DEENFRELIDESmy.iacboxMeine WLAN Lösung

Netzwerk Grundlagen: DNS und warum damit unser Filter besser arbeitet

Wir Software-Entwickler verwenden in unserem Umfeld gerne und reichlich Abkürzungen, wenn wir Computer- und Netzwerkthemen besprechen, manchmal sogar so reichlich, dass der ursprüngliche Begriff komplett aus dem Vokabular verschwindet. Wir finden diese Sprache zwar absolut verständlich. Doch oft ist sie nicht mehr alltagstauglich, sobald wir das Entwickler-Office verlassen, und speziell auch wenn wir erklären wollen, was wir eigentlich bei unserem letzten Update genau gemacht haben. Das wollen wir heute besser machen und ein wenig beleuchten, wie unterschiedlich Menschen und Maschinen Website-Adressen lesen: Domains und IP-Adressen.

DN… was?

DNS steht für Domain Name Service. Dieser Dienst arbeitet unsichtbar im Hintergrund, ist jedoch eine ganz wesentliche Komponente für das Internet und die Art, wie wir es jeden Tag nutzen. Wenn wir eine Webseite aufsuchen, nutzen wir dafür eine für uns gut les- und merkbare Adresse wie etwa www.example.com. Damit  diese Adresse für Maschinen lesbar wird, muss sie in eine numerische Internetprotokoll- oder IP-Adresse wie 203.0.113.51. übersetzt werden. Bevor der Browser den Inhalt einer Webseite abholen kann, muss diese Übersetzung des Domain-Namens erfolgen.

Genau hier setzt unser neuestes Feature an, das wir hier und heute vorstellen dürfen: unser brandneuer DNS-basierter Web-Filter.

Moment mal… stimmt was nicht mit dem Content Filter?

Unser derzeitiger Content Filter basiert auf einem transparenten HTTP Proxy. Bei unverschlüsseltem Datenverkehr arbeitet er problemlos. In letzter Zeit gibt es aber, wie Ihnen bestimmt schon aufgefallen ist, immer mehr Webseiten, die mit der sicheren Version des Hyper Text Transfer ProtocolsHTTPS arbeiten. Das bedeutet, dass die ganze Kommunikation zwischen dem Browser und der Webserver über das TLS Protokoll verschlüsselt wird. Somit kann im HTTP Proxy  ungewollter Content nicht gesucht und somit auch nicht blockiert werden – hier kommt nun unser neuer DNS-Filter zu Hilfe.

Gerade zur rechten Zeit, denn zusätzlich zum allgemeinen Trend Richtung mehr Sicherheit im Netz, bewirkt auch die Let’s Encrypt Initiative, die SSL/TLS Zertifikate kostenlos zur Verfügung stellt, dass immer mehr Seiten zu HTTPS wechseln. Let’s Encrypt hat bereits Millionen von Zertifikaten ausgegeben, und heute (01/2018) sind schon 48 Millionen davon online.

Unser Diagramm zeigt den prozentuellen Anteil an verschlüsselten Seiten (Firefox-Nutzer). Die blaue Linie steht für alle Nutzer und liegt derzeit bei ungefähr 70 %. Ein wesentlicher Anteil davon kommt von führenden Plattformen wie Google, Facebook und Co, die vollständig verschlüsselt sind

Diagramm verschlüsselter Seiten Stand 2018
Diagramm verschlüsselte Seiten Firefox; Quelle: letsencrypt.org Data: firefox telemetry
Quelle: letsencrypt.org Data: firefox telemetry

Großartig, kann ich den DNS-Filter sofort verwenden?

Das neue Feature ist auf jeder aktuellen IACBOX mit Version 17.2 verfügbar, vorausgesetzt das System hat mindestens 4GB Speicher. Dieser wird gebraucht, da die gesamte Filterliste in den Speicher geladen wird, um bestmögliche Leistung zu garantieren.

Screenshot WebAdmin Webfilter-Einstellungen
Screenshot Webfilter Deutsch

Wie funktioniert der DNS-Filter?

Anstatt die HTTP Verbindungen und den Content zu filtern, werden DNS-Anfragen für Webseiten in der Blacklist blockiert. Der DNS-Filter funktioniert immer, egal welches Protokoll für das Senden oder Empfangen von Daten verwendet wird.

Ungefilterter Abfrage-Zyklus
Blog DNS Filter Englisch

Ein normaler ungefilterter Abfrage-Zyklus sieht so aus

Wenn für die angefragte Domain in der Blacklist ein Eintrag gefunden wird, liefert der DNS-Filter die Antwort zurück, dass diese Domain nicht existiert.

Ungefilterter Abfrage-Zyklus 2
DNS Abfrage - Antwort

Endkunden-Kommunikation

Wenn ein Nutzer eine Seite aus der Blacklist über HTTPS anfragt, kann der Browser nur die Information ausgeben, dass die Seite nicht gültig bzw. unbekannt ist. Das ist nicht wirklich transparent und erschwert auch die Fehlersuche, wie etwa nach einer versehentlich gelisteten Domain. Um diesem Nachteil entgegenzuwirken bieten wir die Möglichkeit, die letzten fünf bis 30 Domains auf der Anmeldeseite aufzulisten (erreichbar über http://logon.now.). So kann jeder die gesperrten Domains überprüfen. Wie viele Einträge für wie lange gespeichert werden, kann in den WebAdmin Einstellungen festgelegt werden. Dieses Feature ist sowohl für Standard-Anmeldeseiten als auch als Login-API Plugin verfügbar.

Sonst noch etwas?

Ein guter Filter braucht auch eine Whitelist, um Zugang zu Seiten zu j

Sie sind UnternehmerIn und suchen eine Lösung für diese Anforderungen? Oder sind Sie DienstleisterIn und beraten Unternehmen bei kabellosen oder kabelgebundenen Netzwerklösungen?

Starten wir gemeinsam ein Projekt

Privatsphäre-Einstellungen

Wir verwenden Cookies, um Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Mehr Informationen

Alle akzeptieren
Speichern & schließen