PiHole & VPN Server

Sicherheit im Heim-Netzwerk und unterwegs

 Heutzutage ist es leider ein Risiko geworden, ins Internet zu gehen.

Nicht erst seit Edward Snowden ist bekannt, das wir alle von verschiedenen Behörden und Organisationen und nicht zuletzt von Leuten die kriminelle Absichten haben, belauscht gescannt und gespeichert werden

Sobald wir eine Seite im Internet aufrufen, wird Werbung geliefert und getrackt was das Zeug hält.

Die Auslieferung von schadhafter Online-Werbung bzw. Malvertising wird zu einem immer größeren Problem und damit zum Risiko für den Nutzer.. Es ist daher wenig überraschend, dass Nutzer verstärkt auf AdBlocker wie bspw. uBlock Origin zurückgreifen.

Doch diese Browser-Addons filtern Werbung und Tracker wie der Name schon sagt: Im Browser. Werbung begegnet uns allerdings nicht ausschließlich beim Surfen, sondern verstärkt innerhalb Apps, auf dem Smart-TV oder anderen vernetzten Geräten. Ohne tiefere Eingriffe ins System ist es auf diesen Geräten nicht ohne weiteres möglich Werbung zu blockieren. Was also tun?

 1:    Pi-hole

Der Pi-hole wird seit 2015 von Jacob Salmela entwickelt. Die Basis bildet dnsmasq und der Webserver Lighttpd. Den kompletten Quellcode könnt ihr unter GitHub einsehen. Doch was macht den Pi-hole jetzt eigentlich so besonders? Es ist eine netzwerkseitige Lösung zum Blockieren von Werbung und Trackern. Das bedeutet: Der Pi-hole kann Werbung für alle Geräte blockieren, die sich in ihrem Netzwerk befinden. Das klingt zunächst einmal abenteuerlich, doch es funktioniert tatsächlich.

 Technischer Hintergrund

Am Beispiel von In-App Werbung möchte ich kurz erläutern, wie der Pi-hole technisch funktioniert. Angenommen ein App-Entwickler hat in seiner App Werbung integriert. Bei jedem Start der App oder auch während der Laufzeit wird daher die Adresse »werbung.server1.de« aufgerufen. Dieser Domainname muss allerdings zunächst in eine IP-Adresse übersetzt werden, damit die Werbung anschließend von dort geholt werden kann. Dieser Service wird vom Domain Name System (DNS) erledigt – einer der wichtigsten Dienste im Internet, der Domainnamen in die zugehörige IP-Adresse umwandelt. Das kennt jeder: Ihr gebt im Browser eine URL ein (also den Domainnamen), dieser wird dann von einem DNS-Server in die zugehörige IP-Adresse übersetzt. Namen lassen sich eben leichter merken, als IP-Adressen. In eurem Router sind daher üblicherweise DNS-Server von eurem Provider hinterlegt oder ihr habt manuell eigene eingetragen, die dann anschließend die Adresse »werbung.server1.de« in eine IP-Adresse umwandeln.

Das DNS-Prinzip macht sich der Pi-hole zu Nutze. Intern verwaltet der Pi-hole mit dnsmasq aktuell eine Liste mit über 100.000 Domainnamen, die Werbung ausliefern oder den Nutzer tracken. Zurück zum Beispiel: Nutzt das Smartphone anstatt des Routers nun den Pi-hole als DNS-Server, so wird die Adresse »werbung.server1.de« mit der internen Liste abgeglichen. Kommt es zu einem Treffer, wird anstatt der Werbung eine kleine Webseite oder GIF ausgeliefert – die Übersetzung in die korrekte IP-Adresse wird also vom Pi-hole unterdrückt. Die Folge: Die Werbung kann nicht von der eigentlichen Quelle bzw. IP-Adresse nachgeladen werden. Anstatt der Werbung sieht der Nutzer einen Platzhalter bzw. einfach nichts. Ein einfaches Prinzip, dass die Werbung noch vor der Auslieferung -ja sogar noch vor der Übersetzung in die IP-Adresse- blockiert. Chapeau!

 Aktuell snd über 120000 !! Webseiten bekannt die Werbung liefern bzw. Den Nutzungsverlauf tracken

 Der aktuelle Zustand ist jederzeit über Ihren Webbrowser abrufbar…siehe Bild

 Brauche ich noch einen AdBlocker?

Der Pi-hole blockiert Werbung und Tracker auf DNS-Ebene. Insbesondere Geräte, bei denen sich bspw. kein AdBlocker installieren lässt, profitieren damit vom Pi-hole. Auf ihrem Rechner oder auf Geräten in denen sich AdBlocker wie uBlock Origin im Browser installieren lassen, sollten Sie dies dennoch weiterhin tun. Denn diese verfügen über zusätzliche Filtermechanismen und Logik. Die Browser-Addons blocken im Idealfall also all jene Gemeinheiten, die der Pi-hole auf DNS-Ebene nicht erfasst.

Fazit: Der Pi-hole ist die erste Verteidigungslinie – ein Browser-Addon wie uBlock Origin »erschlägt« dann noch den Rest an Werbung.

 Fazit

Mit dem Pi-hole verschwindet ein Großteil an Werbung und Trackern in einem schwarzen Loch – da wo das Zeug auch hingehört. Gerade Geräte wie Smartphones, bei denen häufig In-App Werbung eingeblendet wird, profitieren von der Vor-Filterung der DNS-Anfragen an zentraler Stelle.

Toll ist: Die Blockier- bzw. Filterlisten lassen sich beliebig erweitern. Da die Werbung und Tracker schon auf DNS-Ebene gefiltert werden, sparen die Geräte dahinter einiges an CPU und Rechenpower – was nicht angezeigt wird, muss auch nicht berechnet werden.

 2: OpenVPN

Was ist ein VPN ?

Viele haben davon sicherlich schon gehört und im Grunde ist es ein gesicherter Tunnel durch das Internet.

 

Oftmals wollen wir Dienste in unserem Hausnetzwerk erreichen oder in einer »unsicheren« WiFi-Umgebung, wie bspw. am Flughafen, einfach einen sicheren Tunnel nach Hause aufbauen. Dazu eignet sich insbesondere ein Virtuelles Privates Netzwerk (VPN). Wenn wir dieses VPN dann noch mit einem Pi-Hole kombinieren, profitieren mobile Endgeräte auch unterwegs vom Adblock- und Tracking-Schutz.

 Warum ein VPN?

Es gibt unterschiedliche Szenarien, weshalb ein VPN sinnvoll sein kann. Das »anonyme Surfen« über einen VPN-Anbieter zählt gewiss nicht dazu. Der Wunsch nach Anonymität und Privatsphäre im Internet ist ein berechtigter Wunsch vieler Anwender, der sich allerdings kaum oder nur mit sehr hohem Aufwand realisieren lässt. Daher kann ich mich an dieser Stelle nur wiederholen: Anonymität beim Surfen erreicht man nicht, nur weil der Netzwerkverkehr über einen VPN-Provider getunnelt wird. Dieses Werbeversprechen zählt zur Kategorie moderne Internet-Märchen.

Ich möchte auf zwei Einsatzszenarien eingehen, die mir persönlich sinnvoll erscheinen.

 Dienste erreichen

Im privaten Netzwerk des hauseigenen IT-Dschungels tummeln sich bei vielen Anwendern irgendwelche Dienste, auf die man hin und wieder auch gerne von unterwegs zugreifen möchte. Die Frage lautet dann: Wie kann ich meine zu Hause gehosteten Services wie bspw. Netzlaufwerke, Drucker usw. aus dem Internet erreichbar machen? Bei dieser Frage leuten bei mir immer die Alarmglocken, denn wir sollten zwischen »direkter« und »indirekter« Erreichbarkeit unterscheiden.

Bei der direkten Erreichbarkeit wird der Router so konfiguriert, dass er Dienste bzw. Ports mittels Port-Forwarding von außen erreichbar macht. Wenn Netzwerkpakete an einem Port eintreffen, werden sie an eine bestimmte IP-Adresse bzw. Port im internen / privaten Netzwerk weitergeleitet. Ein Dienst ist somit direkt aus dem Internet erreichbar und damit auch angreifbar, was man eher vermeiden sollte.

Die indirekte Erreichbarkeit löst das anders. Wer auf einen Service im hauseigenen LAN zugreifen möchte, der muss sich zunächst per VPN über den Router oder bspw. den PiVPN einwählen. Erst danach ist ein Zugriff möglich. Der Vorteil liegt auf der Hand: Ihre internen Services sind nicht direkt über Port-Forwarding ständig von außen erreichbar, sondern erst dann, wenn sie über VPN eine Verbindung hergestellt haben. Über das VPN wird ihr mobiles Endgerät (Smartphone, Tablet oder Laptop) dann sozusagen Teil ihres internen Netzwerks, gerade so, als würden sie mittendrin sitzen.

 Sicheres Netzwerk

Wer kennt das nicht: Man ist mit seinem Smartphone in einem fremden WiFi-Netzwerk eingeloggt (bspw. Kaffee, Hotel oder Flughafen) und fühlt sich irgendwie »unsicher« und beobachtet. Wird mein Surfverhalten aufgezeichnet? Werden Usernamen und Passwörter mitgeschnitten? Da der Internetverkehr seit den letzten Jahren vermehrt über TLS verschlüsselt wird, ist die Bedrohungslage vielleicht nicht mehr ganz so schlimm wie früher. Doch dabei vergisst man allzu gerne neue »Sicherheitstechniken« wie TLS-Interception bzw. TLS-Middleboxen oder die Aufzeichnung des Surfverhaltens durch die Analyse der DNS-Anfragen. Kurz: Es gibt noch immer gute Gründe, fremden WiFi-Netzwerken nicht zu trauen. Schützen kann man sich, indem man eine VPN-Verbindung zu seinem PiVPN aufbaut und jegliche Daten im Tunnel verschwinden. Neugierige Hoteliers sehen dann nichts anderes als einen verschlüsselten Datenstrom zwischen zwei IP-Adressen – eurem mobilen Endgerät und der Gegenstelle (meist die öffentliche IP-Adresse eures Internetanschlusses). Nach dem erfolgreichen Aufbau des VPN-Tunnels surft ihr dann sozusagen über den Internetanschluss von zu Hause.

VPN aus dem Internet erreichbar machen

Damit die Datenpakete von außen beim VPN ankommen, muss am Router eine Portweiterleitung eingerichtet werden. Je nach Routermodell unterscheidet sich die Einrichtung.

Da sich bei einem Privatnutzer idR. die IP-Adresse alle 24 Stunden ändert muss dafür gesorgt werden das der Server trotzdem erreichbar bleibt.

Das funktioniert sehr gut mit einem Anbieter für dynamisches DNS wie z.B. SPDyn

Dort muss ein Account erstellt und die Daten im Router bzw. direkt auf dem Server eingerichtet werden.

Bei jeder Änderung der IP Adresse wird diese dann automatisch an SPDyn weitergeleitet.

Dies sowie eine evtl. gewünschte Fernwartungsmöglichkeit für ihren kompletten Sicherheitsserver wird von mir erledigt

Bei der Erstellung der Informationen wurde anteilig  folgende Quelle benutzt.

Quellenhinweis: www.kuketz-blog.de

 

PiHole installieren

Webseite

https://pi-hole.net/

Installationsscript

curl -sSL https://install.pi-hole.net | bash

 

PiVPN installieren

Webseite

http://www.pivpn.io/

Installationsscript

curl -L https://install.pivpn.io | bash

Wer dazu Fragen hat kann mich gerne kontaktieren 🙂

Projekte für Freunde kleiner aber starker Computer