- Web und Software waren 2024 zunehmend ermüdend durch Werbung, Tracking, Analyse-Widgets, Cookie-Banner und ständige externe Kommunikation; Pi-hole ist eine Möglichkeit, das auf Netzwerkebene zu reduzieren
- Pi-hole arbeitet als DNS-Sinkhole im Heim- oder Büronetzwerk und blockiert tracker, Werbe-CDNs und unerwünschte Domain-Anfragen auf allen Geräten
- In einer realen Nutzungsumgebung wurden 66,6 % des gesamten Traffics blockiert, ohne funktionale Auswirkungen auf alltägliche Aufgaben
- Für die Einrichtung braucht man einen Raspberry Pi und eine microSD-Karte, Peripheriegeräte für die Ersteinrichtung, die Installation von Pi-hole sowie Netzwerkeinstellungen, damit der Router DNS-Anfragen an Pi-hole sendet
- Da Pi-hole allein kaum alle Werbung blockieren kann, ist eine Kombination mit einem Browser-Werbeblocker wie uBlock Origin für Dienste wie YouTube sinnvoll
Warum Pi-hole nutzen?
- Beim Surfen im Web und bei der Nutzung von Software haben unerwünschte Datenerfassung und Tracking stark zugenommen; Nutzer möchten vermeiden, dass Computer, Browser und andere Signale ohne Zustimmung für Profiling verwendet werden
- Das typische Online-Erlebnis im Jahr 2024 ist voll von Werbung, bösartigen Skripten, Analyse-Widgets, Chatbot-Widgets, Cookie-Zustimmungsbannern, die Seiten verdecken, und Software, die bei jedem Klick nach außen kommuniziert
- Adtech hat sich in eine Richtung entwickelt, die Besucher übermäßig ausnutzt; als Gegenmaßnahme wird vorgeschlagen, Pi-hole im Heimnetzwerk einzusetzen
- Pi-hole ist bereits ein seit Langem bekanntes Projekt und wurde über Jahre hinweg unter anderem von Jeff Atwood, Troy Hunt, Scott Hanselman und Scott Helme behandelt
Wie es im Netzwerk funktioniert
- Pi-hole läuft meist auf einem Raspberry Pi, kann technisch aber auch außerhalb eines Pi betrieben werden
- Es verhält sich wie ein DNS-Proxy/Sinkhole innerhalb des Netzwerks
- Wenn ein Nutzer
https://example.com aufruft, läuft die Anfrage zuerst über Pi-hole
- Danach folgt der Ablauf, bei dem autoritative DNS-Server nach den Domain-Informationen gefragt werden
- Ziel ist es, Domain-Anfragen zu blockieren, auf die man im Netzwerk nicht zugreifen möchte
- Tracker
- Werbe-CDNs
- Domains, an die man aus dem eigenen Zuhause oder Unternehmen keine Daten senden möchte
- In einem realen Netzwerk wurden 66,6 % des gesamten Traffics blockiert, ohne funktionale Auswirkungen auf die Tätigkeiten der Nutzer
Erforderliche Komponenten für die Installation
- Die Einrichtung von Pi-hole erfordert keine große Investition; der größte Aufwand liegt weniger in der Hardware als in der Zeit für Einrichtung und Überprüfung
- Die Grundausstattung sieht wie folgt aus
- Raspberry Pi
- Ein CanaKit-Starter-Kit für etwa 155 US-Dollar in den USA
- Eine für die Einrichtung benötigte microSD-Karte ist ebenfalls enthalten
- Monitor, Maus und Tastatur für die Ersteinrichtung des Raspberry Pi
- Zeit, um der Basisinstallationsanleitung für Pi-hole zu folgen
- Zeit, um den Router so zu konfigurieren, dass die DNS-Anfragen des Netzwerks über Pi-hole laufen
- Das Pi-hole-Team hat den Installationsprozess so einfach wie möglich gestaltet
Betrieb von Blocklisten für Domains
- Nach der Installation von Hardware und Software muss der Router so konfiguriert werden, dass sein Ziel für DNS-Anfragen auf das Pi-hole-Gerät zeigt
- Der nächste Schritt ist festzulegen, welche Domains blockiert werden sollen
- Man kann die Anfragen, die durch das Netzwerk laufen, direkt ansehen und entscheiden
- Man kann Community-Blocklisten verwenden
- Firebog ist eine empfohlene Ressource für den Einstieg und bietet viele von der Community recherchierte und zusammengestellte Domain-Listen
- Man muss nicht jede Liste pauschal anwenden
- Manche Funktionen könnten kaputtgehen oder nicht mehr funktionieren
- Im Live Query Log von Pi-hole lässt sich sehen, welcher Client auf welche Domain zugreifen möchte
- Domains können bei Bedarf dynamisch blockiert oder erlaubt werden
- Mit regulären Ausdrücken lassen sich Domains blockieren, die bestimmten Bedingungen entsprechen
- Es gibt ein Beispiel, bei dem die TLDs
.cn, .ru und .hk blockiert werden, weil viel bösartiger Traffic mit Ursprung in Russland, China und Hongkong beobachtet wird
(^|\.)(cn|ru|hk)$
- Wird diese Regel angewendet, verlässt Kommunikation zu Servern dieser TLDs das Netzwerk nicht, solange die DNS-Anfragen über Pi-hole laufen
- Länder-TLDs sind nicht der einzige Angriffsvektor für Malware, doch ihr Blockieren wird als kleiner Schritt zur Verbesserung der Sicherheitslage des gesamten Netzwerks behandelt
DNS-Umgehung verhindern
- Manche Geräte könnten versuchen, das vom Nutzer konfigurierte DNS zu umgehen, um Werbung auszuliefern oder Analysedaten zu sammeln
- Die Gegenmaßnahme hängt von der verwendeten Router-Hardware ab
- In einer Umgebung mit UniFi-Ökosystem und UDM Pro gibt es ein Beispiel, bei dem man sich per SSH mit der UDM verbindet und
iptables-Regeln ausführt
iptables -t nat -A PREROUTING ! -s YOUR_PI_HOLE_IP -p tcp --dport 53 -j DNAT --to YOUR_PI_HOLE_IP
iptables -t nat -A PREROUTING ! -s YOUR_PI_HOLE_IP -p udp --dport 53 -j DNAT --to YOUR_PI_HOLE_IP
# Make sure that we skip 192.168.1.1 since that seems to break UniFi Protect
iptables -t nat -A POSTROUTING -m iprange --src-range 192.168.1.2-192.168.254.254 -j MASQUERADE
- Dieses Skript leitet den gesamten DNS-Traffic über Port 53 an Pi-hole um und wendet mit NAT-Regeln Network Address Masquerading an
- Der erste Befehl behandelt TCP-DNS-Pakete per Destination NAT auf die Pi-hole-IP
-t nat: gibt Regeln für die NAT-Tabelle an
-A PREROUTING: fügt der Chain zur Verarbeitung eingehender Pakete vor dem Routing eine Regel hinzu
! -s YOUR_PI_HOLE_IP: schließt Pakete aus, die von Pi-hole selbst stammen
-p tcp: wird auf TCP-Pakete angewendet
--dport 53: matcht Pakete mit Ziel DNS-Port 53
-j DNAT: springt zum DNAT-Ziel, das die Ziel-IP-Adresse ändert
--to YOUR_PI_HOLE_IP: leitet Pakete an die Pi-hole-IP um
- Der zweite Befehl wendet dieselbe Verarbeitung auf UDP-Pakete an
- Der dritte Befehl ist eine
MASQUERADE-Regel, die die Quell-IP-Adressen des angegebenen internen IP-Bereichs in die Router-IP ändert
- Der Beispielbereich reicht von
192.168.1.2 bis 192.168.254.254 und kann an das eigene Netzwerk angepasst werden
192.168.1.1 wird ausgeschlossen, um zu vermeiden, dass UniFi Protect kaputtgeht
- Im Ergebnis werden alle TCP- und UDP-DNS-Anfragen von Netzwerkgeräten an Pi-hole umgeleitet, ausgenommen Anfragen, die von Pi-hole selbst stammen
Zusammen mit Browser-Werbeblockern nutzen
- Auch wenn Pi-hole zwischen Netzwerkgeräten und dem Internet sitzt, bleibt ein vertrauenswürdiger Werbeblocker wie uBlock Origin weiterhin wertvoll
- Bei Diensten wie YouTube, die man weiter nutzen, aber ohne Werbung verwenden möchte, lässt sich das nur schwer allein durch domainbasiertes Blockieren lösen
- Pi-hole dient zusätzlich zu Browser-Werbeblockern als weitere Schicht, um unerwünschte Inhalte und Anfragen zu blockieren
- Browser-Werbeblocker können auch bestimmte UI-Elemente wie manuelle Werbung oder gesponserte Inhalte blockieren, die von der Hauptdomain einer Website geladen werden
Bewertung nach der Nutzung
- Nach der Installation von Pi-hole im Netzwerk war der Effekt so groß, dass ein Zurückgehen kaum vorstellbar war
- Dieselbe Einrichtung wurde auch in den Netzwerken der Eltern und Schwiegereltern angewendet
- Der Autor erklärt, Pi-hole weiter zu empfehlen, weil es einen großen Unterschied für die Qualität des Online-Lebens macht
5 Kommentare
Auch wenn man nicht unbedingt Pi-hole verwenden muss, ist es in den meisten Fällen völlig in Ordnung, einfach einen DNS-Dienst zu nutzen, der Werbung bereits blockiert.
http://youtube.com/watch?v=OvfnqFXRybk So kann man AdGuard auch installieren und nutzen, das finde ich ziemlich gut.
Ich habe alle drei ausprobiert: Adguard Home, PiHole und NextDNS, und Adguard Home war am besten.
Wenn man parallele Anfragen nutzt und großzügig Cache gibt, werden DNS-Anfragen in unter 10 ms verarbeitet.
Aus Sicht der Werbeblockierung ist das ein ganz brauchbarer Dienst. Allerdings gibt es, wie auch im Haupttext steht, ziemlich viele Dienste, die dann insgeheim nicht richtig funktionieren, sodass man in solchen Fällen die Werbung wieder einschalten muss … Wenn ich allein wäre, wäre das vielleicht egal, aber wenn meine Frau es benutzt und dann genervt ist, weil etwas nicht funktioniert, ist das auch unerquicklich, deshalb nutze ich es nur auf meinem persönlichen Computer. seufz
Oh … danke …