De populaire Pi-hole krijgt sterke concurrentie van AdGuard Home dat goed werkt tegen malware. Adblockers zijn populair omdat ze niet alleen advertenties kunnen blokkeren, en malware buiten de deur houdt, het voorkomt ook dat je nietsvermoedend op besmette websites terechtkomt.
Pi-hole is al langer een van de meest populaire adblockers en Raspberry Pi projects. De Pi-hole-ontwikkelaars hebben echter nog geen rekening gehouden met een belangrijke ontwikkeling: de DNS-dienst pihole-FTL respectievelijk de onderliggende server Dnsmasq communiceert namelijk alleen onversleuteld met de buitenwereld – om precies te zijn: met DNS-resolvers die aangevraagde domeinnamen omzetten in ip-adressen en je daarmee de weg wijzen naar de gezochte bestemmingen op internet. Dat betekent dat derden Pi-hole-verzoeken kunnen manipuleren en afluisteren, bijvoorbeeld op het grote internetknooppunt AMS-IX in Amsterdam.
Ontvang gratis info en tips over AdGuard, Pi-hole en andere projecten, schrijf je in voor de nieuwsbrief:
Protocollen voor versleutelde communicatie
Protocollen voor versleutelde communicatie met het Domain Name System (DNS) helpen daartegen. Tot nu toe waren DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) en DNSCrypt gebruikelijk. DNS-over-QUIC (DoQ) wint langzaam aan terrein en verschillende groepen over de hele wereld ontwikkelen andere protocollen. Pi-hole-gebruikers kunnen zichzelf helpen door er versleutelde proxy’s zoals Stubby of DNSCrypt-proxy voor te gebruiken.
De AdGuard Home-adblocker bevat reeds DoT, DoH, DNSCrypt en DoQ (je vindt de broncode van AdGuard op GitHub).
Het bedrijf AdGuard werd in 2009 in Moskou opgericht en verhuisde zijn hoofdkantoor in 2018 naar Cyprus en daarmee naar de EU. Het verdient zijn geld met commerciële DNS-filters en adblockers.
AdGuard Home maakt overzichtelijke indruk
AdGuard Home maakt een zeer overzichtelijke indruk. In tegenstelling tot Pi-hole, dat uit verschillende programma’s bestaat, bevat AdGuard Home alle functies in een enkele binary van slechts ongeveer 20 MB groot: een lokale DNS-server (stub-resolver) voor het communiceren met externe DNS-servers (recursive-resolver), een adblocker en een server voor het configureren via de webinterface. De volledige configuratie staat in één bestand. Het programma kan in een mum van tijd worden geïnstalleerd en ook weer verwijderd.
AdGuard Home houdt ook de responssnelheid bij van de resolvers, zodat je snel kunt zien of de keuze van de resolver goed of minder goed was. AdGuard Home heeft standaard een eigen op DNS gebaseerde filterlijst voor het blokkeren van malware en advertenties, en andere kunnen worden gedefinieerd via de eenvoudige gebruikersinterface – net als bij Pi-hole. Afzonderlijke black- en whitelists kunnen ook in AdGuard Home worden aangemaakt, maar niet zo handig als bij Pi-hole. Als er iets misgaat, kan de adblocker-functie met een muisklik worden uitgeschakeld. Sommige functies van AdGuard Home zijn ook interessant voor omgevingen met hoge beveiligingseisen: de dienst kan versleuteld met clients communiceren en zijn webinterface via HTTPS aanbieden. Dat alles maakt het aanlokkelijk om AdGuard Home eens te proberen.
Eén resolver tegelijk
Omdat DNS-servers poort 53 exclusief bezetten, kan er slechts één resolver tegelijk op een systeem draaien. Om AdGuard Home te proberen op een Rasperry Pi waar Pi-hole reeds op draait, moet je Pi-hole dan ook eerst uitschakelen – bijvoorbeeld met het commando sudo systemctl stop pihole-FTL. Je kunt je het leven echter makkelijker maken door AdGuard Home op een eigen sd-kaart te zetten en Raspberry Pi OS daarop vanaf nul te installeren.
AdGuard Home installatie
AdGuard Home draait ook op verschillende andere Linux-distributies en op macOS (zelfs op een Mac met de M1-cpu als x86-code in Rosetta-emulatie). De ontwikkelaars hebben een compleet overzicht van de ondersteunde cpu-platforms gepubliceerd op GitHub. In dit artikel doorlopen we het installeren en configureren voor Raspberry Pi OS (Buster). Je hebt niet meer dan wat basiskennis nodig om dat te kunnen volgen. Goed nieuws voor iedereen met een commando-allergie: de commandline wordt slechts sporadisch gebruikt.
Om AdGuard Home te installeren, gaan we ervan uit dat je al een Raspberry Pi geïnstalleerd hebt. Het maakt niet uit of die een desktopomgeving heeft of niet. We hebben dit uitgeprobeerd met een Raspberry Pi 3B+ en een Raspberry Pi 4.
Omdat je het ip-adres van je Raspberry Pi later nodig hebt om bij bijvoorbeeld je router aan te geven welke DNS-server er gebruikt moet worden, is het handig om ervoor te zorgen dat de Raspberry Pi een statisch ip-adres heeft en dus altijd via hetzelfde adres te bereiken is.
“Het bedrijf AdGuard werd in 2009 in Moskou opgericht en verhuisde zijn hoofdkantoor in 2018 naar Cyprus en daarmee naar de EU”
Daarmee vervalt imho de relevantie van de rest van het artikel.