Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 12 Min.

Den Internet-Zugriff mit Privacy-Boxen sichern: Einlasskontrolle


Linux Magazin - epaper ⋅ Ausgabe 12/2020 vom 05.11.2020

Weil die Technologien zum Ausspähen von Surfern immer raffinierter werden, gilt es, den Webbrowser zeitaufwendig abzusichern. Als Gateway eingesetzte Privacy-Boxen leisten auch im Intranet echte Hilfe.


Artikelbild für den Artikel "Den Internet-Zugriff mit Privacy-Boxen sichern: Einlasskontrolle" aus der Ausgabe 12/2020 von Linux Magazin. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: Linux Magazin, Ausgabe 12/2020

Zu den Gefahren heterogener IT-Umgebungen zählen neben der Ausspähung durch unbekannte Datensammler (Tracking) auch das unbemerkte Aufpicken von Schadsoftware und Hijackern beim Besuch von Webseiten. Admins bereiten diese Plagegeister besondere Albträume, denn eine sauber konfigurierte Firewall und ein kombiniertes IDS/IPS-System genügen nicht mehr unbedingt, um ein Intranet abzusichern. Vielmehr müssen ...

Weiterlesen
epaper-Einzelheft 6,99€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Linux Magazin. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 12/2020 von News. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
News
Titelbild der Ausgabe 12/2020 von Zahlen & Trends. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Zahlen & Trends
Titelbild der Ausgabe 12/2020 von Kernel 5.9: RISC-V wird Tickless, Lizenzänderung, FSGSBASE-Support: Herbstliches Allerlei. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Kernel 5.9: RISC-V wird Tickless, Lizenzänderung, FSGSBASE-Support: Herbstliches Allerlei
Titelbild der Ausgabe 12/2020 von VMware verlagert seine Hausmesse ins Web: VMworld 2020. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
VMware verlagert seine Hausmesse ins Web: VMworld 2020
Titelbild der Ausgabe 12/2020 von Wie Event Stream Processing funktioniert: Alles fließt. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Wie Event Stream Processing funktioniert: Alles fließt
Titelbild der Ausgabe 12/2020 von Stream Processing leicht gemacht mit Apache StreamPipes: Fließend zum Fly-by. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Stream Processing leicht gemacht mit Apache StreamPipes: Fließend zum Fly-by
Vorheriger Artikel
Tooltipps
aus dieser Ausgabe
Nächster Artikel Einführung: Aus dem Alltag eines Sysadmin: History: Geschich…
aus dieser Ausgabe

... Admins auch Schutzmaßnahmen auf Applikationsebene ergreifen.

Ein zusätzliches Ärgernis stellen übermäßige Werbeeinblendungen vieler kommerzieller Webseiten dar. Vor allem bei Online-Auftritten der Tagespresse fallen zappelnde und mitlaufende Werbebanner oft lästig, weil Leser die eigentlichen Inhalte kaum noch finden.

Sogenannte Privacy-Boxen wollen all diesen störenden Begleiterscheinungen beim Surfen einen wirksamen Riegel vorschieben. Sie filtern unerwünschte Inhalte und blockieren Software, die den Anwender ausspäht. Sie versprechen auch, den vielen verschiedenen Endgeräten im Intranet sicheren und anonymisierten Zugang ins Internet zu ermöglichen. In einem Shoot-out knöpft sich die Bitparade zwei Open-Source-Vertreter vor und erkundet, was Upribox und Eblocker OS leisten.

Konzepte

Admins setzen Privacy-Boxen im Intranet ähnlich ein wie einen Proxy-Server: Sie leiten den Internet-Traffic über die Box und filtern ihn dabei zugleich. Das blockiert Tracker, Werbung und andere Spionage-Software.

Daneben integrieren einige Privacy-Boxen – speziell solche für den Einsatz in heterogenen internen Netzen – auch Virenscanner. Diese sollen Windows-Arbeitsstationen gegen Würmer, Viren und Trojaner absichern. Weil Windows-Betriebssysteme jedoch anfällig für Schadprogramme aller Art sind, empfiehlt es sich, auf jeden Fall noch eine zusätzliche Antiviren-Software auf diesen Workstations zu betreiben.

Insbesondere bei größeren Intranets mit viel Datenverkehr sollten die Betreiber zudem darauf achten, dass die Privacy-Box eine entsprechende Leistungsfähigkeit aufweist: Stößt sie bereits bei wenigen aktiven Client-Rechnern im Intranet an ihre Leistungsgrenze und sinkt der Datendurchsatz, eignet sich die Box nicht für größere Netze.

Drei Merkmale

Generell kristallisieren sich drei grundlegende Funktionsweisen bei Privacy-Boxen heraus. Die erste Gruppe an Geräten fungiert als Tor-Router. Sie leitet den gesamten Datenverkehr aus dem und in das Intranet über das Tor-Netzwerk.

Dabei passieren die Daten mehrere Tor-Instanzen – meist sind es drei sogenannte Knoten –, die sich zudem häufig auf mehrere Länder verteilen. Die Tor-Umleitung anonymisiert die Verbindungsdaten bis zu einem gewissen Grad, sodass Tracker oder serverseitige Angreifer den Ursprung mit den üblichen technischen Mitteln nicht mehr erkennen.

Da diese Gruppe an Geräten das Tor-Netzwerk für TCP-Verbindungen einsetzt, anonymisiert Tor nicht nur browserbasierte Daten: Der Nutzer leitet wahlweise auch IRC-, Messaging-, SSH- oder P2P-Sitzungen über das Tor-Netz.

Einen Wermutstropfen gibt es aber: Bislang liegen die Übertragungsraten im Tor-Netzwerk deutlich unter jenen einer herkömmlichen Internetverbindung. Für Angebote wie hochauflösendes Streamen von Videos oder das Teilen großer Dateien eignet sich der Dienst nicht.

Eine zweite Gruppe von Privacy-Boxen arbeitet als VPN-Router. Bei diesen kommt nicht das Tor-Netzwerk zur Datenübertragung zum Einsatz. Sie bauen vielmehr eine getunnelte Verbindung auf, die mithilfe eines VPN-Dienstes die Datenverbindung anonymisiert.

Diese Lösung bringt im Vergleich zum Tor-Netzwerk aber einige gravierende Nachteile mit: Während das Tor-Netzwerk aus privat finanzierten und öffentlich frei zugänglichen Knoten besteht, hängen die VPN-Router von einem Provider ab, der das VPN-Gateway bereitstellt. Der Nutzer zahlt für den VPN-Zugang und muss diesen jeweils auf Basis eines Subskriptionsmodells regelmäßig kostenpflichtig erneuern.

1 Sehr übersichtlich präsentiert sich das Dashboard der Upribox.


Neben der Abhängigkeit von einem Anbieter und dem Kostenfaktor variiert bei VPN-Routern zudem häufig die verfügbare Bandbreite abhängig vom Provider. VPN-Router, auf die mehrere Anbieter zurückgreifen oder die sich mehrere Kunden teilen, bieten unter Umständen nur eine eingeschränkte Leistung.

Eine dritte, noch sehr junge Generation von Privacy-Boxen arbeitet als Peer-to-Peer-basierter Mesh-Router. Bislang verfolgt lediglich ein amerikanischer Hersteller dieses Konzept. Eine proprietäre Technologie verbindet dabei jede Privacy-Box des Anbieters mit baugleichen Geräten in einem Mesh-Netzwerk. Das stellt Anonymität her, indem es die Verbindungsdaten jeweils über eine weitere Privacy-Box leitet und mit Daten weiterer Geräte vermischt. Ähnlich wie im Tor-Netz ändern sich die Verbindungen etwa alle zehn Minuten, um abhöranfälligen dauerhaften Datentransfer zwischen zwei Geräten zu vermeiden.

Der klare Nachteil: Es handelt sich um eine proprietäre, nicht quelloffene Netztechnologie, und erst eine größere Anzahl an Routern im Mesh-Netz gewährleistet eine effektive Anonymisierung.

Upribox

Die bereits seit 2014 in Österreich entwickelte Upribox (kurz für Usable Privacy Box) basiert auch in ihrer mittlerweile dritten Inkarnation auf dem Raspberry Pi. Die Box kommt in einem eigens dafür entworfenen Gehäuse und kostet im Webshop des Anbieters 125 Euro

2 Die Upribox liefert grundlegende statistische Angaben zum Datenverkehr.


Im Inneren arbeitet ein Raspberry Pi 3. Die Box ist wie ihre Vorgänger als Plugand-Play-Gerät konzipiert, Sie müssen sie also nicht umständlich per Hand einrichten. Der noch beim Raspberry Pi 2 benötigte externe WLAN-Adapter entfällt nun.

Um die Upribox in Betrieb zu nehmen, stehen zwei Optionen zur Wahl: Um die erste zu nutzen, stellen Sie eine Kabelverbindung zwischen dem für den Internet-Zugang zuständigen Router und der Upribox her. Dann rufen Sie die Weboberfläche der Upribox im Browser auf, indem Sie die URL https://upribox.local:4300 eintippen. Sie gelangen so in das Konfigurationsmenü des Systems. Besteht von der Workstation zum Router keine LAN-Verbindung, melden Sie sich einfach drahtlos beim von der Upribox aufgespannten WLAN an. Die SSID heißt upribox, der vorgegebene WPA2-Schlüssel changeme. Dann geben Sie im Browser die erwähnte URL ein.

Im Konfigurationsmenü prüfen Sie zunächst die Verbindung ins Internet, indem Sie die Seite https://test.upribox.org besuchen. Die Box schließt dann automatisch das interne Setup ab, und Sie landen im Anmeldebildschirm. Mit dem voreingestellten Benutzernamen upri und dem Standardpasswort changethedefaults! erreichen Sie das Dashboard. Es zeigt als Liste alle im internen Netz vorhandenen Geräte mit ihrem jeweiligen Betriebsmodus an 1, wobei die Upribox drei Modi kennt.

Die etwas ungeschickt als Kein Modus bezeichnete Betriebsart bietet Nutzern keinerlei Sicherheitszuwachs und keine Anonymität, da sie die Filtermechanismen nicht aktiviert.

Der Silent Modus aktiviert Werbeblocker und Anti-Tracking-Software. Er verhindert so weitgehend, dass Dritte Ihr Nutzerverhalten beim Surfen verfolgen. Werbenetzwerke sind so zum Beispiel nicht mehr ohne Weiteres fähig, Sie über mehrere Webseiten hinweg zu beobachten. Voreingestellt bindet Upri die im Intranet vorhandenen Geräte über den Silent-Modus an das Internet an. Als Filterinstanzen fungieren dabei der Squid-Proxy- und der Privoxy-Server.

Im Ninja Modus aktiviert die Box ebenfalls Werbeblocker und Anti-Tracking-Software. Zusätzlich leitet sie den gesamten Datenverkehr jedoch über das Tor-Netzwerk. Dritte können Sie nun nicht mehr anhand der IP-Adresse lokalisieren. Aufgrund einer spürbar geringeren Bandbreite des Tor-Netzwerks arbeitet der Ninja Modus generell langsamer als die beiden anderen Modi.

Für die einzelnen angeschlossenen Geräte schalten Sie den Betriebsmodus dabei jederzeit um, indem Sie ein Optionsfeld anhaken. Das stoppt alle laufenden Dienste wie den DHCP-Server oder den Apate-ARP-Spoofing-Daemon, passt deren Konfigurationen an und startet sie wieder neu. Das verursacht einige Sekunden Wartezeit, bis das Netz wieder einsatzbereit ist.

Über die Option Konfiguration links in einer vertikalen Leiste rufen Sie im nächsten Schritt einen Einstellungsdialog auf. Darin dürfen Sie die SSID und den Schlüssel für das von der Upribox aufgespannte WLAN ändern. Über das drahtlose Netz gelangen Sie aus dem Intranet ins Internet. Außerdem aktivieren Sie hier den SSH-Dienst, vergeben eine statische IP-Adresse für die Upribox oder legen ein VPN-Profil an.

Aktivieren Sie den SSH-Zugang, können Sie sich über den Kommandozeilenbefehl ssh upri@upri.box Zugang zur Box verschaffen. Das richtet sich vor allem an fortgeschrittene Anwender, die auf der Kommandozeile Konfigurationsbefehle ausführen wollen. Auf der Webseite der Upribox wartet dazu eine Dokumentation mit Beispielen .

Klicken Sie auf den Administratornamen upri oben rechts im Browser-Fenster, ändern Sie außerdem die Zugangsdaten für Ihr eigenes Administrationskonto. Das sperrt den Zugang für unbefugte Dritte, die das voreingestellte Passwort kennen, und ist deshalb ein Muss.

Unterwegs

Als besonderes Schmankerl bietet die Upribox einen getunnelten Zugang aus dem Internet ins lokale Netzwerk über ein VPN-Profil. Sie bauen dann zum Beispiel auf Ihrem Smartphone von einem fremden WLAN aus zunächst eine VPN-Verbindung zur heimischen Upribox auf und nutzen so das gefilterte Internet wie in Ihrem lokalen Netzwerk.

Die Box dient dabei als VPN-Server. Um den Tunnel zu aktivieren, legen Sie im Dialog VPN der Upribox ein passendes Profil an und aktivieren dann den VPN-Server, indem Sie ein entsprechendes

Häkchen setzen.

Das erzeugte Profil muss im nächsten Schritt auf den Endgeräten landen, die den neu eingerichteten VPN-Zugang nutzen wollen. Das können neben Smartphones auch Laptops und Desktop-Rechner sein. Dazu muss auf diesenGeräten jeweils ein OpenVPN-Client laufen. Auch im VPN-Betrieb blockt die Upribox Werbung.

Problemfall DHCP

Da die Upribox einen eigenen DHCP-Server verwendet, vermeiden Sie Kollisionen im Intranet, indem Sie den auf dem DSL-Router meist ebenfalls eingeschalteten DHCP-Server deaktivieren. Dazu bieten alle gängigen Router eine gerätespezifische Konfigurationsoberfläche.

Danach vergeben Sie eine statische IP-Adresse an die Upribox, was eine direkte Kommunikation mit dem DSL-Router ohne dessen DHCP-Server ermöglicht. Zuletzt aktivieren Sie den als Fallback-Lösung arbeitenden DHCP-Server auf der Upribox. Er weist dann künftig den lokalen Endgeräten IP-Adressen zu.

Statistisches

Die Upribox zeigt statistische Daten zum Datenverkehr und zu den einzelnen verbundenen Geräten an. Diese Funktion hilft insbesondere dann, wenn IoT-Geräte im Intranet aktiv sind und Sie wissen wollen, mit wem sie kommunizieren und welches Datenvolumen sie übertragen.

Um beim jeweiligen Gerät Angaben zum transferierten Datenvolumen und den verwendeten Protokollen zu erhalten, klicken Sie auf den zugehörigen Hostnamen. In einer Balkengrafik, die eine Zeitspanne von einer Woche abbildet, tauchen Transfer- und Protokolldaten tageweise auf 2.

Zudem erscheinen die zehn am häufigsten aufgerufenen Domains in einer tabellarischen Liste. Der obere Bereich des Fensters visualisiert dabei das gesamte transferierte Datenvolumen des gewählten Geräts in absoluten Zahlen.

Um statistische Daten zu den Filtern zu erhalten, klicken Sie auf den Eintrag Statistiken links in der vertikalen Optionsleiste. Die Upribox stellt daraufhin zunächst eine Gesamtstatistik bereit, aus der hervorgeht, wie viele Domains sie blockiert und wie viele Inhalte sie gefiltert hat. Diese Angaben beziehen sich auf das komplette Intranet, nicht auf einzelne angeschlossene Geräte.

Updates

Die Upribox sucht voreingestellt einmal täglich automatisch nach System-Updates und installiert sie gegebenenfalls. Weil sie die entsprechende Routine transparent ausführt, schränkt diese die Funktion des Systems nicht ein.

3 Aufgrund des langen Boot-Vorgangs teilt Eblocker OS mit, wenn es einsatzbereit ist.


Eblocker OS

Eblocker wurde mehrere Jahre lang als Privacy-Box angeboten, die aus einem quaderförmigen Mini-PC mit eigener Software bestand. Ähnlich wie die Upribox ließ sich Eblocker ohne großen Aufwand in jedes Intranet integrieren. Nach der Insolvenz des Herstellers im Jahr 2019 steht Eblocker nun als Open-Source-Software bereit. Anstelle eines Mini-PCs dient nun ein handelsüblicher Raspberry Pi als Hardware-Basis. Ein spendenfinanziertes Team pflegt und entwickelt die Software weiter.

Das System heißt Eblocker OS und läuft auf allen Raspberry-Pi-Varianten, angefangen vom RasPi 2 bis hin zum aktuellsten Modell 4. Die Software steht als Image auf der Webseite des Projekts zum Download bereit.

Um Eblocker OS zu installieren, schreiben Sie das Image mit Dd oder einem grafischen Tool auf eine Micro-SD-Karte, verbinden den RasPi über ein LAN-Kabel mit dem DSL-Router und fahren den Kleincomputer hoch. Das erste Einrichten von Eblocker OS dauert selbst auf einem Raspberry Pi 4 rund fünf Minuten.

Nach Ablauf dieser Zeitspanne geben Sie die URL http://setup.eblocker.com in die Adressleiste des Webbrowsers einer Arbeitsstation ein. Das System blendet nun eine Hinweisseite ein, die auf ein orangefarbenes Symbol oben rechts im Browser-Fenster verweist. Fehlt es, ist Eblocker OS noch nicht einsatzbereit. In diesem Fall müssen Sie noch etwas warten und die Seite dann erneut aufrufen. Neben dem orangefarbenen Symbol erscheinen bei vollständiger Aktivierung des Eblocker-Systems auch mehrere Statusinformationen 3.

Im ersten Schritt müssen Sie noch einen Lizenzschlüssel eingeben – ein Relikt aus der Zeit der kommerziellen Lösung. Die Entwickler stellen dazu den universellen Schlüssel FAMLFT-OPENSOURCE bereit. Der wartet auch auf der Homepage und lässt sich per Drag & Drop in den dazugehörigen Dialog ziehen.

Der Dialog besteht aus einem mehrstufigen Assistenten, in dem Sie auch die Zeitzone eingeben und den Lizenzvertrag bestätigen müssen. Sie erreichen den Assistenten per Mausklick auf den Link LIZENZ AKTIVIEREN im Willkommensbildschirm. Nach erfolgreicher Aktivierung prüft der Assistent in einem letzten Schritt, ob inzwischen Aktualisierungen für das vorhandene System warten. Auf Wunsch lädt er vorhandene Updates herunter und bringt das System auf den neuesten Stand.

Funktionen

Eblocker OS bietet ähnliche Mechanismen zur Anonymisierung und zum Schutz der Anwender wie die Upribox, geht jedoch funktionell deutlich darüber hinaus. Nach der Integration ins Intranet läuft der komplette Datenverkehr über Eblocker OS, das damit die Funktion eines Gateways annimmt. Dazu bedient sich die Software des ARP-Spoofings. In diesem Kontext kann Eblocker OS dank eines integrierten DHCP-Servers auch IP-Adressen verteilen.

4 Das Dashboard bietet für den jeweiligen Client viele Einstelloptionen.


5 Die Control Bar gewährt Usern den Schnellzugriff auf wichtige Funktionen.


Den Datenverkehr analysiert Eblocker OS dabei anhand von Deep Packet Inspection und mit Mechanismen zum Lokalisieren problematischer Muster (sogenanntes Pattern Matching). Auf dieser Basis blockiert die Software problematische Inhalte und Aufrufe. Zusätzlich verfügt sie über einen DNS-Blocker, der eine Liste von bekannten Domains enthält, die als bedenklich gelten. Diese Domains sperrt Eblocker OS ebenfalls, wobei es die Domain-Listen stets automatisch aktualisiert.

Über das Tor-Netzwerk oder einen VPN-Provider anonymisiert Eblocker OS zusätzlich IP-Adressen. Das verhindert eine Nachverfolgung von Computersystemen im Internet. Eblocker OS gestattet es dabei auch, im Intranet simultan mehrere VPN-Provider auf unterschiedlichen Geräten zu nutzen.

Um Anwender vor einer ungewollten Identifikation und Nachverfolgung im Internet zu schützen, bietet Eblocker OS zudem an, die User Agents zu manipulieren. Sie liefern den besuchten Servern und Webseiten zum Beispiel Informationen über die eingesetzte Browser-Version und das genutzte Gerät. Diese Informationen verändert Eblocker OS über den Outbound User Agent.

Künftig soll auch das externe Programm Malware Patrol Malware- und Phishing-Angriffe auf das geschützte Intranet verhindern. Diese kostenpflichtige Software hat die Open-Source-Community rund um Eblocker OS erfolgreich über Spenden finanziert und in die Software integriert.

Kindgerecht

Weil Eblocker OS auch in häuslichen Umgebungen zum Einsatz kommt, haben die Entwickler ein Jugendschutz-Feature in das System integriert. Damit können Sie für jedes Kind ein eigenes Konto anlegen und mit inhaltlichen oder zeitlichen Beschränkungen versehen. Dabei bestimmen Sie für jedes Kind mehrere Geräte, für die Sie den Jugendschutz aktivieren möchten.

Weil Sie für die anzulegenden Benutzer auch jeweils das Geburtsdatum angeben, erfährt das System bereits im Vorfeld, wie alt diese sind, und lädt die voreingestellten Empfehlungen für das entsprechende Alter. Das soll einen Grundschutz für Kinder und Jugendliche auch unabhängig von Ihrer Konfiguration gewährleisten.

Schaltstelle

Eblocker OS bietet zwei Möglichkeiten der Konfiguration: Erstens können Sie für jedes einzelne Gerät grundlegende Einstellungen und eine Statistik über das Dashboard abrufen. Das erledigen Sie am jeweiligen Endgerät. Zweitens ändern Sie über einen Assistenten auch globale Einstellungen, die sich auf alle Geräte im Intranet auswirken.

Das Dashboard jeder einzelnen Arbeitsstation im Intranet rufen Sie über die URL http://eblocker.box auf. In der Übersicht im Drei-Spalten-Layout 4 finden Sie links untereinander Statistiken zu den blockierten Elementen und Daten zum jeweils aktiven Gerät. In der mittleren Spalte passen Sie mithilfe eines Assistenten HTTPS-Einstellungen an. Dazu ist es notwendig, ein von Eblocker OS bereitgestelltes Zertifikat in das Betriebssystem zu integrieren, wobei sich in diesem Fall ein eingebauter Assistent als hilfreich erweist.

Außerdem pausieren Sie in der mittleren Spalte Eblocker OS für die Arbeitsstation und nehmen Einstellungen zur Control Bar vor. In der rechten Spalte des Dashboards deaktivieren Sie Eblocker OS für das jeweilige Endgerät, sehen Systemnachrichten ein und verwalten Tracking-Listen, Blockiereinstellungen sowie die Anonymisierung des Systems. Dazu schalten Sie entweder gerätespezifisch den Tor-Anonymisierungsdienst ein oder aus, verbinden sich mit einem VPN-Gateway oder vewenden eine individuelle Gerätetarnung.

Control Bar

Mithilfe der Control Bar, die sich oben horizontal im Browser-Fenster einblenden lässt 5, erhalten Sie über eineSchalterleiste Schnellzugriff auf die meisten Funktionen, die in kontextsensitiven Kurzmenüs stecken. Dadurch nehmen Sie für die jeweilige Workstation individuelle Einstellungen per Mausklick vor.

Administration

Globale Einstellungen nehmen Sie über einen eigenen Dialog vor. Den öffnet ein Klick auf das oben rechts im Browser-Fenster des Dashboards befindliche Zahnrad-Symbol. Beim ersten Aufruf leitet Eblocker OS Sie dabei ohne Authentifizierung in den Konfigurationsdialog weiter. Am besten vergeben Sie zuerst über das Menü System unten links im vertikalen Einstellungsmenü ein neues Admin-Passwort. Andernfalls hat jeder Anwender im Intranet Zugriff auf die Admin-Oberfläche.

Über die einzelnen Dialoge, die Sie jeweils links in einer vertikalen Leiste vorfinden, nehmen Sie globale Einstellungen zum Anonymisieren, zu den Blockieroptionen, aber auch zum Zusammenspiel von Eblocker OS und Router vor 6. Individuelle Optionen gibt es auch für den Jugendschutz. Zudem warten unterschiedliche Testroutinen in der Reiterstruktur der jeweiligen Konfigurationsoptionen. Zu guter Letzt dürfen Sie an dieser Stelle auch Whitelists hinterlegen.

Voreingestellt erscheint nach dem Aufruf des Dialogs eine Geräteliste, über die Sie individuelle Einstellungen für jedes Gerät treffen. Ein einfacher Klick auf eines der Geräte ruft einen Konfigurationsdialog auf den Plan. Auf Wunsch ordnen Sie hier ein Endgerät auch einem Benutzer zu, der dann wiederum über die Einstellungen zum Jugendschutz ein eigenes Profil erhalten kann.

6 Auf der Administrationsoberfläche treffen Sie vielfältige globale Einstellungen.


Voreingestellt erscheint nach dem Aufruf des Dialogs eine Geräteliste, über die Sie individuelle Einstellungen für jedes Gerät treffen. Ein einfacher Klick auf eines der Geräte ruft einen Konfigurationsdialog auf den Plan. Auf Wunsch ordnen Sie hier ein Endgerät auch einem Benutzer zu, der dann wiederum über die Einstellungen zum Jugendschutz ein eigenes Profil erhalten kann.

Fazit

Beide Privacy-Boxen auf Raspberry-Pi-Basis geben ein gutes Bild ab (Tabelle 1). Während die Upribox eine überaus einfache Konfiguration ermöglicht, bietet Eblocker OS eine große und fein justierbare Funktionsvielfalt. Tracker und Werbung filtern beide ähnlich gut. Früher gelegentlich zu vernehmende Klagen über mangelnde Bandbreite konnten wir im Test nicht nachvollziehen.

Sie müssen allerdings bei beiden Privacy-Boxen das Zusammenspiel mit dem vorhandenen Router sorgfältig konfigurieren, wenn die automatische IP-Zuweisung zuverlässig funktionieren soll. Eblocker OS handhabt zudem die HTTPS-Konfiguration etwas undurchsichtig. Das aus dem Internet bezogene Zertifikat müssen Sie im Webbrowser jeweils manuell einrichten, was in jedem Webbrowser etwas andere Konfigurationsschritte erfordert.

Für Admins wie Anwender, die die Endgeräte in ihrem Intranet schützen wollen, ohne ständig manuell eingreifen zu müssen, eignen sich beide Boxen gleichermaßen gut. (kki)

Weitere Infos und interessante Links

www.lm-online.de/qr/44626

Nicht berücksichtigt

Es gibt noch zahlreiche weitere Privacy-Boxen, die jedoch meist nur als VPN-Router fungieren und somit den Datenverkehr aus dem Intranet über einen kostenpflichtigen VPN-Anbieter lenken. Das Konzept schränkt nicht nur die Datensouveränität ein: Häufig muss man kostenpflichtige Hardware beschaffen, weshalb der Artikel diese Lösungen nicht berücksichtigt. Auch die Trutzbox , die einen sehr umfassenden Datenschutz gewährleistet, kommt in der Besprechung nicht vor. Ihr Funktionsspektrum geht weit über den üblichen Bedarf hinaus. Dabei erfordert der Einsatz der Software recht leistungsstarke Hardware.

Die noch in den Kinderschuhen steckende Peer-to-Peer-Mesh-Technologie, die Daten über ein Overlay-Mesh-Netzwerk schickt, berücksichtigt der Artikel ebenfalls nicht. Derzeit gibt es dafür lediglich einen Anbieter aus den USA , der sein Produkt in Deutschland nicht offeriert.


© viteethumb,123RF