Mit den richtigen Tools lassen sich DNS-Anfragen nicht nur absichern, sondern auch filtern – selbst dann, wenn das Betriebssystem dabei Steine in den Weg legt. Zum Glück gibt es einfache Möglichkeiten, die genutzten DNS-Server zu konfigurieren. Besonders Apple zeigt sich hier dank Konfigurationsprofilen flexibel.

DNS-Anfragen sind ein zentraler Bestandteil der Internetkommunikation – doch oft bleiben sie ungeschützt. Selbst wenn Inhalte über HTTPS gesichert übertragen werden, erfolgt die Namensauflösung vielerorts noch immer unverschlüsselt. Wer seine Geräte besser absichern oder staatlicher Zensur entgehen will, kommt an DNS-over-HTTPS (DoH) oder DNS-over-TLS (DoT) kaum vorbei.

Während Android, iOS und macOS moderne DNS-Standards unterstützen, erschweren sie zugleich die Konfiguration. Abhilfe schaffen zwei Tools, die IT-Profis und sicherheitsbewussten Anwendern mehr Flexibilität eröffnen.

Webtool für iOS und macOS

Apple bietet seit iOS 14 und macOS 11 eingebaute Unterstützung für DoH und DoT – doch ein direkter Zugang zur Konfiguration fehlt. Hier setzt das quelloffene Webtool Secure DNS Profile Creator an. Es generiert Konfigurationsprofile, mit denen sich verschlüsselte DNS-Verbindungen auf Apple-Geräten einrichten lassen – ganz ohne App-Installation.

Nutzer können eigene DNS-Server definieren oder aus bekannten Anbietern wie Cloudflare oder Quad9 wählen. Die erstellten Profile lassen sich auf dem Gerät installieren und sind transparent nachvollziehbar – ein klarer Vorteil gegenüber Drittanbieter-Apps, die unter Umständen sensible Daten abgreifen könnten.

Ein Pluspunkt des Secure DNS Profile Creators ist seine Unabhängigkeit: Die Konfiguration erfolgt lokal und nachvollziehbar, das Profil bleibt vollständig unter der Kontrolle des Nutzers. Unterstützt werden sowohl DNS-over-TLS (DoT) als auch DNS-over-HTTPS (DoH). Letzteres gilt in vielen Umgebungen als robuster, da es über Port 443 abgewickelt wird – denselben Port, den auch reguläre HTTPS-Verbindungen nutzen.

Das minimiert die Wahrscheinlichkeit, dass der verschlüsselte DNS-Verkehr blockiert wird. Besonders praktisch: In den Profilen lässt sich auch festlegen, dass die DNS-Verschlüsselung in bestimmten WLANs automatisch deaktiviert wird – etwa in Firmennetzen mit eigenen DNS-Vorgaben.

Intra-App für Android

Android bietet seit Version 9 die Möglichkeit, einen Anbieter als "Privates DNS" zu konfigurieren. Dabei unerstützt das System allerdings bis auf zwei Ausnahmen (Google Public DNS und Cloudflare DNS) nur DoT auf Port 853. Dieser lässt sich jedoch aufgrund seiner eindeutigen Nummer leicht in Netzwerken sperren. Daher steht mit der App Intra eine interessante Alternative bereit.

Entwickelt vom Alphabet-Inkubator Jigsaw, schützt Intra vor DNS-Manipulation – einer häufig eingesetzten Methode, um Zugriffe auf Webseiten und Dienste gezielt zu blockieren. Intra verschlüsselt DNS-Anfragen automatisch über DoH (und damit auf dem üblichen Port 443) und ermöglicht so auch in restriktiven Netzwerken den Zugriff auf gesperrte Inhalte.

Android-Nutzer können darüber hinaus in Intra gezielt Apps ausschließen, die mit dem eingestellten DNS-Dienst nicht kompatibel sind – etwa bei Problemen mit firmenspezifischen oder geografisch eingeschränkten Anwendungen. Diese Ausnahmen lassen sich in der App flexibel verwalten.

Schutz vor Malware, Werbung und Tracking

Sowohl beim Secure DNS Profile Creator als auch bei Intra lassen sich DNS-Filterdienste einbinden, die Werbung, Tracking und Malware-Domains systematisch blockieren. Beispiele hierfür sind etwa Quad9 und dns0.eu für einen Malware- und Phishingschutz oder AdGuard DNS und dnsforge.de für das Sperren von Werbung und Tracking. Damit wird das DNS nicht nur sicherer, sondern auch zum effektiven Instrument für Geräteschutz.

Wie zuverlässig gängige DNS-Anbieter vor gefährlichen Domains schützen, hat sich Nexxwave kürzlich genauer angeschaut. Dabei zeigten sich durchaus Unterschieder sowohl in Filterleistung als auch Performance. Letztlich bieten diese Dienste auch nur einen begrenzten Schutz vor Schadsoftware oder Phishing, wenn die entsprechenden Inhalte über an sich legitime Domains bereitgestellt werden und von dort ihren Weg zu den potenziellen Opfern finden.