Ich nutze seit kurzem GrapheneOS und das ohne PlayStore/Aurora. So gesehen bin ich was die Apps angeht schon ganz gut aufgestellt denke ich.
Trotzdem habe ich das Gefühl ich könnte noch ein bisschen mehr machen, gerade was das Tracking im Browser (nutze aktuell Vanadium) angeht. Dort besuche ich natürlich auch mal Seiten die tracken, Werbung schalten, Daten sammeln…
Habe mich ein bisschen eingelesen und mir auch z.B. RethinkDNS angeschaut aber muss gestehen dass ich bei weitem nicht alles verstehe Dann habe ich gesehen dass man im Menu bei Graphene auch einen privaten DNS auswählen kann und z.B. Digitalcourage einen DNS-Server anbietet. Aber reicht das aus?
Mullvad hatte ich auch schon ausprobiert… Dann aber auch mal gelesen dass man das nicht mit RethinkDNS kombinieren solle… Und dann irgendwann komplett den Überblick verloren
Deshalb meine Frage: Was würdet ihr einem Laien empfehlen das verhältnismäßig leicht und schnell umsetzbar ist um im Internet noch sicherer/privater unterwegs zu sein?
Klasse Thema und Frage. Kommt für mich wie gerufen. Das ist etwas was ich mich auch schon fragte, wenn GrapeheneOS installiert wäre, was man dann machen sollte, um im Internet gut eingerichtet via dem GrapeheneOS los zu legen. Daher auch meine Frage in meinem Thread nach dem Punkt: „Schritte „nach“ der GrapheneOS Installation“. Ich bin gespannt und freue mich wie Du, auf Antworten und Tipps in diesem Thread.
Das ist vielleicht immer eine doofe Antwort aber: kommt darauf an. Ich finde da privacyguides.net als Anlaufstelle sehr hilfreich, und laut denen kann man anonymisiert, pseudonymisiert (also mit Pseudonym, eine Fake-Identität) und identifiziert (mit realer Identität, Shops oder Banking..) unterwegs sein.
Anonymisiert: man will möglichst wie alle anderen aussehen und nicht zuordenbar sein. Hierfür ist der Konsens, nutze den Tor Browser. Verändere möglichst keine Einstellungen.
Pseudonymisiert: ähnlich zu oben, aber die Seite weiß natürlich, dass du es wieder bist (Foren-Accounts etc.). Hier schadet mMn Tor auch nicht.
Identifiziert: hier kannst du höchstens noch Tracker blocken, bloß nicht den Tor Browser nutzen, da dieser dich auffliegen lässt und reale und anonyme Identität verknüpft!
Für Fälle 1+2 empfiehlt sich wie gesagt der Tor Browser. Laut PG auch gerne mit vorgeschaltetem VPN, da scheiden sich aber die Geister.
Für Fall 3 kommt eben RethinkDNS ins Spiel. Damit kannst du gezielt Verbindungen blockieren und das Tracking reduzieren.
Zum Thema DNS: um möglichst anonym zu bleiben, sollte dieser immer derselbe Server sein wie deine (VPN-)Verbindung. Deshalb die Info die du hattest, dass man das nicht (einfach so) mit dem VPN kombinieren sollte. Die mMn beste Art RDNS mit VPN zu nutzen ist das DNS des VPN zu nutzen (Wireguard, einfache Konfiguration) aber mit lokalen Blocklisten bestimmte Verbindungen zu blockieren (und natürlich mit der Firewall-Funktion).
Generell finde ich auch ein VPN empfehlenswert, dadurch wird dein Traffic vor deinem ISP (Internet Service Provider) versteckt. Ob man das auch bei Fall 3 nutzen sollte, dazu gibt es meines Wissens auch keinen Konsens. Aber in RDNS kannst du genau dafür auch Apps (zBsp einen Browser für Fall 3) vom VPN ausschließen, jedoch noch durch DNS und Firewall blockieren lassen.
Zu RDNS wirst du sicher auch Fragen haben, die App leider ist leidr nicht so intuitiv, aber lohnt sich definitiv sich da einzuarbeiten.
@Nelu : Okay, hier noch meine subjektive Sicht der Dinge:
Tor-Browser wäre jetzt nicht meine Empfehlung:
Insgesamt ist der Tor-Browser daher nicht unbedingt für den alltäglichen Gebrauch geeignet, sondern richtet sich eher an Nutzer, die ein hohes Maß an Anonymität/Privatsphäre benötigen oder Zensur umgehen wollen.
Mich hat genervt, dass etliche Seiten das Tor-Netzwerk blocken. Anonymität ist auch nicht mein Auswahlkriterium für den Browser.
Statt Vanadium könnte man auch den Browser Brave nutzen. Brave bringt eine paar Funktionen in Sachen Datenschutz mit, über die Vanadium in der aktuellen Version (noch) nicht verfügt.
Die einfachste Option ist tatsächlich systemweit „Privates DNS“ zu nutzen. In der Empfehlungsecke sind ein paar DNS-Server aufgelistet, die Werbung und Tracker blockieren. Sollte sich positiv bei der Nutzung von Vanadium bemerkbar machen.
Vorteil: Wenig Aufwand, man muss sich um nichts kümmern, sobald es aktiviert ist.
Nachteil: Du hast keine Kontrolle darüber, was geblockt wird und kannst keine Verbindungen blocken, die nicht in der verwendeten Blocklisten stehen
Ich nutze die Firewall ReThinkDNS, da es neben der Nutzung von Blocklisten auch Möglickeiten bietet, gezielt unerwünschte Verbindungen zu blocken. Weiterhin kann man hier auch aus verschieden DNS-Servern auswählen oder selber einen ergänzen (Privates DNS in den Systemeinstellungen muss dann aber aus sein).
Vorteil: feingranulare Einstellungen zum Blocken von Verbindungen möglich.
Nachteil: Die App ist nicht gerade intuitiv.
Im großen und ganzen würde ich dem zustimmen:
Und zwar darauf, was / wieviel Du erreichen möchtest & wieviel Aufwand für Dich okay ist, um dieses Ziel zu erreichen.
Das habe ich jetzt mal gemacht mit den Servern von Mullvad und Werbung wird (meistens) geblockt was ich schonmal super finde.
Bei PipePipe wurde mir jetzt allerdings gesagt dass meine IP geblockt wurde und jetzt überlege ich doch die Mullvad VPN App zu nutzen.
Wenn ich es richtig verstehe soll man die nicht zusammen mit dem „privaten DNS“ nutzen. Kann ich über die Mullvad App dann auch das Blocken von Werbung einstellen?
Den Empfehlungen von @Musti würde ich tatsächlich als Einstieg zustimmen.
Zu deiner Frage, würde nicht erwarten, dass der DNS Server zum IP Blocking führt, aber bin mir da nicht sicher. Bzgl. Mullvad DNS Einstellungen: du kannst in der App die gleichen 6 DNS Server einstellen, die auch auf deren Homepage genannt werden: https://mullvad.net/en/help/dns-over-https-and-dns-over-tls
Ah Stopp, auf der Homepage gibt es die nur gebündelt. In der App kannst du jede der 6 separat ein- und ausschalten.
Halte ich auch für unwahrscheinlich… Bei Verwendung von Mullvad VPN ist das Risiko, dass Verbindungen geblockt werden, auf jeden Fall deutlich höher.
YT blockt gerne Anfragen von Apps wie PipePipe, NewPipe, LibreTube und wie sie alle heissen. Das hat mehr mit den Instanzen zu tun, die diese Apps vewenden, als mit dem DNS-Server, den Du eingestellt hast. Ist auch gelegentlich Thema hier im Forum.
Kannst du auch in RethinkDNS als Wireguard-Konfiguration eintragen. Dann hast du lokales Blocken und VPN. Allerdings muss ich sagen, dass YouTube mittlerweile häufig die Mullvad VPN-Server blockt. Da macht ProtonVPN deshalb mehr Sinn (du kannst auch ausschließlich für PipePipe Proton einstellen, für den Rest Mullvad). Ich persönlich würde YouTube allerdings mit einer Invidious-Instanz schauen (im Browser inv.nadeko.net (oder eine beliebige andere Instanz) eingeben).
Ich nutze RethinkDNS und Mullvad VPN über Wireguard im Alltag. Auch in Verbindung mit Youtube zum hören von Musik oder ansehen diverser abonnierter Kanäle (Überbleibsel aus alten Zeiten). Bisher läuft das recht gut.
Ich nutze ProtonVPN mit RethinkDNS/Wireguard, um einige Apps (nicht alle) darüber zu routen. Momentan werden alle diese Apps über den denselben Proxy/VPN geroutet.
Macht es eventuell Sinn, mehrere Proxy-Konfigurationen zu nutzen, um dann jeweils nur eine App darüber zu routen? So wie ich es verstehe, würde dies erschweren, die Nutzung der Apps über die IP-Adresse untereinander zu zu ordnen, oder übersehe ich etwas?
Dafür müsstest du das VPN im fortgeschrittenen Modus nutzen und das erlaubt nur einen DNS Server für alle VPN Verbindungen. Das macht dich nach meinem Verständnis leichter identifizierbar. Zudem bräuchte ich bei mir zumindest gefühlt 50 Verbindungen, also etwas unpraktikabel..
Aber deinen Gedanken hatte ich auch mal. Insbesondere um Apps, auf denen ich identifiziert unterwegs bin, von anderen zu trennen. Es könnte aber womöglich noch abseits der IP Dinge wie Tracker/IDs etc. geben, die über Apps hinweg auftreten, und dich auffliegen lassen. Ist aber nur eine Vermutung meinerseits, nicht sicher ob es dafür Belege bzw. einen Konsens gibt.
Ich benutze bereits den fortgeschrittenen Modus. Nach meinem Verständnis kann ich aber mehrere Konfigurationen nutzen, bei denen jede einen anderen Ausgangsknoten hat. Soweit ich weiß, nutzt ProtonVPN einen DNS bei Proton selbst, insofern wäre die Identifizierbarkeit an dieser Stelle relativ egal, solange der Dienst, mit dem die App kommuniziert (also Google, Meta, die Post, whatever) jeweils die IP von dem jeweiligen VPN-Ausgangsknoten sieht, und nicht meine Geräte IP.
Wie genau die Apps/Dienste das DNS aufschlüsseln und abgleichen könnten würde mich tatsächlich auch interessieren. Mir ging es darum, dass man zBsp generisch dns.mullvad.net nutzen könnte mit Mullvad VPN, aber dann ist der DNS Standort nicht der gleiche wie VPN Standort (bei mehreren VPNs dann schon gar nicht). Wie kritisch das ist, weiß ich selbst auch nicht
Man sieht das gut, wenn man den Mullvad check macht, https://mullvad.net/de/check , und einmal das DNS vorgibt und einmal es selbst auswählen lässt. Da kommen andere Einträge raus, obwohl alles vom Mullvad ist.
Ich würde da noch nextdns.io in den Ring werfen. 300000 queries pro Monat sind kostenlos. Läuft systemweit als DoT (DoQ ab OSI-Layer4 kann Android nicht) oder per DoH im Browser. Mir gefällt da noch das live online Logging. Ad/Tracker Blocking ist vorhanden, die üblichen Listen eben, frei konfigurierbar.
Das ganze hat den Vorteil der VPN Slot bleibt frei (für Tools wie PCAP Droid)
Rethink hat für mich das Manko es kann echtes DoQ nicht um systemweit konfiguriert zu werden. Vom Sicherheitsaspekt gesehen spielt das eher keine Rolle. QUIC als Transportprotokoll ist bestenfalls als DoH3 möglich. Nachschauen lässt sich ohne freien VPN Slot für Packet Capture eben schlecht.
Privates DNS würde ich auch als das Anfängerfreundlichste ansehen.
Rethink ist dann schon eine andere Nummer. Als Einstieg in eine solche VPN DNS App könnte man es auch mit DNSNet versuchen.
Darum auch als Antwort auf @Musti s Kommentar geschrieben. Wenn ich hier einen DNS-Dienst der offensichtlich u.U. weniger Sicherheit/ Privatsphäte bietet gegen Rethink stelle, es wird Logging betrieben - zumindest soweit nötig um Logs im Webinterface zur Verfügung zu stellen, dann begründe ich das.
Für Anfänger: Nextdns bietet robustes Ad- /Tracker Blocking an, ihr braucht einen Account, das ist wie ein 1.1.1.1 bei dem ihr die Filterlisten selbst aussuchen könnt oder auf auto schaltet. Für ungestörtes surfen mit Vanadium allemal genug, nur YouTube Ads sind eine andere Hausnummer, da muss man schwerere Geschütze auffahren. Würde zu Brave raten aber nextdns oder rethink davor schalten schadet nicht.
Für mich ist der Hauptvorteil von nextdns dass die “Android VPN Funktion” frei bleibt, allerdings nicht um dort klassisches VPN zu betreiben.
Rethink ist sehr gut, nicht falsch verstehen. Ob das Konfigurieren anfängerfreundlich ist weiss ich nicht.
Dann habe ich gesehen dass man im Menu bei Graphene auch einen privaten DNS auswählen kann und z.B. Digitalcourage einen DNS-Server anbietet. Aber reicht das aus?
Das ist genau die richtige Antwort, die ein Anfänger zum Thema Datenschutz/Privatsphäre erwartet.