Firewall mal etwas anders

Update 25.02.2014 am Ende des Artikels!

In den vergangenen zwei Wochen waren mal wieder die Themen Firewall und Antivirus interessant. Und so folgte ich dem Ruf der Werbung… Das vernichtende Urteil gleich vorweg, die NSA ist überflüssig. Gerade die Personal-Firewalls für PC, eigentlich zur Absicherung gedacht, sind nichts anderes als legalisierte Rootkits mit Spionagefunktion! Die Geschwätzigkeit dieser Software – und da langen alle Anbieter kräftig zu – ist eine Frechheit sondergleichen. Der User erfährt davon nichts. Jeder Klick, jede aufgerufene Seite, IP Adressen, Datenverbrauch etc. wird protokolliert und weiter gereicht. Die Firewall schweigt sich über diese Hintergrundaktivitäten aus und wiegt den Unbedarften in vermeintlicher Sicherheit. Gegen weitere und kostenpflichtige Upgrades bekommt man selbstverständlich noch mehr vermeintliche Sicherheit – aber auch noch mehr NSA-light frei Haus. Auch Hersteller von Antivirensoftware sind um keinen Deut besser. Doch hat sich ein Kandidat als akzeptabel erwiesen. Darauf gehe ich am Schluss nochmal ein.

Jedenfalls ist es eine wahre Zerreißprobe, und eine ausweglose noch dazu, mit diesen stummen „one-klick“ Hintergrundwächtern. Aus diesem Grund habe ich mir die Mühe gemacht und eine eigene Firewall entworfen, ganz ohne schwerwiegende Eingriffe ins Betriebssystem. Das Prinzip möchte ich hier kurz vorstellen.

Der eigentliche Witz an der Sache ist aber noch viel subtiler. Server haben die Angewohnheit, wirklich alles zu logen. Dafür sind sie schließlich da. Wenn man sich dieser einfachen Tatsache bewusst ist weiß man auch, dass jegliches Geschwätz über Datenschutz die Zeit nicht Wert ist. Server logen alles, was man ihnen erlaubt oder nicht explizit verbietet.

Das Ganze basiert auf einer Virtualisierungssoftware (VM Ware 6.0) und einem darauf aufgesetzten Debian Server mit zwei virtuellen Netzwerk-Interfaces. Nun ist diese virtuelle Maschine selbst ein Server und somit hat man auch Einfluss auf den Datenverkehr. Praktisch gesehen leite ich die gesamte Kommunikation ins und aus dem Internet durch die virtuelle Maschine auf das eigentliche Windows des Hostrechners. Dazu werden zwei unterschiedliche Netze benötigt (es geht auch anders). Das eine Interface des Servers zeigt in das Netz des Routers (z.B. 192.168.1.0/24) und das andere zeigt in ein privates Netz der Wahl (z.B. 192.168.222.0/24). Danach wird Routing aktiviert und mit einer entsprechend konfigurierten stateful-packet-inspection Firewall der Datenfluss gefiltert und gesteuert.

Schema
In diesem Schema sind die Kommunikationswege zu sehen. Der Hostrechner ist zwar noch physisch mit der Netzwerk-Hardware verbunden aber es findet keine direkte Kommunikation zwischen Host und Hardware statt. Statt dessen wird der Weg über die Netzwerkbrücke von VM-Ware geleitet.

Ein paar Handgriffe waren dafür aber schon notwendig. Und außerdem, wenn man schon einen Server aufsetzt, sollten auch noch gleich ein paar Zusatzdienste, wie DNS, Proxy, NTP, SSH und VPN- um nur einige nützliche zu nennen, dabei sein. Das eigentliche Heimatnetz in dem sich der Router zum Internet befindet, bleibt von all dem unberührt. Der PC wird aber, und das ist ja Sinn der Aktion, von Geräten aus dem Heimatnetz nicht mehr gesehen. Mit VPN Tunnel ist aber auch das möglich. Und damit ist der heimische Datenverkehr auf einem wesentlich höherem Sicherheits-Niveau, als vorher.

Mit genug Power lässt sich so eine kleine Serverfarm mit Webserver, eMailserver und sogar Load-Balancer oder Dateiserver auf dem PC virtualisieren. Mit mehreren PC im Haus und reichlich Paranoia sind auch, durch VPN verbundene, autarke Netze mit Backup-Lösungen möglich. Man könnte theoretisch auch alle Daten auf den virtuellen Laufwerken belassen. Ein erster Test war zufriedenstellend. Weder das private Netz, noch der Hostrechner sind im LAN sichtbar. Lediglich der Datenfluss des virtuellen Gateway ist zu sehen. NMAP und Wireshark, aber auch professionelle Tools kamen nicht in das private Netz oder an Daten bzw. Informationen zum Hostrechner. Sicherlich gibt es weitaus professionellere Möglichkeiten. Aber die kosten auch dem entsprechend.

Was nun die Antivirensoftware betrifft, konnte nur ein Hersteller überzeugen. Abgesehen von der Leistungsfähigkeit und der Aktualität der Signaturen, die bei allen Herstellern etwa gleich ist, ist aber Avast nicht so geschwätzig wie seine Kollegen – vorausgesetzt, man deaktiviert überall die Kommunikation zu Avast. Das diese Möglichkeit überhaupt besteht, ist sehr löblich. Andere Hersteller bieten diese Funktionen gar nicht erst an. Eine Deaktivierung mag zwar nicht im Sinne des Herstellers sein, dafür aber es ist gut für die Privatsphäre.

Update 25.02.2014:
Mit Avast scheint es auch nicht so das Wahre zu sein. Nachdem ich ein paar Prüfroutinen in die Firewall implementiert habe, ist folgendes im Log zu sehen, wenn ich eine eMail versenden will:

Feb 25 10:04:22 rot kernel: [35849.834495] prüfe…IN=eth1 OUT=eth0 MAC=00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=192.168.xxx.xxx DST=46.4.28.85 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=3717 DF PROTO=TCP SPT=49468 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0

Wir sehen hier einen Verbindungsaufbau zu einer mit SSL verschlüsselten Seite (DPT 443). Unter SRC steht die Quelladdresse meines PC und DST ist die angerufene Zieladdresse. Macht man jetzt ein lookup auf diese Adresse erscheint als Antwort:

Server: rot.xxx.intern
Address: 192.168.xxx.xxx

Name: a350vg.avast.com
Address: 46.165.210.6

Kann diese Seite nicht erreicht werden, wird auf eine andere Ziel-Adresse (195.39.12.53), ebenfalls mit SSL verschlüsselt umgeleitet. Aber auch GMX geht eigene Wege, was den Mailversand betrifft. Das Mailprogramm versucht eine Verbindung über Port 465 herzustellen. Das Problem daran, auf Port 465 läuft normalerweise gar nichts.

Feb 25 09:57:28 rot kernel: [35436.740006] prüfe…IN=eth1 OUT=eth0 MAC=00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=192.168.xxx.xxx DST=212.227.17.190 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=3491 DF PROTO=TCP SPT=49434 DPT=465 WINDOW=8192 RES=0x00 SYN URGP=0

Guckst du hier in die Services.

MfG
Wanderer

Advertisements

4 Gedanken zu „Firewall mal etwas anders

    • Hallo Iridium, lange nichts mehr von dir gelesen. Schön, dass du dich mal wieder meldest. Unter deinem Link verbirgt sich der Zugang zu einer Parrallelwelt. Eine Welt, in der es viele lichtscheue Geschöpfe gibt und die Grenzen zur Illegalität überschritten werden. In dieser Welt verstecken sich Betrüger, Hehler und schlimmeres. Wer sich dort hin begibt hat imho alle zwischenmenschlichen Prinzipen über Bord geworfen, indem dieses Treiben geduldet wird. Als Beispiel: Käme im RL ein Händler mit Kinderpornografie auf mich zu, würde ich ihm höchstwahrscheinlich Betonschuhe anziehen und mit ihm baden gehen. Im Dark- oder Deep Web werden diese (Un)Menschen geduldet. Ist das die Art von Freiheit, die wir wollen? Das TOR Konzept gibt es schon ein paar Jahre und es ist anzunehmen, dass die Intentionen der Entwickler alles andere waren, als Verbrechern eine anonyme Plattform zu bieten.

      Nochmal im Klartext. Jeder Unbescholtene der sich in den dunklen Teil des Webs begibt, auch wenn er „nur“ anonym sein will, duldet auch die Machenschaften von Verbrechern. Da ich von der Gegenseite bin, mich also zu den Guten zähle, kann ich nur sagen FINGER WEG!

      Mein Konzept soll dem Schutz der Privatsphäre auf dem eigenen PC dienen. Wer mehr will, kann das auch einfacher UND legaler haben. Zum Beispiel ist es kein Problem, einen V-Server zu mieten und so einzurichten, dass durch einen Tunnel, der zwischen PC und V-Server aufgebaut wird, gesurft werden kann. Der Provider sieht dann nur eine Verbindung. Nämlich die zum V-Server. Somit dürfte die Liste der Verbindungsdaten ziemlich kurz sein.

      Um anonym zu sein muss man nicht die Dunkelheit unterstützen. Wer reinen Herzens ist, kann sich auch im Licht verstecken.

      MfG

  1. Den Kommentatoren die diese Kommentare verfasst haben geht es sicherlich nich um Kinderpornographie oder dergleichen, vielmehr machen sie sich Gedanken wie sie in Zukunft noch Zensurfrei publizieren können. Was ich komisch finde, das unsere geliebten Massenmedien das Dark Web als schlecht und ebend auch wie Du gleich mit Kinderpornographie in Verbindung bringen. Ich bin mir ziemlich sicher, das auch im Clean-Net Kinderpornographie zu haben ist.

    Richard Millet sagt

    „“Der Giftschrank dieser demnächst vollständig digitalisierten Bibliothek ist somit weniger eine neue schwarze Liste als vielmehr die Gleichgültigkeit, der die betroffenen Werke anheimfallen und die aus der Verweigerung gegenüber dem Erbe sowie aus einem Kulturhaß heraus entsteht, den man zuvor nur in den Totalitarismen des 20. Jahrhunderts erlebt hatte.““
    –>Weiter
    http://kommentararchiv.de/2014/verlorene-posten/

    • Was nützt das Argument einer zensurfreien Publikation, wenn nicht einmal annähernd 1% der Bevölkerung des Autors Werke liest? Ich meine, selbst im www werden Informationen nicht gefunden oder schlicht ignoriert.

      Weiterhin ist es nicht gerade vertrauenerweckend, wenn – nun übertreibe ich mal – gleich neben der Kirche der heiligen Freiheit, ein Kinderpornografieanbieter residiert. Wenn sich im Darknet wirklich alles und ohne Einschränkungen und Konsequenzen tummeln kann, dann ist das eine Freiheit die, zumindest sehr fragwürdig ist.

      Wer Sorge um die Meinungsfreiheit hat, sollte nicht in das Darknet ausweichen sondern darum kämpfen, dass ein Darknet nicht nötig ist. Betrachte es mal von einer anderen Seite. Wie kann etwas den Anspruch haben, rein und wahrhaftig zu sein, wenn es in der Unterwelt geboren wurde?

      Deine Ängste mögen zwar berechtigt sein aber ein ständiges Zurückweichen vor den Repressalien der eigenen Regierung ist der falsche Ansatz. Dieser Weg führt nicht in die Freiheit sondern in die Illegalität und plötzlich findet man sich neben besagten, lichtscheuen Geschöpfen wieder.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s