Netzwerkweite Adblocker via DNS-Filterung - taugt sowas?

Neulich:

Kerlchen A: "Hi-Five! Yeah! Nix mehr mit nach Hause telefonieren von dem ganzen Kramzeug da! Da kann mich Amazon und Google und Äppel und das ganze Gelump mal am Schinken küssen!"

Kerlchen B: "Meinste, ja?"

Kerlchen C: "Verzeiht, um was geht's hier eigentlich?"

Kerlchen A: "Hab mir eine Pi-Hole gegönnt. Das Ding verhindert, dass Alexa nach Hause telefoniert."

Kerlchen C: "Alexa? Ist das Deine neue Freundin? Und wieso darf die nicht nach Hause telefonieren?"

Kerlchen B: "Schon mal überlegt, dass Deine Alexa oder was auch immer Du sonst so für Geräte hinter Deinen Router geklemmt hast, gar keine Lust auf Deinen Pi-Hole hat, und lieber einen eigenen DNS-Resolver mitschleppt?"

Kerlchen C: "Von DNS hab ich schon mal gehört! Da kann man doch frühzeitig Mongolismus erkennen mit, oder?"

Kerlchen A, demonstrativ B zugewandt, C ignorierend: "Wie meinste jetze? Aber die Pi-Hole ist doch als DNS in der Fritz eingetragen, da laufen doch alle Anfragen drüber?"

Kerlchen C schaut etwas verloren von A zu B und wieder zurück.

Kerlchen B: "Stell Dir mal vor, Dein Sangsung-TV-Gerät stellt gar keine DNS-Anfrage an Deine Fritzbox, sondern an sich selbst? Und hat ein eigenes Verzeichnis mit IP-Adressen und Domain-Namen? Dann telefoniert das TV trotzdem nach Hause, egal, was Du oder Deine Frittenbox so gern hätten. Das TV ignoriert euch einfach."

Kerlchen C, nun misstrauisch zwischen A und B hin und her blickend: "Moment mal...! Ich durchschau euch beide. Das ist illegal, was ihr da macht, stimmt's? Das ist doch bestimmt was mit Filesharing-Bitcoin. Und ich häng als Mitwisser mit drin und komm in den Knast... oh Mann!"

Kerlchen A, sichtlich genervt, sowohl von B als auch C: "So steht das da aber nicht in der Anleitung. Ich glaub, das funktioniert schon gut echt mit dem Pi-Hole. Im Admin-Menü taucht ganz viel blockiertes Zeug auf. Und ich habe keinen Sangsung Fernseher. Meiner ist von Aldi."

Kerlchen B, resigniert: "Aha, okay. Na dann."

Kerlchen C, erleichtert: "Ich hätte gern noch etwas Kartoffelsalat. Oder hat einer von euch nicht gerade was von einer Frittenbox gesagt?"

Pi-Hole ist vom Prinzip her eine nette Dreingabe, die aber keineswegs eine umfassende, zuverlässige Ad- und Tracking-Blockade bietet. Wer DNS-Anfragen über Pi-Hole erzwingen will, muss mit den Ports 53 (unverschlüsselt) und 853 (TLS) rangieren und dafür sorgen, dass nur der Pi-Hole ins die Wildnis durchkommt, die anderen Geräte im Netzwerk nicht.

Aber um die Bude komplett abzudichten, reicht das auch noch nicht. Denn es gibt noch DNS over HTTPS, und HTTPS läuft bekanntlich über Port 443. Aber den einfach mal für alle Endgeräte im Netzwerk zu blocken wäre irgendwie hinderlich. Denn darüber läuft auch ganz normaler Website-Traffic. Und meines Wissens gibt es auch keine zuverlässige Möglichkeit zu erkennen, ob Verkehr via 443 eine DNS-Anfrage ist, damit man sie rausfiltern kann.

Und wenn ein TV-Gerät sich nicht um Domains schert, also auch keine DNS-Anfragen braucht, sondern gleich unter dem Radar fremde IP-Adressen mit den personenbezogenen Daten zu Programmgewohnheiten und Pr0n-Konsum beschickt, ist der gute Pi-Hole ohnehin kraftlos.

Also: Nette Dreingabe. Ich befürworte die Nutzung, unter der Voraussetzung, dass der Nutzer die Schwachstellen versteht und sich nicht in falscher Sicherheit wiegt. Wer wirklich Kontrolle haben will, braucht eine ernstzunehmende Firewall, Traffic-Beobachtung und Geduld. Alles nicht so ganz vorhanden im Portfolio des durchschnittlichen Netznutzers.