Privatsphäre im Heimnetz - Werbung, Tracker und alles neugierige aussperren

[atmik]

Hallo zusammen

Mich nervt schon seit einiger Zeit dass wir immer mehr zur Glaskugel werden und es reicht aus meiner Sicht nicht mehr nur einen Ad-Blocker als Browsererweiterung zu installieren. Ich möchte direkt an der Türe zum Internet eingreifen und mein Heimnetz vor den immer neugierigeren Webseiten schützen.

Die einen werden sagen das sei unfair den Seitenbetreibern gegenüber, schliesslich stellen sie uns gratis Informationen aller Art zur Verfügung. Ja das mag stimmen, aber Seiten die man unterstützen möchte kann man ja in eine Whitelist eintragen. Heutzutage ist es leider so, dass wir ungrefragt zum Teil ziemlich krass ausgelesen werden von vermeindlich seriösen Seiten und unser Surfverhalten und Interessen ungefragt von Werbeanbieter zu Werbeanbieter weitergereicht werden.

Ich habe das Forum hier durchsucht aber abgesehen von diesen 2 Beiträgen nichts passendes gefunden:
Stoppt die Werbung..
DSM 4 - dnsmasq -DNS

Vielleicht weiss ja jemand noch passendere Themen hier im Forum, ich habe diese leider nicht gefunden. Im Wiki fand ich ebenfalls nichts dazu.

Viele von den Mitlesern hier wird es ähnlich gehen wie mir, seit Jahrzehnten mit Windows PCs unterwegs und Synology wird an der DSM Oberfläche/Frontend bedient. Zum Glück hat es hier auch viele die von "Geburt an" mit Linux bandeln und uns Dummie-Windows Usern unter die Arme greifen wenn wir uns mal an die Kommandozeilen wagen sollten. Dafür ein FETTES Danke für eure Arbeit über die Jahre die ihr aus Überzeugung zur Sache (Synology) hier leistet.

Prädestiniert für diese Aufgabe wäre ein Router, so wie ich es im Netz recherchiert habe gibt es aber keinen Hersteller der sich traut die Werbeindustrie auszuschliessen. Das einzige was ich gefunden habe wäre eine DDWRT Firmware die dnsmasq anbietet und diesen Beitrag.

Bitte lacht nicht über die folgenden Zeilen, vielleicht ist das für die einen hier "Basic-Kost" aber ich denke es gibt auch viele die mit den ganzen DNS, Hosts, Wildcards, dnsmasq nicht so sattelfest sind und nur ein bisschen vom ganzen verstehen. Es kann auch sein dass ich die falsche Person bin um hier ein so ein Thema zu starten, ich würde lieber eine How-To schreiben aber vielleicht bin ich auch gerade die richtige Person dazu denn jemand der mit einem How-To zu diesem Thema sattelfest ist schreibt eine für ihn selbst einfache Anleitung was uns Windows-Dummies schon überfordern könnte.

Sollte es schon einen umfassenden Thread zu diesem Thema geben so kann das hier versenkt werden, ansonsten könnte hier auch was ganz tolles entstehen.

Also zurück zum Thema:

Wir (-fast) alle haben einen Router und hinter diesem ist unser Synology angeschlossen. Im Moment hängt mein NAS am Router (Fritzbox) als Client. Da die Router höchstwahrscheinlich für diese Aufgabe nicht in Frage kommen ist es doch am naheliegendsten, dass wir diese Aufgabe unserem "Universal-Esel Synology" aufbürden (Es gibt auch die Möglichkeit eine "Blacklist" zu führen in der Fritzbox aber soweit ich gelesen und versucht habe hat es für nicht mehr als 200 Einträge Platz).

Was ich bisher weiss:

- DD-WRT käme in Frage (braucht ein zusätzliches Gerät)
- Privoxy wäre eine Möglichkeit
- dnsmasq wäre ebenfalls eine Möglichkeit

Wie weiter? Wo würdet ihr ansetzen? In welche Richtung soll ich weiter recherchieren?

Ich stelle es mir so vor, dass ich die Fritzbox als Schnittstelle zum Internet lasse
Kabelnetzmodem (hat keine Router/FW Funktion) - Fritzbox als Router für z.B. 192.168.1.1 Netz an diesem wird nur meine Syno als 2ter Router angeschlossen und ein neues Netzwerk erstelle mit dem Syno als NAS mit z.B. 192.168.15.1

Warum? So hängt mein NAS nicht direkt am Internet und ist vielleicht weniger angreifbar?

Wie würdet ihr vorgehen? Ich bin natürlich offen für eine komplett andere Lösung, auch Hardwaremässig.

Besten Dank im Voraus für eure Anregungen.

EDIT: Mir fällt gerade auf, dass das WLAN ja auch über die Fritzbox lauft, somit müsste ich eher den Fritz Router als Access Point an die Syno hängen damit wie WLAN Geräte ebenfalls in den Genuss des Schutzes kommen.

 

[hakiri]

Sehr interessantes Thema, was Du da ansprichst.
In der Tat geht es heute um viel mehr als nur Webe-Banner zu blocken.
"Gefährlich" finde ich Tracking-Cookies und die Durchdringung und Allgegenwärtigkeit von sozialen Netzwerken.

Zumal hast Du nicht überall die Möglichkeit einen Clientseitigen Adblocker direkt zu installieren. Ich denke da z.B. an iOS Geräte.
Da in meinem Haushalt davon diverse rumfliegen bin ich dazu übergegangen und habe mir einen Privoxy installiert.
Eine passable Anleitung und Beschreibung findest Du hier bei ubuntuusers
Auf dem Computer habe ich neben einem Adblocker noch Ghostery im Einsatz (Alternativ Disconnect).

Auf der DSM könntest Du dies installieren mit IPKG oder alternativ mit der neuen Docker Architektur (DSM Beta 5.2).
Falls Du nicht möchtest, dass eine ganze NAS samt ihren Platten rödelt, damit Du im Netz browsen kannst, bietet sich hier auch die Verwendung eines Raspis an.
Aus meiner Sicht tut es auch die alte Version.

Wo Licht ist, ist natürlich auch Schatten und ich möchte Dir meine Probleme nicht vorenthalten:
- Probleme bei einigen Seiten, die Youtube Videos embedded haben. Youtube direkt geht
- Witzigerweise hängt sich mien Privoxy auf, wenn ich mit dem iPad auf die Rackstation gehe. Auf meine normale DS geht alles....

 

[atmik]

bietet sich hier auch die Verwendung eines Raspis an.
Aus meiner Sicht tut es auch die alte Version.

Ist die Raspy nicht zu schwachbürstig um den gesamten Datenverkehr darüber zu leiten? Wenn nicht, wo hänge ich das Teil an? Zwischen Kabelmodem und Fritzbox?

 

[hakiri]

Wieviel Clients hast Du denn?
Handelt es sich um einen normalen Haushalt, reicht nen Raspi IMHO da schon gut aus.
Bis ich auf meinen "richtigen" Homeserver umgestiegen bin, hatte ich es neben vielen anderen Diensten auf einem Wandboard laufen. Ist etwa vergleichbar mit dem Raspi2 und hatte nie Beschwerden in Hinsicht Performance.
Wenn ich mir die Hardware einer Fritzbox genauer ansehe, ist die sogar schwächer als ein Raspi und hat DECT, WiFi, Firewall, Filtering und sogar QOS an board.

Der gehört dann "vor" die Fritzbox. Quasi zwischen Clients (NAS, Computer, mobile devices) und dem Router (Fritzbox).
Die Clients müssen dann als Proxy den Raspi benutzen.

Hier mal eine englische Anleitung

 

[atmik]

Clients? 6 PCs/Notebooks, 4 Handys, PS4, WD TV Live Player, TV und sonstige Geräte mit Internetzugang und es werden eher mehr als weniger mit der Zeit....
EDIT: Beim TV habe ich z.B. als Gateway 127.0.0.1 eingegeben, so greift das Fernsehgerät nicht auf das Internet zu

Hier habe ich gerade noch was ganz nettes zum Thema gefunden und am entdecken: http://www.gurusheaven.de/

EDIT:

Der gehört dann "vor" die Fritzbox. Quasi zwischen Clients (NAS, Computer, mobile devices) und dem Router (Fritzbox).
Die Clients müssen dann als Proxy den Raspi benutzen.

So wären meine WLAN Clients NICHT geschützt und nutzt so nichts...

 

[atmik]

Mittlerweile habe ich gelesen, dass ich bisher 2 Mlöglichkeiten habe:

1. Modifikation Fritzbox mittels Customfirmware/Erweiterung Freetz und der Paketerweiterung privoxy

2. Raspberry Pi mit privoxy.

Ich habe zwar schon eine Raspberry bestellt, da ich jedoch schon eine Fritzbox habe wäre es mir viel lieber wenn alles über diese laufen würde. Somit werde ich dies heute versuchen und hier weiter berichten. Den Raspberry kann ich ja für sonst was brauchen oder als Plan B falls das mit der Fritzbox nicht klappen würde.

 

[Tommes]

Es muss ja jeder selber wissen, aber ich wäre mit einer alternativen Firmware für einen Router eher vorsichtig. Schließlich hat der Router eine Schlüsselposition im Netzwerk und man sollte nicht leichtsinnig darin rumpfuschen. Außer man weiß, was man tut. Daher würde ich einem Raspberry Pi oder etwas ähnliches aus dieser Waffengattung den Vorzug geben.

Aber das ist nur meine bescheidene Meinung.

Tommes

 

[whitbread]

Also ich beisse mir an einer sauber funktionierenden Konfig für ios- und Wind0ws-Clients aktuell ebenfalls die Zähne aus.

Meine Anforderungen:
- Werbung entfernen
- Tracking verhindern
- Browser-Fingerprinting erschweren

Das habe ich auf meinem PC mit FF-Addons relativ erfolgreich umsetzen können. Dazu sind Ghostery, Noscript, Adblock Plus und HTTP User Agent Cleaner im Einsatz. Die Kontrolle unter http://ip-check.info gibt schon ein recht grünes Bild. Einige Seiten bereiten aber Probleme, lassen sich dann aber recht einfach als Ausnahme definieren.


Um ios-devices auf einen ähnlichen Stand zu bringen, habe ich aktuell dieses Massnahmenpaket am Laufen:
- Privoxy läuft als Proxy-Server und wird über eine wpad.dat gesteuert, um Ausnahmen definieren zu können
- Privoxy entfernt die Proxy-, Etag-, Authorization-, referer-, accept-language-, und user-agent-header, sowie cookies
- da ios die Proxy-Einstellung gelegentlich mißachtet habe ich für http-Traffic noch einen transparenten Proxy auf dem Router (MikroTik) aktiviert, der den Privoxy als parent nutzt
- um den https-Traffic, der die Proxy-Einstellungen mißachtet einzudämmen habe ich einen DNS-Server auf meiner Synology am Laufen, der die am wenigsten gewollten Domains auf 127.0.0.1 umleitet

Das Ergebnis ist leider nicht zufriedenstellend:
1. Ich habe den Privoxy auf einem PC am Laufen, da ich keine anderen Mittel habe; der Stromverbrauch ist unakzeptabel
2. Seitenaufbau ist bei Seiten, bei denen Inhalte teilweise gesperrt sind sehr langsam
3. Einige Seiten bauen sich gar nicht auf
4. Es sind einige Ausnahmen für https-Traffic notwendig. Diese müssen sehr umständlich in der wpad.dat gepflegt werden. Zudem schmecken mir deise z.T. überhaupt nicht (Bsp. *.whatsapp.com).
5. Insgesamt war ein recht aufwendiges Tuning notwendig, um eine halbwegs gangbare Einstellung zu finden.

==> Der WAF ist definitiv unter aller Kanone!

Der grosse Unterschied zwischen PC und ios-Clients ist, dass der PC die Inhalte, die nicht angezeigt werden sollen gar nicht erst anfragt, im ios hingegen werden diese angefragt aber nicht geliefert und dann heisst es www (warten, warten, warten); das ist ziemlich ätzend!

Was mich aktuell halt umtreibt ist, ob eine Filterung auf DNS-Ebene einer Filterung durch den Proxy vorzuziehen ist oder anders herum...

 

[raymond]

Ich würde das alles auf dem Client machen. Für den privaten Bereich braucht man sich nicht den Stress zu geben extra einen Rechner hinzustellen und darüber den Traffic filtern zu lassen. Bei der Fehlersuche hat man dann viel Spaß. In Firmennetzwerken mit einer Vielzahl von Rechnern sieht das anders aus. Da kann man sich auch über eine Hardwarelösung unterhalten.

Lokal installiertes Privoxy oder AdBlock (Plus) reicht doch. Soziale Netzwerke kann man ja meiden und man hat schon viel gewonnen, wenn man nicht darin eingeloggt auf irgendwelchen Seiten rumsurft.

Falls man doch einen extra Rechner nutzt: der Raspberry Pi 2? sollte das performant mitmachen und zieht ja wenig Strom. Nur maximal 100 Mbit/s sind drin (für Leute die dickeres Internet haben). Hier hat man vermutlich mehr Freiheit bei der Software als auf der NAS?!

Der Router muss schon relativ flott sein (neben der Möglichkeit Drittsoftware wie privoxy zu installieren und ggf. eine andere Firmware). Sonst hat man daran auch nicht lange Spaß.

 

[whitbread]

@raymond: Absolute Zustimmung, wobei ich lokal am PC sogar auf Privoxy verzichten würde.

Aber für ios sehe ich leider keine andere Wahl!

Und ja, es ist richtig: Der Aufwand fürs Filtern ist nicht unerheblich und lohnt sich für den Heimanwender eigentlich nicht. Vielleicht ensteht hier mal eine Community-Lösung...

 

[atmik]

Hallo zusammen
Aus Langeweile habe ich in meinen alten Threads herumgestochert und bin wieder auf einen alten Thread aufmerksam geworden. Die Zeiten haben sich gebessert, seit ca. 1 Jahr benutze ich PI-HOLE auf einem RhaspberryPI2

Wollte das noch ergänzen für alle die noch über diesen Thread stolpern.

Viel Spass beim einrichten an alle welche es noch nicht kennen.

 

[Tommes]

Hier mal kurz meine Erfahrungen!

Ich habe auch viel zum Thema recherchiert und auch viele Ideen entwickelt, um mein Netzwerk vor dem bösen Internet zu schützen. Mein Problem ist aber meine FritzBox 7590, welche sowohl für die Bereitstellung von Internet als auch IP-Telefonie fungiert. Ich bin dabei auf viele Hürden und Ungereimtheiten gestoßen wie z.B. doppeltes NAT, Probleme mit IP-Telefonie hinter einer Hardwarefirewall, Unterstützung meines Magenta Zuhause Start Glasfaser-Anschlusses an z.B. einem Draytek Vigor 130 Modem und Weiterleitung zu einer Hardwarefirewall bzw. Fritzbox 7590 usw.

Am Ende war mir das alles zu doof und jetzt nutze ich ausschließlich das VPN der Fritzbox um mich von extern in mein Heimnetz einzuwählen und einen Raspberry Pi 3 mit Pi-hole. Vielleicht kommt auf dem Pi in Zukunft noch die ein oder andere Aufgabe hinzu (dann aber wohl auf einem Pi 3+) um mein Netzwerk weiter abzusichern, aber damit habe ich mich noch nicht weiter beschäftigt. Pi-hole auf der DS mittels Debian Chroot, Docker und/oder dem VMM habe ich auch schnell wieder verworfen.

Unterm Strich reicht mir diese Lösung völlig aus. Alles andere wäre nur „just for fun“ um meinen Spieltrieb zu befriedigen und zu schauen, was möglich ist. Jedoch bin ich auch keiner von diesen Hardcore-Usern, die ein ganzes Waffenarsenal an Schutzmechanismen zwischen sich und dem Internet benötigen um besser schlafen zu können. Von daher… manchmal ist weniger, mehr!

Tommes

 

[blurrrr]

"Privatsphäre im Heimnetz - Werbung, Tracker und alles neugierige aussperren" -> Stecker ziehen (mal für "normale Leute" ausgedrückt). Auf der anderen Seite wäre es ein irrsinniger administrativer Aufwand, welcher selbst dann noch immer nicht 101% Erfolg garantieren würde (mal ab davon, dass man richtig Ahnung von der Materie haben müsste). Von daher hat Tommes meiner Meinung nach hier völlig recht. Router mit Firewall, jou, Rechner mit Firewall, jou, Virenscanner auf dem Rechner, jou, keine unbekannten Mails mit Anhängen öffnen und deren Anhänge schon garnicht, jou, ein bisschen umsichtig surfen, jou.... sollte passen

@Tommes: Hier laufen diverse IP-Telefone (und auch VoIP-TK-Anlagen) hinter entsprechenden Firewalls -> keinerlei Probleme. Das mit dem Pi-Hole funktioniert allerdings leider auch nur solange, wie die Domains entsprechend hinterlegt sind. Bei einer kurzfristigen Domainänderung, oder Zugriff via IP passiert dann da halt leider auch schon wieder weniger. Die "großen" mag man damit auch gut rausfischen (die "stören" ja nur), aber diese zig kleinen (wo meist Malware verteilt wird) für grade mal einen Monat angemieteten Domains, da wird es dann schon eher problematisch.

 

[Tommes]

Nur damit man mich nicht falsch versteht... ich habe nur gesagt, das ich bei meiner Recherche auf einige Hürden und Ungereimtheiten gestoßen bin, was aber nicht bedeutet, das man diese nicht lösen könnte. Am Ende wurde mir nur der materielle als auch administrative Aufwand zu groß, ebenso mögliche Fehlerquellen. Denn neben meinem bereits bestehenden Hardware-Fuhrpark hätte ich noch mindestens ein Modem, eine Hardware-Firewall, einen vernünftigen Managed-Switch, evt. noch ein UniFi Gateway o.ä. , jede Menge Kabel und vor allem Platz und Raum benötigt. Und grade letzteres (vom Stromverbrauch mal ganz abgesehen) ist in meinen 4-Wänden ein teures Gut zumal zusätzlich noch der WAF oben drauf kommt. Auch komm ich langsam in ein Alter, wo man Dinge, wenn man sie denn tut, richtig angehen sollte, oder es einfach sein lassen. Am Ende wäre es nämlich wieder nur eine Bastellösung und ein 19" Schrank inkl. passendem Equipment wäre wohl zu viel des Guten gewesen.

Von daher hast du vollkommen Recht, blurrr... Sicherheit fängt bei einem selber an. Das ist wohl das größte Problem in unserem digitalen Leben - der Naive Umgang mit unseren persönlichen Daten und unser sorgloses Handeln in der digitalen Welt. Genau das ist der Punkt. Neben vielen gut gemeinten Ratschlägen und Verhaltensweisen sind Dinge wie Pi-Hole, Add-ons für den Browser, Virenscanner für's System etc. nur Dinge um uns selbst auf die Finger zu klopfen. Und da wir alle wissen wie man diese Mechanismen umgehen kann, muß man sich ständig an seine eigene Nase packen und z.B. seine Neugierde im Zaum halten, will man doch mal einen E-Mail Anhang öffnen, man vorher aber doch noch die ein oder andere Sicherheitsbarriere außer Kraft setzt um ans Ziel zu kommen.

Tommes

 

[NSFH]

Die Privacy hängt meist am Endgerät, also dem PC. Wenn man hier alle Möglichkeiten nutzt um Cookies, Temp Dateien etc zu verhindern oder laufend zu löschen ist einem schon viel geholfen.
Ansonsten hilft nur eine detailliert konfigurierbare Firewall weiter. Hier stossen wir aber in Preisbereiche vor, die viele nicht antasten wollen.
Ich habe inzwischen mit Draytek Routern der gehobenen Klasse in dieser Hinsicht super Erfahrungen gemacht (Vigor 2960).
Kaskadierte Firewall oder die Fritz als Modem zu missbrauchen ist ein Nogo,
Das Argument Fritzbox wegen VOIP an erster Stelle zu lassen greift da gar nicht. Der Aufbau der IT-Infra ist immer der gleiche:
Draytek Vigor130 Modem > Vigor2960 Router > Switch > Fritzbox(VOIP) und alle Endgeräte.
Die Fritzbox läuft da als Telefonanlage vollkommen problemlos hinter dem Router! Auch AB und FAX sind voll funktionsfähig.

 

[Tommes]

Der Aufbau der IT-Infra ist immer der gleiche: Draytek Vigor130 Modem > Vigor2960 Router > Switch > Fritzbox(VOIP) und alle Endgeräte.

Na toll. Danke! Jetzt fängt mein Gedankenkarussell sich wieder an zu drehen

 

[whitbread]

Ob ich mir da hinten dann noch die Fritte anklemmen sollte?!?

Zum Thema Maintenance kann ich nur sagen: Sowohl bei PiHole als auch bei der Sophos UTM, die ich parrallel betreibe, werden ja inhaltliche Updates bereit gestellt, so dass durch bekannte Störenfriede initiierte Änderungen automatisch ankommen. Neue Bösewichte must Du dann schon selber finden.
Wobei ich inzwischen der Meinung bin, dass das Blockieren der grossen Datenkraken viel wichtiger ist als auch den letzten kleinen miesen Datensammler zu blockieren.