Fritzbox-Besitzer: Sichere DNS Abfragen…

Ein ganz wesentlicher Bestandteil des Internets ist der Domain Name Service, kurz als DNS bezeichnet. DNS ist quasi die Telefonauskunft des Internets. Möchten Sie die neuesten Nachrichten über den Rücktritt von Herrn Kurz auf spiegel.de lesen, dann tippen Sie in Ihrem Browser www.spiegel.de ein. Ihr Browser geht mit dieser Information zu einem sogenannten DNS-Resolver und fragt den: „sag mal, wo finde ich denn im Moment den spiegel.de?“. Der DNS-Resolver würde dann zum jetzigen Zeitpunkt mit der IP-Adresse 128.65.210.8 antworten. Diese Adresse steuert der Browser dann an.

Die Antwort des DNS-Resolvers kann aber auch lapidar lauten „keine Ahnung“. Dann haben Sie sich entweder bei der Eingabe des Namens vertippt oder die Adresse kann im Moment nicht gefunden werde – siehe Facebook, Instagram, WhatsApp letzte Woche.

Das DNS-System datiert aus den Anfängen des Internets, und Datenschutz war da nicht so das Ding, heißt: Alle Abfragen gehen unverschlüsselt durch das Netz. „Der Anwender XYZ möchte spiegel.de besuchen“.

Benutzer der Fritzbox mit aktuellem Betriebssystem (zum Zeitpunkt des Artikels ist das 7.28) können das für alle Rechner im Heimnetz sicherer machen. Es gibt DNS-Resolver, die verschlüsselte Anfragen annehmen und bearbeiten. Die Fritzbox verschlüsselt dann die DNS-Anfragen, und der DNS-Server antwortet ebenfalls verschlüsselt. Kein Mensch kann ab sofort die Kommunikation mitlesen.

Um das in der Fritzbox einzurichten, brauchen wir die Auflösungsnamen der DNS-Server. Das findet man in der Regel bei den Anbietern dieser Server heraus.

Ein Besuch auf der Seite von Cloudflare gibt diese benötigten Informationen preis, die wir dann in der Fritzbox unter „Internet/DNS-Server“ eingeben:

  • 1dot1dot1dot1.cloudflare-dns.com
  • one.one.one.one

Cloudflare ist ein großer Internet-Dienstleister, deren DNS – Server sind auch unverschlüsselt gut und sehr schnell zu nutzen. Die IP ist leicht zu merken: 1.1.1.1.
Das tragen wir auf der Seite in der Fritzbox ein, und dann setzen wir noch einen Haken bei „DNS over TLS (DoT)“. Es öffnet sich ein Textfenster, und hier geben wir die beiden Auflösungsnamen ein, einen proZeile.

Das Ganze noch mit „Übernehmen“ bestätigen, und ab sofort belauscht niemand mehr, was sich ihr Haushalt so im Internet ansieht.

Tastatur mit TouchID am MacBook Air

Gestern gekommen, natürlich heute sofort ausprobiert.

Anschluss

Einfach, wie von Apple gewohnt. Das mitgelieferte USB-C auf Lightning – Kabel mit dem entsperrten Rechner verbinden, einige Sekunden später kommt eine Mitteilung, dass die Tastatur jetzt genutzt werden kann. Das USB-Kabel ist jetzt mit einer Art Stoffhülle umgeben und wirkt etwas stabiler als die bisherigen Lightning-Kabel.

Betrieb

Absolut unauffällig, bis es darum geht, z.B. 1Password zu entsperren. Man klickt dann auf die Schaltfläche mit dem Fingerabdruck, der Dialog für die Fingerabdruck-Entsperrung öffnet sich. Einen der am Rechner angelernten Finger kurz auf den Sensor an der Tastatur legen, zack, geöffnet. Im ersten Überblick funktioniert alles damit, beim besten Banking-Programm für den Mac MoneyMoney kommt zuerst die Frage, dass man doppelt auf die Seitentaste der Uhr tippen soll, wenn man in den Voreinstellungen des Programmes die Uhr als Entsperrgerät eingetragen hat. Bricht man das ab, kann man auch hier auf die Schaltfläche mit dem Fingerabdruck klicken und dann den Sensor nutzen. Es muss KEIN neuer Fingerabdruck angelernt werden, d.h. die Tastatur hat keine eigene „Secure Enclave“, sie reicht die erkannten (neutralen) biometrischen Daten an die „Secure Enclave“ auf dem Mac weiter, und die nickt die Anfrage anhand der gespeicherten Daten dann ab – oder eben nicht.

Fazit

Wieder ein kleiner Schritt, die Benutzung des Mac zu perfektionieren. Erst, wenn man es öfter nutzt, fällt es einem auf, wie man diesen Komfortgewinn schätzt. Erkennung ist genau wie auf dem Rechner, gefühlt dauert es auf der Tastatur 1/10 Sekunde länger… 😎

Werbefrei und Spaß dabei…

So langsam fängt es an, wirklich zu nerven. Rufe ich eine Nachrichten-Webseite auf und fange an zu lesen, dann habe ich Mühe, dem Text zu folgen: der Text springt stückweise nach unten, je nachdem, wann denn endlich die penetrante Werbung geladen ist. Will ich das Ganze werbefrei sehen, kann ich überall gern ein Abo abschließen, für nur X.XX€ im Monat. Das auf einer Webseite, auf der ich einen Artikel im halben Jahr lese – nicht so richtig einzusehen. So lange es keine Möglichkeit gibt, pro Monat einen Obolus zu entrichten und dann auf allen Webseiten werbefrei zu lesen, so lange wird es Werbeblocker geben. Die jetzt verfügbaren sind immer pro Rechner/Tablett, müssen konfiguriert werden und manche Webseiten sperren einen dann komplett aus.

Wir haben jetzt mal das Experiment eines zentralen Werbeblockers ausprobiert. In der Mac & i 2/2021 ist ein Artikel, der beschreibt, wie man einen Raspberry Pi als zentrale Instanz im Heimnetz einrichtet. Der Kauf des Heftes und des Raspis dafür lohnt sich, die Einrichtung ist gut beschrieben und läßt sich in weniger als einer Stunde nachbauen. Man hat dann einen kleinen Kasten mit dem Raspi, der installierten Software pi-hole und einer Anleitung, wie man ihn ins Netzwerk einbindet.

Alle oder Ausgewählte

Bei der Einrichtung gibt es zwei Vorgehensweisen. Zu Beginn empfiehlt sich die vorsichtige Variante: in den Netzwerkeinstellungen eines Rechners die DNS-Einstellung auf die IP des Raspberrys verbiegen und dann beobachten. Die „Alles oder Nichts“ – Einstellung ist es dann, den DNS-Eintrag des Routers auf den Raspi umzubiegen.

Auswirkungen

Erstaunlich. Erstaunlich gut. Morgens sind es ca. 6% geblockter Anfragen in den letzten Stunden, am Abend dann bis zu 30%. Liegt daran, dass ja alle Anfragen aus dem Heimnetz über den Raspi laufen, und da sind halt viele Geräte drin, die nachts Updates suchen, Aktualisierungen laden und solche Dinge mehr. Über den Tag sind es eben Rechner und Tabletts, die Webseiten besuchen. Interessanter Nebeneffekt: wenn man sich mal in einer ruhigen Minute den Netzwerkverkehr ansieht, der z.B. so zwischen 3 und 4 Uhr gelaufen ist – spannend. Der intelligente Fernseher sucht eine Verbindung zu views.hersteller.com? Kann man mal auf die Blacklist tun und dann beobachten, ob einem was fehlt.

Fallstricke und deren Vermeidung

In jetzt über einer Woche Test gab es genau eine Webseite, die den Zugang wegen aktiviertem Adblocker verwehrt hat: bild.de. Alles andere funktioniert wunderbar. Wenn man so etwas hat, gibt es auch hier einen Trick: man legt sich eine zweite Netzwerkumgebung an, in dem man die aktuelle dupliziert. In der neuen Umgebung („mit Werbung“) läßt man alle Einstellungen, bis auf den DNS-Server. Da trägt man über das „+“ dann 1.1.1.1 ein. Das sind die schnellen DNS-Server von Cloudflare. Dieser DNS ist übrigens auf dem Raspi auch eingetragen, der wird genutzt, wenn es erlaubte URLs aufzulösen gilt.

SSD Upgrades im neuen MacPro…

Der neue MacPro verlangt von langjährigen Mac-Usern eine lange verschüttete Gedankenflexibilität: seit Jahren ist das Mantra: einmal gekauft, nie mehr geändert. Heißt: RAM, SSD und Grafikkarte sind (fast) immer fix. Nicht so beim neuen Mac Pro, und das eröffnet einen interessanten Upgradepfad. Apple möchte für das Update von 256GB interner SSD auf 4TB schlanke 1680€ auf dem Tisch des Hauses sehen. Bei diesem Upgrade wird das interne (Boot)-Volumen, also der Speicher, von dem der Rechner aus startet, vergrößert. Will man das tatsächlich so tun, kommt man um den Gang in unsere autorisierte Werkstatt nicht herum: nur autorisierte Apple-Techniker können den T2-Sicherheitschip dazu überreden, den neuen Speicher auch zu akzeptieren. Warum teuer und aufwendig, wenn es auch einfacher und preiswerter geht? Jeder MacPro hat acht PCIe-Erweiterungsslots, für die alles mögliche angeboten wird: Grafikkarten, Audiokarten und SSD-Erweiterungen. So eine bietet die Firma OWC an, mit 4TB für um 1000€. Dieser Speicher wird als separates Laufwerk eingebunden und interessiert den T2-Chip deswegen nur am Rande. Der Einbau ist nicht kompliziert: Deckel des Rechners ab, Karte einstecken, starten. Das wars. Wer dann mal spaßeshalber den „BlackMagic Speed-Test“ startet wird große Augen machen. Die interne SSD, normalerweise die schnellste im Rechner, liefert mit 1312 und 2232MB schreiben und lesend eine ordentliche Performance, die neu eingesteckte Karte läßt die interne im Staub zurück: 4786MB/s schreibend und 5360MB sind mal eine Ansage. Die Älteren unter uns werden sich noch an drehende Festplatten erinnern: 70-100MB waren da das Maß der Dinge.

Sicherheit bei Apple…

Alles über Sicherheit bei Apple. Apple hat auf seinen Webseiten eine interessante Zusammenfassung veröffentlicht, in der es um Sicherheit geht. In Englisch, aber leicht zu lesen und nicht allzu nerdy.

Man merkt es ja selbst: Von Systemversion zu Systemversion wird das System sicherer gemacht. Fällt einem erstmal dadurch auf, das bestimmte Dinge nicht mehr so einfach gehen wie vorher und man immer mehr Erlaubnisse explizit abnicken muss. Rechner steuern, Festplattenvollzugriff, Systemerweiterungen freigeben…

Warum das so ist und wie die Hardware mit dem System und der Software zusammenspielt, das ist in diesem Artikel sehr schön auf den Punkt gebracht.

Manche Punkte leuchten sofort ein: die allermeisten Angriffe richten sich gegen Prozessor und Speicher, und mit der Einführung des T2 – Prozessors auf dem Mac und der „Secure Enclave“ auf iOS umgeht Apple elegant diese Gefahr. Dieser Bereich des Rechners ist logisch komplett getrennt von Rest des Rechenwerkes. Braucht die CPU eine Freigabe für irgend etwas, kann sie den T2 nur fragen: „Ist das der User, der er vorgibt zu sein?“ und bekommt als Antwort nur ein Ja oder Nein. Die gesamte Fingerabdruckerkennung oder FaceID wird ausschließlich in diesem gesicherten Bereich durchgeführt und verlässt das Gerät nie. Auch der sehr wichtige Hauptschlüssel für die Verschlüsselung der SSD wird nur in der Secure Enclave vorgehalten und nie an die CPU durchgereicht – wo bösartige Software ja eventuell Zugriff darauf hätte.

Uuuuund: Action!

Ein kleines Tool haben wir noch: Alle aktuellen iPhones, iPads und Macs haben eine kleine Kamera eingebaut, die solche schicken Sachen ermöglicht wie Videokonferenzen, Skype und Facetime-Anrufe.

Alles gut und schön, was aber, wenn sich ein ungebetener Gast dieser Kamera unbemerkt bemächtigt? Und uns in Unterhose vor dem Rechner sitzend, das vierte Glas Wein trinkend,  aufzeichnet. Nicht wirklich nett, der Gedanke.

Diese Kameras werden vom Betriebssystem gesteuert, und wenn das durch Viren kompromittiert ist, dann könnte jemand ja unerkannt die Kamera – und das Mikrofon – anschalten und mal ein wenig lauschen. Nun ist in den Macs angeblich so, daß das kleine grüne Licht, was die aktive Kamera anzeigt, hardwareseitig an die Kamera gekoppelt, d. h. wenn die Kamera Strom bekommt, bekommt auch die LED Strom. Wem das aber zu unsicher ist, der kann die Kamera abkleben – was man recht oft sieht – oder man kann ich eine kleine Software installieren, die immer um Erlaubnis fragt, wenn die Kamera angehen soll. Vom gleichen Autor wie „RansomWhere“, heißt „Oversight„, zu finden hier.

Mit der Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu, ebenfalls weisen wir auf unsere Datenschutzerklärung hin... mehr Informationen...

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen