RethinkDNS, CenturionDNS, ProtonVPN

Auf einem typischen Android-Gerät laufen heute parallel:

  • das Betriebssystem mit seinem mehr oder weniger gut gehärteten Sicherheitsmodell,
  • ein Zoo an Apps mit teils fragwürdiger Datendisziplin,
  • und eine zunehmend aggressive Werbe- und Tracking-Industrie, die jedes verfügbare Bit für Profilbildung ausnutzt.

Der Stack RethinkDNS + CenturionDNS + ProtonVPN (Plus) adressiert genau dieses Spannungsfeld: Er versucht, sowohl den Netzwerkverkehr als auch die Namensauflösung unter die eigene Kontrolle zu bringen und gleichzeitig die dem Endgerät direkt zugewiesene IP-Adresse gegenüber der Aussenwelt zu verschleiern.

Im Folgenden:

  1. Was die einzelnen Komponenten sind
  2. Wogegen sie jeweils schützen
  3. Wogegen sie in Kombination schützen
  4. Welche Angriffsvektoren explizit nicht abgedeckt sind
  5. Was ein Upgrade auf GrapheneOS zusätzlich bringt

RethinkDNS

Was ist RethinkDNS?

RethinkDNS ist eine freie Android-App, die im Kern drei Funktionen kombiniert:

  1. Lokaler VPN-Endpunkt / Traffic-Broker
    • Rethink nutzt das Android-VPN-API, um sich als „virtuelles“ Interface zwischen Apps und Netzwerk zu hängen.
    • Sämtlicher Traffic der Apps läuft zunächst durch Rethink.
  2. DNS-Client mit Verschlüsselung & Blocklisten
  3. App-Firewall & Netzwerkmonitor
    • Per-App-Firewall (WLAN/Mobil getrennt, Ziel-IP-/Domain-Filter etc.)
    • Monitoring: Welche App spricht wohin, wie oft, über welche Ports

Kurz: RethinkDNS verschiebt Teile der Netzwerkkontrolle direkt auf das Endgerät, bevor der Traffic überhaupt ins Netz geht.

Wogegen schützt RethinkDNS?

Gegenüber Netzwerk-Angreifern & Providern:

  • Verhinderung von DNS-Manipulation (z. B. Provider-Zensur, DNS-Hijacking), sofern die Upstream-Verbindung DoH/DoT nutzt.
  • Verhinderung von passivem DNS-Mitschnitt durch Hotspots/Provider, weil Anfragen verschlüsselt sind.

Gegenüber Apps:

  • Reduktion von Telemetry & Tracking, weil viele Werbe- und / oder Trackingdomänen gar nicht mehr auflösbar sind.
  • Möglichkeit, geschwätzige Apps komplett offline zu stellen, ohne sie zu deinstallieren.
  • Besseres Verständnis, welche App tatsächlich mit welchen Servern redet (forensischer Mehrwert).

Grenzen von RethinkDNS

  • Rethink sieht nur den Netzwerk-Layer, nicht die Logik in den Apps.
    → Wenn eine App legitime Domains nutzt (z. B. graph.facebook.com), können deren Abflüsse nur grob begrenzt, nicht feingranular datenarm gemacht werden.
  • Sobald eine Domain nicht blockiert wird, sind die darüber laufenden Requests für Rethink inhaltlich undurchsichtig (HTTPS).
  • Ein bereits kompromittiertes Gerät kann Rethink im Worst Case umgehen, manipulieren oder deaktivieren.

CenturionDNS

Was ist CenturionDNS?

CenturionDNS ist eine besonders gehärtete Resolver-Infrastruktur:

  • nginx als Reverse Proxy & DoH-Endpoint
  • AdGuard Home für DoQ, DoT und Plain DNS
  • dnscrypt für zusätzliche Upstream-Logik
  • Unbound als rekursiver, DNSSEC-validierender Resolver

Die Resolver stehen verteilt (DE / AT / FI), sind mit DNSSEC, QNAME-Minimisation, strikten TLS-Ciphers, Rate-Limits, eigenem Blocklist-Ökosystem (Centurion Titanium Ultimate) und diversen Threat-Intel-Feeds (ThreatFox, FireHOL, Fullbogons) gehärtet. Logging ist abgeschaltet.

Vulgo: CenturionDNS ist stark gehärtete DNS-Infrastruktur, die nicht von Big-Tech-Resolvern abhängig ist.

Wogegen schützt CenturionDNS?

  • DNS-Manipulation auf Upstream-Ebene
    • DNSSEC-Validierung verhindert Akzeptanz gefälschter Antworten (sofern die Zonen sauber signiert sind).
  • Resolver-Profilbildung bei Dritten
    • Kein Google DNS, kein Cloudflare, kein Provider-Resolver; das Profil des Surfverhaltens landet nicht bei einem grossen Datenbroker.
  • Schadhafte / unseriöse Domains
    • Blocklist-basiert (Malware, Phishing, Command-&-Control, Spam-Netze, Known Bad IP-Ranges etc.).

Grenzen von CenturionDNS

  • Sieht weiterhin alle nicht verschlüsselten Domainnamen, die das Gerät anfragt (logisch, es ist der Resolver).
  • Kennt nur die Hostnamen, nicht die Inhalte der Verbindungen.
  • Kann legitime, aber aus Datenschutzsicht fragwürdige Dienste (z. B. grosse US-Plattformen) nicht magisch datenschutzfreundlich machen.
  • Kompromittierte Clients können bewusst an CenturionDNS vorbei konfigurieren (z. B. DoH direkt im Browser).

ProtonVPN (Plus)

Was ist ProtonVPN?

ProtonVPN ist ein in der Schweiz ansässiger VPN-Dienst mit klarer Privacy-Positionierung:

  • Jurisdiktion Schweiz, No-Logs-Policy
  • Unterstützung moderner Protokolle (OpenVPN, WireGuard)
  • Features wie Secure Core (Multi-Hop), NetShield (DNS-Filter), Kill-Switch und DNS-Leak-Schutz.

Der Plus-Plan inkludiert u.a.:

  • Zugriff auf Secure-Core-Server (erst Schweiz / Island / Schweden, dann Exit-Node im Zielland)
  • Ausgereiftes NetShield, das Werbung, Tracker und Malware-Domains auf DNS-Ebene filtert
  • Besseres Server-Portfolio und höhere Bandbreiten

Wogegen schützt ProtonVPN?

Auf der Netzwerk-/IP-Ebene:

  • Versteckt die reale IP-Adresse vor den Zielservern; diese sehen nur die IP des Proton-Exit-Servers.
  • Verhindert lokalen Netz-Mitschnitt auf Layer 3/4:
    • WLAN-Betreiber, ISP, Mobilfunkprovider sehen nur verschlüsselten VPN-Traffic, nicht die Zielserver.
  • Erschwert Geo-Profiling des Nutzerstandortes, solange passende Exit-Länder gewählt werden.

Gegenüber staatlichen oder grossen Gegnern:

  • VPN und schweizer Jurisdiktion und No-Logs-Policy und Audits verringern das Risiko, dass das Surfverhalten zentral korreliert wird.
  • Secure Core limitiert Angriffe auf Exit-Server, da der Upstream-Hop die echte IP nicht kennt.

Grenzen von ProtonVPN

  • ProtonVPN sieht, technisch unvermeidbar, den kompletten Traffic und kann ihn mit dem Nutzeraccount korrelieren. Dass sie das nicht tun, ist eine Frage von Vertrauen und Rechtsrahmen und Audits, nicht von Mathematik.
  • Websites und Dienste können den Nutzer weiterhin über:
    • Logins / Konten
    • Browser-Fingerprinting
    • Cookies / Tokens / Identifikatoren
      eindeutig wiedererkennen, trotz wechselnder IP.

Zusammenspiel: RethinkDNS, CenturionDNS, ProtonVPN

Ideologisch mag das wie Overkill aussehen. Praktisch jedoch eine sauber geschichtete Architektur:

  1. Geräteseite: RethinkDNS
    • Per-App-Firewall
    • DNS-Blocklisten direkt auf dem Gerät
    • DoH/DoT zum Upstream (CenturionDNS)
  2. Resolverseite: CenturionDNS
    • DNSSEC-validierende, gehärtete Infrastruktur unter eigener Kontrolle
    • Blocklisten, Threat Intel, QNAME-Minimisation
    • Kein Datenabfluss zu grossen, kommerziellen Resolvern
  3. Netzseite: ProtonVPN
    • Transportverschlüsselung zwischen Gerät und Proton
    • IP-Maskierung gegenüber allen Zielservern
    • Optional Multi-Hop (Secure Core), NetShield, Kill-Switch

Wogegen schützt der Stack in Summe?

1. Gegen triviale und mittlere Netzwerkangriffe:

  • Offen mitlesende Hotspots und „evil coffee shop WiFi“
  • Provider, die DNS manipulieren oder filtern
  • Simple DPI-/SNI-basiertes Blocking (mit VPN deutlich erschwert)
  • Teile von Werbe- und Tracking-Infrastruktur (durch Blocklisten und / oder NetShield)

2. Gegen DNS-bezogene Manipulationen & Datenabfluss:

  • Gefälschte Antworten dank DNSSEC-Validierung auf der eigenen, gehärteten CenturionDNS Resolver-Plattform
  • Kein Profiling der DNS-Anfragen durch grosse Public-Resolver
  • Kein Klartext-DNS in fremden Netzen (DoH/DoT von Rethink zu CenturionDNS; DNS im VPN-Tunnel zu Proton)

3. Gegen Korrelation einfacher Art:

  • Direkte Zuordnung „konkreter Anschluss ↔ angefragte Zielserver“ durch ISP / Händler / Hotspot wird stark erschwert.
  • Durch eigene Resolver reduziert sich der Kreis der Akteure, die den DNS-Fußabdruck sehen, auf Proton und CenturionDNS.

Welche Angriffsvektoren nicht abgedeckt sind

So hübsch der Stack ist: Es bleibt eine lange Liste offener Flanken. Ein paar zentrale Punkte:

1. Endgeräte-Exploits & Malware

  • Eine Remote-Code-Execution in Browser, Messenger oder Baseband ist durch keinen VPN-Dienst und keinen Resolver zu heilen.
  • Hat ein Angreifer Code-Ausführung auf App- oder Systemebene, kann er:
    • RethinkDNS deaktivieren oder umgehen
    • DNS / FW-Regeln verändern
    • Daten vor der Verschlüsselung abgreifen
    • Screenshots, Keylogging, Datenbank-Dumps erstellen

Hier hilft nur noch OS-Hardening, Patch-Status, Exploit-Mitigationen, dazu kommen ich bei GrapheneOS.

2. Plattform-Tracking & Konten

  • Google-Konto, Apple-Push, FCM-Tokens, Werbe-IDs, App-spezifische Identifikatoren:
    All das funktioniert fröhlich innerhalb des VPN-Tunnels.
  • Grosse Plattformen erkennen den Nutzer über:
    • Login (sehr zuverlässig)
    • Geräte-Fingerprinting
    • Wiederkehrende Verhaltensmuster

Der Stack reduziert Sichtbarkeit für Dritte, aber nicht für die Dienste, bei denen sich freiwillig angemeldet wurd, logisch.

3. Browser-Fingerprinting & Web-Tracking

  • Cookies, Local Storage, Fingerprinting von Fonts, Canvas, Auflösung, Timezone, Sprachpräferenzen etc.
  • Hier hilft der Stack nur indirekt (Blocken bestimmter Domains).
  • Ohne gehärteten Browser (uBlock, First-Party-Isolation, aggressive Cookie-Policies) bleibt der Browser eine gewaltige Datenabflussstelle.

4. Physischer Zugriff & Hardware-Angriffe

  • Gestohlenes, entsperrtes Gerät → Totalverlust.
  • Gestohlenes Gerät mit schwacher oder wiederverwendeter Entsperrphrase → erzwungene Entschlüsselung im besten Fall nur eine Frage der Zeit.
  • Baseband-Angriffe, SIM-Toolkit, manipulierte Funkzellen bleiben ein eigenständiges Problemfeld.

5. Meta-Daten ausserhalb des eigenen Einflussbereichs

  • Wer E-Mails schreibt, welche Server kontaktiert werden, welche Zeitstempel jeamd bvorzugt, vieles davon bleibt auch mit VPN korrelierbar, nur für einen engeren Kreis an Akteuren.
  • Proton selbst bleibt Trust-Anchor für den gesamten IP-Traffic.

Upgrade auf GrapheneOS: Was ändert sich mit (RethinkDNS + CenturionDNS + ProtonVPN) auf GrapheneOS?

Jetzt zum spannenden Teil: Was bringt ein Wechsel auf GrapheneOS zusätzlich, bei gleichbleibendem Netzwerk-Stack?

Was ist GrapheneOS?

GrapheneOS ist ein Security-/Privacy-fokussiertes Android-Derivat für aktuelle Google-Pixel-Geräte. Es baut auf AOSP auf, ersetzt aber zentrale Komponenten durch gehärtete Varianten und verschärft das Berechtigungs- und Sandboxing-Modell.

Einige zentrale Sicherheitsmerkmale:

  1. hardened_malloc
    • Eigener, stark gehärteter Speicher-Allocator, der Heap-Korruptionsangriffe massiv erschwert (Use-after-free, Buffer Overflows etc.).
  2. Secure / Exec Spawning
    • Jede App erhält eine sauber isolierte Prozessumgebung mit eigener Address Space Layout Randomization, eigenständigen Seeds für Sicherheitsmechanismen usw.
  3. Verschärftes App-Sandboxing
    • Keine Sonderstellung für vorinstallierte System-Apps; auch diese sind hart eingeschränkt.
    • Zusätzliche Restriktionen gegen dynamischen nativen Code, JIT-Missbrauch, etc.
  4. Feingranulare Berechtigungen
    • Zusätzliche Schalter für Sensoren, Netzwerk, Speicherzugriff (Storage Scopes), MAC-Randomisierung etc.
    • Netzwerk-Permission pro App.
  5. Aggressiver Update-Kurs & dünnerer Feature-Ballast
    • Fokus auf Sicherheit, nicht auf Komfort-Features.

Wie wirkt sich GrapheneOS auf den bestehenden Stack aus?

1. Schutz vor Exploits auf App- und Systemebene

  • Viele realistische Angriffe auf Smartphones basieren auf Memory-Korruption (Browser, Media-Stack, Baseband).
  • hardened_malloc + stärkerer Sandboxing-Ansatz erhöhen den Aufwand, einen Exploit:
    • zuverlässig zum Laufen zu bringen
    • zu stabilisieren
    • und für eine Privilege Escalation ins System zu nutzen

Der RethinkDNS und ProtonVPN und CenturionDNS Stack wird dadurch indirekt robuster, weil es schwieriger wird, das Gerät so weit zu kompromittieren, dass der Angreifer die Schutzmechanismen einfach deaktiviert.

2. Mehr Kontrolle pro App (zusätzlich zu RethinkFirewall)

  • GrapheneOS ermöglicht dem Nutzer, Netzwerkzugriff, Sensoren, Speicherzugriff etc. pro App sehr fein zu steuern.
  • Zusammen mit RethinkDNS (Per-App-Firewall) bedeutet dieser Stack eine doppelte Sicherung:
    • OS-seitige Netzwerk-Permission: App kommt gar nicht ins Netz.
    • Rethink-Firewall: Wenn sie darf, dann nur wohin erlaubt.

3. Reduktion von systemseitiger Telemetrie

  • Standard-Android kommt mit reichlich Google-Telemetrie.
  • GrapheneOS minimiert diese Ebene und erlaubt die Play Services in einen eigenen, restriktiven App-Container zu verbannen oder ganz wegzulassen.
  • Der VPN-/DNS-Stack schützt dann nicht nur vor externen Akteuren, sondern läuft auf einem System, das selbst weniger Daten produziert.

4. Besserer Schutz bei Geräteverlust (bei starker Passphrase)

  • GrapheneOS unterstützt hohe Entsperr-Komplexität, sinnvolle Rate-Limiting-Mechanismen und eine robuste Kryptographie-Implementierung.
  • In Kombination mit einer wirklich starken, langen Passphrase (> 24 Zeichen, wie von mir grundsätzlich empfohlen, wobei ich selbst seit 2024 auf 42 Characters hoher Entropie vertraue und damit 256 bit äquivalent auch in der Passphrase erziele) steigt die Schwelle für Offline-Brute-Force-Angriffe deutlich, respektive wird bei 42 Character unmöglich.

Was GrapheneOS nicht magisch löst

  • Baseband-Problematik und Funk-Tracking bleiben im Kern gleich.
  • Social Engineering, Phishing, Fake-Apps und User klickt halt trotzdem sind weiterhin ein Problem.
  • GrapheneOS erhöht die Hürde, aber ein hochwertiger Zero-Day gegen Pixel und GrapheneOS ist selbstverständlich denkbar, nur deutlich teurer.

Was dieser Stack kann – und was nicht

Konkreter Mehrwert des Stacks RethinkDN, CenturionDNS, ProtonVPN

  • Sehr guter Schutz gegen triviale und mittelkomplexe Netzwerkangriffe (offene WLANs, Provider-Mitlesen, einfache Zensur, Standard-Malware-Domains).
  • Saubere Trennung der Rollen:
    • Rethink: lokale Per-App-Kontrolle und DNS / Firewall
    • CenturionDNS: kontrollierte, gehärtete und DNSSEC-validierende Infrastruktur
    • Proton: Transport-Verschlüsselung und IP-Anonymisierung
  • Erhebliche Reduktion der oberflächlichen Tracking-Angriffe, die nur auf DNS und plain HTTP beruhen.

Offene Flanken trotz allem

  • Exploits auf App-/Systemebene, insbesondere Memory-Korruptions-Angriffe
  • Plattform-Tracking über Konten, Tokens, Fingerprinting
  • Browser-Tracking, sofern nicht parallel ein sauber gehärteter Browser-Stack gepflegt wird
  • Physischer Zugriff und Baseband-/Funk-Angriffe
  • Abhängigkeit von der Integrität von ProtonVPN als zentralem Netzwerk-Trust-Anchor

Was das Upgrade auf GrapheneOS bringt

  • Spürbar besseres Exploit-Mitigation-Niveau (hardened_malloc, exec spawning, restriktivere Policies)
  • Stärkeres, konsistenteres Sandboxing und sehr feingranulare App-Kontrolle
  • Weniger systemseitige Telemetrie und damit generell sauberere Vertrauensbasis für den gesamten Netzwerk-Stack
  • Erhöhte Widerstandsfähigkeit gegen forensische Auswertung bei Verlust des Geräts (unter der Bedingung einer wirklich starken Entsperrphrase)

Kurz gesagt:

  • RethinkDNS und CenturionDNS und ProtonVPN geben auf einem normalen Android-Gerät schon einen für Endnutzer ungewöhnlich hohen Grad an Netzwerksicherheit und Datenschutz.
  • GrapheneOS und derselbe Stack verschiebt das Ganze eine Stufe höher, weil der Nutzer dann nicht mehr auf das eher halbherzig gehärtete Standard-Android angewiesen ist, sondern auf ein System, das explizit für ein bestimmtes Bedrohungsmodell gebaut wurde.

Categories: IT-Security, Android, Linux
Tags: , , , ,

You may also like

Search: