Pri­va­cy in a Box

Nicht im­mer schirmt ein DSL-Rou­ter das Heim­netz aus­rei­chend ab. So­ge­nann­te Pri­va­cy-Bo­xen bie­ten spe­zi­el­len Schutz vor Mal­wa­re und Tracking, in­dem sie alle ein­ge­hen­den In­hal­te prü­fen.

PC Magazin - - Personal Computing - MATTIAS SCHLENKER

K las­si­sche DSL-Rou­ter ver­sper­ren zwar ein­ge­hen­de Ports, tra­gen aber we­nig zur Fil­te­rung des von in­nen in­iti­ier­ten Da­ten­ver­kehrs bei. So kön­nen bei­spiels­wei­se per HTTP- oder HTTPS-Down­load nach­ge­la­de­ne Vi­ren oder Tro­ja­ner (zum Bei­spiel nach dem Klick auf Links in ei­ner Mail) oh­ne Pro­ble­me ins ei­ge­ne Netz ge­lan­gen. Ein wei­te­rer ger­ne be­wor­be­ner Aspekt sind Trackin­gS­crip­te der Wer­be­in­dus­trie, die Be­su­cher über Web­sei­ten­gren­zen hin­weg ver­fol­gen und so de­tail­lier­te Surf­his­to­ri­en sam­meln. Da es häu g läs­tig ist, auf al­len Ge­rä­ten im lo­ka­len Netz Ad­blo­cker zu in­stal­lie­ren und gleich zu kon gu­rie­ren, liegt es na­he, die­se Auf­ga­be zen­tral zu de­le­gie­ren – bei­spiels­wei­se auf dem DSL-Rou­ter oder mit ei­nem Ge­rät, das zwi­schen DSL-Rou­ter und den Cli­ents plat­ziert wird. Noch sind Fil­ter­funk­tio­nen auf DSL-Rou­tern eher Aus­nah­me als Re­gel (ei­ni­ge gu­te An­sät­ze gibt es bei­spiels­wei­se bei AVMs Fritz­bo­xen mit der Kin­der­schutz- und Gast­netz­funk­ti­on). Des­halb wid­men wir uns an die­ser Stel­le nur se­pa­rat er­hält­li­chen Pri­va­cy-Bo­xen re­spek­ti­ve selbst zu in­stal­lie­ren­der Soft­ware für Ein­pla­ti­nen­rech­ner wie Raspber­ry Pi.

Pi-Ho­le: Ein­fa­che DNS-Lö­sung

Bei Pi-Ho­le han­delt es sich um ei­ne rei­ne DNS-Lö­sung, die kom­plett in Soft­ware rea­li­siert wird und pri­mär für De­bi­an-ba­sier­te Sing­le Bo­ard Com­pu­ter wie den Raspber­ry Pi vor­ge­se­hen ist. Tes­ten kön­nen Sie PiHo­le da­her auch mit ei­nem in ei­ner vir­tu­el­len Ma­schi­ne in­stal­lier­ten Ubu­ntu oder De­bi­an Li­nux. Da die Hard­ware­an­for­de­run­gen nicht be­son­ders hoch sind, kön­nen Sie für die dau­er­haf­te Nut­zung durch­aus ei­nen Raspber­ry Pi der al­ler­ers­ten Ge­ne­ra­ti­on (512 MBy­te RAM, ein Pro­zes­sor) ver­wen­den. Die In­stal­la­ti­on ist sim­pel: Nach der Er­stein­rich­tung des Raspbi­an wird das Se­t­up-Script von Pi-Ho­le her­un­ter­ge­la­den und aus­ge­führt. Es führt mit ei­nem Dia­log­ba­sier­ten Front­end durch die Erst­in­stal­la­ti­on. Da ein Text-ba­sier­tes Dia­log­sys­tem zum Ein­satz kommt, kann die In­stal­la­ti­on von Pi-Ho­le be­reits über SSH statt nden. Nach ab­ge­schlos­se­ner In­stal­la­ti­on wird die IP-Adres­se des Raspber­ry Pi als DNS-Ser­ver ein­ge­tra­gen – idea­ler­wei­se be­reits im DSLRou­ter, so­dass alle Rech­ner im lo­ka­len Netz Pi-Ho­le au­to­ma­tisch als DNS-Ser­ver er­hal-

ten. Die wei­te­re Kon gu­ra­ti­on er­folgt dann über das un­ter http://pi.ho­le/ad­min zu­gäng­li­che Web­front­end. Pi-Ho­le ar­bei­tet mit Lis­ten von Ser­ver- und Do­main­na­men von Wer­be­ver­mark­tern, Tracking­do­mains und Mal­wa­re-In­stal­la­ti­ons-Si­tes. Er­reicht Pi-Ho­le ei­ne DNS-An­fra­ge nach ei­nem sol­chen Host­na­men, täuscht Pi-Ho­le ei­nen nicht ver­ge­be­nen Host­na­men vor, wor­auf­hin die An­for­de­rung ei­nes Scrip­tes ins Lee­re läuft. DNS-Lö­sun­gen funk­tio­nie­ren nur auf Si­te-Ebe­ne, es wer­den al­so alle An­fra­gen auf ei­nen be­stimm­ten Ser­ver blo­ckiert. Da­mit funk­tio­niert bei­spiels­wei­se nicht die Fil­te­rung von Ja­va­Script-Da­tei­en ei­ner­seits, das Zu­las­sen von Bil­dern an­de­rer­seits. Die Stan­dard-Block­lis­ten kön­nen nach Wunsch um Lis­ten bei­spiels­wei­se für ju­gend­ge­fähr­den­de In­hal­te er­wei­tert wer­den. Sehr ein­fach funk­tio­niert auch das dau­er­haf­te Frei­ge­ben (Whi­te­lists) ein­zel­ner Wer­be­do­mains, wenn man bei­spiels­wei­se Bild on­li­ne be­su­chen möch­te. Die rein DNS-ba­sier­te Fil­te­rung lässt zum Bei­spiel kei­ne Aus­nah­men für ein­zel­ne Web­sei­ten zu, denn der DNS-Ser­ver weiß nicht, wel­che Web­sei­te für ei­ne DNS-An­fra­ge ver­ant­wort­lich ist. Sehr gut dürf­te Pi-Ho­le als DNS für den Gast­zu­gang in War­te­be­rei­chen oder Net­zen von klei­nen Un­ter­neh­men funk­tio­nie­ren: In die­sen Um­ge­bun­gen hilft auch das Log­ging, Zeit­fres­ser und un­er­wünsch­te In­hal­te auf­zu­spü­ren und so per DNS die Ar­beitsef zi­enz zu er­hö­hen. Lei­der kön­nen mit Pi-Ho­le kei­ne Aus­nah­men für ein­zel­ne Cli­ents gep egt wer­den. Da­bei wä­re ge­ra­de dies wün­schens­wert: Ei­ne ge­ne­rel­le Sperr­lis­te für alle Ge­rä­te und Gäs­te, ei­ne um ju­gend­ge­fähr­den­de In­hal­te er­wei­ter­te Sperr­lis­te für die Kin­der so­wie ei­ne et­was frei­zü­gi­ge­re Sperr­lis­te für Nut­zer, die ei­nen er­wei­ter­ten Ak­ti­ons­ra­di­us wün­schen oder er­for­dern. Tech­nisch wä­re dies durch­aus rea­li­sier­bar.

Upri­box: Traf c-Re­rou­ting mit dem RPi

Seit 2014 wird an der Uni­ver­si­tät St. Pöl­ten mit der Upri­box, der Usa­ble Pri­va­cy Box, ein Pro­jekt zur nut­zer­freund­li­chen Fil­te­rung von Traf c vor­an­ge­trie­ben. Ziel der Upri­box ist die Fil­te­rung von Traf c auf Netz­wer­ke­be­ne, da­bei wer­den meh­re­re Mo­di un­ter­stützt – ers­tens: ei­ne rei­ne adress­ba­sier­te Fil­te­rung, zwei­tens: der ltern­de Pr­o­xy Pri­v­o­xy und drit­tens: die Um­lei­tung von Traf c übers TOR-Netz­werk ( www.tor pro­ject.org). Für TOR steht da­bei ein ei­ge­ner Ac­ces­s­point zur Ver­fü­gung. Da übers TORNetz kei­ne Ab­mahn­ge­fahr für An­schluss­in­ha­ber be­steht, ist der per TOR um­ge­lei­te­te Ac­ces­s­point ei­ne prag­ma­ti­sche Mög­lich­keit, ei­nen un­ge­si­cher­ten Ac­ces­s­point für Gäs­te be­reit­zu­stel­len. Als Re­fe­renz­hard­ware kommt ein Raspber­ry Pi 2 oder 3 zur An­wen­dung, der al­ler­dings bei Ver­wen­dung der Upri­box als WLAN-Ac­ces­s­point den Ef­fekt hat, dass

der Traf c zwei­mal durch den Fla­schen­hals USB muss. Das lässt die Ge­schwin­dig­keit in den Be­reich von un­ter 5 MBy­te/s ein­bre­chen – är­ger­lich, wenn man ei­nen schnel­le­ren DSL-Zu­gang hat. Rech­ner, die per Ka­bel (oder ei­nem wei­te­ren WLAN Ac­ces­s­point) mit der Upri­box ver­bun­den sind, müs­sen die Upri­box ex­pli­zit als Pr­o­xy ein­tra­gen. Durch­dacht ist die Mög­lich­keit, die Upri­box als Cli­ent zu kon gu­rie­ren, was es er­laubt, bei­spiels­wei­se auf Rei­sen über ein of­fe­nes WLAN per Upri­box VPN zu nut­zen oder via TOR zu sur­fen. Der­zeit exis­tiert die Upri­box als rei­ne Soft­ware­lö­sung für Raspber­ry Pi 2 und 3. Auf der Web­sei­te des Upri­box-Pro­jek­tes nden Sie je­doch die Mög­lich­keit, sich auf ei­ner War­te­lis­te ein­zu­tra­gen, um bei Ver­füg­bar­keit „in Hard­ware“in­for­miert zu wer­den. Ih­rem An­spruch ge­recht wird die Upri­box vor al­lem, wenn man sie als Ad­blo­cker­lö­sung für Mo­bil­te­le­fo­ne und Ta­blets be­trach­tet. Lei­tet man den ge­sam­ten Fei­er­aben­dTraf c ei­ner Familie mit Te­enagern oder ei­nes klei­nen Un­ter­neh­mens über die Upri­box, wird die­se schnell zum Fla­schen­hals. Im­mer­hin: Die Upri­box hat Po­ten­zi­al, Tes­ten kos­tet nichts, und bei ei­ner mög­li­chen Kauf­ver­si­on ist zu hof­fen, dass po­ten­te­re Netz­werk­hard­ware als der Raspber­ry Pi mit per USB an­ge­bun­de­nem Et­her­net zum Ein­satz kom­men.

Eblo­cker: Tracking­schutz vom Tra­ck­er­her­stel­ler

Eben­falls auf ei­nem güns­tig er­hält­li­chen Sing­le Bo­ard Com­pu­ter (Bana­na Pi M2+) ba­siert der kom­mer­zi­ell ver­trie­be­ne Eblo­cker. Wer be­reits ei­nen Bana­na Pi sein ei­gen nennt, kann das Eblo­cker-Be­triebs­sys­tem auf die­sem (al­ter­na­tiv Raspber­ry Pi) in­stal­lie­ren und den Eblo­cker 30 Ta­ge kos­ten­los tes­ten. Da­nach kos­ten Lis­ten­up­dates und VPN-Di­ens­te 59 Eu­ro pro Jahr. Bei der 219 Eu­ro teu­ren Eblo­cker-Box sind ein Jahr Up­dates im Preis in­be­grif­fen. Ein­mal mit dem Netz­werk ver­bun­den, schnappt sich der Eblo­cker den ge­sam­ten Netz­werk­ver­kehr Rich­tung Rou­ter, ei­ne nicht ganz un­pro­ble­ma­ti­sche Lö­sung, die lei­der bei ei­ni­gen Pro­to­kol­len zu Schluck­auf füh­ren kann. Eblo­cker nutzt für die Fil­te­rung von HTTPund HTTPS-Traf c ei­nen in­te­grier­ten Pr­o­xy, der Links zu den Tra­cker­scripts be­kann­ter Wer­be­an­bie­ter um­schreibt und per Ja­va­script ei­ne Eblo­cker-Kon gu­ra­ti­ons­leis­te am Sei­ten­kopf ein­blen­det. Um auch HTTPSVer­kehr scan­nen zu kön­nen, er­zeugt der Eblo­cker bei der ers­ten Ein­rich­tung das SSLZer­ti kat ei­ner Cer­ti ca­te Aut­ho­ri­ty, wel­ches dann im Brow­ser (re­spek­ti­ve An­dro­id oder iOS) in­stal­liert wer­den kann. Im­mer­hin ist die­se Mög­lich­keit op­tio­nal pro Cli­ent fest­zu­le­gen und nicht per De­fault ak­ti­viert, was das Sur­fen für Gäs­te ein­fa­cher macht und so die Pri­vat­sphä­re auch bei der Nut­zung des Smart TV schützt. Der Eblo­cker ist re­la­tiv kom­for­ta­bel zu nut­zen: wird ei­ne Sei­te nicht rich­tig an­ge­zeigt, kön­nen Sie für ein­zel­ne Sei­ten Aus­nah­men hin­zu­fü­gen. Ne­ben der Blo­cka­de von Wer­bung und Tracking bie­tet der Eblo­cker auch ei­ne Ge­rä­te­tar­nung – bei­spiels­wei­se kann im­mer das Be­triebs­sys­tem auf Li­nux ge­setzt (ei­ni­ge On­li­ne­shops zei­gen MacNut­zern hö­he­re Prei­se) und Traf c über das TOR-Netz um­ge­lei­tet wer­den. An­ge­kün­digt sind auch Ju­gend­schutz­funk­tio­nen und die Mög­lich­keit, mit meh­re­ren Nut­zer­kon­ten (ak­tu­ell gibt es nur ei­nes) un­ter­schied­li­che Fil­ter­ein­stel­lun­gen zu ver­wen­den. Eblo­cker-Grün­der Christian Ben­ne­feld kommt selbst aus der Tra­cker­bran­che. Er grün­de­te das Un­ter­neh­men Etra­cker, des­sen Tra­cker den Weg der Sur­fer in­ner­halb ei­ner Web­sei­te nach­voll­zieht und Klick­ra­ten von News­let­tern misst. Da­bei ar­bei­tet Etra­cker als Auf­trags­da­ten­ver­ar­bei­ter und darf kei­ne Da­ten ver­schie­de­ner Web­sites zu­sam­men­füh­ren, das ist da­ten­schutz­tech­nisch un­pro­ble­ma­ti­scher als die Tra­cker der gro­ßen Wer­be­ver­mark­ter. Ben­ne­felds In­ter­pre­ta­ti­on „fai­rer Tra­cker“be­inhal­tet auch Tra­cker, die le­dig­lich den Weg in­ner­halb ei­ner Si­te auf­zeich­nen, dem­ent­spre­chend sind dann die Fil­ter­ein­stel­lun­gen um­ge­setzt.

Trutz­box: Der größ­te Funk­ti­ons­um­fang

Auf deut­lich stär­ke­rer Hard­ware als die an­de­ren ge­tes­te­ten Ge­rä­te be­ruht die Trutz­box von Co­m­idio: Als Hard­ware kommt ein AMD-E-ba­sier­ter (und da­mit x86-kom­pa­ti­bler) Sing­le Bo­ard Com­pu­ter mit drei Gi­ga­b­it­ports zum Ein­satz, und als Fest­spei­cher wird statt der sonst üb­li­chen SD- oder eMMC-Kar­ten ei­ne SATA-SSD ge­nutzt. Die im Ver­gleich bessere Hard­ware schlägt sich im hö­he­ren Ge­rä­te­preis nie­der: 319 Eu­ro sind in­klu­si­ve ei­nem Jahr Up­dates zu zah­len. An­ge­schlos­sen wird die Trutz­box mit ei­nem Et­her­net­ka­bel am Rou­ter, die bei­den wei­te­ren LAN-Ports und die op­tio­nal er­hält­li­che WLAN-Kar­te zei­gen zum in­ter­nen Netz. Im in­ter­nen Netz wird nun ein an­de­rer IP-Adress­be­reich ver­wen­det als zwi­schen Trutz­box und Rou­ter. Die­se Lö­sung ist prin­zi­pi­ell ro­bus­ter als das ARP-Spoo ng des Eblo­ckers, hat aber den Nach­teil, dass un­ter Um­stän­den Netz­werk­ge­rä­te wie Dru­cker neu ge­sucht wer­den müs­sen. Laut Co­m­idio kön­nen An­wen­der mit De­bi­anKennt­nis­sen die Trutz­box auch an rei­nen DSL- oder Ka­bel­mo­dems kon gu­rie­ren. Soft­ware­sei­tig ist zu­nächst der ltern­de Pr­o­xy zu nen­nen, der per Pr­o­xy Au­to Con - gu­ra­ti­on im Netz­werk an­non­ciert wird und fürs Auf­bre­chen von HTTPS-Ver­bin­dun­gen die In­stal­la­ti­on ei­nes CA-Zer­ti ka­tes ver­langt. Im Ge­gen­satz zum Eblo­cker ist der HTTPS-Pr­o­xy stan­dard­mä­ßig ak­tiv, das heißt für je­des neu hin­zu­ge­füg­te Ge­rät, das die PAC-Da­tei aus­wer­tet, ist ein Nut­zer­ein­griff nö­tig: ent­we­der die In­stal­la­ti­on des Zer­ti ka­tes oder die De­ak­ti­vie­rung von HTTPS für das Ge­rät. Die Kon gu­ra­ti­ons­mög­lich­kei­ten der eben­falls per Ja­va­script in Web­sei­ten ein­ge­blen­de­ten Kon gu­ra­ti­ons­leis­te ge­hen da­bei über die Mög­lich­kei­ten des Eblo­cker deut­lich hin­aus, so kön­nen für je­des Schutz­ni­veau in­di­vi­du­ell die zu ltern­den Da­ten fest­ge­legt wer­den. Das er­laubt ei­ne deut­lich fei­ner gra­nu­lier­te Steue­rung als beim Eblo­cker. Zu­dem bie­tet die Trutz­box ei­nen Vi­ren­scan von Down­loads per ClamAV. ClamAV fällt ge­le­gent­lich durch Fal­se Po­si­ti­ves auf, was bei ei­ner Fil­te­rung von Down­loads je­doch weit un­pro­ble­ma­ti­scher ist als bei ei­nem On-De­man­dS­can. Wie Eblo­cker bie­tet die Trutz­box die Mög­lich­keit, TOR zu nut­zen. Sehr gut ist die Nut­zer- und Grup­pen­struk­tur, wel­che ei­ne in­di­vi­du­ell stär­ke­re oder schwä­che­re Fil­te­rung er­mög­licht. Po­si­tiv ist, dass sich Co­m­idio um wei­te­re sinn­vol­le An­wen­dungs­mög­lich­kei­ten der re­la­tiv star­ken Hard­ware Ge­dan­ken macht. Ak­tu­ell un­ter­stützt die Trutz­box ei­ne Trutz­mail ge­nann­te trans­port­ver­schlüs­sel­te EMail-Kon gu­ra­ti­on. Kom­mu­ni­zie­ren zwei Trutz­bo­xen mit­ein­an­der, läuft der Mail-Ver­kehr übers Tor-Netz­werk, Mails von ei­nem

nor­ma­len Mail­ser­ver wer­den über ei­nen Ga­te­way bei Co­m­idio zu­ge­stellt. Da­ne­ben ent­hält die Trutz­box ei­nen XMPP-Ser­ver für Te­le­fon- und Vi­deo­kon­fe­ren­zen so­wie die Bild­schirm­über­tra­gung. Der setzt beim Kom­mu­ni­ka­ti­ons­part­ner le­dig­lich ei­nen We­bRTC-fä­hi­gen Brow­ser (bei­spiels­wei­se ak­tu­el­len Fi­re­fox oder Chro­me) vor­aus. Fa­zit: Drei Lö­sun­gen rag­ten aus dem Feld her­aus: Pi-Ho­le ist wun­der­bar sim­pel, kos­tet nichts und lässt sich in vie­len Um­ge­bun­gen (Bü­ro, Gast­netz) so­fort ef zient nut­zen. Bei ver­schie­de­nen Nut­zer­grup­pen wird et­was Fein­kon gu­ra­ti­on an ei­ge­nen Whi­te- und Black­lists nö­tig sein. Eblo­cker funk­tio­niert gut und ist für Lai­en ein­fach ein­zu­rich­ten und zu be­die­nen, lässt ver­sier­te An­wen­der aber Mög­lich­kei­ten zum Fein­tu­ning ver­mis­sen. Das Schutz­ni­veau von Pi-Ho­le und Trutz­box ist hö­her als das des Eblo­cker, der www.bild.de bei­spiels­wei­se pas­sie­ren lässt, wäh­rend bei Trutz­box und Pi-Ho­le ex­pli­zit die ver­wen­de­ten Tracking­Do­mains frei­ge­schal­tet wer­den müs­sen, be­vor die Sei­te an­ge­zeigt wird. Wer be­reit ist, Geld für die An­schaf­fung des E-Blo­cker und 60 Eu­ro/Jahr für die Up­dates aus­zu­ge­ben, soll­te dar­über nach­den­ken, die 100 Eu­ro mehr für Co­m­idi­os Trutz­box zu in­ves­tie­ren: Der grö­ße­re Funk­ti­ons­um­fang, die bessere Hard­ware und die ro­bus­te­re Netz­werk­in­te­gra­ti­on recht­fer­ti­gen in vie­len An­wen­dungs­fäl­len den Mehr­preis. whs

Um den ver­schlüs­sel­ten HTTPS-Ver­kehr prü­fen zu kön­nen, muss die Pri­va­cy-Box ih­rer­seits ei­ne HTTPSVer­bin­dung zum Ziel­ser­ver auf­bau­en und die er­hal­te­nen In­hal­te neu mit ei­nem lo­kal auf der Box er­zeug­ten Zer­ti kat ver­schlüs­seln. Der An­wen­der muss die­ses Zer­ti kat auf den Brow­sern der End­ge­rä­te in­stal­liert ha­ben, sonst ist die SSL-Ver­bin­dung nicht durch­gän­gig und der Brow­ser mel­det ei­nen Feh­ler. HTTPS-Ana­ly­se per Brow­ser-Zer­ti kat

Pi-Ho­le als rei­ne DNS-Lö­sung er­laubt nur die kom­plet­te Sper­rung oder Frei­ga­be be­stimm­ter Do­mains.

Die Sta­tis­ti­ken von Pi-Ho­le zei­gen, dass Smart TVs und An­dro­id-Ge­rä­te auch bei Nicht­be­nut­zung blo­ckie­rungs­wür­di­gen Traf c er­zeu­gen.

Eblo­cker blen­det per Klick auf den But­ton rechts ei­ne In­fo­leis­te ein – über die­se kann ei­ne Web­sei­te ei­ner Aus­nah­me­lis­te hin­zu­ge­fügt wer­den.

Die Usa­ble Pri­va­cy Box stellt in ers­ter Li­nie ei­nen per Pri­v­o­xy ab­ge­si­cher­ten Ac­cess Po­int be­reit, Hard­ware ist der­zeit Raspber­ry Pi, die Soft­ware ist gra­tis.

Eblo­cker ge­lingt so­wohl bei der Ein­rich­tung als auch bei der Nut­zung ein gu­ter Kom­pro­miss aus Nutz­bar­keit und Funk­tio­na­li­tät.

Per De­fault scannt Eblo­cker kei­nen SSL-ver­schlüs­sel­ten Ver­kehr, das sorgt für we­ni­ger Auf­wand beim Ein­rich­ten der End­ge­rä­te.

Die Trutz­box ltert HTTPS-Ver­kehr, da­für muss im Brow­ser ein Zer­ti kat in­stal­liert sein (sie­he Gra k).

Enorm um­fang­reich sind die Kon gu­ra­ti­ons­op­tio­nen der Trutz­box für je­des Schutz­le­vel.

Der Klick auf die Trutz­burg führt zu ei­nem Schie­be­reg­ler, mit dem der An­wen­der das Schutz­le­vel (Art der ak­ti­ven Fil­ter) für ei­ne Sei­te er­hö­hen oder sen­ken kann.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.