keweonDNS – Infos, Fakten und warum keweon mehr ist als [AD BLOCKER] und [BROWSER PRIVACY]

  • 286 Antworten
  • Letztes Antwortdatum
MrT69

MrT69

Dauer-User
1.370
keweonDNS – Infos, Fakten und warum keweon mehr ist als Ad Blocker und Browser Privacy
Zunächst einmal möchte ich mich bei allen bedanken, die keweonDNS genutzt und damit unterstützt haben, denn ohne euch wäre das hier nicht möglich gewesen. Dem Android-Hilfe Forum und auch dem XDA Developers Forum möchte ich danken, da es mit mir manchmal keine einfache Nummer ist.

Alles, was ich in den letzten Jahren entwickelt habe, hat mit DNS zu tun, und das hier gibt einen kleinen Einblick in das, was man mit DNS machen kann. Klar, es funktioniert, es läuft – doch vielleicht hat die eine oder der andere einen Tipp auf Lager, was ich anders oder besser machen kann, schließlich bin ich für alles offen.

Kommen wir zu der Antwort, was ist keweon genau. Um es kurz zusammenzufassen – DAS ist keweon:
keweon ist ein künstliches bio-neuronales Netzwerk, das in der Lage ist, Online-Bedrohungen verschiedenster Art selbstständig zu erkennen, sie effektiv zu blockieren und so Bedrohungen zu verhindern, bevor sie eine Gefahr darstellen.

Eigens entwickelte KI-Algorithmen werden z.B. zur Erkennung und Vorhersage von Bedrohungen eingesetzt, da sich die Anwendung der Stochastik (Wahrscheinlichkeitstheorie) als unwirksam oder zu langsam erwiesen hat. Diese Vorhersagen reichen derzeit bis zu 4 Tage, also 96 Stunden, in die Zukunft.

keweonDNS erkennt und blockiert Internetadressen, bevor sie registriert und online verfügbar sind, unabhängig davon, ob es sich bei der Adresse um eine Domain, einen Alias oder einen Host handelt. Die Erkennung erfolgt mit einer Zuverlässigkeit von etwas über 80% bei einer Fehlerquote von knapp 20000:1.

Die bio-neuronale KI-Technologie schützt vor Online-Bedrohungen, ohne dass eine SSL-Entschlüsselung des Netzwerkverkehrs weder nötig noch erforderlich ist.

Ausführlich werde ich hier im Forum nicht alles erklären können. Das wird zum einen zu viel und zum anderen lesen "die Großen" – ihr habt von mir schon genug abgeschaut – hier auch mit. Die aktuell geplante öffentliche Dokumentation umfasst zurzeit ca. 100 Seiten und mir geht es hier darum, dass ich an alles gedacht und alles berücksichtigt habe. Bevor alles auf der Webseite veröffentlicht werden soll, erst einmal hier im kleinen Kreis über das Forum, denn ich bin an Fragen, dem Feedback und vielleicht auch dem einen oder anderen Hinweis interessiert.

Wieso bio-neuronales Netzwerk?
Das bekannteste neuronale Netzwerk ist das Gehirn, sei es von Menschen, Tieren oder Pflanzen, wo Informationen empfangen, sortiert, priorisiert und verarbeitet werden. Beim Menschen werden die Informationen über Sensoren übertragen, in der IT nennt man das einen „Agenten“, was aus meiner Sicht eine unglückliche Wortwahl ist.

Als Sensoren bezeichnet man alles, was Daten empfängt und weiterleitet. Nase, Zunge, Auge zum Beispiel sind Sensoren, die Informationen an das Gehirn übertragen und durch die Verarbeitung im Gehirn, dem neuronalen Netzwerk, eine Aktion auslösen. Beispiel: Feuer (sehen – Sensor Auge) + Rauch (riechen – Sensor Nase) = Aktion (Entscheidungsfindung durch das neuronale Netzwerk) ist Flucht.

Das Ziel einer KI ist es, dieses „biologische“ Verhalten bzw. diesen Ablauf künstlich nachzubilden. In der IT gilt wie in der Biologie, ein neuronales Netzwerk muss immer ein Bestandteil einer KI sein. Nach meiner Ansicht gibt es keinen besseren Weg, als so etwas im Bereich der DNS umzusetzen.

Wie funktioniert keweon als „künstliches neuronales Netzwerk“?
Das, was hier zu sehen ist, ist das sogenannte „Frontend“. Das ist das, was Ihr als keweonDNS Server kennt:
1681722538114.png
Das hier ist noch nichts Besonderes und hat auch nichts mit „KI“ oder „ANN“ zu tun. Dazu kommen wir gleich im Detail.

Betrachten wir zunächst den Faktor "Bio". — Um sicherzustellen, dass die keweon KI nur das tut, was sie tun soll, war es wichtig, nicht nur eine, sondern mehrere Kontrollinstanzen einzurichten. Die Kontrolle über die KI liegt nicht nur bei der KI selbst, sondern auch bei dem Nutzer und bei mir. Dieses Verfahren habe ich „Shared Manage & Controlling“ genannt.

Interne Kontrollmechanismen innerhalb der KI sorgen dafür, dass das System sich selbst reguliert, steuert und sogar kontrolliert. Sollte die KI z.B. durch einen Angriff von außen manipuliert werden, werden verschiedenste Abwehrmaßnahmen ergriffen, bis hin zum äußersten Fall, dem kompletten Abschalten der Infrastruktur. In diesem Fall würde das DNS noch weiter funktionieren, allerdings langsamer und lediglich mit den Standardantworten der globalen Root-DNS-Server.

Allein durch die Nutzung der keweonDNS Server wird jeder Nutzer und sein Gerät, sei es ein Mobiltelefon, ein PC oder ein IoT-Gerät, automatisch Teil des künstlichen neuronalen Netzwerks. Und das Beste daran – dafür ist keine Sammlung von Nutzerdaten erforderlich, geschweige denn notwendig. Durch die Anfrage entsteht die Kontrolle, durch die Kontrolle entsteht die Antwort. Mit der DNS-Abfrage entsteht einerseits eine sensorische Kontrolle und gleichzeitig eine sensorische Datenübertragung. In Anlehnung an den Begriff "Crowdsourcing" habe ich diesen Prozess "Crowd Request Sourcing" genannt.

Nutzerdatensammlung bei keweon?
An dieser Stelle möchte ich das Thema Datensammlung und -verarbeitung nur kurz anreißen, denn das würde den Rahmen hier völlig sprengen.

Es werden weder Informationen von Nutzern noch von Geräten oder andere DSGVO-relevante Daten gesammelt, denn das Einzige, was an Informationen verwendet wird, ist der DNS-Aufruf. Also, die Adresse, der FQDN, der Host oder der Alias der DNS-Anfrage, also lediglich Daten, die ein DNS-Server an sich besitzt, werden dafür genutzt. Dabei spielt es keine Rolle, wer oder was die Adresse aufgerufen hat, nur wie oft eine Adresse aufgerufen wird, fließt als weiteres Bewertungskriterium in die KI ein. Das sieht auszugsweise wie folgt aus:
1681722760498.png
So lassen sich Dinge erkennen, wie hier beim Apple iPhone, wo seltsame DoH Resolver die DNS-Auflösung auf versteckte Weise übernehmen. Die Zeiten, in denen Apple noch für Datensicherheit und Datenschutz stand, scheinen mehr und mehr vorbei zu sein. Vor allem mit der Implementierung des Advertising Frameworks in das iOS-Betriebssystem sägt Apple aus meiner persönlichen Sicht an seinem eigenen Ast.

Eine Sammlung oder Erfassung von Nutzerdaten wird bei keweonDNS niemals stattfinden. Aus den Fehlern von Jan Koum (Erfinder von WhatsApp) habe ich viel gelernt. Deshalb habe ich die gesamte Entwicklung so gestaltet, dass dies technisch nicht möglich ist. Damit der Datenschutz der Nutzer gewährleistet bleibt, werden Informationen erst ab dem „Root-DNS-Server“ verarbeitet. Der Grundgedanke war, falls jemals Investoren in das Projekt involviert sein sollten, wird so eine "versteckte (Nutzer-)Datensammlung" verhindert und ausgeschlossen.

Dass dies ein K.O.-Kriterium für Investoren ist, wenn dies nicht möglich ist, hatte ich dann wiederum nicht erwartet. Aber meine Meinung dazu sollte hinreichend bekannt sein. Weitere Details zum Thema Datenschutz folgen auf der Webseite in der Rubrik „KI & Datenschutz“.

Wie funktioniert DNS bei keweon?
Es funktioniert nicht anders als jeder andere DNS-Server.
  • Frage von deinem Gerät an den DNS: Wie lautet die IP-Adresse von www.example.com?
  • DNS sieht im Cache nach. Wenn die Antwort dort zu finden ist, erhält dein Gerät die IP-Adresse.
  • Wenn sich die Adresse nicht im Cache befindet, kommt die folgende (virtuelle) Antwort:
    • Warte, ich kenne die Adresse nicht, aber ich kenne einen DNS-Server, der die Antwort wissen könnte.
    • Übergabe der Frage an den nächsten DNS-Server (von hier an ist es nicht mehr die IP-Adresse des Nutzers, welcher die Frage stellt, sondern der DNS-Server).
    • Übergabe der Frage an den Root-DNS-Server, der nach der Antwort sucht. Wenn der Root-DNS-Server die Antwort nicht kennt, gibt er eine NXDomain Antwort, d.h. „Not existing domain“, oder die passende IP-Adresse wird zurückgegeben.
    • Die Antwort durchläuft eine oder mehrere Prüfungen und wird dann über die DNS-Resolver als Antwort an dein Gerät übermittelt.
Das war’s schon.

Der sogenannte „Visible Layer“, also die DNS-Server, die du verwendest, reagieren als DNS, sind DNS und machen DNS. Sie sind ausschließlich DNS-Server über Port 53 – und nichts anderes. Kein Proxy, keine andere Technologie. 100% DNS. Und Unternehmen, die Lösungen als DNS-Layer Security anbieten – bitte lest weiter, vielleicht lernt ihr etwas. (#CISCO #Cloudflare #Microsoft #Google #Apple)

Die KI, der sogenannte „AI Hidden Layer“, also die versteckte Schicht, ist das Spannende daran. Bei einer KI spricht man von einem „Hidden Layer“, weil die KI selbst nie direkt angesprochen wird und für den Nutzer unsichtbar ist.

Der „AI Hidden Layer“ ist eine in sich geschlossene Schicht oder besser gesagt, sollte es sein, um Manipulationen oder Angriffe zu verhindern. Das beste Beispiel dafür, wie eine KI nicht aufgebaut sein sollte, ist die "Bing-KI" von Microsoft. Es ist bekannt, dass Mitarbeiter dort bereits daran arbeiten, Werbung und gesponserte Antworten mit der KI zu realisieren. Das bedeutet, dass derjenige, der mehr zahlt, umso mehr manipulieren darf. Wie bei Apple zeigt dies deutlich, dass Fehler (aus der Vergangenheit) offensichtlich ignoriert werden, anstatt aus ihnen zu lernen.

KI und ANN - architekturelle Übersicht
Das, was sich hinter dem DNS-Server verbirgt, der „Hidden Layer“, der die ganze Technologie möglich macht, sieht so aus:
1681723269197.png
Ich habe versucht, das Ganze einfach darzustellen und ich hoffe, es ist mir einigermaßen gelungen. Wenn ihr Fragen dazu habt – lasst es mich bitte wissen.

Hidden Layer – wie funktioniert keweon als „künstliches bio-neuronales Netzwerk“?
Wir nehmen die Adresse „www.i-net.nx“ als Beispiel und gehen davon aus, diese wird zum ersten Mal aufgerufen. Bei der Adresse handelt es sich um eine „gute Adresse“, die im Hintergrund eine „böse Adresse“ aufruft – sprich „bad.i-net.nx“ über ein JavaScript, das somit für den Nutzer unsichtbar bleibt. Auch wenn es die TLD ".nx" natürlich nicht gibt, gehen wir davon aus, dass es sie gibt.
  • Der Aufruf kommt von einem Handy und geht an die keweonDNS Server.
    • Starten wir einen fiktiven Zähler mit 0ms (0 Millisekunden) ab hier
  • Der DNS-Server kennt die Adresse nicht und leitet diese Anfrage weiter.
    • Soweit normales DNS - ab jetzt wird es interessant!
  • Vor der Weiterleitung werden zwei Datenbanken abgefragt, ist diese Adresse in der „Allow or Deny“ Datenbank bekannt. Natürlich nicht, wir gehen von einer gänzlich unbekannten und völlig neuen Adresse aus.
  • Die Anfrage i-net.nx wird nun vom ANN (Artificial Neuronal Network) an die Root-DNS-Server weitergeleitet, die wiederum die globalen Root-DNS-Server anfragen. Innerhalb des ANN wird diese Adresse „kopiert“ und durchläuft parallel einige Prüfungen, unabhängig davon, was als Antwort zurückgegeben wird.
  • Die Anfrage wird an die keweon Root-Server übergeben, die diese wiederum an die KI weitergibt und über das Pre.Ident Verfahren analysiert, das mit Daten wie „Newly Registered Domains“ arbeitet.
    • Anmerkung: „DNS-Firewalls“ haben z.B. eine Funktion, die alle neu registrierten DNS-Domains blockiert. Zum einen nutzlos, dann auch noch falsch umgesetzt – trotzdem zahlen Unternehmen viel Geld für diese Funktion und bunte Dashboards werden sinnlos damit gefüttert. Hauptsache bunt und KPI – ob das sinnvoll ist, hinterfragt niemand. Der Sicherheitsvorteil auf einer Skala von 1 bis 10 liegt bei -10, da dies zum einen ein Sicherheitsrisiko darstellt und zum anderen eine „falsche Sicherheit“ vorgaukelt. „Newly Registered Domains“ werden bei keweonDNS u.a. über das Pre.Ident Verfahren verifiziert und nicht pauschal geblockt.
  • 1681724088303.png
  • Das Pre.Ident Verfahren sorgt für die erste Analyse der Anfrage und ist dafür zuständig, Bedrohungen zu erkennen, die kommen werden oder kommen könnten. Wie bereits eingangs erwähnt, kann das zum Beispiel auch mit Wahrscheinlichkeitsberechnung geschehen, was sich allerdings als zu ineffizient und zu langsam erwiesen hat. Die derzeitige Vorhersagen für „böse Domains“ geht bis zu 96 Stunden (4 Tage) in die Zukunft, die unter anderem mit dem HFRA-Algorithmus (High Frequency Research Algorithm) berechnet werden.
    • Alle KI-Prozesse und Algorithmen, wie z.B. Pre.Ident und der HFRA hier als Beispiel, sind völlig unabhängig voneinander, unterstützen sich aber gegenseitig oder kooperieren.
    • Die Idee zum HFRA-Algorithmus stammt ursprünglich von einem guten Freund, der 2017 leider an einem Gehirntumor verstorben ist. Harlim war der leitende Entwickler für das Hochfrequenztrading bei einer großen deutschen Bank und er hat trotz seiner Krankheit viel dazu beigetragen. Hochfrequenztrading endet mit kaufen oder nicht kaufen, oder, um beim Thema DNS zu bleiben, blockieren oder nicht blockieren.
  • Nach dem Pre.Ident Verfahren wird die Domain in FQDN, IP und Alias zerlegt und z.B. mit Hilfe der Zertifikatsinstanz überprüft. Das große Geheimnis bei den Zertifikaten ist also zum einen, alle gesperrten Adressen mit einem positiven Zertifikat zu versehen und zum anderen, die DNS-Daten im laufenden Betrieb prüfen und klassifizieren zu können. Dieses Verfahren macht es z.B. überflüssig, auf weitere DNS-Daten zurückzugreifen und andererseits wird so eine (Selbst-)Kontrolle der KI sichergestellt.
  • In der Zwischenzeit hat das ANN die Adresse (vor)analysiert und der PAA (Perimeter Analytics Algorithm) überprüft, ob der Server z.B. Malware oder Ransomware enthält oder ob dieser Server andere kritische oder gefährdende Anzeichen aufweist.
  • Ob und wie ein Server, eine Adresse oder eine IP „böse“ ist, wird von den verschiedenen Logiken abgewogen. Der derzeitige Kriterienkatalog beläuft sich auf 1394 sogenannte Matching-Points, wie eine Adresse zu betrachten ist, wenn sie bekannt ist, und bis zu 83 Matching-Points für unbekannte Adressen (Floating Run), wobei auch hier unterschiedliche Faktoren eine Rolle spielen.
  • Mithilfe von Fuzzy-Logiken wird innerhalb der KI und mithilfe des ANN nicht nur entschieden, ob eine Adresse „gut“ oder “böse“ ist, sondern es kann auch das Ergebnis „Ich bin mir nicht ganz sicher“ erzeugt werden. Das wiederum bewirkt eine Gewichtung und das ANN entscheidet hier „Allow oder Deny“ – also zulassen oder nicht zulassen, basierend auf weiteren Algorithmen.
  • Diese Entscheidung, dass es sich wahrscheinlich um eine gute Adresse handelt, wird an eine „Returning Logic“ übergeben, als gut bewertet und somit die originale IP-Adresse an den Nutzer weitergegeben. Das sieht dann ungefähr (auszugsweise) wie folgt aus:
  • 1681724772670.png
    • Stoppen wir den Zähler an der Stelle, den wir eingangs gestartet haben und jetzt, ca. 20ms (Millisekunden) später, erhält der Nutzer die Antwort.
Der Returning Zyklus entscheidet hier, wann und ob diese Adresse erneut betrachtet werden muss, in welcher Detailtiefe und eventuell über eine zweite, dritte usw. Analyse der Adresse im Hintergrund. Je nach Gewichtung gibt es unterschiedliche Kriterien. Manche werden jede Stunde erneut geprüft, manche Adressen jede Woche.

Die Webseite wird geladen und enthält, wie eingangs erwähnt, ein JavaScript mit der bösen Adresse. Da diese auch noch nie aufgerufen wurde, wird diese Adresse ab Punkt 5, spätestens ab Punkt 6 blockiert. Der Nutzer bekommt die Adresse übermittelt, allerdings mit einer IP-Adresse, die besagt, dass diese Adresse erfolgreich aufgelöst wurde und ein virtuelles „OK“ an den Browser bzw. das JavaScript übergibt, damit dieser glaubt, dass die Adresse sauber aufgelöst wurde und nicht erneut angefordert werden muss.

Wurde die Adresse nun aufgelöst, geht die Arbeit der KI trotzdem weiter. Die Adresse wird erneut betrachtet und eine detailliertere Gefährdungsberechnung der Adresse und dessen Bewertung erfolgt. Dazu wird die Adresse im Hintergrund mithilfe des Crowd Request Sourcing-Verfahrens und dem HFRA-Algorithmus im Detail analysiert. Diesmal das komplette Programm, denn jetzt wird z.B. verglichen, wo sich der Server befindet, was die IP-Adresse macht, was der Server macht, sowie weiteren Optionen und die Ergebnisse werden mit anderen und ähnlichen Adressen verglichen.

Bei einer oder zwei Adressen klingt das noch logisch, wenn wir jetzt 20 oder 30 Adressen nehmen, wird es komplexer. Die Datenbasis besteht derzeit aus etwa 960 Millionen Adressen.

Zusammenfassung
Dies ist nur ein kleiner Ausschnitt dessen, was keweon ausmacht. Natürlich gibt es noch viel mehr, aber ich bin jetzt erst einmal gespannt, wer das alles kopiert und für sein Marketing nutzt. Allerdings, wer mich etwas kennt, der weiß, dass das noch lange nicht alles ist.

Was ich jetzt gerne von euch wissen würde:
Was denkt ihr darüber? Was haltet Ihr davon? Welche Informationen vermisst ihr hier?
Kommentare, Hinweise, Tipps und Fragen sind absolut willkommen und erwünscht.
 
Zuletzt bearbeitet von einem Moderator:
  • Danke
  • Freude
Reaktionen: sylvester78, Sonic-2k-, Tecalote und 6 andere
Häufig gestellte Fragen (FAQs)
Als zusätzlichen Service, um es den Nutzenden zu erleichtern, bestimmte Informationen schnell zu finden, werde ich hier Antworten auf einige der häufig gestellten Fragen zu keweon zusammenstellen und diesen Post ständig aktualisieren.

Zertifikat:
https://pki.keweon.center

Apple DoH Profil:
https://apple.keweon.center/DOH/dns.mobileconfig

Apple DoT Profil:
https://apple.keweon.center/DOT/dns.mobileconfig

DoH Server Adresse:
https://dns.keweon.center/nebulo
oder
https://dns.keweon.center/dns-query

DoT Server Adresse:
dns.keweon.center

DNS IPv4:
84.16.252.137
84.16.252.147

DNS IPv6:
2a00:c98:4002:1:8::5
2a00:c98:4002:2:c::80
Zunächst in den Android-Verbindungseinstellungen einen etwaigen aktivierten „Privaten DNS“ deaktivieren.

Zertifikat:
https://pki.keweon.center

In der PersonalDNSFilter App selbst:
  • Die Liste der eingetragenen DNS-Server öffnen.
    Screenshot_20230619_061233.jpg
  • Neben „Deaktiviere DNS Serverermittlung - Manuelle DNS Server wie folgt“ den Haken setzen und in dem Abschnitt den Schieberegler neben „Text basierter Bearbeitungsmodus“ aktivieren.
    Screenshot_20230428_220605.jpg
  • Lösche alle Adressen und füge die unten aufgeführten per Copy&Paste hinzu:
    • DoH Server Adresse:
      • [178.162.228.11]::443::DOH::https://dns.keweon.center/nebulo
        oder
      • [178.162.231.59]::443::DOH::https://dns.keweon.center/dns-query
    • DoT Server Adresse:
      • [84.16.252.138]::853::DOT::pdnsfilter.keweon.center
        oder
      • [84.16.252.138]::853::DOT::personaldnsfilter.keweon.center
        oder
      • [178.162.228.51]::853::DOT::dns.keweon.center
  • Als Nächstes den Schieberegler neben „Text basierter Bearbeitungsmodus“ deaktivieren.
  • Daraufhin sind noch die Haken neben den ergänzten DNS-Server zu setzen und alle anderen zu deaktivieren.
  • Abschließend das Gerät neu starten.
Zunächst in den Android-Verbindungseinstellungen einen etwaigen aktivierten „Privaten DNS“ deaktivieren.

Zertifikat:
https://pki.keweon.center

In der NetGuard App selbst:
  • Unter „Einstellungen“ findet sich die interessante Funktion „Erweiterte Optionen“.
  • Bei „VPN-DNS“ sind entweder beide IPv4- oder IPv6-Adressen einzutragen (kein DoH oder DoT):
    • DNS IPv4:
      • 84.16.252.137
      • 84.16.252.147
    • DNS IPv6:
      • 2a00:c98:4002:1:8::5
      • 2a00:c98:4002:2:c::80
  • Wichtig: Damit die IPv6-Adressen der DNS-Server aus eurem Heimnetz erreichbar sind, muss dieses IPv6-fähig sein.
  • Abschließend das Gerät neu starten.
Hinweis: Um DoH oder DoT in Verbindung mit NetGuard zu verwenden, befolgt die Anleitung von @orgshooter.
Zunächst in den Android-Verbindungseinstellungen einen etwaigen aktivierten „Privaten DNS“ deaktivieren.

Zertifikat:
https://pki.keweon.center

In der AdGuard App selbst:
  • Auf das „Schildsymbol“ am unteren Bildschirmrand tippen und in dem Abschnitt den Schieberegler neben „DNS-Schutz“ aktivieren.
  • Im gleichen Bildschirm auf den Schriftzug „DNS-Schutz“ tippen, um in die DNS-Einstellungen zu kommen.
  • Unter „DNS-Server auswählen“ findet sich die interessante Funktion „Benutzerdefinierten DNS-Server hinzufügen“.
  • Als „DNS-Server-Name“ wird „keweonDNS“ eingegeben.
  • Bei „DNS Upstream“ ist entweder DoH oder DoT einzutragen:
  • Abschließend das Gerät neu starten.
Beim Safari Browser muss man die „Proxy“ Funktion abschalten, die standardmäßig beim privaten Surfen unter iOS, iPadOS und macOS aktiviert ist. Egal ob keweon oder nicht, egal ob Adblock oder nicht, diese Funktion sollte man immer abschalten.

Safari_iOS_iPadOS.PNG

Safari_macOS.PNG

Zudem bedeutet „Erweiterter Tracking- und Identifizierungsschutz“, dass die komplette DNS Auflösung bzw. der Internet-Traffic über die Infrastruktur von Apple läuft, genauer gesagt über Cloudflare oder Akamai. Da Apple jedes Jahr ca. 12 bis 15 Milliarden (!) US$ von Google bekommt, kann man sich ungefähr vorstellen, was Apple mit Datenschutz und Sicherheit zu tun hat.
Ab tvOS 14 ist die Kompatibilität mit dem Protokoll DoH möglich, um über einen verschlüsselten SSL- bzw. TLS-Tunnel auf keweonDNS Server zuzugreifen. Auf diese Weise kann der Internet-Provider die DNS Kommunikation nicht abfangen oder filtern.

Auf dem Apple TV selbst:
  • Im Hauptmenü auf „Einstellungen“ tippen.
  • Unter „Allgemein > Datenschutz & Sicherheit“ anklicken.
  • Die Auswahl zu „Apple TV-Analyse teilen“ bewegen, ohne dies zu bestätigen.
  • Die „Wiedergabe/Pause-Taste“ auf der Fernbedienung drücken.
  • Nachfolgend auf „Profil hinzufügen“ tippen, um folgende URL einzugeben:
  • Im angezeigten Bildschirm „Profil“ auf „Installieren“ klicken.
  • Bei den folgenden Meldungen die Option „Installieren“ auswählen.
  • Abschließend das Gerät neu starten.
Apple erlaubt nur dem Safari-Browser, Zertifikate zu öffnen und zu installieren.

Zertifikat:
https://pki.keweon.center

Auf dem Apple Gerät selbst:
  • Öffne Safari und lade das Zertifikat herunter. „Zulassen“ auswählen.
  • Gehe zu „Einstellungen“, wo ein neuer Abschnitt „Profil geladen“ direkt unter deinem iCloud-Benutzerkonto erscheint. Im angezeigten Bildschirm „Profil“ auf „Installieren“ klicken.
  • Bei den folgenden Meldungen die Option „Installieren“ auswählen.
  • Unter „Einstellungen > Allgemein > Info > Zertifikatsvertrauenseinstellungen“ anklicken. Aktiviere das keweonDNS Zertifikat und wähle „Weiter“.
  • Abschließend das Gerät neu starten.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: Nightly, sylvester78, Sonic-2k- und 2 andere
@MrT69 wow, das ist viel Input. Danke für deine ausführliche Erläuterung!

Frage:
MrT69 schrieb:
Wurde die Adresse nun aufgelöst, geht die Arbeit der KI trotzdem weiter. Die Adresse wird erneut betrachtet und eine detailliertere Gefährdungsberechnung der Adresse und dessen Bewertung erfolgt.
Heißt es, dass nach einer Zeit "x" die entsprechende Webseite "bereinigt" aufgerufen werden kann?
 
@orgshooter
Ganz genau.
Ich bin jetzt bei ca. 1,5 Minuten in der automatischen Prüfung und dann geht die Adresse (wieder). Aber - da bin ich noch etwas vorsichtig, deswegen habe ich da noch das letzte manuelle OK drauf.
Ausserdem fehlt es derzeit noch etwas an Technik, dass das 100% autonom laufen kann. Aber generell, ja das ist das Ziel.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: orgshooter
Erstmal echt super Ausführung 😇. Und sehr sehr interessant. Was ich noch nicht ganz verstanden habe...du sprichst auch von Zertifikaten und davon das blockierte Adressen mit einem positiven versehen werden 🤔. Heißt das es wird keine Installation Client seitig mehr benötigt oder ist dies noch notwendig? Da du ja zum Schluss den Link zu deinem Zertifikat hinzugefügt hast. 🙈
 
@Devil676
Das mit dem Zertifikaten ist Google zu verdanken. Die wollten, das jede Adresse mit einem HTTPS Zertifikat arbeiten muss (!) und vor allem, es ist dein Browser oder die App, von der der Aufruf kommt. Deswegen, das Zertifikat hat mit dem DNS selbst nichts zu tun, sondern mit dem Blocken. Es ist absolut kein SOLL oder MUSS, und wenn nicht, dann ist alles was geblockt wird, eben ein Zertifikatsfehler.
Das bedeutet, mehr AdBlock Erkennung und vor allem Fehler im Browser weil das alles einen HTTPS Fehler ergibt. Ergo, alles langsamer und einige Seiten laufen schlecht oder teilweise gar nicht. Ich bekomm z.B. Meldungen, dass die oder die Seite nicht geht - wobei das bei mir, also mit Zertifikat, Problemlos läuft. Da sag ich dann Sorry, weil der eine oder andere Tracker, oder was auch immer, geblockt bleibt.

Kommen wir zur KI:
Im Internet gibt es ca. 3,7 Milliarden öffentliche IP-Adressen. Jede IP Adresse hat im Durchschnitt, inkl. Historie, ca. 22.000 HOST/Domain Adressen. Das bedeutet, die 3,7 Mrd. x 22.000 Adressen müssten dauernd betrachtet und verglichen werden, um Gefahren herauszufinden oder zu erkennen. Wäre technisch machbar, aber dazu fehlen mir so knapp 60 Mio. EUR für Hardware.
Ergo, die eigens entwickelten KI-Algorithmen rechnen (nur) mit dem, was benutzt und aufgerufen wird. Durch das Zertifikat wird erkannt, was geblockt ist und damit kann dann "erkannt" werden, was noch ist oder was kommen wird. Dazu kommen die Infos was aufgerufen wird (Root Server) und mit einer "Plus/Minus - Ergibt Eventuell" Rechnung geht das dann.

Beispiel:
Talos/CISCO ("ich wäre gern eine KI deswegen arbeiten bei uns auch 900 Mitarbeiter") haben am 09.03.2022 drei "gefährliche Adressen" veröffentlicht.
Code:
bizo.azurewebsites[.]net, fomed.azurewebsites[.]net, bipiq.azurewebsites[.]net
Diese Adressen, und weitere knapp 18.000 "ähnliche", hatte ich bereits über 8 Monate ZUVOR schon blockiert, was - unter anderem - so möglich ist. Wobei das ist nur eines von unzähligen Beispielen.

Kurzum, Zertifikate sind da um den Traffic abzusichern, dem steht da nichts im Wege. Ich benutze die lediglich für mich, um Berechnungen anstellen zu können. Ich arbeite zwar schon an einer Version wo das Zertifikat dann überhaupt nicht mehr notwendig ist, vor allem weil Google bei Android eigene RootCA's blockiert hat, aber zum einen hab ich da noch performance Probleme und zum anderen würde das ein Mega Chaos beim Thema HTTPS verursachen. Da geht's mir eigentlich nur um's Prinzip, denn gerade von Google lass ich mir weder sagen noch vorschreiben was ich als "Security Lösung" einsetzen muss oder soll.

Ob du es nun nutzt oder nicht, das bleibt also dir überlassen und du merkst es relativ schnell, brauchst du es oder brauchst du es nicht. Und das merkst du, wie du dein Internet nutzt. Wenn es dir ausreicht ohne - hab ich kein Problem. Und glaub mir, mir persönlich wäre es auch "ohne" lieber - aber, wie erwähnt, das hab nicht ich, sondern Google verbrochen.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: orgshooter
Irgendwie funktioniert die Bestsecret Seite nicht mit Keweon...
 
  • Danke
Reaktionen: MrT69
Nur als Randbemerkung, was das Problem mit den fehlerhaften Seiten betrifft:

Das Ziel ist es, ein Reporting Plugin für alle bereitzustellen. Das gibt's auch für's Handy - aber da sind wir wieder beim "Resourcen Problem" - alles alleine kann und will ich nicht machen und zum anderen, es gibt eine Menge hochprofessioneller Armleuchter (sorry, aber das kann man beim besten Willen nicht schön reden) im Internet und die werden das Plugin missbrauchen. Da erinnere ich freundlich an die "Zertifikatsdiskussion" mit Cybersecurity Spezialisten und den Shitstorm, wo diese Profis mir gesagt haben, dass die das Zertifikat 4 Millionen mal heruntergeladen haben, um mich zu "bestrafen". Damit hab ich emotional noch in 100 Jahren zu kämpfen. ;)

Mit diesen Plugin's ist es möglich f/p Seiten zu reporten und zum anderen auch Seiten zu melden, die böse Sachen machen. Das Reporting durchläuft die Prüfung und - wie schon im Post #4 erwähnt - in nicht mal 2 Minuten wird die Seite wieder gehen.
Das blocken läuft anders. Erst wird geblockt, dann in der Tiefe geprüft, aber es wird erst nach einer "Vorabprüfung" geblockt.

Die KI ist nur so intelligent, wie sie "programmiert" wurde. Je mehr reportet wird, um so schneller lernt die. Je schneller die lernt, um so effektiver wird das. Deswegen liegt auch die Kontrolle mit bei den Nutzern. Das lernen, egal ob biologisch oder künstlich, ist immer (!) von Fehlern begleitet. Deshalb wird es immer f/p geblockte Seiten geben, vor allem, weil ich lieber Zuviel als Zuwenig blockieren lasse.

Wie bereits gesagt, da steckt noch viel mehr dahinter. Ich würde gerne, aber ich kann leider (noch) nicht so wie ich will.

1682239514925.png
 
Zuletzt bearbeitet von einem Moderator:
Bearbeitet von: hagex - Grund: Bildvorschau standardisiert. Gruß von hagex
  • Danke
Reaktionen: Nightly
Hallo @MrT69 Die Website von aka wird geblockt, weshalb Wikipediatools, wie PageHistStat nicht funktionieren.
 
  • Danke
Reaktionen: MrT69
@DwainZwerg
Super!!! Passt es jetzt? Wenn nicht, ruhig bescheid geben.
 
  • Danke
Reaktionen: DwainZwerg
Ein wunderbares Beispiel habe ich jetzt in der Domain o2.co.uk gefunden.
Während die allermeisten „DNS-Layer Security Lösungen“ nicht einmal in der Lage sind, gefährliche „Subdomains“ zu blockieren, geschweige denn sie zu finden, funktioniert es bei mir ein wenig anders.

Vorhin bekam ich eine Mail über outlook.com, dass ich einen tollen Virenscanner kaufen könnte. Natürlich wurde die Adresse bereits gefiltert, aber ich habe dort geschaut, ob das auch passt.
1682416475212.png
Hier ist deutlich zu sehen, dass o2.co.uk a) entweder die DNS-Server nicht unter Kontrolle hat oder b) die Domain für einige Spammer/Scammer zur Verfügung stellt. Da ich vor etwa 3 Jahren wegen keweon mit o2 in Kontakt war, würde ich persönlich sagen, es ist a) und b) zusammen. keweon war für sie nicht interessant, sie haben „angeblich“ eine bessere DNS-Security Lösung.

Es dauerte fast 3 Stunden, bis o2 bemerkte, dass die Domain missbraucht wird.
1682416972385.png
Als Info für andere KI's – es war die Adresse offer20.o2.co.uk, die ihr jetzt blockieren könnt.

Das bedeutet, dass über diese Adresse 3 Stunden lang Viren oder Ransomware hätten verbreitet werden können und niemand hätte es wirklich bemerkt – und das bei einer solchen Domain?!
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: andro45 und RainerJooser
@MrT69 wie ist ein DoH (über Port 443) bzw. DoT (über Port 853) in der App PersonalDNSFilter einzustellen?
Screenshot_20230427_115406.jpg
Hier muss eine IP angegeben werden.

84.16.252.137 mit "https://dns.keweon.center/dns-query" funktioniert leider nicht.
Screenshot_20230427_122707.jpg

Folgende Einstellung klappt problemlos mit DNSForge:
Screenshot_20230427_115344.jpg

Der Zugriff auf Keweon per UDP funktioniert jedoch problemlos:
Screenshot_20230427_122954.jpg

Kannst du hier weiterhelfen?

Evtl. die Frage und weitere Diskussion in einen separaten Thread auslagern, da ich mir vorstellen kann, dass du die Lösung später im FAQ (#2) verknüpfen wirst.
 
  • Danke
Reaktionen: MrT69
@orgshooter
Danke für den "REMINDER". Das wollte ich glaub ich schon vor 2 Monaten machen, dass das mit PDF funktioniert.
Normalerweise (!) ist das mit dem festlegen einer IP eigentlich recht, vor allem wenn ich dann mal einen Server patche, Update einspiele oder sowas. Wenn der Server weg is, also die IP, dann is der Server weg.

Bin bereits dran, da war nochmal jemand - und ich hab's aber total vergessen, weil das etwas komplizierter wird. Du kannst "TEMPORÄR" - also bis ich da eine IP drauf habe, folgendes nutzen.

dns.keweon.center 178.162.231.91
dns.keweon.center 178.162.228.17
dns.keweon.center 178.162.231.59
dns.keweon.center 178.162.231.49
dns.keweon.center 178.162.231.73
dns.keweon.center 178.162.228.42
dns.keweon.center 178.162.228.11
dns.keweon.center 178.162.228.51
dns.keweon.center 178.162.231.57
dns.keweon.center 178.162.228.117
dns.keweon.center 178.162.228.115
dns.keweon.center 178.162.228.53
dns.keweon.center 178.162.228.44

Die richtige IP-Adresse bekommst du übrigens über einen NSLOOKUP/DIG heraus. Für die PDF-App bau ich am besten gleich eine passende URL dazu.

pdnsfilter.keweon.center/dns-query

Falls du einen anderen Vorschlag hast, her damit, aber so kann man das dann auch einfacher unterscheiden.
 
Zuletzt bearbeitet:
@MrT69 also DoT funktioniert so:
Screenshot_20230427_184946.jpg

Jetzt noch DoH?
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: MrT69
Zuletzt bearbeitet:
Spotify funktioniert auch nicht mehr mit Keweon...
 
@Grossmeister_T Versuche mal als Workaround einen deutschen VPN-Zugang (bei mir mein Uni-VPN); damit klappt’s. Ich glaube nämlich, das liegt an Spotify, die irgendwie mitkriegen, dass man keweon nutzt.
 
Probiere ich mal, danke
 
Grossmeister_T schrieb:
Spotify funktioniert auch nicht mehr
Wie wirkt sich das bei dir aus?
Wird die Playlist nicht geladen und bleibt dort hängen?
 

Ähnliche Themen

jandroid
Antworten
0
Aufrufe
131
jandroid
jandroid
Liverpool
  • Liverpool
Antworten
18
Aufrufe
2.334
bibo007
B
M
Antworten
0
Aufrufe
125
martin1111
M
Zurück
Oben Unten