Tools für Digitale Sicherheit: Pi-hole, Browser-Plugins, sicheres Surfen und Kommunizieren

[Member]

... das wäre genau meine Frage gewesen: Wie aktualisiere ich diese Datei (vollautomatisch)?
Jeden Tag ne neue Datei ziehen wäre ja prinzipiell kein Problem.

Du brauchst nicht jeden Tag eine neue Datei.
Auch da ist es wieder Geschmackssache, aber ich aktualisiere diese Datei nur sporadisch mal alle Jahre.
Als wichtigsten Schutz gibt es im Browser das Plugin ublock origin (primär Werbeblocker), das sich thematisch mit der hosts-Datei überschneidet.
Beim ublock origin Plugin werden die abonnierten Listen regelmäßig automatisch aktualisiert. Man hat da auch mehr Auswahlmöglichkeiten an Listen.

Aber zurück zur hosts-Datei.
Man könnte ein batch oder powershell-Skript schreiben, was per Windows Task scheduler wöchentlich ausgeführt wird.
Das Skript müsste
1. Die Datei heruntergeladen
2. Datei mit Admin-Rechten an den richtigen Ort kopieren
Also man könnte das mit etwas Aufwand machen, aber ich würde es nicht tun.

 

[Member]

Eine gute Idee, hier was über das Pi-hole zu schreiben. Finde ich immer noch interessant.
Hätte ich einen Pi übrig, würde ich das ganze mal ausprobieren.

Was mir an der Lösung nicht ganz so gut gefällt:
- Läuft nicht auf normalen Routern (wie z.B. der FritzBox), die sowieso 24/7 an sind
- zusätzliche Hardware nötig (heißt Anschaffungskosten und dauerhaft geringer Stromverbrauch)
- initialer Einrichtungsaufwand (wenn man Spaß dran hat, kein Problem)

Eine Alternative wäre eine light-Variante für PC/Mac, die ohne zusätzliche Hardware bzw. Pi-hole funktioniert:
Dazu installiert man auf jedem internetfähigen PC eine sog. hosts-Datei, die ungewollte Verbindungen zu bekannten, schädlichen Internetadressen nicht auflöst.
Eine solche Datei bekommt man fix und fertig vorbereitet z.B. hier: Blocking Unwanted Connections with a Hosts File

Da müsste AVM mitspielen und die Installation zulassen. Oder man nutzt halt einen Router mit OpenWRT, dann kann man auch PiHole installieren. Ist ja Open Source und kann man nach belieben anpassen.

Stromverbrauch vom Pi ist super gering. Prinzipiell verbraucht auch vorhandene Hardware mehr Strom wenn eine zusätzliche Anwendung läuft. Das ist beides zu vernachlässigen. Es reicht ja auch ein älterer Pi und man kann parallel den Pi noch für andere Dinge nutzen. Der Vorteil am PiHole ist der geringe Pflegeaufwand und dass man ihn für alle Geräte im Netzwerk nutzen kann. Gerade Smartphones und vor allem SmartTVs und WebCams usw. sind sonst nur sehr schwer zu kontrollieren.

... das wäre genau meine Frage gewesen: Wie aktualisiere ich diese Datei (vollautomatisch)?
Jeden Tag ne neue Datei ziehen wäre ja prinzipiell kein Problem.

Blockinglisten gibt es wie Sand am Meer. Oft haben sie eine bestimmte Ausprägung, z.B. Spam/Scam, Werbung generell usw. Ich habe 7 verschieden installiert. Die liegen meist auf Github und man kann sie manuell per Knopfdruck über die WebUI aktualisieren oder über einen CronJob. Ich mache es manuell, vielleicht alle 2-3 Wochen. Da ändert sich auch nicht täglich soviel. Aus den Listen erstellt der PiHole dann eine sogenannte Gravity List. Das ist eigentlich eine Sammelliste. Ganz wichtig, deine Änderungen bleiben natürlich bestehen. Jeder macht über die Zeit ein bisschen Finetuning. Man setzt Domains auf die Whitelist weil Anwendungen nicht funktionieren oder man setzt Domains auf die Blacklist weil man im Log sieht, dass ein Gerät unnötig den ganzen Tag nach Hauste telefoniert.

Das ist alles sehr easy und intuitiv zu bedienen.

 

[Member]

Da müsste AVM mitspielen und die Installation zulassen.

Das will sich AVM wahrscheinlich nicht ans Bein binden. Am Ende müssen sie es supporten und die Ressourcen auf der FritzBox sind wahrscheinlich sehr begrenzt.

Oder man nutzt halt einen Router mit OpenWRT, dann kann man auch PiHole installieren. Ist ja Open Source und kann man nach belieben anpassen.

Das geht bestimmt, aber die FritzBox funktioniert einfach zu gut. Keine Lust davon wegzugehen...

Stromverbrauch vom Pi ist super gering. Prinzipiell verbraucht auch vorhandene Hardware mehr Strom wenn eine zusätzliche Anwendung läuft.

Ja, ok. Es geht um wenig. Ich denke vorhandene Hardware würde ab und an ein halbes Watt mehr verbrauchen.
Die neueren Pis verbrauchen wohl so 2-3 Watt. Leisten kann man sich das wohl. Wahrscheinlich 10€/Jahr, ohne jetzt groß zu rechnen.

Es reicht ja auch ein älterer Pi und man kann parallel den Pi noch für andere Dinge nutzen.

Guter Punkt.

Der Vorteil am PiHole ist der geringe Pflegeaufwand und dass man ihn für alle Geräte im Netzwerk nutzen kann. Gerade Smartphones und vor allem SmartTVs und WebCams usw. sind sonst nur sehr schwer zu kontrollieren.

Stimmt, das kann die hosts-Datei-Lösung leider nicht leisten.

Blockinglisten gibt es wie Sand am Meer. Oft haben sie eine bestimmte Ausprägung, z.B. Spam/Scam, Werbung generell usw. Ich habe 7 verschieden installiert. Die liegen meist auf Github und man kann sie manuell per Knopfdruck über die WebUI aktualisieren oder über einen CronJob. Ich mache es manuell, vielleicht alle 2-3 Wochen. Da ändert sich auch nicht täglich soviel. Aus den Listen erstellt der PiHole dann eine sogenannte Gravity List. Das ist eigentlich eine Sammelliste. Ganz wichtig, deine Änderungen bleiben natürlich bestehen. Jeder macht über die Zeit ein bisschen Finetuning. Man setzt Domains auf die Whitelist weil Anwendungen nicht funktionieren oder man setzt Domains auf die Blacklist weil man im Log sieht, dass ein Gerät unnötig den ganzen Tag nach Hauste telefoniert.

Gibt es für jedes Endgerät ein eigenes Log? Dort stehen dann alle Anfragen drin?

Das ist alles sehr easy und intuitiv zu bedienen.

Klingt gut.

Es spräche nichts dagegen, das auf einem Linux-Rechner mal auszuprobieren oder.. Mehr als eine Netzwerkverbindung braucht es ja nicht...?!

 

[Member]

Nachtrag zur FritzBox:
Laut Hilfe FRITZ!Box 7590 - Liste gesperrter Internetseiten (Blacklist)
kann man auch hier Internetseiten generell sperren.
Das ganze ist allerdings relativ witzlos, da max. 500 Einträge unterstützt werden.

 

[Member]

Gibt es für jedes Endgerät ein eigenes Log? Dort stehen dann alle Anfragen drin?

Es spräche nichts dagegen, das auf einem Linux-Rechner mal auszuprobieren oder.. Mehr als eine Netzwerkverbindung braucht es ja nicht...?!

Die Logs kann man sehr bequem über die WebUI sortieren und durchsuchen. Du kannst auch direkt auf die SQLite Datenbank zugreifen und eigene Abfragen machen. War aber bei mir noch nicht nötig.

Ja, eine Netzwerkschnittstelle reicht. Wegen schnellerer Antwortzeit am besten LAN statt WLAN.

 

[Member]

Die Logs kann man sehr bequem über die WebUI sortieren und durchsuchen.

Wo ist der Github-Link zu dem Projekt? *liebglotzsmiley*

 

[Member]

Wo ist der Github-Link zu dem Projekt? *liebglotzsmiley*

Hier vom Projekt:

GitHub - pi-hole/pi-hole: A black hole for Internet advertisements

A black hole for Internet advertisements. Contribute to pi-hole/pi-hole development by creating an account on GitHub.

github.com

Filterlisten gibt es viele, z.B hier:

GitHub - hl2guide/Filterlist-for-AdGuard-or-PiHole: A very aggressive filter-list that consolidates over 370 lists for use in AdGuard Home, Pi-Hole or similar.

A very aggressive filter-list that consolidates over 370 lists for use in AdGuard Home, Pi-Hole or similar. - GitHub - hl2guide/Filterlist-for-AdGuard-or-PiHole: A very aggressive filter-list that ...

github.com

Nachtrag zur FritzBox:
Laut Hilfe FRITZ!Box 7590 - Liste gesperrter Internetseiten (Blacklist)
kann man auch hier Internetseiten generell sperren.
Das ganze ist allerdings relativ witzlos, da max. 500 Einträge unterstützt werden.

Im Prinzip gibt es ja schon immer die Möglichkeit einzelne Webseiten im Router/Firewall zu sperren. Falls du dir PiHole mal installierst, wirst du aber schnell die Vorteile gegenüber solch statischen Lösungen feststellen. Weil PiHole ja alle DNS Anfragen speichert und sehr ansprechend in Echtzeit darstellt, kann man auch dementsprechend einfach die Filterlisten anpassen. Ansonsten weiß man ja womöglich gar nicht was im eigenen Netzwerk so los ist. Das trifft insbesondere auf Standalone Geräte zu (vor allem die aus China ). Heute ist ja fast jedes Gerät irgendwie mit dem Internet verbunden. Das Ganze ist auch sehr viel komfortabler als mit Wireshark zu sniffen. PiHole Kann natürlich keine direkten Verbindungen, ohne DNS Aufruf, erkennen. Hacker nutzen oft hart-programmierte IP-Adressen in ihrer Software. Bei Verdacht hilft dann Wireshark. PiHole kann also nur ein kleiner Teil einer Sicherheitsstrategie sein. Der Fokus liegt eindeutig darauf Werbung und Scam/Spam fernzuhalten. Wie gesagt, 20-50% aller DNS Aufrufe landen bei mir in der Tonne und das, obwohl ich in fast allen Browsern uBlock nutze, also dort schon ein Teil direkt gebockt wird.

 

[Member]

obwohl ich in fast allen Browsern uBlock nutze

...und immer daran denken, bei Seiten, wo Ihr den Autoren vertraut und die ihr gerne lest, zu whitelisten. Die Autoren müssen ja auch irgendwie bezahlt werden. Sonst haben wir in ein paar Jaren nur noch das GAFA-Zeug zum lesen. Da kann ich auch gleich "China Daily" lesen.

 

[Member]

...und immer daran denken, bei Seiten, wo Ihr den Autoren vertraut und die ihr gerne lest, zu whitelisten. Die Autoren müssen ja auch irgendwie bezahlt werden. Sonst haben wir in ein paar Jaren nur noch das GAFA-Zeug zum lesen. Da kann ich auch gleich "China Daily" lesen.

Gute Idee, nur leider kann ich keine Werbung ertragen.
Wer auch immer vor 20 Jahren entschieden hat, dass man so Inhalte finanziert, es hätte schnell auffallen können/müssen, dass das ein Holzweg ist.
Heute gehen die Zeitungen teilweise den Weg der exclusiven Clubmitgliedschaft. Das ist dann der nächste Holzweg.

 

[Member]

Eine Alternative wäre eine light-Variante für PC/Mac, die ohne zusätzliche Hardware bzw. Pi-hole funktioniert:
Dazu installiert man auf jedem internetfähigen PC eine sog. hosts-Datei, die ungewollte Verbindungen zu bekannten, schädlichen Internetadressen nicht auflöst.
Eine solche Datei bekommt man fix und fertig vorbereitet z.B. hier: Blocking Unwanted Connections with a Hosts File

Vorteile:
- wenig Installationsaufwand
- funktioniert schnell und ressourcenschonend
- keine zusätzliche initiale und laufende Kosten

Nachteile:
- Anzahl und Auswahl der Einträge der hosts-Datei sind begrenzt
- Updates der Datei (sofern nötig) müssen händisch vorgenommen werden
- keine Auswertungsmöglichkeiten

Da gibt es einen weiteren Nachteil, der besonders weniger IT-Versierte irritieren koennte:

- die hosts Datei wird gern mal von Antivirus-Software zurueckgesetzt, weil Eintraege darin als Hacking-Versuche interpretiert werden koennen