{"id":953,"date":"2018-07-25T15:28:11","date_gmt":"2018-07-25T13:28:11","guid":{"rendered":"https:\/\/www.bastel-bastel.de\/blog\/?p=953"},"modified":"2023-01-23T19:24:29","modified_gmt":"2023-01-23T18:24:29","slug":"werbe-und-tracking-filter-mit-pi-hole-fuers-heim-und-firmennetz","status":"publish","type":"post","link":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/2018\/07\/25\/werbe-und-tracking-filter-mit-pi-hole-fuers-heim-und-firmennetz\/","title":{"rendered":"Werbe- und Tracking-Filter mit Pi-Hole f\u00fcrs Heim- und Firmennetz"},"content":{"rendered":"

Ein kleiner Erfahrungsbericht zum DNS-Filter Pi-Hole.<\/strong>
\n\"Werbe-<\/a>
\n\"Werbe-
\nAuf dem PC hat man in der Regel die \u00fcblichen Adblocker und Tools installiert (ublock, noscript, ghostery), einen Virenschutz dazu. Aber irgendwie bleibt ein ungutes Gef\u00fchl. Denn die Daten werden ja erst auf den PC geladen und dort verarbeitet bevor \u00fcberhaupt irgendetwas geblockt werden kann. Was wenn da eine L\u00fccke ist die noch niemand kennt? Oder was macht eigentlich der PC im Hintergrund? Sp\u00e4testens mit Windows 10 werden ja massenhaft Daten \u00fcbertragen, Google, Facebook und Co. saugen trotz Datenschutzgrundverordnung alles auf was sie an Daten bekommen k\u00f6nnen.
\nNachdem mir auf dem Tablet zum 2. Mal ein Werbefenster aufgepoppt ist „Herzlichen Gl\u00fcckwunsch, Sie haben einen gro\u00dfen Misthaufen gewonnen“, bei dem es nur OK weiterging (oder eben Browser schliessen) bin ich auf der Suche nach einer L\u00f6sung f\u00fcr das Android-Tablet gegangen. Dabei kam dann die Erkenntnis da\u00df da ja noch viel mehr ist – Handies, PCs, Tablets, IOT-Ger\u00e4te, selbst der Fernseher ist Internetf\u00e4hig.
\nTheoretisch kann man jedes Ger\u00e4t einzeln sch\u00fctzen, beim PC ist das noch vergleichsweise einfach. Aber alles aktuell und funktional zu halten ist eine Herausforderung. Und so Ger\u00e4te wie der Fernseher lassen kaum Einstellungen zu. Den Internetzugang abschalten w\u00e4re eine M\u00f6glichkeit. Aber Mediathek und Amazon Prime sind eben doch interessante Dienste.
\nDaher muss eine netzwerkweite L\u00f6sung her.<\/strong>
\nIrgendein Ger\u00e4t das den ganzen Mist aussortiert bevor er \u00fcberhaupt ins Hausnetz kommt.
\nZum Abblocken externer Zugriffe gibt es nat\u00fcrlich eine Firewall. Die bringt aber nicht viel wenn der Angriff von innen startet, d.h. vom eigenen Browser. Denn der hat nat\u00fcrlich Internetzugriff auf das Internet. Oder irgendwelche Apps die man auf dem Handy installiert hat. Kaum jemand weiss was die im Hintergrund machen.
\nAlso habe ich mich auf die Suche nach einer L\u00f6sung gemacht.<\/p>\n

Und dann kam Pi-Hole<\/strong>
\nEin Pi-Hole f\u00fcr die ganzen Werbe-Ass-holes. Das ist was feines. Aber was genau ist Pi-Hole?
\nPi-Hole ist im Prinzip einfach ein DNS-Server mit Filterfunktion.
\nDNS-Server? Was ist das?<\/strong>
\nAlle Webseiten werden im Internet mit IP-Adressen angesprochen, z.B. 46.237.210.114 f\u00fcr meinen Server.
\nDas kann sich aber niemand merken, also bekommen die Server Namen. z.B. bastel-bastel.de
\nFr\u00fcher hat man tats\u00e4chlich Server direkt \u00fcber die IP-Adresse angesprochen und auch heute noch gibt es z.B. im Darknet Server ohne Namen die man nur \u00fcber die IP-Adresse findet. Die meisten Webseiten werden aber „menschengerecht“ mit Namen angesprochen (der Maschine ist es egal ob Name oder Nummer).
\nJe nachdem welcher Dienst gew\u00fcnscht wird steht dann noch was davor, z.B. f\u00fcr Webseiten http:\/\/www oder verschl\u00fcsselt https:\/\/www. F\u00fcr meinen Server damit https:\/\/www.bastel-bastel.de
\nDas kann sich ein Mensch schon besser merken.
\nGibt man das www.bastel-bastel.de<\/strong> im Browser ein, dann wird im Internet eine Verbindung zu meinem Server aufgebaut. Das http:\/\/ oder https:\/\/ kann man in der Regel weglassen, das funktioniert meistens auch so.
\nAber woher weiss der PC wo die Webseite sich im Internet befindet?
\nDas weiss er nicht, daf\u00fcr braucht er Hilfe.
\nUnd da kommt der DNS-Server ins Spiel. DNS heisst n\u00e4mlich nichts anderes als Domain-Name-System<\/strong> wobei Domain einfach f\u00fcr die Dom\u00e4ne steht, hier f\u00fcr den Server, bei gr\u00f6\u00dferen System auch f\u00fcr die Firma.
\nUnd der DNS-Server ist ganz einfach ein Telefonbuch. Allerdings ein dynamisches und schlaues!
\nStatt Name und Telefonnummer steht da einfach die Domain und deren IP-Adresse drin.
\nDer DNS-Server weiss also da\u00df www.bastel-bastel.de die IP 46.237.210.114 hat.
\nIn jedem Netzwerk gibt es normalerweise einen DNS-Server, meistens ist das der Router der die Verbindung zum Internet herstellt. Da das Internet aber so gro\u00df ist und die Router so klein gibt es ein System von verteilten DNS-Servern. Der Internet-Anbieter hat einen gr\u00f6\u00dferen DNS-Server, dann gibt es noch die Internet-Registrierungsstellen bei denen man eine Domain registrieren kann und die Hosting-Anbieter bei denen man seinen Server ins Rechenzentrum stellt oder einen virtuellen Server mieten kann.
\nEs gibt unz\u00e4hlige M\u00f6glichkeiten.<\/strong><\/em>
\nWenn man jetzt eine Webseite besuchen will, dann fragt der PC den Router nach der IP-Nummer der gew\u00fcnschten Seite. Wei\u00df der Router diese Nummer bereits, dann ist die Anfrage schon erledigt und die Seite wird geladen.\u00a0 Wei\u00df der DNS-Server im Router die Nummer nicht, dann fragt er einfach den DNS-Server des Internetanbieters oder irgendeinen anderen – es gibt viele davon. Wenn der DNS-Server das auch nicht weiss, dann fragt er sich durch bis er einen DNS-Server gefunden hat der die Nummer wei\u00df.
\nDie bekommt dann der PC zur\u00fcckgemeldet und schwups geht es zum Surfen auf die gew\u00fcnschte Seite.<\/p>\n

Fr\u00fcher bestand eine Webseite einfach aus Inhalten die von einem einzigen Server geladen wurden.
\nHeutzutage wird aber beim Aufruf einer einzigen Webseite oft das halbe Internet mitgeladen.
\nGeht man auf eine aktuelle Nachrichtenseite, dann wird nicht nur die gew\u00fcnschte Nachrichtenseite geladen sondern die Leute wollen auch wissen, wer surft, was man liest, wo man herkommt und wo man hingeht. Und ein bisschen Werbung gibts bittesch\u00f6n auch dazu.
\nDas machen die aber nicht selbst, sondern da wird irgendein Tool von irgendeinem Anbieter verwendet. Sehr beliebt ist Google Analytics.\u00a0 Dann gibt es noch Werbenetzwerke, bei denen man Geld bekommt sobald eine Werbung geladen wird, oder jemand auf Werbung klickt.\u00a0 Manche Webseiten werden von verschiedenen anderen Webseiten zusammengew\u00fcrfelt. So kann es mittlerweile vorkommen, da\u00df beim Aufruf einer Webseite Anfragen an 20 oder mehr fremde Server geschickt werden die man eigentlich garnicht will.\u00a0 Schon mal gefragt warum man manche Produkte in einem Shop angeboten bekommt wenn man vorher nach genau diesen Produkten im Internet gesucht hat? Das wird genau durch diese Tracking-Tools analysiert und berechnet und soll ein „optimiertes Surferlebnis“ sein.
\nDie Erfassung dieser Daten ist zwar datenschutzrechtlich sehr bedenklich. Aber im Zweifelsfall bekommen nur die Kleinen eins auf die M\u00fctze. Also wenn in der Datenschutzerkl\u00e4rung ein Komma falsch gesetzt ist oder so. Die Gro\u00dfen die Terabyte-weise Daten abgreifen haben genug Anw\u00e4lte um sich zu wehren. Und an die traut sich eh niemand ran. Anw\u00e4lte nicht weil sie sich nicht trauen und es den meisten sowieso nur um die schnelle Kasse beim Abmahnen geht. Und der Staat nicht weil keiner wirklich Ahnung hat.
\nSo und genau bei diesen fremden Servern setzt Pi-Hole an.
\nDa muss man sich halt selber sch\u00fctzen vor Google, Microsoft, Facebook und Co.
\nW\u00e4hrend mit einem Adblocker alles geladen wird bevor es geblockt werden kann pr\u00fcft Pi-Hole einfach direkt die IP-Adressen. Daf\u00fcr gibt es riesige Listen mit Servern die bekannterma\u00dfen Daten abgreifen, Werbung ausliefern oder gar b\u00f6sartige Inhalte haben.
\nSurft man also auf eine Webseite und von dort werden von anderen Seiten Inhalte nachgeladen, dann kann Pi-Hole jede einzelne Anfrage \u00fcberpr\u00fcfen und blockieren. F\u00fcr s\u00e4mtliche Tracking-Server, Werbenetzwerke und \u00e4hnliches kann Pi-Hole jetzt einfach statt der eigentlichen IP-Adresse eine leere Antwort liefern. Die Anfrage l\u00e4uft in ein schwarzes Loch – daher der Name Pi-Hole.<\/strong>
\nDas Pi<\/strong> im Name kommt davon, da\u00df das System auf einem Raspberry Pie schon optimal l\u00e4uft (Idealerweise Model 3).\u00a0 Die Installation hat bei mir keine 5 Minuten gedauert, dazu noch 10 Minuten Einarbeitung und schon lief das System grundlegend. Die Software l\u00e4uft zwar auch auf anderen Linux-System, aber so ein kleines Raspberry-Kistchen ist die einfachste L\u00f6sung. Schnell, kosteng\u00fcnstig und gut.
\nDa die Inhalte der Server garnicht erst abgerufen werden spart man sich damit einiges an Datentransfer. Das Surfen wird viel schneller!
\nDamit wird neben Werbung auch Tracking unterbunden, denn auch Anfragen an Server die einen beim Surfen verfolgen verschwinden im schwarzen Loch.
\nUnd da viele Trojaner und sonstiger M\u00fcll \u00fcber kompromittierte Werbenetzwerke ausgeliefert werden werden die auch gleich mit erledigt. Dazu noch jede Menge sonstiger M\u00fcll der von bekannterma\u00dfen b\u00f6sartigen oder unerw\u00fcnschten Servern kommt.
\nDa der DNS-Server eine zentrale Komponente in einem Heim- oder Firmennetzwerk ist kann man durch Einsatz eines Pi-Hole DNS-Filters mit einem Klick ein ganzes Netzwerk filtern.\u00a0 Und nicht nur PCs sondern auch Handies, Tablets und alle Ger\u00e4te die auf das Internet zugreifen arbeiten mit DNS-Zugriffen und werden effektiv gefiltert.<\/p>\n

Erspart Pi-Hole einen Adblocker oder Scriptblocker?<\/strong>
\nNein, Pi-Hole blockt zwar die DNS-Abfrage, so da\u00df die meiste Werbung erst garnicht geladen wird. Aber es gibt immer noch Werbung die direkt vom Anbieter der Webseite geladen wird. Und die aufgerufene Webseite kann ja auch gehackt oder verseucht sein.
\nDaher empfiehlt es sich trotz Pi-Hole, weitere Sicherheitsma\u00dfnahmen zu ergreifen.
\nAllerdings wird ein Gro\u00dfteil des M\u00fclls garnicht erst geladen, die Blocker haben damit deutlich weniger zu tun, der Rechner wird entlastet und damit schneller!
\nStrom spart es \u00fcbrigens auch! Wenig zwar bei jedem Aufruf, aber wenn man an Milliarden an Bytes denkt die sinnlos \u00fcbertragen werden, dann summiert sich das auf eine ganze Menge. Der Strom f\u00fcr den verwendeten Raspberry ist bei t\u00e4glichem Surfen oder in einer Firma schnell wieder eingespart wenn der Rechner weniger an sinnloser Werbung rumbasteln muss.<\/p>\n

Beispiele?
\nPi-Hole hat eine einfache aber tolle Statistikseite.
\nF\u00fcr 24 Stunden werden mir 14.000 Anfragen angezeigt, davon wurden 3600 geblockt entsprechend um die 25%. Auf der schwarzen Liste stehen aktuell \u00fcber 130.000 Server.
\nUnd falls mal etwas falsch geblockt oder nicht geblockt wird kann man \u00fcber das Men\u00fc die gew\u00fcnschte Seite ganz einfach sperren oder entsperren.
\nDie am meisten geblockten Seiten sind z.B.
\nusage.trackjs.com, googleads.g.doublecklick.net, google-analytics.com, capture.trackjs.com, googleadservices.com, fls-eu.amazon.de und viele mehr.
\nWie man sieht jede Menge Tracking und Werbung.<\/p>\n

Und sonst so?<\/strong>
\nAls Nebeneffekt kann man auch sehen was der PC macht wenn er mal alleine ist.
\nBeim Start werden erst mal ein paar Microsoft-Seiten angesteuert, z.B. settings-win.data.microsoft.com, watson.telemetry.microsoft.com.
\nOb da Daten \u00fcbertragen werden oder nicht? Alleine durch den Aufruf kann Microsoft erkennen wann man seinen PC verwendet. Und das geht die mal garnichts an.
\nDann noch teredo.ipv6.microsoft.com – da ich im Heimnetz noch IPv4 verwende basteln sich die Windows-Rechner einfach einen Tunnel zu Microsoft um per IPv6 Daten \u00fcbertragen zu k\u00f6nnen. Ob was \u00fcbertragen wird ist ein Streitthema im Netz. Aber alleine dieM\u00f6glichkeit – Klick und weg.
\nMein Brother-Drucker wird \u00fcber einen Netzwerknamen angesprochen, die Windows-Rechner fragen alle 30 Sekunden beim Router nach ob die Kiste noch erreichbar ist. Kein Problem aber muss das sein?
\nDann doch lieber mit fester IP-Adresse ansteuern, unn\u00f6tiger Netzwerkverkehr st\u00f6rt nur.
\nDer Fernseher will \u00f6fter mal irgendwelche Herstellerseiten ansteuern, de.lgtvdsp.com, eic-ngfts.lge.com, de.ibs.lgappstv.com, snu.lge.com – was er da wohl sucht?
\nEs finden sich viele interessante Dinge die einem so garnicht bewusst sind.
\nAuch das Ipad schickt obwohl es „aus“ ist regelm\u00e4\u00dfig Anfragen. time-ios.apple.com, pd.itunes.apple.com, init.itunes.apple.com, init-p01st.push.apple.com, p19-keyvalueservice.fe.apple-dns.net, usw.
\nWas da wohl \u00fcbertragen wird?<\/p>\n

Fazit<\/strong>
\nF\u00fcr jeden der sich ernsthaft um Datensicherheit Gedanken macht ist ein zentraler Filter essentiell wichtig.
\nEin DNS-Filter ist zwar kein Allheilmittel aber eine gute Basis auf die man aufbauen kann.
\nDas Pi-Hole-System ist absolut einfach zu installieren (Anleitungen gibt es genug im Web, daher habe ich mir das erspart) und auch f\u00fcr Laien bedienbar. Dazu sind die Kosten \u00fcberschaubar. Die Software ist kostenlos, die Hardware gibts schon f\u00fcr unter 50,-Euro. Und es werden ALLE Ger\u00e4te begl\u00fcckt, egal ob PC, Tablet oder sonstiges.<\/p>\n

Update-Frust weil man die Anleitung nicht liest?<\/strong><\/p>\n

Wer braucht schon eine Anleitung!?
\nAber mit pihole – up mal eben \u00fcber die Kommandozeile aktualisiert, kann ab Version 5.x zu einem b\u00f6sen Erwachen f\u00fchren.
\nDa wurde n\u00e4mlich der Seitenaufruf ge\u00e4ndert!
\nMan muss der IP-Adresse, bzw. dem Rechnername des Pihole-Servers jetzt ein \/admin anf\u00fcgen, sonst bekommt man nur ein ERROR 403 – Zugriff verweigert!
\nAlso: Anleitung lesen! (ich habs nicht getan und musst dann erst recherchieren)<\/p>\n","protected":false},"excerpt":{"rendered":"

Ein kleiner Erfahrungsbericht zum DNS-Filter Pi-Hole. Auf dem PC hat man in der Regel die \u00fcblichen Adblocker und Tools installiert<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[33,66,152,153],"class_list":["post-953","post","type-post","status-publish","format-standard","hentry","category-edv","tag-adblock","tag-dns-filter","tag-pi-hole","tag-pihole","comments-off"],"_links":{"self":[{"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/posts\/953","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/comments?post=953"}],"version-history":[{"count":1,"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/posts\/953\/revisions"}],"predecessor-version":[{"id":9372,"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/posts\/953\/revisions\/9372"}],"wp:attachment":[{"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/media?parent=953"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/categories?post=953"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bastel-bastel.de\/blog\/index.php\/wp-json\/wp\/v2\/tags?post=953"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}