NetGuard und RethinkDNS sind ja aktuell entweder einzeln oder zusammen mehrfach in den aktuellen Themen vertreten.
Da mein Thema bzw. meine Bitte um eure Einschätzung/Meinung da nirgendwo so richtig reinpasst mache ich diesen Thread mal neu auf.
In unserem Heimnetz habe ich einen Pi-hole Server im Verbund mit einem Unbound Server laufen. Alle Rechner, Tablets und was sonst noch so nach außen funkt laufen über den Pi-hole. Der Pi-hole bzw. dessen verwendete Listen sowie manuelle Ergänzungen im Sinne Black/White listing werden von mir in regelmäßigen Abständen gepflegt.
Außerhalb unseres WLAN verbinden wir uns mit Wireguard mit unserer FB; surfen somit auch wieder über den Pi-hole/Unbound Verbund.
Jetzt meine Frage an euch bzw.meine Bitte um eure Meinung: Muss ich mich in der beschriebenen Situation überhaupt mit so App´s wie NetGuard bzw. RethinkDNS beschäftigen ? Kann die zusätzliche Verwendung solcher Programme einen zusätzlichen/ergänzenden Vorteil bieten oder wäre das einfach nur Zeitverschwendung ?
Pi-hole mit entsprechenden Sperrlisten (einschl. Black-/White-Listing) schützt ja hauptsächlich vor unerwünschte Werbung (im weitesten Sinne).
NetGuard usw. würden zusätzlichen Schutz vor Apps bieten, die unerwünscht nach Hause telefonieren.
Diese „Application Firewalls“, egal auf welchem Endgerät, sind dann relevant, wenn Verbindungen zum selben Ziel für unterschiedliche Netzwerkteilnehmer oder/und deren Programme / Apps anders gehandhabt werden sollen.
Bei der zentralen Pi-Hole Lösung kann ja ein Ziel entweder nur geblockt oder zugelassen sein. Das gilt dann pauschal für alle angeschlossenen Netzwerkgeräte.
Wenn beispielsweise nur ein Gerät oder eine spezielle App auf einem Gerät (aus welchen Gründen auch immer) auf ein spezielles Ziel zugreifen können soll/muss, kann man das nur durch komplette Freigabe in Pi-Hole erreichen. Alle anderen Geräte und Programme hätten dann aber auch Zugriff.
Je näher Du mit der Block-Lösung in Richtung Quelle wanderst, desto feingranularer kann die Steuerung erfolgen. Ob das Pi-Hole ausreicht, kommt also auf Deine persönlichen Block-Bedürfnisse an.
„…nach Hause telefonieren“ heißt ja aber doch eine DNS-Anfrage abzusetzen. Diese Abfrage taucht dann im Query Log des Pi-hole auf und kann dort entsprechend behandelt werden; was ich ja auch mache, besonders dann wenn neue Programme, Apps installiert und benutzt werden.
Darüber hinaus kann ja auch durch entsprechende Auswahl der Adlists komplette Themenbereiche (Malware,Pishing etc) wie auch Hersteller/Dienstleister (Samsung etc, Netflix etc) wegblocken.
Vielleicht übersehe ich da ja auch etwas oder verstehe etwas nicht ?
Hallo @Indeedee Das ist so nicht ganz richtig. Ich kann im Pi-hole verschiedene Profile, bestehend aus unterschiedlichen Adlists , erstellen und diese Profile verschiedenen Geräten zuordnen.
So fein-granular (ich finde den Begriff immer noch super ) wie es mit zusätzlichen Programmen gehen mag ist das vielleicht nicht möglich aber in einer Familie muss ja auch jemand die Geräte administrieren…und das bin bei uns leider ich.
Ja, OK - das wäre ja schon mal der nächste Schritt. Bliebe also nur noch der Anwendungsfall, dass unterschiedliche Programme auf dem selben Gerät anders behandelt werden sollen. Wenn der nicht vorkommt und das Blocking ansonsten im Ergebnis passt, reich Pi-Hole ja aus.
I.A. ja, aber nicht immer. Einige Apps bauen Verbindungen direkt zu (initial) „hartverdrahteten“ IP-Adressen auf und benötigen keine Namensauflösung. Z.B. Orbot, Tor, pDNSf … und, wie gerade im Rethink Thread erwähnt, Telegram. Die machen das prinzipbedingt so.
Aber wenn die das können, dann kann das prinzipiell jede andere App auch. Und dann kommen wieder die Application Firewalls ins Spiel …
Das wußte ich noch nicht…
Könntest Du dieses „hartverdrahtete“ Verhalten ein bisschen tiefer gehender beschreiben?
Ich kann mir nicht vorstellen wie so etwas funktioniert (einfach im Code programmiert ?) und warum Application Firewalls mir einer verlöteten IP Kontaktaufnahme klar kommen bzw. diese blockieren können ?
„Einfach“ IP Adresse im Code hart verdrahten (wie trip geschrieben hat). Dann ist keine DNS-Anfrage mehr notwendig und die App kontaktiert die IP direkt.
Eine Firewall kann jedoch IP Adressen blockieren und so das nach Hause telefonieren unterbinden.
In meinem Alltag Handhabe ich es so wie du, ich habe ein PiHole zu Hause und verbinde mich von unterwegs via Wireguard. Ich habe intensiv Netguard genutzt und auch Rethink etc. genutzt.
Bei mir reicht der PiHole aus. Ich nutze eine App auf dem Smartphone um schnell Adressen auf die Withliste bzw. Blacklist zu packen. Genau das stört mich bei den anderen Lösungen immer: dort geht es nie so schnell wie auf dem PiHole.
Ich habe eine Zeitlang den Netzwerktraffic per PCAPdroid überwacht. Da waren keine Verbindung dabei, die ich nicht auch per PiHole blocken konnte – von Telegramm abgesehen. Aber das wollte ich auch nichts blocken.
Für mich ist PiHole das komfortabelste. Vor allem, weil meine umfangreiche selbst angelegte Blacklist für alle Geräte gelten kann.
ich schaue mir auch grad mal die App an, was mich gerade störte, war, daß auch „hart verdrahtete“ IP Adressen für die Feststellung der bestehenden Internetverbindung verwendet werden und dafür u.a. WhatsApp bemüht wird →
Hier wird behauptet, dass man diese Konnektivitätschecks erst erlauben muss… Ich verstehe es so, dass es unter Netzwerk->IPV4-Version wählen der dritte Punkt wäre.
Das wird, insofern ich das nicht übersehen habe, auch nicht in deren Datenschutzrichtlinien erwähnt.
werden; was ich ja auch mache, besonders dann wenn neue Programme, Apps installiert und benutzt werden.
Das ist so nicht ganz richtig. Ich kann im Pi-hole verschiedene Profile, bestehend aus unterschiedlichen Adlists , erstellen und diese Profile verschiedenen Geräten zuordnen.
Danke, dass Du mich auf den Boden der Tatsachen zurückgeholt hast.