c't 5/2019
S. 150
Praxis
DNS-Anfragen verschlüsseln
Aufmacherbild

Privatsphärenpflege

Raspberry Pi: Den DNS-Filter Pi-hole aktualisieren und erweitern

Viele Raspberry-Nutzer setzen auf dem Mini-Computer den DNS-Filter Pi-hole ein, um Schadcode, Werbung und Tracker aus ihrem Netz fernzuhalten. Wir fassen die wichtigsten Schritte zur Pflege des kleinen Helfers zusammen. Dazu zählen auch DNS-Verschlüsselung und verbesserte Ausfallsicherheit.

Am Anfang fast jeder Internet-Verbindung steht die Abfrage der Ziel-IP-Adresse. Dafür befragen Internet-fähige Geräte das Domain Name System – eine weltweit verteilte Datenbank, die menschenlesbare Domainnamen zu IP-Adressen auflöst (DNS). Ursprünglich wurde für den DNS-Verkehr keine Verschlüsselung spezifiziert.

Deshalb schickt auch der DNS-Filter Pi-hole seine Anfragen im Klartext durch das Internet und Dritte können die Pakete auf der Strecke zum DNS-Server leicht mitlesen. Inzwischen gibt es mehrere Verfahren zum Verschlüsseln des DNS-Verkehrs. Die wichtigsten sind DNS-over-HTTPS und DNS-over-TLS (DoH und DoT). Wie man Pi-hole mit DoT nachrüstet, haben wir anhand des kompakten DNS-Resolvers Stubby gezeigt [1].

Um das Ausfallrisiko des Pi-hole zu minimieren, soll Stubby von dem ebenfalls verschlüsselnden DNS-Proxy dnss Unterstützung erhalten. Der springt ein, falls Stubby ausfällt oder gewartet werden muss.

Wir gehen davon aus, dass Sie auf Ihrem Raspi Pi-hole bereits eingerichtet haben. Wie das geht, steht in c’t 11/2018 [2]. Für die Umsetzung der Anleitungen in diesem Beitrag sind grundlegende Terminal-Kenntnisse erforderlich.

Kommentare lesen (16 Beiträge)