An der DNS-Infrastruktur (Domain Name System) hat sich seit den Anfängen des Internets wenig geändert. Das relativ einfache System bietet einige Angriffsflächen, die Ihre Sicherheit gefährden können. Ein weiterer Aspekt sind überlastete DNS-Server, die zögerlich antworten und den Internetzugriff verlangsamen. Beide Probleme können Sie durch die Konfiguration alternativer DNS-Server deutlich reduzieren. Nebenbei lassen sich über DNS auch Werbeblocker einrichten.
Die DNS-Konfiguration des Netzwerks
Den DNS-Server stellt in der Regel der Internetanbieter bereit und konfiguriert den Router automatisch mit dessen IP-Nummer. Die Netzwerkgeräte verwenden für gewöhnlich die IP des Routers für DNS. Dieser leitet die Anfragen an einen DNS-Server im Internet weiter. Welche Konfiguration für Ihr Netzwerk gilt, erfahren Sie unter Ubuntu in den „Einstellungen“. Gehen Sie auf „Netzwerk“ oder „WLAN“ und klicken Sie auf das Icon mit dem Zahnradsymbol. Das Fenster zeigt die IP-Adressen des PCs, hinter „Vorgabestrecke“ und „DNS“ steht jeweils die IP-Adresse des Routers. Bei Linux Mint führt der Weg über das Menü und „Einstellungen –› Netzwerk“. Nach einem Klick auf „Kabelgebunden“ (Ethernet) sehen Sie die Konfiguration sofort, bei „WLAN“ klicken Sie auf das Zahnradsymbol. Im Terminal zeigt der Befehl
resolvectlauf jedem Linux die Netzwerkadapter und die eingestellten DNS-Server.
DNS-Server umstellen
Es ist am einfachsten, den DNS-Server im Router vorzugeben. Die Einstellung gilt dann automatisch für alle Geräte. Sie können aber auch einzelne PCs für alternative Server konfigurieren.
DNS im Router einstellen: Wir erläutern die Konfiguration einer Fritzbox. Rufen Sie im Webbrowser die Konfigurationsoberfläche des Routers über http://fritz.box oder die Standard-IP-Nummer http://192.168. 178.1 auf. Nach der Anmeldung gehen Sie auf „Internet –› Zugangsdaten“ und wechseln zur Registerkarte „DNS-Server“. Tragen Sie die IPv4- und IPv6-Nummern der gewünschten Server ein (siehe Tabelle). Verwenden Sie jeweils zwei IPs. Bei Ausfall eines Servers wird automatisch der andere verwendet. Auf den Geräten im Netzwerk müssen Sie nichts ändern. Hier bleibt es bei der IP des Routers, der die Anfragen weiterleitet.
Über https://dns-leak.com können Sie testen, welcher DNS-Server zum Einsatz kommt. Die angezeigten IP-Nummern müssen nicht den konfigurierten entsprechen, weil die Anbieter den Netzwerkverkehr bei Bedarf auf einen Serverpool verteilen. Die Angabe in der Spalte „ISP“ sollte jedoch auf den genutzten DNS-Anbieter hinweisen.
DNS für Einzelgeräte: Wenn Sie die DNS-Server nur bei einzelnen Geräten ändern möchten, passen Sie deren Netzwerkkonfiguration an. Bei Ubuntu gehen Sie in den „Einstellungen“ auf „Netzwerk“ und klicken auf das Zahnradsymbol. Auf den Registerkarten „IPv4“ und „IPv6“ deaktivieren Sie unter „DNS“ jeweils den Schalter „Automatisch“ und tragen die IP-Adressen durch Kommata getrennt ein. Unter Linux Mint gehen Sie nach Aufruf von „Einstellungen –› Netzwerk“ entsprechend vor. Die zweite IP-Adresse geben Sie nach einem Klick auf die „+“-Schaltfläche ein.
Tipp: Erstellen Sie in der Netzwerkkonfiguration Profile mit unterschiedlichen DNS-Konfigurationen. Sie können dann schnell zwischen den Profilen wechseln und die Leistung der DNS-Server vergleichen.
Anbieter alternativer DNS-Server (Auswahl)
| Anbieter | Sitz | Internet | Erste IPv4 | Zweite IPv4 | Erste IPv6 | Zweite IPv6 |
|---|---|---|---|---|---|---|
| Cloudflare | USA | https://m6u.de/CFDNS | 1.1.1.1 | 1.0.0.1 | 2606:4700:4700::1111 | 2606:4700:4700::1001 |
| DNS4EU* | Europa/EU | http://www.joindns4.eu | 86.54.11.1 | 86.54.11.201 | 2a13:1001::86:54:11:1 | 2a13:1001::86:54:11:201 |
| Dnsforge* | Deutschland | https://dnsforge.de | 138.199.149.249 | 78.47.71.194 | 2a01:4f8:c17:7aa5::249 | 2a01:4f8:c013:aae9::194 |
| Freie Netze München e. V. | Deutschland | https://ffmuc.net | 5.1.66.255 | 185.150.99.255 | 2001:678:e68:f000:: | 2001:678:ed0:f000:: |
| USA | https://m6u.de/GODNS | 8.8.8.8 | 8.8.4.4 | 2001:4860:4860::8888 | 2001:4860:4860::8844 | |
| Quad9 | Schweiz | https://quad9.net | 9.9.9.9 | 149.112.112.112 | 2620:fe::fe | 2620:fe::9 |
DNS mit Verschlüsselung nutzen
Anfragen an DNS-Server werden standardmäßig unverschlüsselt übermittelt. Für mehr Datenschutz konfigurieren Sie einen DNS-Server mit Verschlüsselung und eventuell auch mit Werbeblocker. Dafür gibt es zwei Protokolle: DNS over HTTPS (DoH) verwendet den Standardport 443 und wird vor allem von Browsern verwendet. DNS over TLS (DoT) nutzt den Port 853 und kommt bei der Netzwerkkonfiguration zum Einsatz.
Bei Verwendung eines DNS mit Werbeblocker und/oder Jugendschutz ist zu beachten, dass dann einige Websites keine Inhalte mehr ausliefern. Stattdessen werden Sie aufgefordert, den Werbeblocker zu deaktivieren. Diese Option ist daher nur auf einzelnen PCs zu empfehlen. Bei Problemen können Sie dann schnell zu einem anderen DNS-Server wechseln. Die URLs für DNS over HTTPS oder DNS over TLS mit und ohne Werbefilter finden Sie auf den Webseiten der Anbieter (siehe Tabelle).
Sicheres DNS im Router aktivieren: Bei einer Fritzbox gehen Sie zu „Internet –› Zugangsdaten –› DNS-Server“. Hier aktivieren Sie „Verschlüsselte Namensauflösung im Internet (DNS over TLS)“ und tragen in das Feld „Auflösungsnamen der DNS-Server“ die URL des DNS-Servers ein – für DNS4EU beispielsweise „protective.joindns4.eu“ oder für Dnsforge „blank.dnsforge.de“. Sie können mehrere URLs eintragen (eine pro Zeile). Wenn ein Server nicht erreichbar sein sollte, wird der Standard-DNS-Server verwendet. Sollte das nicht erwünscht sein, entfernen Sie das Häkchen vor „Fallback auf unverschlüsselte Namensauflösung im Internet zulassen“.
Verschlüsseltes DNS für einzelne Rechner: Sie wollen DNS over TLS nur auf einem PC aktivieren? Dann konfigurieren Sie zuerst einen DNS-Server aus der Tabelle wie oben beschrieben. Danach verwenden Sie diese zwei Terminalbefehle:
nmcli connection modify [Verbindungsname] connection.dns-over-tls 1
sudo systemctl restart NetworkManagerDen Platzhalter „[Verbindungsname]“ ersetzen Sie durch die Bezeichnung des Netzwerkprofils. Enthält der Name Leerzeichen, setzen Sie ihn in Anführungszeichen. Der Wert „1“ aktiviert DoT, erlaubt aber die unverschlüsselte Namensauflösung, wenn ein DNS-Server die Funktion nicht unterstützt. Verwenden Sie „2“, wenn ausschließlich DoT genutzt werden soll.
DNS-over-HTTPS nur im Browser: Öffnen Sie in Firefox die „Einstellungen“ und gehen Sie auf „Datenschutz & Sicherheit“. Unter „DNS über HTTPS“ aktivieren Sie „Erhöhten Schutz“ und wählen als Anbieter „Benutzerdefiniert“. Tragen Sie die DNS-URL ein wie für den Router beschrieben. URLs für Werbeblocker sind etwa https://noads.joindns4.eu/dns-query (DNS4EU) oder https://dnsforge.de/dns-query (Dnsforge).
