den Haken „Verschlüsselte Namensauflösung im Internet (DNS over TLS)“ und aktiviert außerdem das Häkchen „Zertifikatsprüfung für verschlüsselte Namensauflösung im Internet erzwingen“. Wenn Ihr sicherstellen wollt, dass alles immer zuverlässig funktioniert, könnt Ihr auch den Haken „Fallback auf unverschlüsselte Namensauflösung im Internet zulassen“ aktivieren. Allerdings bedeutet das, dass Ihr nicht immer sicher sein könnt, ob Eure DNS-Verbindung geschützt ist. Wir empfehlen daher, den Haken zunächst eine Weile aus zu lassen. Wenn Ihr Schwierigkeiten habt, Websites zu öffnen oder bestimmte Dienste aufzurufen, könnt Ihr ihn wieder aktivieren.

Das Fallback-System kann die Zuverlässigkeit erhöhen, reduziert aber die Sicherheit.
Das Fallback-System kann die Zuverlässigkeit erhöhen, reduziert aber die Sicherheit.

DNS over TLS-Server einsetzen

Damit das Ganze funktioniert und Ihr die neuen Einstellungen abspeichern könnt, benötigt Ihr außerdem noch den DNS-over-TLS-Server Eures DNS-Anbieters. Bei diesem handelt es sich nicht um eine IP-Adresse, sondern um einen Domainnamen: Bei 1.1.1.1 von Cloudflare ist das zum Beispiel 1dot1dot1dot1.cloudflare-dns.com, bei Google dns.google. Diesen müsst Ihr im Feld „Auflösungsnamen der DNS-Server“ eintragen. Anschließend könnt Ihr auf „Übernehmen“ klicken.

Pro Server eine Zeile.
Pro Server eine Zeile.

DNS-over-TLS hat leider einen großen Nachteil

Das war es dann auch schon: Eure DNS-Anfragen werden ab sofort verschlüsselt an Euren neuen DNS-Provider übertragen: Ihr habt einerseits den Vorteil, dass Ihr mit dem alternativen DNS möglicherweise schneller unterwegs seid, weil der Dienst mehr Kapazitäten hat als der DNS Eures Providers. Andererseits könnt Ihr sicherstellen, dass Ihr deutlich schlechter ausgehorcht und Eure Anfragen auch nicht mehr unterwegs manipuliert werden können. Kurzum: Eine gute Angelegenheit, die nur wenige Handgriffe in den Router-Einstellungen benötigt! Leider hat DNS-over-TLS auch einen großen Nachteil: Da die Kommunkation mit dem verschlüsselten DNS-Server läuft über den Port 853 – dieser muss also geöffnet und darf nicht vom Provider oder Internet-Anbieter blockiert sein. Das ist in Deutschland unwahrscheinlich, aber falls Ihr die DNS-over-TLS-Technologie in zensurfreudigen Drittländern verwenden wollt, solltet Ihr das im Hinterkopf haben, falls Ihr partout nicht ins Internet kommen solltet.

Christian Rentrop

Freier Journalist, Baujahr 1979. Erste Gehversuche 1986 am Schneider CPC. 1997 ging es online. Seither als Blogger und Journalist in Totholzwäldern, auf digitalen Highways und mit der Vespa GTS 300 oder meinem Hund in der echten Welt unterwegs. Neuerdings Tochtervater. Spendier‘ mir einen Kaffee.

Verwandte Beiträge

2 Kommentare

  1. Das Problem ist das AVM davon abrät DoT zu nutzen, da es zu Verbindungsproblemen kommen kann und Webseiten nicht mehr erreichbar sind. Nur ein Neustart der FritzBox hilft. Das ganze kann man umgehen indem man DoT bei Android im privaten DNS eingibt und bei iOS sich ein DNS Profil installiert. Auf beiden Systemen greift es im Wlan als auch bei Mobilen Daten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Schaltfläche "Zurück zum Anfang"
Tutonaut.de