Prevent Ads & Malware - DNS Security

=>
A recent study determined that approximately 33% of cybersecurity breaches could be blocked by a DNS-based system such as Quad9 (https://www.globalcyberalliance.org/reports_publications/measuring-the-economic-value-of-dns-security/)
Quad9 suggests that all users have multiple methods of defending themselves against cyber risks, such as anti-virus software. But as a no-cost, easily installed first-layer defense, Quad9 is extremely effective at preventing a broad set of infections or fraudulent activities and can easily be implemented on almost all Internet-connected devices in a network or home.

Different Open DNS-Servers

https://privacy-handbuch.de/handbuch_93d.htm

Open DNS Resover?

https://www.shodan.io/search?query=pi-hole

https://discourse.pi-hole.net/t/in-what-cases-could-pi-hole-accidentally-become-an-open-dns-resolver-accessible-from-the-internet/69312/6

https://www.reddit.com/r/pihole/comments/rpybqw/can_pihole_be_used_while_away_from_home_network/

Why NO OPEN DNS Resolver? (DNS Amplification Attack)

https://serverfault.com/questions/573465/what-is-an-open-dns-resolver-and-how-can-i-protect-my-server-from-being-misused

How to bind to Interface and not local network ONLY? (DNSMASQ_WARN Warning in dnsmasq core:)

https://www.reddit.com/r/pihole/comments/rvpl2g/dnsmasq_warn_ignoring_query_from_nonlocal_network/?tl=de

http://linux.gueldenpfennig.info/admin/settings.php?tab=dns

iptables - how to use permit & deny?

https://www.digitalocean.com/community/tutorials/iptables-essentials-common-firewall-rules-and-commands

Show all current Settings

iptables -L

Delete all Entries (Flush)

iptables -F

Recreate the Entries

### Greenfiber ...
iptables -A INPUT -p tcp -s 45.155.140.0/22 --dport 53 -j ACCEPT

iptables -A INPUT -p udp -s 45.155.140.0/22 --dport 53 -j ACCEPT

### SoftEther Network
iptables -A INPUT -p tcp -s 192.168.217.0/24 --dport 53 -j ACCEPT

iptables -A INPUT -p udp -s 192.168.217.0/24 --dport 53 -j ACCEPT

### Wireguard Network
iptables -A INPUT -p tcp -s 192.168.223.0/24 --dport 53 -j ACCEPT

iptables -A INPUT -p udp -s 192.168.223.0/24 --dport 53 -j ACCEPT

### linux-volker itself ...
iptables -A INPUT -p tcp -s 45.89.127.31/32 --dport 53 -j ACCEPT

iptables -A INPUT -p udp -s 45.89.127.31/32 --dport 53 -j ACCEPT

### loopback itself ...
iptables -A INPUT -p tcp -s 127.0.0.1/32 --dport 53 -j ACCEPT

iptables -A INPUT -p udp -s 127.0.0.1/32 --dport 53 -j ACCEPT

### deny all the rest ...
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 53 -j REJECT

iptables -A INPUT -p udp -s 0.0.0.0/0 --dport 53 -j REJECT

All changes in iptables NEED to be updated in Pi-hole.docx as well!!!

AFTER each change, we need to save this for "after reboot" ...

netfilter-persistent save
or
iptables-save > /etc/iptables/rules.v4

You can check the new contents:

cat /etc/iptables/rules.v4

DROP or REJECT?

Explain the Entries

45.155.140.0/22 - Greenfiber Volker
removed - 27.3.25 - 89.58.64.0/19 - 2provide GmbH, Kiel - Matsi???
tbd:
45.89.127.31/32 - VM linux2 - for local accesses like squid
127.0.0.1/32 - loopback - for local accesses like squid
Where to update as well??? (Pi-hole docu?)

apt install iptables-persistent

netfilter-persistent save

PI Hole - DNS Security

https://pi-hole.net

https://de.wikipedia.org/wiki/Pi-hole

https://discourse.pi-hole.net/t/hardware-software-requirements/273

https://docs.pi-hole.net/main/basic-install/#alternative-2-manually-download-the-installer-and-run

https://github.com/pi-hole

https://forum.iobroker.net/topic/65966/pihole-sinn-oder-unsinn/160

https://forum.iobroker.net/topic/65966/pihole-sinn-oder-unsinn/35?_=1701355493957

Jun 5, 2023, 11:58 PM
Vorteil von pihole ist,
wie schon erwähnt, das verhindern von Werbung und tracking
auf DNS-Basis, also im gesamten Netzwerk, in allen Programmen und allen Geräten
Das beschleunigt dann auch noch den Seitenabruf, da Daten, die nicht abgerufen werden, auch nicht durch die Leitung müssen (nicht alle Werbebanner Anbieter sind hochperformant)
Andere Lösungen wie bspw AdBlockPlus wirken nur auf einem Gerät und nur im Browser. pihole kann bspw auch die ganzen Trackinginformationen von Windows selbst wegblocken. Auch Werbung in Apps auf Handy und Tablet.
Gerüchteweise soll es das auch für Spotify free und Youtube geben.

Nachteil:
Manche Seitenanbieter haben mittlerweile Mechansimen, die Werbeblocker erkennen und leider sogar dann, wenn diese Seiten auf der Whitelist stehen.
Das sind dann wohl die Fälle, wo es Probleme macht.
Es scheint wohl für alles auch irgendwelche Listen zu geben
Auch kann pihole im Gegensatz zu den Browsererweiterung keine Seiteninhalte analysieren und dann bestimmte andere Effekte (PopUps) blocken.

=> Es scheint so, dass man das einfach auf Ubuntu im Netz installieren kann und dann NUR den DNS Server darauf zeigen lassen muss ... also ganz einfach zu testen :-)

OpenDNS addresses: (Attention: This blocks all configured stuff when coming from the correct source address)

208.67.222.222
and
208.67.220.220
...and some more at Wikipedia ...

... in the Preferred DNS server and Alternate DNS server fields ;-)

https://support.opendns.com/hc/en-us/articles/227988047-Web-Content-Filtering-and-Security

https://www.opendns.com/home-internet-security/

https://de.wikipedia.org/wiki/OpenDNS

Titan DNS Filtering - Umbrella Replacement

https://www.titanhq.com/opendns-pricing/

https://www.titanhq.com/opendns-alternatives/

( Security , Malware , DNS, Phishing and Malware-Attacks, DNS Resolver )

Isa & Volker Güldenpfennig

Sonntag, 6. Dezember 2020