Am Android Tablet oder Smartphone mit LineageOS für Sicherheit und Privatsphäre sorgen (Teil 6)

Die Erstellung dieses Artikels begann 2017 und dieser wurde bis Dezember 2020 immer wieder erweitert und angepasst. Basierend auf dem ersten Tests von LineageOS auf einem Samsung SM-T585 Tablet im Jahre 2018 wurden nun noch Samsung A5 2017 (SM-A520F) Mobiltelefone angeschafft. Mit ca. 250 € ein Schnäppchen und dann noch IP68 wasserdicht und gegen Staub geschützt.

LineageOS, ein alternatives Android Betriebssystem für Tablet und Telefon!

LineageOS ist ein Betriebssystem für Smartphones und Tabletcomputer. Es ist eine Modifizierung des von Google entwickelten freien Betriebssystems Android und der Nachfolger des eingestellten Custom-ROMs CyanogenMod. LineageOS ist Freie Software und wird von einer Gemeinschaft Freiwilliger entwickelt, die das Betriebssystem gratis zum Herunterladen bereitstellen. Mehr Infos auf der Wikipedia Seite (https://de.wikipedia.org/wiki/LineageOS)

Vorraussetzung ist ein Geräte welches offiziell unterstützt wird (https://wiki.lineageos.org/devices/) oder ein Custom Rom, z.B. von https://forum.xda-developers.com/ existiert.

WICHTIG: Mit diesem Vorgang verlieren Sie Ihre Garantie, können Ihr Gerät zerstören und niemand wird Ihnen helfen. Ich beschreibe hier den Vorgang meiner Umstellung und ermutige Sie in keinem Fall den Vorgang an Ihrem Gerät durchzuführen. Wenn Sie es machen, dann sind Sie auf sich alleine gestellt und für den Fall dass Sie das Gerät zerstören sind einzig und alleine Sie selbst verantwortlich. Niemand und schon gar nicht ich, hafte für Dinge die Sie mit Ihrem Gerät tun!

Die Problemstellung

Nicht wirklich glücklich mit Apples IOS Geräten auf denen einiges an notwendiger Software, z.B. Tor, nicht funktioniert, oder von Apple verboten wurde machte ich mich schon 2017 auf die Suche nach einer Alternative. Die Voraussetzungen waren klar und unverrückbar:

  • Es darf zur Inbetriebnahme keine Registrierung beim Hersteller erfolgen müssen. Es ist gelinde gesagt eine Frechheit, dass die Hersteller eine Inbetriebnahme des Geräte ohne Registrierung untersagen. Der erste Schritt zum Datensammeln muss bereits unterbunden werden
  • Es muss eine Firewall, ala IPTables, PF, IPFW oder ähnliches, installierbar sein. Der gesamte Traffic des Gerätes muss so kontrollierbar sein, dass Datensammler keine Verbindung aufbauen können.
  • Ein Open Source VPN Client ist Pflicht, bevorzugt OpenVPN.
  • Zusätzlich benötigt wird ein vernünftiger RDP Client um auf den Linux RDP Terminal Server via RDP zugreifen zu können. Im Business Bereich ist damit auch der Zugriff auf Windows Systeme gewährleistet.
  • Tor muss als Dienst, inkl. Hidden Services und Tor Browser funktionieren
  • Email, Kalender und Kontakte müssen mit ActiveSync, IMAP, CalDAV, CardDAV, PGP Verschlüsselung vernünftig funktionieren.
  • Element als Matrix Messenger Client muss verfügbar sein. Damit ist eine sichere E2E verschlüsselte Kommunikation ohne Mitleser gewährleistet.
  • Verschiedene Browser und Addons sind Pflicht. Firefox mit NoScript und Ublock, Midori Browser und DuckDuckGo Privacy Browser wären die Minimumanforderungen. Für Privatshpäre ist es wingend notwendig seine Zugriffe, insbesondere welche mit Login und ohne Login auf verschiedene Browser zu verteilen.
  • Es darf keine Software installiert sein, die Daten an Dritte überträgt und damit Inhalte, Vorgänge, oder noch schlimmer Daten des Gerätes an Dritte überträgt. Alls Daten dürfen nur mit den eigenen Servern ausgetauscht werden. Hersteller Bloatware muss deinstallierbar, bzw. von Haus aus gar nicht installiert sein. Möglichst alle Software Komponenten sollten Open Source sein.
  • Zusätzlich muss ein richtiges Backup der Applikationen und Settings, inkl. Separiertem und gesamtem Restore möglich sein. Alle Einstellungen müssen mit Hilfe des Backups auf ein neues Geräte übertragen werden können.

Das Gerät

Zum Test wurde 2018 ein Samsung SM-T585 Galaxy Tab A Tablet angeschafft und mit dem vorinstallierten Android ein Versuch vorgenommen. Schon nach kurzer Zeit stellte sich heraus, dass so ein Tablet oder Telefon die Anforderungen in keinem Fall erfüllt. Ganz abgesehen davon, dass der Hersteller verhindert, dass man der System Administrator wird (rooting), gibt es dadurch keine Möglichkeit IPTables, ein vernünftiges Backup und vieles mehr zu nutzen.

Wenn man ein Paket das sich Firewall nennt, ohne rooting aber nur ein VPN ist, installiert, sieht man zumindest, dass die vorinstallierte Software von Google und Samsung ohne Ende nach Hause telefoniert und undefinierte Daten überträgt.

In Summe, obwohl lange versucht wurde diese Software zu deaktivieren und deinstallieren, keine Lösung. Der Hersteller sperrt die Deinstallation, Deaktivierung so, dass im Hintergrund immer Dienst laufen, welche man nicht haben will. Zumindest, wenn man kein forensisches Datenfutter sein will und auf seine Privatsphäre einen hohen Wert legt.

Es war klar, es musste etwas anderes werden, jedoch haben diese Android Tablets in Punkto Größe, Suspend und Resume und einiges mehr durchaus Vorteile gegenüber Notebooks.

Nach monatelanger Recherche stand fest, dass das Samsung Tablet mit LinageOS betrieben werden soll. Da das Gerät leider offiziell noch nicht unterstützt ist, musste ich auf ein Custom Rom von XDA-Developers zurückgreifen.

Auch zum Jahreswechsel 2020 läuft das Testgerät noch immer seht stabil, gestartet mit LineageOS 14.1, mittlerweile mit LineageOS 16.0 und es wurde auch ein zweites Gerät für die tägliche Verwendung angeschafft. Aufgrund der sehr positiven, langlebigen und kostengünstigen Einsatzmöglichkeiten, wurden alle Smartphones nun auf LineageOS 17.1 (Android 10) und alle Tablets auf LineageOS 16.0 (Android 9 ) hochgerüstet und es gibt im täglichen Betrieb keine Probleme.

Wissen muss man

Lesen Sie die Install-Anleitung für das Gerät auf LinaegeOS.org durch, lesen Sie mehrfach, damit Sie schon vorher wissen, welche Schritte Sie benötigen. Insbesondere „Wischerkönige” können damit einiges an Problemen vermeiden.

Die meisten Geräte kann man anders booten. In etwa so, wie man einen PC ins Bios booten kann. Dieser Vorgang wird über Telefontasten gesteuert und beim Samsung sind diese:

  • HOME + Lautstärke+ + Power bootet in den sogenannten Recovery Mode. Hier arbeiten wir dann mit dem TWRP Paket. So etwas wie das Bios mit ein paar Extra Funktionen.
  • HOME + Lautstärke- + Power bootet in Download Mode. Diesen benötigen wir einmal um das Custom Recovery Paket zu laden. Ohne dieses funktioniert der Recovery Mode nicht.
  • Am Gerät muss USB Debugging aufgedreht werden. Detail dazu in den einzelnen Anleitungen. Im wesentlichen geht das überall mit 7 mal, über Einstellungen-Über das Gerät-Buildnummer, auf die Buildnummer tippen. Danach ist das Entwicklermenü sichtbar.

TIP Einige Geräte haben im Entwicklermenü – „Enable Custom OEM unlocking”. Unbedingt aufdrehen, sonst könnte es sein, dass das Gerät nie mehr bootet.

TIP Kaufen Sie sich eine extra 32GB Micro SD Karte für diesen Vorgang. Details dazu später. Damit wird alles viel einfacher! Geiz ist nie Geil!

Installation von adb und fastboot

adb ist die Android Debugging Bridge und diese ist zur Kommunikation zwischen PC und Android Gerät notwendig. Eine gute Anleitung zur Installation findet sich hier:

https://wiki.lineageos.org/adb_fastboot_guide.html

TIP Ich selbst verwende ja kein Windows mehr und bei Debian Linux sind die Pakete adb und fastboot im Paket Verzeichnis verfügbar. Für das Samsung Tablet wird nur adb benötigt, da weitere Schritte mit heimdall durchgeführt werden.

TIP Das Paket installiert auch die udev Einstellungen. Trotzdem musste adb als root ausgeführt werden, damit adb devices das Tablet erkannte. Da ich nur das Custom Recovery Package geladen habe und alles weitere mit der SD Karte erledigt wurde, kein wirkliches Problem.

Danach installiert man für das Samsung Tablet die heimdall Suite für das jeweilige Betriebssystem. Downloads finden sich hier:

https://glassechidna.com.au/heimdall/#downloads

Mit der heimdall Suite kann dann das Custom Recovery am Tablet installiert werden. Dazu verwendet man, nachdem das Gerät in den Download Modus gebootet wurde ( HOME + Lautstärke- + Power), beim Samsung den Befehl:

heimdall flash –RECOVERY twrp-x.x.x-x-gtleeilte.img –no-reboot

WICHTIG Die twrp Datei wird bei Ihnen, je nach Gerät anders heißen, jedoch ist der –noreboot unbedingt notwendig! Sollte das Image in einem Archiv sein, extrahieren Sie es unbedingt vorher!

Danach muss sofort in den Recovery Mode gebootet werden ( HOME + Lautstärke+ + Power) sonst überschreibt das System das Image wieder!

Das ganze sollte dann in etwa so aussehen:

Wenn nicht, wiederholt man den Vorgang solange, bis der Boot Vorgang sauber ist und das Menü erscheint.

Nun wird es einfach. Nachdem klar wurde, dass das Custom Recovery im wesentlichen nichts anderes ist, als ein Bios mit Extra Funktionen, insbesondere für Partition Management und Partition Backup, konnte die weitere Anleitung abgeändert werden.

Ich habe danach das LineageOS ROM auf die SD Karte kopiert und hierher auch das Backup über das Menü ausgeführt. Das Backup liegt im Ordner TWRP und darunter in mit Datum und Uhrzeit markierten Ordnern. So geht es leicht retour, falls Probleme auftauchen.

Über Install kann man das Lineage-ROM-Zip File über die SD-Karte auch einfach und ohne PC Anschluss installieren. Ein Zeitgewinn und viel einfacher.

Wichtig ist immer, alle Partition des Originalsystems zu sichern, das Wipe (Löschen der Partitions) laut Anleitung über die Advanced Funktion durchzuführen und am Bildschirm immer alle Meldungen auch wirklich zu lesen. Wenn man etwas nicht versteht, am besten im XDA-Developers Forum suchen, oder Fragen.

Nach der Installation, bzw. nach dem Setup mit LineageOS hilft ein Wipe des Dalvik Caches bei Problemen. Bei mir funktionierte die Bluetooth Tastatur nur in Englisch, nach dem Wipe erfolgte die Umschaltung auf Deutsch sehr sauber.

Um nun ohne Google Play Store auszukommen, installiert man das F-Droid apk, welches von F-Droid Store (https://f-droid.org/) geladen werden kann. Da es meist nicht ohne Programme (Apps) aus dem Google Play Store geht, kann man über F-Droid den „Yalp Store” installieren. Dieser lädt Programme (Apps) ohne Registrierung bei Google von dort. Optional zur Anonymisierung auch über Tor.

Interessante Programme (Apps) sind:

  • TermUX
  • ConnectBot
  • Orbot / Orfox und der neue Tor Browser (Beta)
  • Firefox mit NoScript und Ublock Addon
  • Midori Browser
  • DuckDuckGo Privacy Browser

Die Standard Mail, Kalender und Kontakte Apps funktionieren sehr gut gegen unserem Mail Server, welcher unter FreeBSD ActiveSync bereitstellt. Damit sollten hier keine zusätzlichen Programme notwendig sein. Alternativ K9 Mailer und DavX5.

Zur Verbindung mit meinem eigenen Owncloud Server, den Owncloud Client. Damit können Fotos sofort beim Erstellen zum Server geladen werden. Durch die eigene OwnCloud natürlich so, dass das Foto nie auf anderen Servern im Internet gespeichert wird.

Nicht zu vergessen, auch wenn mit einer gewissen Lernkurve verbunden, AFWall+ als Firewall Frontend zur IPTables Verwendung und Titanium Backup für eine professionelle Sicherung, welche Sie auch auf der SD Karte ablegen können. Wenn Sie die SD Karte öfters auf den PC kopieren, haben Sie ein zusätzliches Backup, falls das Gerät gestohlen wird, oder ausfällt.

Für die Verwendung von AFWall+ und Titanium muss root aktiviert werden. Einfach wieder 7-mal auf die Build Nummer hämmern und dann in den Entwicklereinstellungen root für ADB und APPS erlauben.

Am Ende wird das in etwa so aussehen:

Natürlich gehört noch der OpenVPN Client fürs VPN nach Hause installiert, welcher sich gegen die Open Source PFSense Firewall mit 4096 Bit Zertifikaten und Passwort authentifiziert. Damit sind Sie immer in der Lage, ohne Daten an Dritte zu senden, auf Ihre Daten zu Hause oder im Büro zuzugreifen. Privatsphäre wie sie sein sollte!

Basierend auf den ersten Tests wurde noch folgendes installiert

  • Keepass2Android mit WebDAV Unterstützung (via Developer Site)
  • Navit Offline Navigations Software (bekommt eigenen Blog Eintrag)
  • Traccar und Traccar Manager als Ersatz für Owntracks (läuft ohne Google Libraries), Manager via Developer Site
  • K9 Mailer mit PGP Unterstützung Openkeychain
  • xBrowserSync Bookmark Syncer (gegen meinen eigenen Server)
  • FreeOPT als Client für 2FA Authentifizierung
  • OwnCloud Client für den Zugriff auf meine eigene Cloud, inkl. Voll automatischen Foto Upload und sync zwischen den Geräten
  • LinPhone SIP Ciient als Nebenstelle für meinen Asterisk Server

Update 20200702 Greentooth

Um das Gerät weiter abzusichern sollte Bluetooth generell deaktiviert sein. Manuell wird das natürlich nie gemacht und deshalb empfehle ich die Installation von:

Deaktiviert automatisch mit einstellbarem Zeitraum, nach Disconnect der letzten Device, das Bluetooth Modul. Damit ist das Gerät nicht mehr über Bluetooth angreifbar.

Absichern mit Firewall und auf IP Adressen begrenzen!

Custom Script um Zugriff zu eigenen IP Adressen global zu erlauben und Rules um notwendigen Traffic zu anonymisieren

AFWall+ als Firewall schaltet bereits jetzt Apps zum Datenverkehr frei, oder sperrt diese, jedoch ist immer das Problem, dass wenn man eine App für den Datenverkehr freischaltet, dass diese sich ins gesamte Internet verbinden kann und nicht nur zu den eigenen Servern und Services.

Zusätzlich wollen wir den Systemdiensten den Zugriff zum Internet verbieten und jeglichen verbleibenden Datenverkehr über das Tor Netzwerk anonymisieren. Bezüglich Tor lassen Sie sich von Unwissenden keine Schauergeschichten erzählen. Tor ist ein Overlay Netzwerk, wie andere VPNs auch, kann aber die Anonymisierung viel besser. Tor rettet Journalisten und anderen Berufsgruppen in kritischen Bereichen die persönliche Freiheit und oft auch das Leben. Tor ist natürlich vollkommen legal und erlaubt. Reden Sie mit Profis und nicht mit Menschen die etwas erzählen, dass Sie von jemanden gehört haben, der etwas gehört hat.

Schritte:

  • Jeglichen ein- uns ausgehenden Traffic verbieten
  • Global allen Apps den Zugriff auf die eigenen Server und Services erlauben
  • Sonstigen Apps, welche unbedingt notwendig sind, den anonymisierten Zugriff ins Internet erlauben

Benötigt wird das Paket Orbot aus dem F-Droid Store. Aktivieren Sie keinen VPN Modus von Orbot. Der reine Dienst reicht, die Umleitung der Pakete über Tor wird durch AFWALL+ erreicht.

*WICHTIG* WICHTIG WICHTIG

In Orbot tap the three dots in the top right corner:

  • Select „Settings”
  • Scroll down to section „Debug”
  • Tap on „Tor TransProxy Port”
  • remove „auto” and type „9040”
  • Press „OK”
  • Tap on „Tor DNS Port”
  • remove „auto” and type „5400”
  • Press „OK”
  • Return to Orbot main screen
  • tap the three dots in the top right corner. Select „Exit”
  • Start Orbot again and connect to Tor.
  • Now Tor control in AFWall should work flawlessly.
  • Orbot sollte in den Einstellungen so aktiviert werden, dass beim Start von LineageOS Orbot automatisch startet.

AFWALL+ konfigurieren und Custom Script einrichten

Zuerst muss in den AFWALL Settings die getrennte Verwaltung von VPN und Tor aktiviert werden.

AFWALL+ Custom Script erstellen

Nun benötigen wir ein Script, welches die passenden Iptable Einträge zum Zugriff auf die eigenen Server beinhaltet. Ich bevorzuge generell Self-Hosting im eigenen Hause, jedoch ist die Vorgangsweise bei einem gemieteten VPS gleich.

Das Script sollte wie folgt aussehen:

# Load in AFWALL with
# . /pathoscript/script
# the ". " is required
# Necessary at the beginning of each script!
IP6TABLES=/system/bin/ip6tables
IPTABLES=/system/bin/iptables

# Rules for KMJ
# https://github.com/ukanth/afwall/wiki/CustomScripts

# Deny IPv6 only connections
$IP6TABLES -P INPUT DROP
$IP6TABLES -P FORWARD DROP
$IP6TABLES -P OUTPUT DROP

# Block all IPv6 in IPv4 communication (for native IPv6 connections only!)
# This must be done in our IPv4 tables!
$IPTABLES -A INPUT -p 41 -j DROP
$IPTABLES -A FORWARD -p 41 -j DROP

# Drop normal Multicast-addresses
$IPTABLES -A INPUT -s 224.0.0.0/4 -j DROP
$IPTABLES -A INPUT -d 224.0.0.0/4 -j DROP
$IPTABLES -A INPUT -s 240.0.0.0/5 -j DROP
$IPTABLES -A INPUT -d 240.0.0.0/5 -j DROP
$IPTABLES -A INPUT -s 0.0.0.0/8 -j DROP
$IPTABLES -A INPUT -d 0.0.0.0/8 -j DROP
$IPTABLES -A INPUT -d 239.255.255.0/24 -j DROP
$IPTABLES -A INPUT -d 255.255.255.255 -j DROP

# DNS over Tor
# allow connections to p5400 then nat
# Force dns to use orbots port 5400 for rmnet[*] interface
$IPTABLES -A "afwall" -d 127.0.0.1 -p udp --dport 5400 -j ACCEPT
$IPTABLES -t nat -I OUTPUT -o rmnet+ -p tcp --dport 53 -j DNAT --to-destination 127.0.0.1:5400
$IPTABLES -t nat -I OUTPUT -o rmnet+ -p udp --dport 53 -j DNAT --to-destination 127.0.0.1:5400
# END DNS over Tor

# Allow Tor trans proxy port
# set port in orbot from auto to 9040
$IPTABLES -A "afwall" -d 127.0.0.1 -p tcp --dport 9040 -j ACCEPT

# Always allow connections to our own Blocks no matter the interface
# change to your ip block or addresses
$IPTABLES -A "afwall" --destination "my.ip.block.one/29" -j RETURN
$IPTABLES -A "afwall" --destination "my.ip.block.two/24" -j RETURN

# We add our home nets if we are on wifi
# we never connect to foreign wifi's
$IPTABLES -A "afwall-wifi" --destination "192.168.1.0/24" -j RETURN
# allow special IPs out via LAN
$IPTABLES -A "afwall-wifi" --destination "special.ip.out.one" -j RETURN

Speichern Sie das Script als afwall.sh am Internen, oder SD Speicher und fügen Sie das Script in den Einstellungen -> Script so hinzu:

. /pfad/zumscript/afwall.sh

Wichtig, es muss mit einem . und einem Leerzeichen beginnen, danach der Pfad und der Scriptname. “Apply rules” in der AFWALL+ dürfen keinen Fehler erzeugen und mit Rules anzeigen müssen die Regeln sichtbar sein. NUR DANN WEITERMACHEN!!

Nun kann die AFWALL+ fertig eingerichtet werden. Alle Apps, welche auf eigene Server und Dienste zugreifen, z.B. E-Mail, Element Matrix Messenger, Mastodon Client, Owncloud, und vieles mehr benötigt keine Freischaltung des Datenverkehrs in der AFWALL+ Firewall, da der Zugriff zu den eigenen Servern, und wirklich nur zu diesen, im Script erlabut ist. Damit kann bei fehlerhafter App, bzw. einem Angriff die App keine Daten zu anderen senden. Weiters wird damit Tracking und vieles unschöne mehr, unterbunden.

Eine vollständige Konfiguration sieht so aus:

Die Einstellungen heißen im Detail,

  • Bei Kernel, Zeitserver, Medienspeicher, Updater und Android System wir der Internetzugriff über Tor umgeleitet und anonymisiert.
  • F-Droid und Aurora Store benötigen, da Tor support in der App, nur die Tor Erlaubnis
  • Die DuckDuckGo, Fennec und Firefox Browser kommen nur über Tor ins Internet
  • Das IBKR Programm darf ohne Anonymisierung ins Internet
  • Der Riot.im (Element Messenger) scheint hier auf, da auf diesem Gerät 3 Riot Accounts installiert sind und einer davon auf den Matrix.org Server zugreift. Diesetwegen scheinen 2 Riot nicht auf (Zugriff im Sript erlaubt) und der dritte Account wird durch Tor anonymisiert zu Matix.org geleitet
  • Jeglicher anderer Traffic ist ein- und ausgehend blockiert

Update 2020-12:

Bei den letzten Konfigurationen auch die Zugriffe für Linux Kernel, NTP und Android System deaktiviert wurden. Zusätzlich wurde bei den über Tor gerouteten Apps die Wifi und LTE Berechtigung entfernt, sodass nur mehr Tor ein Häkchen hat. Bis jetzt ist das alles ohne Probleme.

Update auf LineageOS 17.1 und mögliche DNS Leak verhindern

Upgrade auf LineageOS 17.1 (Android 10 basiert) und Custom Script Erweiterung um den DNS außerhalb des Home WLAN’S über Orbot (Tor) zu routen). Zwischenzeitlich kann LineageOS auch als virtuelle Maschine betrieben werden (https://kmj.at/betrieb-einer-virtuellen-maschine-vm-mit-lineageos-android-unter-proxmox/).

Nun wollen wir auch jedes DNS Leak außerhalb des Home WLAN’s unterbinden und die DNS Abfragen über Tor umleiten.

Schritte:

  • Sichern der Apps und Daten am besten mit Titanium
  • Installation von LineageOS 17.1 laut Project Webseite am Gerät
  • Einrichten von Magisk zum rooten der Device
  • Setup von Afwall+ und Orbot
  • Rücksichern von Apps und Einstellugnen mit z.B. Titanium

Der komplette Vorgang war absolut unproblematisch. Es gab nur ein Problem, dass ein Problem geschaffen hat. Im F-Droid Store ist AFWall+ in der Version 3.4.x verfügbar und diese Version hat Probleme mit LineageOS 17.1 am Mobile Interface. Die Installation des 3.5.x Paketes, welches auf Github (https://github.com/ukanth/afwall/releases) zur Verfügung steht, löste das Problem und nun sind wirklich auch alle Cor und System Prozessen ohne Internet Zugang.

Durch das Custom Script haben alle Apps Zugang zu meinen Servern (Statische IPs) und benötigen keine Freigabe in AFWall+! Alle Browser und der Updater erhalten nur mehr Tor als Freigaben, damit wird der komplette Traffic über Tor (Orbot) geroutet.

Einige wenige Ausnahmen erhalten Wifi und Mobile und können direkt ins Internet.

Damit ist die Device sehr gut geschützt. Nur ein DNS leak Risiko bleibt, sobald wir uns im mobilen Datennetz (3G,4G,5G) befinden. Im Home Wlan sind wir mit Pi-Hole und Pfsense, incl. DNS-over-TLS forwarding zu eigenen, externen DNS Servern gut geschützt. Im mobilen Datennetz sind wir von dem jeweiligen Netz Provider abhängig, welcher DNS zuweisen kann und auch einen transparenten DNS Proxy mit Mitlesefunktion einrichten kann. Dies wollen wir verhindern.

DNS am rmnet[*] über Orbot DNS Port 5400 umleiten

Das mobile Daten Interface heisst rmnet0. Wir müssen nun die ausgehenden Pakete, welche unser Gerät über rmnet0 zu einer IP und deren Port 53 verlässt so umleiten, dass wir den von Orbot auf 127.0.0.1 Port 5400 angebotenen DNS verwenden. Dieser wird dann verschlüsselt über Tor geleitet.

AFWALL+ Custom Script erweitern

Wir ändern das Script aus Teil 4, welches die passenden Iptable Einträge zum Zugriff auf die eigenen Server beinhaltet. Ich bevorzuge generell Self-Hosting im eigenen Hause, jedoch ist die Vorgangsweise bei einem gemieteten VPS gleich.

Im Custom-Script weiter oben sind die Änderungen bereits integriert!

# DNS over Tor
# allow connections to p5400 then nat
# Force dns to use orbots port 5400 for rmnet[*] interface
$IPTABLES -A "afwall" -d 127.0.0.1 -p udp --dport 5400 -j ACCEPT
$IPTABLES -t nat -I OUTPUT -o rmnet+ -p tcp --dport 53 -j DNAT --to-destination 127.0.0.1:5400
$IPTABLES -t nat -I OUTPUT -o rmnet+ -p udp --dport 53 -j DNAT --to-destination 127.0.0.1:5400
# END DNS over Tor

Für mich ist es eine ziemlich perfekte Lösung, da die Privatsphäre nun wieder gesichert ist und alle Funktionen einwandfrei funktionieren. In dieser Form ist Android auch für Firmen mit smarten Mitarbeitern verwendbar.

Und natürlich bedingt eine auf Sicherheit und Privatsphäre ausgerichtete Lösung den Willen sich weiter zu bilden und einen gewissen Aufwand in den Schutz der eigenen Privatsphäre zu investieren. Hören Sie nicht auf Menschen die nur wissen wo Sie klicken oder wischen müssen, sondern hören Sie auf Spezialisten, die wirklich die Funktionalität im Detail verstehen. Nur wenn Ihnen jemand im Detail erklären kann, wie die Dinge funktionieren und was beim Klicken oder Wischen im Hintergrund passiert, bzw. passieren soll,  ist die Aufkunft etwas wert und die Person ist als Spezialist einzustufen.

Paranoia

Wer jetzt glaubt, er hat nichts zu verbergen sollte sich, vor einer Aussage in diese Richtung, den folgenden Filme ansehen:

“Nothing to Hide (2017)”

available on one of these links:

auch in Deutsch verfügbar:

Join my public room in the Matrix

If you like this blog entry feel free to join my public room by entering

/join #kmj:matrix.ctseuro.com

anywhere in the free, secure and Open Source Element Messenger (https://element.io) box to send a message!

Help or answering questions ONLY in this room!

Blog Entries on CPV.Agency

Post in Deutsch:

Post in English: