Falls Internetausdrucker diesen Artikel lesen, hier nochmal eine ganz kurze Erklärung was DNS ist:

DNS ist die Abkürzung für “Domain Name System” und ein zentraler Dienst in unserer Internet Infrastruktur, denn die DNS Server wandeln Domainnamen in IP-Adressen um. Aus “www.das-motorrad-blog.de” macht der DNS Server die IP-Adresse “213.239.209.166″. Da die Netzwerkkommunikation im Internet nur auf Basis von IP Adressen möglich ist, könnten wir ohne DNS Server keine Domains benutzen. Mehr Infos dazu gibt es auch bei Wikipedia.

Um bestimmte Domains zu blocken ist ein DNS Server also hervorragend geeignet, denn wenn sich der Name einer Domain nicht in eine IP-Adresse umsetzen lässt, dann kann auch keine Kommunikation stattfinden. Für Heimnetze, die sich absichern wollen eine super Sache, aber sobald Regierungen oder Organisationen in das Domain Name System eingreifen wollen verdammt gefährlich – ich erinnere da nur an die Zensursula Debatte in diesem Jahr. Wenn ich in meinem Heimnetz einen DNS verwende, mit dem ich meine Kinder vor pr0n, gambling, Gewalt und anderem Müll bewahren kann, dann ist das okay, weil ich für die Personen entscheide, gegenüber denen ich eine direkte Verantwortung trage. Im großen Stil darf allerdings niemals in das DNS Verfahren eingegriffen werden. Außerdem sind die Sperren für einen erfahrenen User leicht zu umgehen, wobei es im Heimnetz mitunter schwieriger sein kann, da es sich ja um ein sehr kleines und geschlossenes Netz handelt.

OpenDNS ist dafür ein toller Service, weil die Sperrlisten sehr gut gepflegt sind (Community) und zudem auch noch geloggt wird, welche Seiten angesurft werden. So ist gut nachvollziehbar, ob was am Filter nicht passt, allerdings ist bei mir noch kein Problem aufgetreten, OpenDNS funktioniert sehr gut, wenn noch ein paar manuelle Filter hinzugefügt werden (z.B. YouTube.com). Durch die Protokollierung ist auch eine nachträgliche Kontrolle möglich, welche Seiten angesurft wurden.

Und hier ein kleiner Überblick was zu tun ist, um einen bzw. alle Rechner im Heimnetz mit OpenDNS zu schützen:

1. OpenDNS Account anlegen
2. Eigene IP hinzufügen und auf dynamisch setzen
3. DNSOMATIC Account anlegen
4. DNSOMATIC für OpenDNS Aktualisierung einrichten
5. DNSOMATIC im Router konfigurieren
6. DNS von OpenDNS im Router konfigurieren
7. Filtereinstellungen im OpenDNS Account festlegen

Erstmal braucht es natürlich einen OpenDNS Account, der kostenlos eingerichtet werden kann. Nachdem das geschehen ist, muss nach dem Anmelden unter “Settings” ein Netzwerk hinzugefügt werden. Glücklicherweise ist das Formular bereits mit den richtigen Daten vorausgefüllt und es muss nur noch der Button “Add this network” angeklickt werden. Danach öffnet sich ein kleiner Dialog, in dem diesem Netz ein Name zugewiesen werden kann. Zudem sollte die Option aktiviert werden, dass es sich um eine dynamische IP handelt (zu 99% der Fall). Danach wird eine Bestätigungs-Email versendet, aus der ein Link aufgerufen werden muss. Nach der erfolgreichen Bestätigung ist das Netzwerk in OpenDNS eingerichtet.

Nun eine kurze Erklärung zur Funktionsweise von OpenDNS: Wird von einem PC aus eine DNS Anfrage zum Auflösen einer Domain gestellt, dann kommt diese Anfrage von einer bestimmten IP Adresse. Im OpenDNS Backend haben wir unsere eigene IP Adresse hinterlegt und mit bestimmten Filtern konfiguriert. Kommt nun beim OpenDNS Server eine Anfrage von unserer IP an, kann der Server diese IP unseren Einstellungen zuordnen und die Anfrage gemäß Filtereinstellungen beantworten.

Nun gibt es aber ein Problem bei dieser Lösung: Die IP Adressen, die wir von unserem Internet Service Provider zugewiesen bekommen sind in der Regel dynamisch, sie ändern sich bei jedem neuen DSL-Verbindungsaufbau, wenn eine Dauerverbindung zum Internet besteht (Flatrate) spätestens nach 24 Stunden, weil dann vom Provider eine Zwangstrennung durchgeführt wird. Das stellt uns vor ein konkretes Problem: Wie teile ich OpenDNS automatisch meine aktuelle IP Adresse mit, damit er meinen DNS Anfragen auch meine Filtereinstellungen zuordnen kann? Die Lösung: DNSOMATIC und ein halbwegs brauchbarer Router.

DNSOMATIC ist ein Dienst von OpenDNS, der eine Lösung für genau dieses Problem bereitstellt und zudem nicht nur OpenDNS, sondern auch bekannte Home-IP Dienstleister wie DynDNS, No-IP, oder DynIP – um nur mal die Bekanntesten zu nennen – bedient. Dazu ist nur ein Account bei DNSOMATIC nötig, der schnell und unkompliziert eingerichtet ist. Nachdem der Account aktiv ist, kann über den Button “Add service” ein neuer Service bei dem die dynamische IP hinterlegt werden soll hinzugefügt werden. Dazu wählen wir in der Auswahl-Box logischerweise “OpenDNS” und tragen alle geforderten Daten ein.

Nun geht es an die Konfiguration des heimischen Routers. Dazu muss die Konfigurationsoberfläche des Routers geöffnet werden. Bei meiner bereits mehrere Jahre alten Fritzbox mache ich das, indem ich in der URL-Zeile des Browsers die IP des Routers eintippe (meist 192.168.0.1 oder 192.168.178.1). Nach Eingabe des Passwort klicke ich mich durch die Konfigurationsmöglichkeiten, bis auf den Punkt “Dynamisches DNS” stoße. Dort kann ich dann verschiedene Anbieter auswählen, bei modernen Routern wird DNSOMATIC oder OpenDNS meist gleich mit angeboten. Bei meiner alten Fritzbox ist keiner von Beiden dabei, aber ich kann “Benutzerdefiniert” wählen, wo ich die URL “updates.dnsomatic.com/nic/update?myip=<ipaddr>” eintrage und die Zugangsdaten hinterlege. Funktioniert also selbst mit älteren Routern, sofern diese eine Option für DynDNS Updates anbieten. Kann der Router das nicht, sollte wie bereits erwähnt ein kleines Programm in den Autostart des Rechners gelegt werden.

Optimal ist es, den Router so zu konfigurieren, dass kein anderer DNS als der OpenDNS Server verwendet werden kann. Dazu werden im Router unter Primary und Secondary DNS Server die IP Adressen “208.67.222.222″ und “208.67.220.220″ eingetragen. Das sind die offiziellen OpenDNS Server. Kann der Router den DNS Server nicht festschreiben (bei meiner alten Fritzbox ist das leider so), dann muss der DNS Server bei den Netzwerkkarten/WLan-Adaptern der PCs eingetragen werden. Dazu müssen die Netzwerkgeräter allerdings von Hand konfiguriert werden (IP Adresse, Gateway und DNS einstellen), weil DHCP nicht mehr möglich ist. Das ist allerdings nicht optimal, weil schlaue Kinder schnell rauskriegen, wie man den DNS wieder ändert, zumindest, wenn die Suchmaschinen nicht gesperrt sind. Deswegen ist die Investition in einen geeigneten Router lohnenswert. Wer es ganz sicher haben will, sperrt auch noch die Ports 53/tcp und 53/udp ins Internet, das sind nämlich die Ports über die DNS Anfragen laufen. So kann der DNS des Routers (also OpenDNS) nicht mehr umgangen werden. Der Router selbst muss natürlich über diese Ports kommunizieren können, nur die anderen Teilnehmer des Netzes nicht.

OpenDNS kennt nun unsere IP Adresse, bekommt die Änderungen der Adresse mit und unserer Router bzw. unsere Netzwerkgeräte verwenden den OpenDNS Server? Dann können wir nun in OpenDNS unsere Filtereinstellungen vornehmen. Dazu werden die Account-Settings aufgerufen, auf die IP Adresse geklickt, worauf der Konfigurationsdialog erscheint. Ich habe bei “Content Filtering” die Stufe “High” ausgewählt, wodurch alles ausgefiltert wird, was definitiv nichts für Kinder ist. Zudem habe ich weiter unten noch einige weitere verbotene Domains hinzugefügt, sowie noch drei Seiten, die nicht gesperrt werden sollen. Ich durfte mir zwar einiges an Gequengel anhören, als ich YouTube gesperrt habe, aber ohne Aufsicht ist das halt nichts, der Kleine kann ja fragen und dann können wir zusammen schauen, was die Stimmung dann wieder ein wenig beruhigte.

So funktioniert das also mit dem OpenDNS, nicht ganz unkompliziert, aber wer strukturiert vorgeht und auch mal einen Blick in die Knowledge-Base von OpenDNS bzw. die Anleitung seines Routers wirft, der wird das schon hinbekommen. Viel Glück!

Bei Fragen: Comments are open.