CenturionDNS

Wer im Jahr 2025 noch unverschlüsselte, überlastete oder werbefinanzierte DNS Resolver nutzt, überlässt seine Kommunikationsdaten praktisch im Vorbeigehen fremden Dritten. Der gesamte Webverkehr beginnt mit einer simplen Frage: „Welche IP gehört zu dieser Domain?“ Genau diese unscheinbare Frage verrät aber, welche Seiten ich aufrufe, welche Dienste ich nutze und oft auch, zu welchen Zeiten ich online bin. Klassische Provider-DNS-Server liefern technisch meistens irgendeine Antwort, aber sie schützen meine Privatsphäre, meine Integrität und meine Sicherheit nur sehr begrenzt. Traditionell werden DNS Anfragen im Klartext übertragen und sind damit anfällig für Mitschnitt und Manipulation durch Dritte.

Genau deshalb habe ich CenturionDNS aufgebaut: eine eigene, zensurfreie Resolver-Infrastruktur, die verschlüsselt, redundant, ohne Logging arbeitet und gleichzeitig aktiv gegen eine ganze Reihe moderner Angriffe im DNS-Umfeld gehärtet ist. Die öffentlichen Resolver unter eddns.eu und eddns.de laufen in Deutschland, Finnland und Österreich, nutzen einen gehärteten Unbound als rekursiven Resolver, AdGuard Home als Filterinstanz und sind mit einer kuratierten Blockliste, der „Centurion Titanium Ultimate„, sowie zusätzlichen Threat-Intelligence-Feeds verbunden.

Das Resultat ist ein DNS Dienst, der einerseits für technisch nicht versierte Nutzer simpel „einfach funktioniert“ und andererseits unter der Haube ein Sicherheitsniveau bietet, das weit über das hinausgeht, was typische Standard-Resolver bereitstellen.

Was macht ein DNS Resolver eigentlich?

Für ein nicht technisches Publikum genügt ein Bild: DNS ist das Telefonbuch des Internets. Wenn ich „example.com“ in den Browser eintippe, fragt mein Gerät einen DNS Resolver: „Wie lautet die Nummer zu diesem Namen?“ Der Resolver sucht die richtige IP Adresse heraus und gibt sie zurück. Ohne diesen Schritt findet kein Browser auch nur eine einzige Webseite.

Genau hier setzen Angriffe an. Wenn ein Angreifer es schafft, falsche Antworten in dieses „Telefonbuch“ einzuschleusen, lande ich nicht mehr bei meiner Bank, sondern auf einer täuschend echten Phishingkopie. Dieses Szenario nennt sich DNS Cache Poisoning oder DNS Spoofing: es werden manipulierte Einträge im Cache eines Servers abgelegt, damit zukünftige Anfragen zu einer gefälschten IP geleitet werden.

Dazu kommen weitere Spielarten wie DNS Rebinding, bei denen ein Angreifer über DNS Umwege versucht, Geräte im internen Netzwerk anzugreifen, indem Browser dazu gebracht werden, interne IP Adressen im Hintergrund anzusprechen.

Wer DNS nur als „irgendeinen technischen Helfer“ betrachtet, unterschätzt die sicherheitstechnische Hebelwirkung massiv.

Was CenturionDNS technisch anders macht

Verschlüsselte DNS Protokolle

CenturionDNS bietet mehrere moderne, verschlüsselte Protokolle parallel an:

  • DNS-over-HTTPS (DoH)
  • DNS-over-TLS (DoT)
  • DNS-over-QUIC (DoQ)
  • DNSCrypt

Damit werden DNS Anfragen in einen verschlüsselten Tunnel gepackt, ähnlich wie bei HTTPS. Das Ziel dieser Verfahren ist explizit, die Privatsphäre zu erhöhen und DNS Daten vor Mithören und Manipulation durch Angreifer zwischen Client und Resolver zu schützen.

CenturionDNS setzt dabei auf TLS 1.3 und starke Cipher Suites mit AES 256 Bit, etwa in der Kombination ECDHE X448, RSA PSS Signaturen und AES 256 GCM. Das Ergebnis: Drittparteien im Netzpfad sehen nicht mehr im Klartext, welche Domains angefragt werden, und können die Antworten nicht einfach verändern, ohne die Kryptographie brechen zu müssen.

DNSSEC Validierung

Ein zweiter, zentraler Baustein ist die Validierung von DNSSEC. DNSSEC erweitert das klassische DNS um kryptographische Signaturen, damit ein Resolver prüfen kann, ob eine Antwort wirklich vom autoritativen Nameserver stammt und unterwegs nicht verändert wurde.

CenturionDNS validiert DNSSEC standardmässig. Das bedeutet: wenn eine Domain korrekt mit DNSSEC signiert ist, verwirft der Resolver Antworten, die diese Signaturprüfung nicht bestehen. Das schützt direkt gegen Cache-Poisoning- und Spoofing-Angriffe, bei denen falsche Datensätze in den DNS Weg eingeschleust werden sollen.

QNAME Minimisation

Darüber hinaus nutzen die Resolver QNAME Minimisation. Diese Technik ist in RFC 9156 standardisiert und sorgt dafür, dass auf dem Weg zu den autoritativen Nameservern jeweils nur so viele Informationen wie nötig offengelegt werden.

Statt bei jeder Zwischenstation die vollständige Domain zu übermitteln, fragt der Resolver schrittweise und minimiert so die Menge an Metadaten, die über das Surfverhalten nach aussen sickert. Für Laien formuliert: weniger Personen entlang der Kette bekommen zu sehen, welche Seiten konkret abgefragt werden.

Kuratierte Blocklisten und Threat Intelligence

CenturionDNS ist bewusst nicht „neutral“ im Sinne von „alles durchwinken“. Die Resolver arbeiten mit einer eigenständig gepflegten Blockliste, der Centurion Titanium Ultimate, sowie zusätzlichen Feeds, unter anderem:

  • Hagezi DNS Blocklists, insbesondere die NRD Listen für frisch registrierte Domains, die nachweislich überdurchschnittlich oft für Phishing, Malware und Command-and-Control Strukturen missbraucht werden.
  • FireHOL und Fullbogons IP Listen, die IP Adressen enthalten, die entweder gar nicht routbar sein sollten oder mit bekannten Angriffsquellen und Missbrauch in Verbindung stehen.
  • Threat Intelligence Feeds wie ThreatFox, die kontinuierlich Indikatoren für kompromittierte oder aktiv bösartige Domains und IP Adressen liefern, etwa für Botnet Command-and-Control, Malwareverteilung oder Exploit Kits.

Diese Datenströme werden in kurzen Intervallen aktualisiert, im Fall von CenturionDNS typischerweise alle 30 bis 60 Minuten. Ziel ist nicht, „das gesamte Böse im Netz“ zu blockieren, sondern die offensichtlichen, bekannten Bedrohungen an der DNS Ebene frühzeitig abzufangen, bevor sie den Browser überhaupt erreichen.

Gegen welche Angriffe schützt CenturionDNS konkret?

Für technische Laien ist es hilfreich, einige typische Angriffsklassen greifbar zu machen und zu zeigen, wo CenturionDNS ansetzt.

  1. DNS Spoofing und Cache Poisoning
    Angreifer versuchen, gefälschte DNS Antworten in den Cache eines Resolvers einzuschleusen, um Nutzer auf manipulierte Seiten umzuleiten.
    • Gegenmassnahme: DNSSEC Validierung verifiziert kryptographisch, dass Antworten echt sind. Manipulierte Datensätze ohne gültige Signatur werden verworfen. DNSSEC muss aber vom jeweiligen Domain Owner / Administrator umgesetzt worden sein.
  2. Mithören und Manipulation von DNS Verkehr
    Klassische DNS Anfragen werden im Klartext übertragen und können auf dem Weg mitgelesen oder verändert werden, etwa durch kompromittierte WLANs oder böswillige Zwischenstationen.
    • Gegenmassnahme: DoH, DoT, DoQ und DNSCrypt verschlüsseln die Kommunikation zwischen Endgerät und CenturionDNS, so dass Dritte im Pfad weder Inhalte noch Antworten ohne Bruch der Kryptographie verändern können.
  3. Phishing, Malware, Botnet Command-and-Control über bekannte Domains und IPs
    Moderne Threat-Intelligence-Feeds sammeln kompromittierte Domains, IP Adressen und andere Indikatoren, die mit aktiven Angriffskampagnen verknüpft sind.
    • Gegenmassnahme: CenturionDNS nutzt kuratierte Blocklisten und externe Feeds, um bekannte bösartige Ziele auf DNS Ebene zu blockieren. Der Browser bekommt in solchen Fällen gar keine gültige IP Adresse mehr.
  4. Angriffe über frisch registrierte Domains (NRD)
    Angreifer nutzen häufig neu registrierte Domains, die kurzlebig sind und sich automatisiert in grosser Zahl erzeugen lassen. Dies erschwert klassische Signatur- oder Reputationsanalysen.
    • Gegenmassnahme: Der Einsatz spezieller NRD Listen erschwert den Missbrauch brandneuer Domains, indem solche Namensräume engmaschiger gefiltert werden.
  5. DNS Rebinding und Missbrauch interner IP Adressen
    Beim DNS Rebinding wird der Browser dazu gebracht, interne Systeme über scheinbar harmlose, externe Domains anzusprechen.
    • Gegenmassnahme: Durch Blocken von Fullbogons und anderen problematischen IP Räumen sowie durch strikte DNS Rebinding Schutzmechanismen werden Antworten auf interne oder unroutbare Adressen über öffentliche Resolver unterbunden.
  6. Kommerzielle Nachverfolgung und Tracking über DNS
    Viele Werbe- und Trackingnetze nutzen DNS als Metadatenquelle, um Profile zu erstellen und Nutzungsverhalten über verschiedene Seiten hinweg zu korrelieren.
    • Gegenmassnahme: Die Blocklisten in CenturionDNS enthalten explizit auch Domains für aggressive Werbung, Tracker und Analytik Dienste.

Technische Qualität im Hintergrund

CenturionDNS wird regelmässig mit Qualys SSL Labs geprüft, erreicht dort ein A+ Rating mit vollen 100 Prozent in allen Kategorien und setzt auf DANE sowie HSTS Preload für die relevanten Domains. Die Systeme laufen mit gehärteten systemd Services, zusätzlichem Firewalls, Fail2ban, eigener SIEM Anbindung und einem dedizierten CVE Monitoring, das sicherheitsrelevante Schwachstellen der eingesetzten Komponenten laufend verfolgt.

Wichtig ist ausserdem, was CenturionDNS bewusst nicht tut: Die Resolver arbeiten ohne Nutzer-Logging. Weder werden individuelle Abfragen dauerhaft gespeichert, noch werden Auswertungen über einzelne IP Adressen erstellt. Für technische Laien heisst das: der Dienst schützt nicht nur vor externen Angreifern, er verzichtet auch intern auf das Sammeln unnötiger Daten.

Was das für den Alltag bedeutet

Für die meisten Menschen ist DNS ein unsichtbarer Teil des Netzes. Im besten Fall merken sie von CenturionDNS nur drei Dinge:

  1. Seiten bauen sich normal schnell oder oft sogar spürbar schneller auf, weil unerwünschte Werbung und Trackingelemente gar nicht erst geladen werden.
  2. Bestimmte „gefährliche“ Seiten sind nicht mehr erreichbar, weil sie auf bekannten Blocklisten stehen.
  3. Öffentliche WLANs, Hotelnetzwerke oder fremde Internetzugänge werden weniger durchsichtig, weil die DNS Kommunikation verschlüsselt ist und nicht mehr frei mitgeschnitten werden kann.

Der Anspruch dahinter ist einfach: Sicherheit und Privatsphäre sollen im Hintergrund laufen, ohne dass man täglich darüber nachdenken muss.

CenturionDNS ist nicht „noch ein öffentlicher DNS Server“, sondern das Ergebnis der konsequenten Frage: Wie sähe ein Resolver aus, dem ich selbst vertrauen würde, wenn mir Privatsphäre, Integrität und Resilienz wirklich wichtig sind? Die Antwort ist eine Infrastruktur, die verschlüsselt, validiert, blockiert, minimiert und überwacht, ohne die Nutzer mit technischer Komplexität zu belasten.

In einer Umgebung, in der klassische ISP Resolver, grosse Techkonzerne und werbefinanzierte Dienste immer noch massenhaft Klartext DNS Verkehr sehen, setze ich bewusst einen Gegenpunkt: zensurfrei, verschlüsselt, mit klar dokumentierten Sicherheitsmechanismen und nachvollziehbaren Quellen dazu, gegen welche Angriffsformen diese Mechanismen wirken.

Categories: Digitalisierung, IT, IT-Security, Linux
Tags: , ,

You may also like

Search: