Leserfrage: Apps / Programme umgehen Pi-hole – wie verhindern?
Eine weitere Leserfrage lautet wie folgt:
Mit Pi-hole lassen sich DNS-basierte Abfragen im heimischen Netzwerk filtern. Wie sieht es aber aus, wenn Geräte/Programme direkt mit einer IP-Adresse kommunizieren? Welche Möglichkeiten zur Kontrolle dieses Datenverkehrs gibt es?
Pi-hole und vergleichbare Tools arbeiten auf DNS-Ebene. Am Beispiel von In-App-Werbung möchte ich kurz erläutern, wie DNS-basiertes Filtern technisch funktioniert. Angenommen ein App-Entwickler hat in seiner App ein Werbemodul integriert. Bei jedem Start der App oder auch während der Laufzeit kontaktiert die App bzw. das integrierte Modul die Adresse:
werbung.server1.de
Dieser Domainname muss allerdings zunächst in eine IP-Adresse übersetzt werden, damit die Werbung anschließend von dort nachgeladen werden kann. Dieser Service wird vom Domain Name System (DNS) erledigt – einer der wichtigsten Dienste im Internet, der Domainnamen in die zugehörige IP-Adresse umwandelt. Das Prinzip dahinter kennt jeder: Ihr gebt im Browser eine URI ein (also den Domainnamen), dieser wird dann von einem DNS-Server in die zugehörige IP-Adresse übersetzt. Namen lassen sich eben leichter merken als IP-Adressen. In eurem OpenWrt-Router sind daher üblicherweise DNS-Server von eurem Provider hinterlegt oder ihr habt manuell eigene eingetragen, die dann anschließend die Adresse »werbung.server1.de« in eine IP-Adresse übersetzen.
Dieses DNS-Prinzip macht sich ein DNS-basierter Blocker nun zunutze. In seinem Speicher verwaltet der Blocker eine Liste mit Domainnamen, die entweder Werbung ausliefern, den Nutzer tracken oder anderweitig wie eine negative Auswirkung auf Sicherheit und Privatsphäre haben können.
Habt ihr einen Pi-hole, das adblock-Addon für den OpenWrt-Router, AdAway (für Android) oder etwas Vergleichbares im Einsatz, wird die DNS-Abfrage eures Clients zunächst an das den DNS-Filter gesendet und dort mit der intern hinterlegten (schwarzen) Liste abgeglichen. Befindet sich die Adresse
werbung.server1.de
in der Liste bzw. kommt es zu einem Treffer, wird die IP-Adresse nicht wie üblich aufgelöst, sondern euer Gerät bzw. die App erhält sinngemäß die Antwort: »Nicht erreichbar« – die Übersetzung in die korrekte IP-Adresse wird vom DNS-Filter also unterdrückt. Die Folge: Die Werbung kann nicht von der eigentlichen Quelle bzw. IP-Adresse nachgeladen werden. Anstatt der Werbung sieht der Nutzer einen Platzhalter bzw. einfach nichts. Ein einfaches Prinzip, das die Werbung noch vor der Auslieferung – ja sogar noch vor der Übersetzung in die IP-Adresse – blockiert.
Die Sache hat nun einen Haken: Wenn eine App / Programm direkt eine IP-Adresse kontaktiert, wird der DNS-Filter nicht eingreifen. Wer bis auf IP-Ebene kontrollieren möchte, der benötigt weitere Tools wie bspw.:
- OpenSnitch für GNU/Linux
- LittleSnitch / LuLu für MacOS
- GlassWire / simplewall für Windows
- NetGuard für Android
Diese kleinen Helferlein unterstützen den Nutzer dabei, wenn Apps / Programme Verbindungen zu einem Ziel im Internet öffnen möchten. Ihr könnt dann selbst entscheiden, ob ihr diese zulasst oder eben per (Firewall-)Regel unterbindet. Hint: Mehr Kontrolle geht nicht, aber es ist relativ aufwendig, bis ein solches Regelwerk für alle Programme mal steht.
Pi-hole: Einrichtung und Konfiguration mit Fritz!Box – AdBlocker Teil1
Pi-hole: Schwarzes Loch für Werbung – Raspberry Pi Teil1
AdGuard Pro: Tracking und Werbung unter iOS unterbinden
Für Anfänger/Bequeme: Werbung und Tracker unter iOS/Android systemweit verbannen
