Werbe- und Tracking-Filter mit Pi-Hole fürs Heim- und Firmennetz

Ein kleiner Erfahrungsbericht zum DNS-Filter Pi-Hole.
Werbe- und Tracking-Filter mit Pi-Hole fürs Heim- und Firmennetz
Werbe- und Tracking-Filter mit Pi-Hole fürs Heim- und Firmennetz
Auf dem PC hat man in der Regel die üblichen Adblocker und Tools installiert (ublock, noscript, ghostery), einen Virenschutz dazu. Aber irgendwie bleibt ein ungutes Gefühl. Denn die Daten werden ja erst auf den PC geladen und dort verarbeitet bevor überhaupt irgendetwas geblockt werden kann. Was wenn da eine Lücke ist die noch niemand kennt? Oder was macht eigentlich der PC im Hintergrund? Spätestens mit Windows 10 werden ja massenhaft Daten übertragen, Google, Facebook und Co. saugen trotz Datenschutzgrundverordnung alles auf was sie an Daten bekommen können.
Nachdem mir auf dem Tablet zum 2. Mal ein Werbefenster aufgepoppt ist „Herzlichen Glückwunsch, Sie haben einen großen Misthaufen gewonnen“, bei dem es nur OK weiterging (oder eben Browser schliessen) bin ich auf der Suche nach einer Lösung für das Android-Tablet gegangen. Dabei kam dann die Erkenntnis daß da ja noch viel mehr ist – Handies, PCs, Tablets, IOT-Geräte, selbst der Fernseher ist Internetfähig.
Theoretisch kann man jedes Gerät einzeln schützen, beim PC ist das noch vergleichsweise einfach. Aber alles aktuell und funktional zu halten ist eine Herausforderung. Und so Geräte wie der Fernseher lassen kaum Einstellungen zu. Den Internetzugang abschalten wäre eine Möglichkeit. Aber Mediathek und Amazon Prime sind eben doch interessante Dienste.
Daher muss eine netzwerkweite Lösung her.
Irgendein Gerät das den ganzen Mist aussortiert bevor er überhaupt ins Hausnetz kommt.
Zum Abblocken externer Zugriffe gibt es natürlich eine Firewall. Die bringt aber nicht viel wenn der Angriff von innen startet, d.h. vom eigenen Browser. Denn der hat natürlich Internetzugriff auf das Internet. Oder irgendwelche Apps die man auf dem Handy installiert hat. Kaum jemand weiss was die im Hintergrund machen.
Also habe ich mich auf die Suche nach einer Lösung gemacht.

Und dann kam Pi-Hole
Ein Pi-Hole für die ganzen Werbe-Ass-holes. Das ist was feines. Aber was genau ist Pi-Hole?
Pi-Hole ist im Prinzip einfach ein DNS-Server mit Filterfunktion.
DNS-Server? Was ist das?
Alle Webseiten werden im Internet mit IP-Adressen angesprochen, z.B. 46.237.210.114 für meinen Server.
Das kann sich aber niemand merken, also bekommen die Server Namen. z.B. bastel-bastel.de
Früher hat man tatsächlich Server direkt über die IP-Adresse angesprochen und auch heute noch gibt es z.B. im Darknet Server ohne Namen die man nur über die IP-Adresse findet. Die meisten Webseiten werden aber „menschengerecht“ mit Namen angesprochen (der Maschine ist es egal ob Name oder Nummer).
Je nachdem welcher Dienst gewünscht wird steht dann noch was davor, z.B. für Webseiten http://www oder verschlüsselt https://www. Für meinen Server damit https://www.bastel-bastel.de
Das kann sich ein Mensch schon besser merken.
Gibt man das www.bastel-bastel.de im Browser ein, dann wird im Internet eine Verbindung zu meinem Server aufgebaut. Das http:// oder https:// kann man in der Regel weglassen, das funktioniert meistens auch so.
Aber woher weiss der PC wo die Webseite sich im Internet befindet?
Das weiss er nicht, dafür braucht er Hilfe.
Und da kommt der DNS-Server ins Spiel. DNS heisst nämlich nichts anderes als Domain-Name-System wobei Domain einfach für die Domäne steht, hier für den Server, bei größeren System auch für die Firma.
Und der DNS-Server ist ganz einfach ein Telefonbuch. Allerdings ein dynamisches und schlaues!
Statt Name und Telefonnummer steht da einfach die Domain und deren IP-Adresse drin.
Der DNS-Server weiss also daß www.bastel-bastel.de die IP 46.237.210.114 hat.
In jedem Netzwerk gibt es normalerweise einen DNS-Server, meistens ist das der Router der die Verbindung zum Internet herstellt. Da das Internet aber so groß ist und die Router so klein gibt es ein System von verteilten DNS-Servern. Der Internet-Anbieter hat einen größeren DNS-Server, dann gibt es noch die Internet-Registrierungsstellen bei denen man eine Domain registrieren kann und die Hosting-Anbieter bei denen man seinen Server ins Rechenzentrum stellt oder einen virtuellen Server mieten kann.
Es gibt unzählige Möglichkeiten.
Wenn man jetzt eine Webseite besuchen will, dann fragt der PC den Router nach der IP-Nummer der gewünschten Seite. Weiß der Router diese Nummer bereits, dann ist die Anfrage schon erledigt und die Seite wird geladen.  Weiß der DNS-Server im Router die Nummer nicht, dann fragt er einfach den DNS-Server des Internetanbieters oder irgendeinen anderen – es gibt viele davon. Wenn der DNS-Server das auch nicht weiss, dann fragt er sich durch bis er einen DNS-Server gefunden hat der die Nummer weiß.
Die bekommt dann der PC zurückgemeldet und schwups geht es zum Surfen auf die gewünschte Seite.

Früher bestand eine Webseite einfach aus Inhalten die von einem einzigen Server geladen wurden.
Heutzutage wird aber beim Aufruf einer einzigen Webseite oft das halbe Internet mitgeladen.
Geht man auf eine aktuelle Nachrichtenseite, dann wird nicht nur die gewünschte Nachrichtenseite geladen sondern die Leute wollen auch wissen, wer surft, was man liest, wo man herkommt und wo man hingeht. Und ein bisschen Werbung gibts bitteschön auch dazu.
Das machen die aber nicht selbst, sondern da wird irgendein Tool von irgendeinem Anbieter verwendet. Sehr beliebt ist Google Analytics.  Dann gibt es noch Werbenetzwerke, bei denen man Geld bekommt sobald eine Werbung geladen wird, oder jemand auf Werbung klickt.  Manche Webseiten werden von verschiedenen anderen Webseiten zusammengewürfelt. So kann es mittlerweile vorkommen, daß beim Aufruf einer Webseite Anfragen an 20 oder mehr fremde Server geschickt werden die man eigentlich garnicht will.  Schon mal gefragt warum man manche Produkte in einem Shop angeboten bekommt wenn man vorher nach genau diesen Produkten im Internet gesucht hat? Das wird genau durch diese Tracking-Tools analysiert und berechnet und soll ein „optimiertes Surferlebnis“ sein.
Die Erfassung dieser Daten ist zwar datenschutzrechtlich sehr bedenklich. Aber im Zweifelsfall bekommen nur die Kleinen eins auf die Mütze. Also wenn in der Datenschutzerklärung ein Komma falsch gesetzt ist oder so. Die Großen die Terabyte-weise Daten abgreifen haben genug Anwälte um sich zu wehren. Und an die traut sich eh niemand ran. Anwälte nicht weil sie sich nicht trauen und es den meisten sowieso nur um die schnelle Kasse beim Abmahnen geht. Und der Staat nicht weil keiner wirklich Ahnung hat.
So und genau bei diesen fremden Servern setzt Pi-Hole an.
Da muss man sich halt selber schützen vor Google, Microsoft, Facebook und Co.
Während mit einem Adblocker alles geladen wird bevor es geblockt werden kann prüft Pi-Hole einfach direkt die IP-Adressen. Dafür gibt es riesige Listen mit Servern die bekanntermaßen Daten abgreifen, Werbung ausliefern oder gar bösartige Inhalte haben.
Surft man also auf eine Webseite und von dort werden von anderen Seiten Inhalte nachgeladen, dann kann Pi-Hole jede einzelne Anfrage überprüfen und blockieren. Für sämtliche Tracking-Server, Werbenetzwerke und ähnliches kann Pi-Hole jetzt einfach statt der eigentlichen IP-Adresse eine leere Antwort liefern. Die Anfrage läuft in ein schwarzes Loch – daher der Name Pi-Hole.
Das Pi im Name kommt davon, daß das System auf einem Raspberry Pie schon optimal läuft (Idealerweise Model 3).  Die Installation hat bei mir keine 5 Minuten gedauert, dazu noch 10 Minuten Einarbeitung und schon lief das System grundlegend. Die Software läuft zwar auch auf anderen Linux-System, aber so ein kleines Raspberry-Kistchen ist die einfachste Lösung. Schnell, kostengünstig und gut.
Da die Inhalte der Server garnicht erst abgerufen werden spart man sich damit einiges an Datentransfer. Das Surfen wird viel schneller!
Damit wird neben Werbung auch Tracking unterbunden, denn auch Anfragen an Server die einen beim Surfen verfolgen verschwinden im schwarzen Loch.
Und da viele Trojaner und sonstiger Müll über kompromittierte Werbenetzwerke ausgeliefert werden werden die auch gleich mit erledigt. Dazu noch jede Menge sonstiger Müll der von bekanntermaßen bösartigen oder unerwünschten Servern kommt.
Da der DNS-Server eine zentrale Komponente in einem Heim- oder Firmennetzwerk ist kann man durch Einsatz eines Pi-Hole DNS-Filters mit einem Klick ein ganzes Netzwerk filtern.  Und nicht nur PCs sondern auch Handies, Tablets und alle Geräte die auf das Internet zugreifen arbeiten mit DNS-Zugriffen und werden effektiv gefiltert.

Erspart Pi-Hole einen Adblocker oder Scriptblocker?
Nein, Pi-Hole blockt zwar die DNS-Abfrage, so daß die meiste Werbung erst garnicht geladen wird. Aber es gibt immer noch Werbung die direkt vom Anbieter der Webseite geladen wird. Und die aufgerufene Webseite kann ja auch gehackt oder verseucht sein.
Daher empfiehlt es sich trotz Pi-Hole, weitere Sicherheitsmaßnahmen zu ergreifen.
Allerdings wird ein Großteil des Mülls garnicht erst geladen, die Blocker haben damit deutlich weniger zu tun, der Rechner wird entlastet und damit schneller!
Strom spart es übrigens auch! Wenig zwar bei jedem Aufruf, aber wenn man an Milliarden an Bytes denkt die sinnlos übertragen werden, dann summiert sich das auf eine ganze Menge. Der Strom für den verwendeten Raspberry ist bei täglichem Surfen oder in einer Firma schnell wieder eingespart wenn der Rechner weniger an sinnloser Werbung rumbasteln muss.

Beispiele?
Pi-Hole hat eine einfache aber tolle Statistikseite.
Für 24 Stunden werden mir 14.000 Anfragen angezeigt, davon wurden 3600 geblockt entsprechend um die 25%. Auf der schwarzen Liste stehen aktuell über 130.000 Server.
Und falls mal etwas falsch geblockt oder nicht geblockt wird kann man über das Menü die gewünschte Seite ganz einfach sperren oder entsperren.
Die am meisten geblockten Seiten sind z.B.
usage.trackjs.com, googleads.g.doublecklick.net, google-analytics.com, capture.trackjs.com, googleadservices.com, fls-eu.amazon.de und viele mehr.
Wie man sieht jede Menge Tracking und Werbung.

Und sonst so?
Als Nebeneffekt kann man auch sehen was der PC macht wenn er mal alleine ist.
Beim Start werden erst mal ein paar Microsoft-Seiten angesteuert, z.B. settings-win.data.microsoft.com, watson.telemetry.microsoft.com.
Ob da Daten übertragen werden oder nicht? Alleine durch den Aufruf kann Microsoft erkennen wann man seinen PC verwendet. Und das geht die mal garnichts an.
Dann noch teredo.ipv6.microsoft.com – da ich im Heimnetz noch IPv4 verwende basteln sich die Windows-Rechner einfach einen Tunnel zu Microsoft um per IPv6 Daten übertragen zu können. Ob was übertragen wird ist ein Streitthema im Netz. Aber alleine dieMöglichkeit – Klick und weg.
Mein Brother-Drucker wird über einen Netzwerknamen angesprochen, die Windows-Rechner fragen alle 30 Sekunden beim Router nach ob die Kiste noch erreichbar ist. Kein Problem aber muss das sein?
Dann doch lieber mit fester IP-Adresse ansteuern, unnötiger Netzwerkverkehr stört nur.
Der Fernseher will öfter mal irgendwelche Herstellerseiten ansteuern, de.lgtvdsp.com, eic-ngfts.lge.com, de.ibs.lgappstv.com, snu.lge.com – was er da wohl sucht?
Es finden sich viele interessante Dinge die einem so garnicht bewusst sind.
Auch das Ipad schickt obwohl es „aus“ ist regelmäßig Anfragen. time-ios.apple.com, pd.itunes.apple.com, init.itunes.apple.com, init-p01st.push.apple.com, p19-keyvalueservice.fe.apple-dns.net, usw.
Was da wohl übertragen wird?

Fazit
Für jeden der sich ernsthaft um Datensicherheit Gedanken macht ist ein zentraler Filter essentiell wichtig.
Ein DNS-Filter ist zwar kein Allheilmittel aber eine gute Basis auf die man aufbauen kann.
Das Pi-Hole-System ist absolut einfach zu installieren (Anleitungen gibt es genug im Web, daher habe ich mir das erspart) und auch für Laien bedienbar. Dazu sind die Kosten überschaubar. Die Software ist kostenlos, die Hardware gibts schon für unter 50,-Euro. Und es werden ALLE Geräte beglückt, egal ob PC, Tablet oder sonstiges.

Update-Frust weil man die Anleitung nicht liest?

Wer braucht schon eine Anleitung!?
Aber mit pihole – up mal eben über die Kommandozeile aktualisiert, kann ab Version 5.x zu einem bösen Erwachen führen.
Da wurde nämlich der Seitenaufruf geändert!
Man muss der IP-Adresse, bzw. dem Rechnername des Pihole-Servers jetzt ein /admin anfügen, sonst bekommt man nur ein ERROR 403 – Zugriff verweigert!
Also: Anleitung lesen! (ich habs nicht getan und musst dann erst recherchieren)