Android absichern mit RethinkDNS

Mi, 12. Januar 2022, Lioh Möller

Klassische DNS Abfragen gelten als unsicher, da diese unverschlüsselt übertragen werden. Seit einiger Zeit etablieren sich daher Alternativen wie DNS over HTTPS, bei dem die Datenübertragung über eine verschlüsselte HTTPS Verbindung erfolgt. Darüber hinaus bieten DNS Lösungen wie Pi-Hole die Möglichkeit zur Erstellung von Blocklisten, um beispielsweise unliebsame Trackerabfragen zu verhindern.

Für Android existieren diverse Lösungen, die eine ähnliche Funktionalität anbieten, wie beispielsweise Blokada. Letzteres ist zwar über F-Droid beziehbar, enthält allerdings unliebsame Anti-Features. Eine Alternative stellt das Projekt RethinkDNS dar, welche einige interessante Zusatzfunktionen bietet. Nach der Installation über F-Droid sollte die Konfiguration angepasst werden. Beim ersten Start bittet die App um die Erteilung der benötigten Berechtigungen. Dazu gehört unter anderem das Recht VPN Verbindungen aufzubauen. RethinkDNS nutzt ein lokales VPN, um den Netzwerkverkehr umzuleiten. Es wird keine VPN-Verbindung zu einem Anbieter aufgebaut.

Der von RethinkDNS betriebene DNS over HTTPS Server bietet eine zentralisierte Filterfunktion an, das heisst, die Sperrung von DNS-Einträgen erfolgt nicht auf dem Gerät, sondern beim Anbieter. Alternativ lässt sich beispielsweise der Server von Quad9 nutzen.

Dazu wählt man in den DNS-Einstellungen im Bereich DNS over HTTPS den Punkt + Custom DNS und fügt den folgenden Eintrag hinzu:

Resolver Name: Quad9
Resolver URL: https://dns.quad9.net/dns-query

Daraufhin können in den Einstellungen die lokalen Blocklisten aktiviert werden. Über den Punkt Configure lassen sich die zu verwendenden Blocklisten einstellen. Dabei erfolgt die Auswahl zunächst in Gruppen, wie beispielsweise Security  / Full. Über Advanced lassen sich einzelne Listen aktivieren oder deaktivieren. Alle Änderungen müssen mit Done bestätigt werden. In der Einstellungsübersicht wird daraufhin angezeigt, wie viele Listen genutzt werden.

Eine weitere nützliche Funktion ist die Protokollierung, welche sich über Enable on-device logging aktivieren lässt. Ausserdem sollte der Punkt Auto-start on power-up angeschaltet werden.

Nach der Auswahl des Quad9 DNS-Servers in der Übersicht werden aktive Anfragen aufgelistet.

Aktuell bietet RethinkDNS noch keine Möglichkeit einzelne blockierte Einträge direkt freizuschalten. Die Blockliste, welche den freizuschaltenden Eintrag enthält, lässt sich allerdings explizit ausnehmen. Dazu wählt man den freizuschaltenden Eintrag aus und dort den zum Einsatz kommenden Feed aus.

In obigen Beispiel wurde die Domain www.youtube.com vom threat-intelligence-feed blockiert.

Die Blocklist, welche den Eintrag enthält, heisst in diesem Falle Malware Rescure und lässt sich wie zuvor beschrieben unter Advanced in der lokalen Filterkonfiguration deaktivieren.

In der Übersicht der zum Einsatz kommenden Blocklisten sollte sich daraufhin die Anzahl um eins verringert haben. Eine weitere interessante Funktion ist die integrierte Firewall. Standardmässig sind dort alle Apps erlaubt, diese lassen sich aber explizit verbieten oder ganz ausnehmen. Doch zunächst sollten die Punkte Block connections when source app is unknown und Block all UDP traffic except DNS and NTP aktiviert werden. Wer es noch sicherer mag, kann den Punkt Block any app not in use wählen, dieser benötigt allerdings das Recht Bildschirmaufzeichnungen zu erstellen und Applikationen können dann im Hintergrund keinerlei Abfragen mehr durchführen. Der automatische Abruf von Mails oder das Erhalten von Benachrichtigungen wird somit nicht mehr verlässlich funktionieren.

Sollte sich eine App trotz des Freischaltens der benötigten DNS-Einträge dennoch nicht nutzen lassen, kann diese über Whitelist Apps von RethinkDNS ausgenommen werden.

Über den Punkt Network Logs im Bereich der Firewall werden ausserdem alle Netzwerkverbindungen angezeigt, was aufschlussreich bei der Fehlersuche sein kann oder beim zusätzlichen Absichern des Systems helfen kann.

RethinkDNS bietet mit vergleichsweise geringem Aufwand einen soliden Grundschutz. Dennoch sollte nicht auf zusätzliche Funktionen wie browserbasierte Ad-Blocker verzichtet werden.