Die Erstellung dieses Artikels begann 2017 und dieser wurde bis Dezember
2020 immer wieder erweitert und angepasst. Basierend auf dem ersten
Tests von LineageOS auf einem Samsung SM-T585 Tablet im Jahre 2018
wurden nun noch Samsung A5 2017 (SM-A520F) Mobiltelefone angeschafft.
Mit ca. 250 € ein Schnäppchen und dann noch IP68 wasserdicht und gegen
Staub geschützt.
LineageOS, ein alternatives Android Betriebssystem für Tablet und Telefon!
LineageOS ist ein Betriebssystem für Smartphones und Tabletcomputer. Es
ist eine Modifizierung des von Google entwickelten freien
Betriebssystems Android und der Nachfolger des eingestellten Custom-ROMs
CyanogenMod. LineageOS ist Freie Software und wird von einer
Gemeinschaft Freiwilliger entwickelt, die das Betriebssystem gratis zum
Herunterladen bereitstellen. Mehr Infos auf der Wikipedia Seite
(https://de.wikipedia.org/wiki/LineageOS)
Vorraussetzung ist ein Geräte welches offiziell unterstützt wird
(https://wiki.lineageos.org/devices/) oder ein Custom Rom, z.B. von
https://forum.xda-developers.com/ existiert.
WICHTIG: Mit diesem Vorgang verlieren Sie Ihre Garantie, können Ihr
Gerät zerstören und niemand wird Ihnen helfen. Ich beschreibe hier den
Vorgang meiner Umstellung und ermutige Sie in keinem Fall den Vorgang an
Ihrem Gerät durchzuführen. Wenn Sie es machen, dann sind Sie auf sich
alleine gestellt und für den Fall dass Sie das Gerät zerstören sind
einzig und alleine Sie selbst verantwortlich. Niemand und schon gar
nicht ich, hafte für Dinge die Sie mit Ihrem Gerät tun!
Die Problemstellung
Nicht wirklich glücklich mit Apples IOS Geräten auf denen einiges an
notwendiger Software, z.B. Tor, nicht funktioniert, oder von Apple
verboten wurde machte ich mich schon 2017 auf die Suche nach einer
Alternative. Die Voraussetzungen waren klar und unverrückbar:
- Es darf zur Inbetriebnahme keine Registrierung beim Hersteller
erfolgen müssen. Es ist gelinde gesagt eine Frechheit, dass die
Hersteller eine Inbetriebnahme des Geräte ohne Registrierung
untersagen. Der erste Schritt zum Datensammeln muss bereits
unterbunden werden
- Es muss eine Firewall, ala IPTables, PF, IPFW oder ähnliches,
installierbar sein. Der gesamte Traffic des Gerätes muss so
kontrollierbar sein, dass Datensammler keine Verbindung aufbauen
können.
- Ein Open Source VPN Client ist Pflicht, bevorzugt OpenVPN.
- Zusätzlich benötigt wird ein vernünftiger RDP Client um auf den
Linux RDP Terminal Server via RDP zugreifen zu können. Im Business
Bereich ist damit auch der Zugriff auf Windows Systeme
gewährleistet.
- Tor muss als Dienst, inkl. Hidden Services und Tor Browser
funktionieren
- Email, Kalender und Kontakte müssen mit ActiveSync, IMAP, CalDAV,
CardDAV, PGP Verschlüsselung vernünftig funktionieren.
- Element als Matrix Messenger Client muss verfügbar sein. Damit ist
eine sichere E2E verschlüsselte Kommunikation ohne Mitleser
gewährleistet.
- Verschiedene Browser und Addons sind Pflicht. Firefox mit NoScript
und Ublock, Midori Browser und DuckDuckGo Privacy Browser wären die
Minimumanforderungen. Für Privatshpäre ist es wingend notwendig
seine Zugriffe, insbesondere welche mit Login und ohne Login auf
verschiedene Browser zu verteilen.
- Es darf keine Software installiert sein, die Daten an Dritte
überträgt und damit Inhalte, Vorgänge, oder noch schlimmer Daten des
Gerätes an Dritte überträgt. Alls Daten dürfen nur mit den eigenen
Servern ausgetauscht werden. Hersteller Bloatware muss
deinstallierbar, bzw. von Haus aus gar nicht installiert sein.
Möglichst alle Software Komponenten sollten Open Source sein.
- Zusätzlich muss ein richtiges Backup der Applikationen und Settings,
inkl. Separiertem und gesamtem Restore möglich sein. Alle
Einstellungen müssen mit Hilfe des Backups auf ein neues Geräte
übertragen werden können.
Das Gerät
Zum Test wurde 2018 ein Samsung SM-T585 Galaxy Tab A Tablet angeschafft
und mit dem vorinstallierten Android ein Versuch vorgenommen. Schon nach
kurzer Zeit stellte sich heraus, dass so ein Tablet oder Telefon die
Anforderungen in keinem Fall erfüllt. Ganz abgesehen davon, dass der
Hersteller verhindert, dass man der System Administrator wird (rooting),
gibt es dadurch keine Möglichkeit IPTables, ein vernünftiges Backup und
vieles mehr zu nutzen.
Wenn man ein Paket das sich Firewall nennt, ohne rooting aber nur ein
VPN ist, installiert, sieht man zumindest, dass die vorinstallierte
Software von Google und Samsung ohne Ende nach Hause telefoniert und
undefinierte Daten überträgt.
In Summe, obwohl lange versucht wurde diese Software zu deaktivieren und
deinstallieren, keine Lösung. Der Hersteller sperrt die Deinstallation,
Deaktivierung so, dass im Hintergrund immer Dienst laufen, welche man
nicht haben will. Zumindest, wenn man kein forensisches Datenfutter sein
will und auf seine Privatsphäre einen hohen Wert legt.
Es war klar, es musste etwas anderes werden, jedoch haben diese Android
Tablets in Punkto Größe, Suspend und Resume und einiges mehr durchaus
Vorteile gegenüber Notebooks.
Nach monatelanger Recherche stand fest, dass das Samsung Tablet mit
LinageOS betrieben werden soll. Da das Gerät leider offiziell noch nicht
unterstützt ist, musste ich auf ein Custom Rom von XDA-Developers
zurückgreifen.
Auch zum Jahreswechsel 2020 läuft das Testgerät noch immer seht stabil,
gestartet mit LineageOS 14.1, mittlerweile mit LineageOS 16.0 und es
wurde auch ein zweites Gerät für die tägliche Verwendung angeschafft.
Aufgrund der sehr positiven, langlebigen und kostengünstigen
Einsatzmöglichkeiten, wurden alle Smartphones nun auf LineageOS 17.1
(Android 10) und alle Tablets auf LineageOS 16.0 (Android 9 )
hochgerüstet und es gibt im täglichen Betrieb keine Probleme.
Wissen muss man
Lesen Sie die Install-Anleitung für das Gerät auf LinaegeOS.org durch,
lesen Sie mehrfach, damit Sie schon vorher wissen, welche Schritte Sie
benötigen. Insbesondere „Wischerkönige” können damit einiges an
Problemen vermeiden.
Die meisten Geräte kann man anders booten. In etwa so, wie man einen PC
ins Bios booten kann. Dieser Vorgang wird über Telefontasten gesteuert
und beim Samsung sind diese:
- HOME + Lautstärke+ + Power bootet in den sogenannten Recovery Mode.
Hier arbeiten wir dann mit dem TWRP Paket. So etwas wie das Bios mit
ein paar Extra Funktionen.
- HOME + Lautstärke- + Power bootet in Download Mode. Diesen benötigen
wir einmal um das Custom Recovery Paket zu laden. Ohne dieses
funktioniert der Recovery Mode nicht.
- Am Gerät muss USB Debugging aufgedreht werden. Detail dazu in den
einzelnen Anleitungen. Im wesentlichen geht das überall mit 7 mal,
über Einstellungen-Über das Gerät-Buildnummer, auf die Buildnummer
tippen. Danach ist das Entwicklermenü sichtbar.
TIP Einige Geräte haben im Entwicklermenü – „Enable Custom OEM
unlocking”. Unbedingt aufdrehen, sonst könnte es sein, dass das Gerät
nie mehr bootet.
TIP Kaufen Sie sich eine extra 32GB Micro SD Karte für diesen
Vorgang. Details dazu später. Damit wird alles viel einfacher! Geiz
ist nie Geil!
Installation von adb und fastboot
adb ist die Android Debugging Bridge und diese ist zur Kommunikation
zwischen PC und Android Gerät notwendig. Eine gute Anleitung zur
Installation findet sich hier:
https://wiki.lineageos.org/adb_fastboot_guide.html
TIP Ich selbst verwende ja kein Windows mehr und bei Debian Linux
sind die Pakete adb und fastboot im Paket Verzeichnis verfügbar. Für das
Samsung Tablet wird nur adb benötigt, da weitere Schritte mit heimdall
durchgeführt werden.
TIP Das Paket installiert auch die udev Einstellungen. Trotzdem
musste adb als root ausgeführt werden, damit adb devices das Tablet
erkannte. Da ich nur das Custom Recovery Package geladen habe und alles
weitere mit der SD Karte erledigt wurde, kein wirkliches Problem.
Danach installiert man für das Samsung Tablet die heimdall Suite für das
jeweilige Betriebssystem. Downloads finden sich hier:
https://glassechidna.com.au/heimdall/#downloads
Mit der heimdall Suite kann dann das Custom Recovery am Tablet
installiert werden. Dazu verwendet man, nachdem das Gerät in den
Download Modus gebootet wurde ( HOME + Lautstärke- + Power), beim
Samsung den Befehl:
heimdall flash –RECOVERY twrp-x.x.x-x-gtleeilte.img –no-reboot
WICHTIG Die twrp Datei wird bei Ihnen, je nach Gerät anders heißen,
jedoch ist der –noreboot unbedingt notwendig! Sollte das Image in einem
Archiv sein, extrahieren Sie es unbedingt vorher!
Danach muss sofort in den Recovery Mode gebootet werden ( HOME +
Lautstärke+ + Power) sonst überschreibt das System das Image wieder!
Das ganze sollte dann in etwa so aussehen:

Wenn nicht, wiederholt man den Vorgang solange, bis der Boot Vorgang
sauber ist und das Menü erscheint.
Nun wird es einfach. Nachdem klar wurde, dass das Custom Recovery im
wesentlichen nichts anderes ist, als ein Bios mit Extra Funktionen,
insbesondere für Partition Management und Partition Backup, konnte die
weitere Anleitung abgeändert werden.
Ich habe danach das LineageOS ROM auf die SD Karte kopiert und hierher
auch das Backup über das Menü ausgeführt. Das Backup liegt im Ordner
TWRP und darunter in mit Datum und Uhrzeit markierten Ordnern. So geht
es leicht retour, falls Probleme auftauchen.
Über Install kann man das Lineage-ROM-Zip File über die SD-Karte auch
einfach und ohne PC Anschluss installieren. Ein Zeitgewinn und viel
einfacher.
Wichtig ist immer, alle Partition des Originalsystems zu sichern, das
Wipe (Löschen der Partitions) laut Anleitung über die Advanced Funktion
durchzuführen und am Bildschirm immer alle Meldungen auch wirklich zu
lesen. Wenn man etwas nicht versteht, am besten im XDA-Developers Forum
suchen, oder Fragen.
Nach der Installation, bzw. nach dem Setup mit LineageOS hilft ein
Wipe des Dalvik Caches bei Problemen. Bei mir funktionierte die
Bluetooth Tastatur nur in Englisch, nach dem Wipe erfolgte die
Umschaltung auf Deutsch sehr sauber.

Um nun ohne Google Play Store auszukommen, installiert man das F-Droid
apk, welches von F-Droid Store (https://f-droid.org/) geladen werden
kann. Da es meist nicht ohne Programme (Apps) aus dem Google Play Store
geht, kann man über F-Droid den „Yalp Store” installieren. Dieser lädt
Programme (Apps) ohne Registrierung bei Google von dort. Optional zur
Anonymisierung auch über Tor.
Interessante Programme (Apps) sind:
- TermUX
- ConnectBot
- Orbot / Orfox und der neue Tor Browser (Beta)
- Firefox mit NoScript und Ublock Addon
- Midori Browser
- DuckDuckGo Privacy Browser
Die Standard Mail, Kalender und Kontakte Apps funktionieren sehr gut
gegen unserem Mail Server, welcher unter FreeBSD ActiveSync
bereitstellt. Damit sollten hier keine zusätzlichen Programme notwendig
sein. Alternativ K9 Mailer und DavX5.
Zur Verbindung mit meinem eigenen Owncloud Server, den Owncloud Client.
Damit können Fotos sofort beim Erstellen zum Server geladen werden.
Durch die eigene OwnCloud natürlich so, dass das Foto nie auf anderen
Servern im Internet gespeichert wird.
Nicht zu vergessen, auch wenn mit einer gewissen Lernkurve verbunden,
AFWall+ als Firewall Frontend zur IPTables Verwendung und Titanium
Backup für eine professionelle Sicherung, welche Sie auch auf der SD
Karte ablegen können. Wenn Sie die SD Karte öfters auf den PC kopieren,
haben Sie ein zusätzliches Backup, falls das Gerät gestohlen wird, oder
ausfällt.
Für die Verwendung von AFWall+ und Titanium muss root aktiviert werden.
Einfach wieder 7-mal auf die Build Nummer hämmern und dann in den
Entwicklereinstellungen root für ADB und APPS erlauben.
Am Ende wird das in etwa so aussehen:

Natürlich gehört noch der OpenVPN Client fürs VPN nach Hause
installiert, welcher sich gegen die Open Source PFSense Firewall mit
4096 Bit Zertifikaten und Passwort authentifiziert. Damit sind Sie immer
in der Lage, ohne Daten an Dritte zu senden, auf Ihre Daten zu Hause
oder im Büro zuzugreifen. Privatsphäre wie sie sein sollte!
Basierend auf den ersten Tests wurde noch folgendes installiert
- Keepass2Android mit WebDAV Unterstützung (via Developer Site)
- Navit Offline Navigations Software (bekommt eigenen Blog Eintrag)
- Traccar und Traccar Manager als Ersatz für Owntracks (läuft ohne
Google Libraries), Manager via Developer Site
- K9 Mailer mit PGP Unterstützung Openkeychain
- xBrowserSync Bookmark Syncer (gegen meinen eigenen Server)
- FreeOPT als Client für 2FA Authentifizierung
- OwnCloud Client für den Zugriff auf meine eigene Cloud, inkl. Voll
automatischen Foto Upload und sync zwischen den Geräten
- LinPhone SIP Ciient als Nebenstelle für meinen Asterisk Server
Update 20200702 Greentooth
Um das Gerät weiter abzusichern sollte Bluetooth generell deaktiviert
sein. Manuell wird das natürlich nie gemacht und deshalb empfehle ich
die Installation von:
Deaktiviert automatisch mit einstellbarem Zeitraum, nach Disconnect der
letzten Device, das Bluetooth Modul. Damit ist das Gerät nicht mehr über
Bluetooth angreifbar.
Absichern mit Firewall und auf IP Adressen begrenzen!
Custom Script um Zugriff zu eigenen IP Adressen global zu erlauben und
Rules um notwendigen Traffic zu anonymisieren
AFWall+ als Firewall schaltet bereits jetzt Apps zum Datenverkehr
frei, oder sperrt diese, jedoch ist immer das Problem, dass wenn man
eine App für den Datenverkehr freischaltet, dass diese sich ins gesamte
Internet verbinden kann und nicht nur zu den eigenen Servern und
Services.
Zusätzlich wollen wir den Systemdiensten den Zugriff zum Internet
verbieten und jeglichen verbleibenden Datenverkehr über das Tor Netzwerk
anonymisieren. Bezüglich Tor lassen Sie sich von Unwissenden keine
Schauergeschichten erzählen. Tor ist ein Overlay Netzwerk, wie andere
VPNs auch, kann aber die Anonymisierung viel besser. Tor rettet
Journalisten und anderen Berufsgruppen in kritischen Bereichen die
persönliche Freiheit und oft auch das Leben. Tor ist natürlich
vollkommen legal und erlaubt. Reden Sie mit Profis und nicht mit
Menschen die etwas erzählen, dass Sie von jemanden gehört haben, der
etwas gehört hat.
Schritte:
- Jeglichen ein- uns ausgehenden Traffic verbieten
- Global allen Apps den Zugriff auf die eigenen Server und Services
erlauben
- Sonstigen Apps, welche unbedingt notwendig sind, den anonymisierten
Zugriff ins Internet erlauben
Benötigt wird das Paket Orbot aus dem F-Droid Store. Aktivieren
Sie keinen VPN Modus von Orbot. Der reine Dienst reicht, die Umleitung
der Pakete über Tor wird durch AFWALL+ erreicht.
*WICHTIG* WICHTIG WICHTIG
In Orbot tap the three dots in the top right corner:
- Select „Settings”
- Scroll down to section „Debug”
- Tap on „Tor TransProxy Port”
- remove „auto” and type „9040”
- Press „OK”
- Tap on „Tor DNS Port”
- remove „auto” and type „5400”
- Press „OK”
- Return to Orbot main screen
- tap the three dots in the top right corner. Select „Exit”
- Start Orbot again and connect to Tor.
- Now Tor control in AFWall should work flawlessly.
- Orbot sollte in den Einstellungen so aktiviert werden, dass beim
Start von LineageOS Orbot automatisch startet.
AFWALL+ konfigurieren und Custom Script einrichten
Zuerst muss in den AFWALL Settings die getrennte Verwaltung von VPN und
Tor aktiviert werden.

AFWALL+ Custom Script erstellen
Nun benötigen wir ein Script, welches die passenden Iptable Einträge zum
Zugriff auf die eigenen Server beinhaltet. Ich bevorzuge generell
Self-Hosting im eigenen Hause, jedoch ist die Vorgangsweise bei einem
gemieteten VPS gleich.
Das Script sollte wie folgt aussehen:
# Load in AFWALL with
# . /pathoscript/script
# the ". " is required
# Necessary at the beginning of each script!
IP6TABLES=/system/bin/ip6tables
IPTABLES=/system/bin/iptables
# Rules for KMJ
# https://github.com/ukanth/afwall/wiki/CustomScripts
# Deny IPv6 only connections
$IP6TABLES -P INPUT DROP
$IP6TABLES -P FORWARD DROP
$IP6TABLES -P OUTPUT DROP
# Block all IPv6 in IPv4 communication (for native IPv6 connections only!)
# This must be done in our IPv4 tables!
$IPTABLES -A INPUT -p 41 -j DROP
$IPTABLES -A FORWARD -p 41 -j DROP
# Drop normal Multicast-addresses
$IPTABLES -A INPUT -s 224.0.0.0/4 -j DROP
$IPTABLES -A INPUT -d 224.0.0.0/4 -j DROP
$IPTABLES -A INPUT -s 240.0.0.0/5 -j DROP
$IPTABLES -A INPUT -d 240.0.0.0/5 -j DROP
$IPTABLES -A INPUT -s 0.0.0.0/8 -j DROP
$IPTABLES -A INPUT -d 0.0.0.0/8 -j DROP
$IPTABLES -A INPUT -d 239.255.255.0/24 -j DROP
$IPTABLES -A INPUT -d 255.255.255.255 -j DROP
# DNS over Tor
# allow connections to p5400 then nat
# Force dns to use orbots port 5400 for rmnet[*] interface
$IPTABLES -A "afwall" -d 127.0.0.1 -p udp --dport 5400 -j ACCEPT
$IPTABLES -t nat -I OUTPUT -o rmnet+ -p tcp --dport 53 -j DNAT --to-destination 127.0.0.1:5400
$IPTABLES -t nat -I OUTPUT -o rmnet+ -p udp --dport 53 -j DNAT --to-destination 127.0.0.1:5400
# END DNS over Tor
# Allow Tor trans proxy port
# set port in orbot from auto to 9040
$IPTABLES -A "afwall" -d 127.0.0.1 -p tcp --dport 9040 -j ACCEPT
# Always allow connections to our own Blocks no matter the interface
# change to your ip block or addresses
$IPTABLES -A "afwall" --destination "my.ip.block.one/29" -j RETURN
$IPTABLES -A "afwall" --destination "my.ip.block.two/24" -j RETURN
# We add our home nets if we are on wifi
# we never connect to foreign wifi's
$IPTABLES -A "afwall-wifi" --destination "192.168.1.0/24" -j RETURN
# allow special IPs out via LAN
$IPTABLES -A "afwall-wifi" --destination "special.ip.out.one" -j RETURN
Speichern Sie das Script als afwall.sh am Internen, oder SD Speicher
und fügen Sie das Script in den Einstellungen -> Script so hinzu:
. /pfad/zumscript/afwall.sh
Wichtig, es muss mit einem . und einem Leerzeichen beginnen, danach
der Pfad und der Scriptname. “Apply rules” in der AFWALL+ dürfen keinen
Fehler erzeugen und mit Rules anzeigen müssen die Regeln sichtbar sein.
NUR DANN WEITERMACHEN!!
Nun kann die AFWALL+ fertig eingerichtet werden. Alle Apps, welche auf
eigene Server und Dienste zugreifen, z.B. E-Mail, Element Matrix
Messenger, Mastodon Client, Owncloud, und vieles mehr benötigt keine
Freischaltung des Datenverkehrs in der AFWALL+ Firewall, da der Zugriff
zu den eigenen Servern, und wirklich nur zu diesen, im Script erlabut
ist. Damit kann bei fehlerhafter App, bzw. einem Angriff die App keine
Daten zu anderen senden. Weiters wird damit Tracking und vieles unschöne
mehr, unterbunden.
Eine vollständige Konfiguration sieht so aus:

Die Einstellungen heißen im Detail,
- Bei Kernel, Zeitserver, Medienspeicher, Updater und Android System
wir der Internetzugriff über Tor umgeleitet und anonymisiert.
- F-Droid und Aurora Store benötigen, da Tor support in der App, nur
die Tor Erlaubnis
- Die DuckDuckGo, Fennec und Firefox Browser kommen nur über Tor ins
Internet
- Das IBKR Programm darf ohne Anonymisierung ins Internet
- Der Riot.im (Element Messenger) scheint hier auf, da auf diesem
Gerät 3 Riot Accounts installiert sind und einer davon auf den
Matrix.org Server zugreift. Diesetwegen scheinen 2 Riot nicht auf
(Zugriff im Sript erlaubt) und der dritte Account wird durch Tor
anonymisiert zu Matix.org geleitet
- Jeglicher anderer Traffic ist ein- und ausgehend blockiert
Update 2020-12:
Bei den letzten Konfigurationen auch die Zugriffe für Linux Kernel, NTP
und Android System deaktiviert wurden. Zusätzlich wurde bei den über Tor
gerouteten Apps die Wifi und LTE Berechtigung entfernt, sodass nur mehr
Tor ein Häkchen hat. Bis jetzt ist das alles ohne Probleme.
Update auf LineageOS 17.1 und mögliche DNS Leak verhindern
Upgrade auf LineageOS 17.1 (Android 10 basiert) und Custom Script
Erweiterung um den DNS außerhalb des Home WLAN’S über Orbot (Tor) zu
routen). Zwischenzeitlich kann LineageOS auch als virtuelle Maschine
betrieben werden
(https://kmj.at/betrieb-einer-virtuellen-maschine-vm-mit-lineageos-android-unter-proxmox/).
Nun wollen wir auch jedes DNS Leak außerhalb des Home WLAN’s
unterbinden und die DNS Abfragen über Tor umleiten.
Schritte:
- Sichern der Apps und Daten am besten mit Titanium
- Installation von LineageOS 17.1 laut Project Webseite am Gerät
- Einrichten von Magisk zum rooten der Device
- Setup von Afwall+ und Orbot
- Rücksichern von Apps und Einstellugnen mit z.B. Titanium
Der komplette Vorgang war absolut unproblematisch. Es gab nur ein
Problem, dass ein Problem geschaffen hat. Im F-Droid Store ist AFWall+
in der Version 3.4.x verfügbar und diese Version hat Probleme mit
LineageOS 17.1 am Mobile Interface. Die Installation des 3.5.x Paketes,
welches auf Github (https://github.com/ukanth/afwall/releases) zur
Verfügung steht, löste das Problem und nun sind wirklich auch alle Cor
und System Prozessen ohne Internet Zugang.
Durch das Custom Script haben alle Apps Zugang zu meinen Servern
(Statische IPs) und benötigen keine Freigabe in AFWall+! Alle Browser
und der Updater erhalten nur mehr Tor als Freigaben, damit wird der
komplette Traffic über Tor (Orbot) geroutet.
Einige wenige Ausnahmen erhalten Wifi und Mobile und können direkt ins
Internet.
Damit ist die Device sehr gut geschützt. Nur ein DNS leak Risiko bleibt,
sobald wir uns im mobilen Datennetz (3G,4G,5G) befinden. Im Home Wlan
sind wir mit Pi-Hole und Pfsense, incl. DNS-over-TLS forwarding zu
eigenen, externen DNS Servern gut geschützt. Im mobilen Datennetz sind
wir von dem jeweiligen Netz Provider abhängig, welcher DNS zuweisen kann
und auch einen transparenten DNS Proxy mit Mitlesefunktion einrichten
kann. Dies wollen wir verhindern.
DNS am rmnet[*] über Orbot DNS Port 5400 umleiten
Das mobile Daten Interface heisst rmnet0. Wir müssen nun die ausgehenden
Pakete, welche unser Gerät über rmnet0 zu einer IP und deren Port 53
verlässt so umleiten, dass wir den von Orbot auf 127.0.0.1 Port 5400
angebotenen DNS verwenden. Dieser wird dann verschlüsselt über Tor
geleitet.
AFWALL+ Custom Script erweitern
Wir ändern das Script aus Teil 4, welches die passenden Iptable Einträge
zum Zugriff auf die eigenen Server beinhaltet. Ich bevorzuge generell
Self-Hosting im eigenen Hause, jedoch ist die Vorgangsweise bei einem
gemieteten VPS gleich.
Im Custom-Script weiter oben sind die Änderungen bereits integriert!
# DNS over Tor
# allow connections to p5400 then nat
# Force dns to use orbots port 5400 for rmnet[*] interface
$IPTABLES -A "afwall" -d 127.0.0.1 -p udp --dport 5400 -j ACCEPT
$IPTABLES -t nat -I OUTPUT -o rmnet+ -p tcp --dport 53 -j DNAT --to-destination 127.0.0.1:5400
$IPTABLES -t nat -I OUTPUT -o rmnet+ -p udp --dport 53 -j DNAT --to-destination 127.0.0.1:5400
# END DNS over Tor
Für mich ist es eine ziemlich perfekte Lösung, da die Privatsphäre nun
wieder gesichert ist und alle Funktionen einwandfrei funktionieren. In
dieser Form ist Android auch für Firmen mit smarten Mitarbeitern
verwendbar.
Und natürlich bedingt eine auf Sicherheit und Privatsphäre ausgerichtete
Lösung den Willen sich weiter zu bilden und einen gewissen Aufwand in
den Schutz der eigenen Privatsphäre zu investieren. Hören Sie nicht auf
Menschen die nur wissen wo Sie klicken oder wischen müssen, sondern
hören Sie auf Spezialisten, die wirklich die Funktionalität im Detail
verstehen. Nur wenn Ihnen jemand im Detail erklären kann, wie die Dinge
funktionieren und was beim Klicken oder Wischen im Hintergrund passiert,
bzw. passieren soll, ist die Aufkunft etwas wert und die Person ist als
Spezialist einzustufen.
Paranoia
Wer jetzt glaubt, er hat nichts zu verbergen sollte sich,
vor einer Aussage in diese Richtung, den folgenden Filme ansehen:
“Nothing to Hide (2017)”
available on one of these links:
auch in Deutsch verfügbar:
Join my public room in the Matrix
If you like this blog entry feel free to join my public room by entering
/join #kmj:matrix.ctseuro.com
anywhere in the free, secure and Open Source Element Messenger (https://element.io) box to send a message!
Help or answering questions ONLY in this room!
Links:
Blog Entries on CPV.Agency
Post in Deutsch:
Post in English: