Die Firewall für die ganze Familie

NextDNS hat mich auf Anhieb überzeugt: Das ist ein DNS-Dienst, der auch Schutz vor Schadsoftware, betrügerischen Websites und vor Tracking bietet und aufschlussreiche Statistiken bereithält.

Im Beitrag Netzsperren für Werbung habe ich eine interessante Möglichkeit beschrieben, um Werbung und Tracking zu beseitigen. Sie basiert auf einem DNS-Server, der Aufrufe zu bestimmten Tracking- und Werbeadressen ins Leere laufen lässt.

Das funktioniert bestens, hat im Fall des beschriebenen Servers aber einen Nachteil: Man kann nicht selbst bestimmen, welche Adressen blockiert und welche zugelassen werden. Und man erhält keinerlei Rückmeldungen, was die Massnahme eigentlich bewirkt.

Beide Mankos sind bei NextDNS beseitigt. Dieser unter nextdns.io zu findende Dienst nennt sich «Die neue Firewall für das moderne Internet». Er kümmert sich nicht nur um Tracker und um Werbung, sondern auch um Sicherheitsbedrohungen. Obendrein nutzt man ihn ohne Anmeldung und Registrierung – einfach, indem man die DNS-Einstellungen anpasst.

Das ist so grossartig, dass man sich fragt, was der Pferdefuss sein könnte – und wie sich NextDNS finanziert. Die Antwort ist einfach: Der Dienst verwendet ein Freemium-Modell: 300’000 DNS-Anfragen pro Monat sind kostenlos – was nur bei moderater Nutzung ausreichend sein dürfte. Für unbegrenzte Anfragen zahlt man zwei Franken pro Monat oder zwanzig Franken im Jahr. Separate Tarife gibt es für Unternehmen und Bildungseinrichtungen.

Genau das Richtige für mich!

Das ist absolut fair und ich bin nicht darum herumgekommen, sogleich ein Jahresabo für NextDNS abzuschliessen. Ich habe nämlich bisher OpenDNS und teils auch den Google Public DNS benutzt (siehe Die wackeligen DNS-Server der Cablecom) – was aber auf gar keinen Fall mit meinen Ansprüchen an die Privatsphäre und den Datenschutz vereinbar ist.

Die iPhone-App macht einen spartanischen Eindruck. Über das Menü wählt man das Profil aus, das zum Einsatz kommt.

Ausserdem erspart es mir NextDNS, meinen Raspberry-Pi als Pi-hole einzurichten: Er würde dann zwar ebenfalls als Werbeblocker und Anti-Tracking-Instrument dienen. Aber er würde diese Aufgabe nur dann erfüllen, wenn ich zu Hause bin.

Unterwegs wäre das Tracking weiterhin möglich; zumindest, wenn ich keine VPN-Sperenzchen betreibe. Und das wäre mir zu aufwändig. NextDNS funktioniert hingegen, egal in welchem Netz ich mich aufhalte.

Am iPhone auf NextDNS umschalten.

Die Installation von NextDNS ist simpel: Für die Mobilgeräte gibt es eine App (für iPhone/iPad und für Android). Sie richtet die Konfiguration ein, wobei man am iOS-Gerät die DNS-Einstellung manuell aktivieren muss. Das tut man in den Einstellungen bei Allgemein > VPN & Netzwerk > DNS.

Es gibt auch Apps für Windows, Mac und sogar für Chrome OS, bei Linux kommt man via Befehlszeile ans Ziel. Man kann die DNS-Server natürlich auch von Hand abändern oder auf dem Router hinterlegen. Für meinen Turris-Omnia-Router gibt es hier eine Anleitung. Das hat den Vorteil, dass die Einstellungen dann gleich für alle Geräte im Netz gelten, die keine separate DNS-Konfiguration nutzen.

Separate Konfigurationen für die Kinder

Es ist aber sinnvoll, die Clients entsprechend anzupassen: Dann kann auch separate Konfigurationen verwenden und zum Beispiel auf einem Kinder-Gerät bestimmte Domänen blockieren, die man für sich selbst zulässt.

Die Einstellungen zu dieser Firewall nimmt man über my.nextdns.io vor, wobei man, falls man mehrere Konfigurationen eingerichtet hat, über das Dropdown-Menü oben links zwischen ihnen umschaltet.

In den Einstellungen gibt es die neun Bereiche:

Installation

In diesem Bereich findet man einen Überblick zur Konfiguration.

Man sieht auf einen Blick, ob das aktuelle Gerät NextDNS verwendet oder nicht und Installationsanleitungen für den Fall, dass ein anderer DNS-Server in Verwendung ist.

Sicherheit

Die Sicherheitseinstellungen.

In dieser Rubrik schaltet man diverse Sicherheitsoptionen ein, zum Beispiel vor Kryptojacking, COVID-19-Phishing, Malware und Phishing. Es gibt eine Funktion gegen Kinderpornografie und es ist möglich, bestimmte Top-Level generell zu blockieren.

Eine interessante Funktion ist auch Neu registrierte Domains (NRDs) blockieren. Mit ihr werden Domains erst zugelassen, nachdem sie mindestens einen Monat am Netz waren. Das deshalb, weil Betrugsversuche meistens mit ganz frischen Domains durchgezogen werden.

Datenschutz

Hier finden sich die Optionen zum Blockieren bekannter Tracking-Adressen; mehr als 91’000 Einträge umfasst diese Liste. Auch Drittanbieter-Tracker und ähnliche Dinge darf man hier abschalten. Man kann bestimmen, ob man Affiliate- und Tracking-Links zulassen möchte oder nicht.

Jugendschutz

Die Optionen hier sind sinnvoll für Geräte bzw. Konfigurationen, die von Kindern verwendet werden. Man beschränkt den Zugang zu Spielen, Websites und Apps, kann gewisse inhaltliche Kategorien ausschliessen und eine Erholungszeit einrichten. In dieser Erholungszeit dürfen die Kinder die Spiele und sonst blockierten Apps verwenden.

Die Optionen in der Kategorie Jugendschutz.

Ausserdem ist es möglich, die sichere Suche (Safe Search) zu erzwingen und explizite Inhalte auszufiltern. Es gibt den eingeschränkten Youtube-Modus, der bestimmte Inhalte zum Verschwinden bringt.

Denyliste und Allowliste

Hier finden sich eine Sperr- und eine Positivliste von Domains, die immer zulässig sind.

Statistiken

Besonders spannend ist dieser Bereich: Hier sieht man einen Überblick der Anfragen über die Zeit und erfährt, wie viele Anfragen gestellt wurden und wie hoch der Anteil der Blockierungen ist. Bereits nach einem Tag sehe ich, dass schon mein iPhone fast 13’000 DNS-Anfragen generiert hat. Der Anteil der Blockierungen beträgt fast 15 Prozent.

In der Statistik erhält man einen Überblick der zugelassenen und blockierten Domains.

Auf der Statistik-Seite ist ersichtlich, welche Domänen zugelassen und welche blockiert worden sind. Das ergibt einen Überblick über die Aktivitäten – und ja, im Familiennetzwerk ergibt sich daraus die Möglichkeit, den anderen Nutzern hinterherzuspionieren. Damit muss man verantwortungsbewusst umgehen. Denn mit der Begründung, etwas für den Schutz der Privatsphäre zu tun, selbst zum Schnüffler zu werden, wäre moralisch höchst verwerflich.

Es gibt in den Einstellungen die Möglichkeit, das Protokoll zu deaktivieren und wahlweise IP-Adressen und -Clients sowie Domains nicht zu protokollieren.

Protokolle

Das Protokoll gibt Aufschluss darüber, was eine iOS-App beim Starten treibt.

Auch dieser Bereich ist sehr aufschlussreich. Er zeigt die letzten Aktivitäten von NextDNS. Wenn man ein Spiel wie Homescapes (siehe Ein banales Spielprinzip, das in den App-Stores Milliarden generiert) startet und hinterher die Liste aktualisiert, sieht man sogleich, dass eine ganze Reihe von Trackern abgeklemmt worden sind.

Das allein ist mir zwanzig Franken pro Jahr wert – denn wie im Beitrag Es ist noch viel, viel schlimmer ist das Tracking in Apps völlig ausser Rand und Band.

Tipp: Wenn man mit der Maus auf einen Eintrag klickt, erscheinen bei vielen Einträgen weitere Informationen: Man erfährt zum Beispiel, was sich hinter einer blockierten Domain verbirgt und warum man wahrscheinlich froh ist, dass der Zugriff unterbunden worden ist.

Einstellungen

Wie bereits unter Statistiken erwähnt, stellt man hier ein, was protokolliert wird und was nicht. Man kann angeben, wie lange die Protokolle aufbewahrt werden sollen und in welchem Land sie gespeichert sind – auch die Schweiz steht als Auswahl zur Verfügung.

Eine unbedingte Empfehlung

Fazit: eine unbedingte Empfehlung! Meine ersten Eindrücke von NextDNS sind positiv: Die Adress-Auflösung erfolgt speditiv; die Instrumente zum Schutz der Privatsphäre sind zweckdienlich und einfach zu benutzen. Negative Auswirkungen, die sich aus der Blockade ergeben können, lassen sich einfach beheben. Ich musste beispielsweise dash.parsely.com auf die Positivliste setzen, da die Zahlen dieses Trackers für meine Arbeit wichtig sind – aber mit einigen wenigen Klicks lässt er sich bei Bedarf deblockieren.

Nachtrag vom 15. März 2023

Eine Einschränkung muss unbedingt nachgetragen werden: NextDNS kann zu Problemen in öffentlichen WLAN-Netzen führen, weil die Software den Captive Portals in die Quere kommt. Ich beschreibe das Problem ausführlich im Beitrag Probleme mit öffentlichen WLANs (Teil 2).

Beitragsbild: Noch niemals war das Bild einer glücklichen Familie angebrachter als jetzt (Andrea Piacquadio, Pexels-Lizenz).

8 Kommentare zu «Die Firewall für die ganze Familie»

  1. Tönt interessant.
    Werde ich mal ausprobieren.
    Die Installation ist für mich ein wenig kompliziert und nicht ganz klar.
    Aber Du hast ja eine gute Anleitung geschrieben.
    Ich finde kein Impressum, nur eine Datenschutzerklärung.
    Weisst Du, wo der Hauptsitz der Firma ist?
    Ich versuche keine Software aus Ländern zu verwenden, von denen ich annehme, dass sie unseriös sind. 😉
    Die Endung der URL ist .io.
    Unter Wiki steht: io ist die länderspezifische Top-Level-Domain (ccTLD) des Britischen Territoriums im Indischen Ozean. Sie existiert seit dem 16. September 1997 und wird von der Internet Computer Bureau Limited verwaltet, die zu Cable & Wireless gehört.

    1. Ja, in Sachen Transparenz könnte NextDNS noch zulegen – du hast nämlich recht, wenn du es genau wissen willst, wer hinter dem Unternehmen steckt. Bei Crunchbase.com gibt es Informationen zu den Gründern, zu Olivier Poitrey heisst es, dass er bei Netflix Director of Engineering ist und Dailymotion mitbegründet hat. Auf Linkedin.com ist zu lesen, dass das Unternehmen in Wilmington, Delaware zu Hause ist. Ich würde mal vermuten, dass aus steuerlichen Gründen dort der Briefkasten steht…

  2. Wilmington, Delaware?
    USA?
    Gehen wir mal davon aus, dass das Domizil in der USA ist und nicht China, Russland oder sonst ein Gurkenstaat. 😉

    1. Das kann vorkommen. Ich hatte es beim Statistik-Dashboard meines Arbeitgebers – was irgendwie nicht wundert. Aber du kannst dann betroffene Websites auf die weisse Liste setzen, dann musst du NextDNS nicht deaktivieren.

        1. Du musst die Adresse ohne http eintragen bei deiner Adresse wäre es click.mlsend.com mehr musst du auch nicht machen. Selbst wenn die Adresse https://click.mlsend.com/fhrhhd7 wäre reicht click.mlsend.com komplett aus.
          Danach einmal den Flugmodus machen und fertig.

          An den Autor bei Android kann man die DNS einfach unter Netzwerkeinstellungen eintragen (Keine App nötig) und für iOs gibt rs runterladbare Profile so das auch keine App nötig ist.

Kommentar verfassen