Quad9: Mehr Privacy & Security im DNS

Das Domain Name System (DNS) sorgt dafür, dass wir keine IP-Adressen beim Surfen auswendig kennen müssen. Stattdessen geben wir eine Webadresse in die Browserzeile ein. Das DNS ist dann für die sogenannte Namensauflösung zuständig: Bei einem Nameserver wird die URL in die korrekte IP-Adresse übersetzt.

Klassischerweise greift man auf den DNS-Service seines Netzanbieters zu. Es ist aber auch möglich, einen anderen DNS-Server anzusteuern. In den letzten Jahren erscheinen mehr und mehr Anbieter von öffentlichen Servern, die jeder frei nutzen kann. Am bekanntesten ist sicherlich der DNS-Resolver von Google. Wer bei dem Internetgiganten Angst um die Sicherheit seiner Daten hat, kann aber auch einen etwas kleineren Dienst wie Quad9 verwenden. Statt eines kommerziellen Unternehmens ist hier eine Non-Profit-Organisation am Werk.

Was ist Quad9?

Hinter der Organisation Quad9, die den gleichnamigen DNS-Dienst bereitstellt, stehen u. a. IBM sowie Packet Clearing House (PCH) und die Global Cyber Alliance (GCA). Diese beiden Organisationen setzen sich auch sonst für Sicherheit und Privatsphäre im Internet ein. Die gemeinsame Idee: Man möchte einen DNS-Resolver bereitstellen, der sowohl unabhängig von kommerziellen Interessen ist als auch für jeden Nutzer frei zur Verfügung steht.

Zusätzlich zu diesem freien Zugang legt man bei Quad9 viel Wert auf Sicherheit und Privatsphäre. Das Team hinter dem DNS-Resolver hat festgelegt, dass keinerlei Nutzerdaten gesammelt werden. Besonders der Punkt Sicherheit macht Quad9 allerdings zu einem Vorreiter. Der Dienst unterstützt sowohl DNS over TLS (DOT) als auch DNS over HTTPS (DOH). In den vergangenen Jahren wird immer klarer, dass das klassische DNS große Sicherheitslücken hat, weil eine Verschlüsselung fehlt. Das führt vermehrt zu Angriffen per DNS Hijacking. Die neuen Techniken bieten effektiven Schutz gegen Cyberkriminelle, aber auch gegen Zensur durch Regierungen.

Zusätzlich verwendet man bei Quad9 DNSSEC, was die Richtigkeit der gelieferten Ergebnisse sicherstellt. Außerdem arbeitet man mit Filtern: Die von verschiedenen Sicherheitsanbietern gelieferten Blacklists enthalten Websites, die als schädlich eingestuft wurden. Um hierbei nicht selbst zum Zensurorgan zu werden – schließlich kann theoretisch jede ungeliebte Website auf der Blacklist landen –, prüfen sich die beteiligten Organisationen gegenseitig. Zumindest Einzelinteressen haben somit keine Chancen. Auch Zensuranforderungen durch lokale Strafverfolger sollen erst nach gültigen Gerichtsbeschlüssen nachgegeben werden. Selbst dann bleibt die Zensur lokal beschränkt.

Wie erreicht man Quad9?

Schon der Name Quad9 weist auf die dazugehörige IP-Adresse hin: viermal die Neun – 9.9.9.9. Nebenbei könnte das als Reaktion auf Googles Dienst gewertet werden, den man unter 8.8.8.8 erreicht. Der DNS-Dienst Quad9 ist aber auch noch unter anderen Adressen (sowohl IPv4 als auch IPv6) erreichbar:

IP-Version Adresse DNSSEC Security-Filter EDNS
IPv4 9.9.9.9  
IPv4 149.112.112.112  
IPv4 9.9.9.10      
IPv4 149.112.112.10      
IPv4 9.9.9.11
IPv6 2620:fe::fe  
IPv6 2620:fe::9  
IPv6 2620:fe::10      
IPv6 2620:fe::fe:10      
IPv6 2620:fe::11

Quad9 bietet also sichere und unsichere Zugänge an: Die gesicherten Verbindungen sind selbstverständlich die vom Anbieter empfohlenen. Hier hat man DNSSEC und Blacklist-Filter zur Verfügung. Wenn man allerdings ein komplett ungefiltertes Surferlebnis haben möchte, auch auf die Gefahr hin, sich Risiken auszusetzen, kann man auf die ungesicherten IP-Adressen zugreifen. Quad9 stellt jeweils zwei IP-Adressen zur Verfügung, die man beide im Betriebssystem eingeben kann: Falls der eine Kommunikationskanal temporär nicht verfügbar sein sollte, kann so direkt auf die andere Adresse gewechselt werden.

Darüber hinaus hält Quad9 ein EDNS Client Subnet bereit. Dieses Angebot wendet sich allerdings in erster Linie an Content Delivery Networks (CDN). Solche Netzwerke werden eingesetzt, um Mediendateien auf Websites zur Verfügung zu stellen, ohne den eigentlichen Server dabei zu überlasten. Das EDNS sorgt für Load Balancing und kann Anfragen der CDN deshalb schneller beantworten. Zusätzlich arbeitet man mit IoT-Anbietern zusammen, um auch für solche Geräte sichere DNS-Zugänge zu schaffen.

Wenn man eine der beiden verschlüsselten Verbindungen einsetzen möchte, muss man bestimmte Ports nutzen. Für DoT verwendet man Port 853, für DoH den Standard-HTTP-Port 443.

Quad9 stellt nicht nur einen DNS-Server zur Verfügung. Wenn Sie den Dienst in Anspruch nehmen, werden Sie per Anycast an einen von über hundert Servern, die über viele Teile der Welt verteilt sind, weitergeleitet. Bei Anycast haben verschiedene Server die gleiche Adresse, es wird aber immer nur der Rechner angesprochen, zu dem die kürzeste Route besteht.

Hinweis

Sie möchten Quad9 selbst einsetzen? In unserem Tutorial erklären wir, wie man den DNS-Server ändert. Auf einen anderen Anbieter zu wechseln, kann übrigens auch helfen, wenn mal wieder der DNS-Server nicht antwortet.

Zusammengefasst: Die Features von Quad9

Was für Vorteile hat man, wenn man auf das Quad9-DNS umsteigt?

  • Frei verfügbar
  • Keine Aufzeichnung von Nutzerdaten
  • Sichere Verbindungen
  • Keine staatliche Zensur
  • DNS over TLS und DNS over HTTPS
  • DNSSEC
  • Black-List-Filter
  • Über 100 Server
  • Von Non-Profit-Organisation verwaltet