Lesezeit ca. 15 Min.
arrow_back

Verlässlich sortiert


Logo von LinuxUser
LinuxUser - epaper ⋅ Ausgabe 12/2022 vom 17.11.2022

Privacy-Appliances

Artikelbild für den Artikel "Verlässlich sortiert" aus der Ausgabe 12/2022 von LinuxUser. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: LinuxUser, Ausgabe 12/2022

README

Aufdringliche Werbung, Tracker und Malware erschweren im Internet zunehmend das Leben. Zentralisierte Server auf Raspberry-Pi- Basis filtern die unerwünschten Inhalte aus und ermöglichen auf allen Endgeräten in Ihrem Netz ein ungestörtes Surfvergnügen.

Werbung wird im Internet vielfach als aufdringlich empfunden. Hinzu kommen Tracker, die das Surfverhalten ausspionieren. Bei Einzelarbeitsplätzen lassen sich solche unerwünschten Inhalte leicht mithilfe von Browser-Erweiterungen einschränken oder aussperren. Will man aber mehrere Arbeitsplätze entsprechend konfigurieren, kann das je nach Anzahl der Computer viel Zeit beanspruchen. Mithilfe spezieller Appliances lassen sich die unerwünschten Inhalte aber zentral blockieren, bevor sie das Intranet erreichen. Wir haben uns unterschiedliche Konzepte und deren Umsetzung zum Blockieren von Werbung und Trackern auf Webseiten ...

Weiterlesen
epaper-Einzelheft 6,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von LinuxUser. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 12/2022 von Brüssels Hammer. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Brüssels Hammer
Titelbild der Ausgabe 12/2022 von Frischzellenkur. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Frischzellenkur
Titelbild der Ausgabe 12/2022 von Kurswechsel. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Kurswechsel
Titelbild der Ausgabe 12/2022 von Einfach sicher. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Einfach sicher
Mehr Lesetipps
Blättern im Magazin
Die Qual der Wahl
Vorheriger Artikel
Die Qual der Wahl
Private Lauscher
Nächster Artikel
Private Lauscher
Mehr Lesetipps

... angesehen.

Funktionsweise

Die vorgestellten Lösungen integrieren Sie direkt hinter dem Router ins lokale Netz, sodass sämtlicher ein- und ausgehender Datenverkehr über sie läuft. Sie fungieren dabei als DNS-Server. Eine Ausnahme bildet die Upribox: Sie spannt ein WLAN auf, über das Anwender abgesichert im Internet surfen. Obendrein bieten einige der besprochenen Appliances auch integrierte VPN-Server und anonymisieren so zusätzlich IP-Adressen. Von außerhalb des VPNs lassen sich die Arbeitsstationen im internen Netz nicht mehr anhand ihrer IP identifizieren. Bei allen besprochenen Tools handelt es sich zudem um freie Software, als Hardware- basis dient meist ein Raspberry Pi. Das gewährleistet selbst beim Einsatz rund um die Uhr moderate Betriebskosten.

Einer der wichtigsten Vorteile solch zentralisierter Appliances besteht darin, dass man sie nur einmal in das lokale Netz einbinden und konfigurieren muss. Größtenteils aktualisieren sich die Systeme selbsttätig im laufenden Betrieb, sodass kein zusätzlicher Aufwand für das Anpassen und regelmäßige Updates der Werkzeuge und Betriebssysteme entsteht. Eine manuelle Konfiguration der Clients entfällt ebenfalls weitgehend. Überdies können unterschiedlichste Geräte aus dem LAN abgeschirmt auf das Internet zugreifen. Auch mobile Geräte wie Smartphones und Tablets sowie IoT-Devices werden automatisiert geschützt.

? AdGuard Home

Der DNS-Server AdGuard Home blockiert Domains, die Werbung verbreiten und das Surfverhalten der Anwender ausspionieren. Zusätzlich lassen sich über Sperrlisten auch bekannte Malware-Domains blockieren. Die Software benötigt auf den Endgeräten keinen Client, sondern wird auf einem Raspberry Pi installiert und agiert dann netzwerkweit.

Als Basis setzt AdGuard Home ein installiertes Betriebssystem wie beispielsweise Raspberry Pi OS voraus. Es empfiehlt sich, den Mini-Rechner vor der Installation mit einer statischen IP zu versehen, um Probleme nach einem Neustart durch eine geänderte Adresse zu vermeiden. Die Anwendung lässt sich sodann mit einem einzigen Befehl aus dem Terminal des RasPi heraus installieren und starten (Listing 1).

Die Software erkennt die verwendete Hardware automatisch und richtet das System komplett ein. Zum Abschluss der Routine erhalten Sie Informationen, wie Sie das Webinterface des Werkzeugs aufrufen und die Anwendung am Prompt in Grundzügen steuern. Sobald Sie die angegebene URL in einem Webbrowser aufrufen, startet ein grafischer Einrichtungsassistent. Er führt Sie in fünf Schritten durch die Grundkonfiguration, wobei Sie zum Schutz des Systems ein Nutzerkonto samt Passwort anlegen müssen.

Außerdem liefert der Assistenten ausführliche deutschsprachige Anleitungen zur Konfiguration des Routers und verschiedener Geräteklassen. Für die korrekte Funktion des AdGuard-Home-Servers müssen Sie die DHCP- und DNS-Einstellungen am Router für den Internet-Zugang modifizieren, da es sonst insbesondere bei Neustarts des Routers oder des AdGuard-Servers zu Problemen kommen kann. Nach Abschluss der Grundeinrichtung loggen Sie sich im Webbrowser mit den soeben aktivierten Nutzerdaten ein und gelangen in das Dashboard 1.

Dort sehen Sie grafisch aufbereitet einige statistische Angaben zu den verbundenen Clients, den DNS-Anfragen, abgelehnten Anfragen und gefilterten Webseiten. Darunter folgen eine Tabelle der Clients, eine Liste der am häufigsten angefragten Domains sowie eine Aufstellung der am häufigsten gesperrten Domains. AdGuard Home aktualisiert diese Statistiken nicht fortlaufend, Sie müssen sie manuell durch einen Klick auf Statistiken aktualisieren auf Stand bringen.

Nach dem Schließen und bei erneutem Öffnen der Administrationsoberfläche müssen Sie die Port-Nummer nicht mehr in der URL mit angeben, sofern Sie die voreingestellten Werte bei der Grundeinrichtung nicht verändert haben.

Listing 1: AdGuard einrichten

$ curl ?s ?S ?L

AdGuardHome/master/scripts/ | sh ?s ?? ?v

Einstellungssache

Die Einstellungsdialoge von AdGuard Home finden Sie in Gruppen zusammengefasst in einer Leiste am oberen Fensterrand. Prinzipiell funktioniert das System bereits nach der Ersteinrichtung. Im Menü Einstellungen | Allgemeine Einstellungen aktivieren Sie verschiedene Dienste wie etwa einen Kinderschutzfilter. Dazu werden allerdings Webservices kontaktiert. In diesem Dialog legen Sie auch fest, wie oft AdGuard Home die Blockierlisten aktualisieren soll. Die Option Sichere Suche verwenden schränkt verschiedene Webseiten in ihrer Funktion ein, sodass sie sich nur für bestimmte Anwendungsszenarien eignet.

Je nach Größe des lokalen Netzes und somit der Intensität des Datenverkehrs empfiehlt es sich, die Protokollintervalle zu modifizieren. In der Gruppe Konfiguration der Protokolle definieren Sie, wie lange der Server die Logs aufbewahrt und ob er die Client-IP- Adressen darin anonymisiert. Haben Sie hier Änderungen vorgenommen, bestätigen Sie diese durch einen Klick auf den grünen Button Speichern.

In der Kategorie DNS-Einstellungen, die Sie ebenfalls unter Einstellungen finden, tragen Sie bei Bedarf zusätz- lich zum bereits vorhandenen Upstream- DNS-Server weitere DNS-Dienste ein, sodass mehrere Alternativen zur Verfügung stehen. Bei mehreren DNS-Diensten nimmt die Software zudem eine Lastverteilung vor und nutzt den schnellsten Server bevorzugt. Sie können das jedoch modifizieren, indem Sie das Optionsfeld vor einer der Alternativen aktivieren.

Protokollarisches

Bei aktivierter Protokollfunktion listet AdGuard Home im Reiter Anfragenprotokoll alle Anfragen auf. Dabei nennt es die Uhrzeiten, die angefragten Server und die Statusnachrichten der Anfragen. Zudem führt es in der Spalte Client die Rechner im LAN auf, von denen die jeweilige Anfrage ausging. Anhand dieser Protokolle justieren Sie bei Bedarf die Filtereinstellungen nach. Für einzelne Clients lassen sich bestimmte Server-Anfragen sperren, indem Sie hinter dem jeweiligen Log-Eintrag auf Sperrenklicken 2.

Filterlisten

Im Menü Filter | DNS-Sperrliste sind zwei Filterlisten mit zusammen etwa 55 000 gesperrten Domains bereits eingetragen. Durch Setzen eines Häkchens aktivieren Sie die jeweilige Liste, durch einen Klick auf die Schaltfläche Nach Aktualisierungen suchen unterhalb der Tabelle bringen Sie die aktivierten Listen auf den aktuellen Stand.

Um zusätzliche Listen hinzuzufügen, klicken Sie auf Sperrliste hinzufügenund wählen im nächsten Dialog, ob Sie aus einer Liste vorgefertigter Blockierlisten 3 eine oder mehrere aktivieren möchten oder ob Sie eine eigene Sperrliste hinzufügen wollen. Der Auswahldialog für vorgefertigte Sperrlisten gestattet das Einbinden allgemeiner Listen mit Werbe- und Tracker-Domains sowie die Integration von Malware-Domain- Listen. Zusätzlich stehen regionale, nach Ländern geordnete Listen zur Auswahl.

Für heterogene Umgebungen mit Windows-Clients lässt sich außerdem eine speziell auf die Sicherheitslöcher des Microsoft-Betriebssystems abgestimmte Spy-Liste aktivieren, die diverse Spionage-Domains blockiert.

? eBlocker

eBlocker präsentiert sich als eine Komplettlösung für den Raspberry Pi, den Banana Pi M2+ oder für eine virtuelle Maschine auf Basis von Virtualbox. Ursprünglich handelte es sich um eine kombinierte Hard- und Softwarelösung. Den Vertrieb der kommerziellen eBlocker- Geräte stellte der Hersteller jedoch 2019 ein, während er die Software als eBlocker- OS nach wie vor pflegt und mittlerweile als Non-Profit-Projekt weiterführt.

Als Mindestvoraussetzung für den Einsatz von eBlockerOS geben die Entwickler einen RasPi mit 1 GByte Arbeitsspeicher an, empfehlen aber ein Modell der vierten Generation mit mindestens 2 GByte RAM. Das System benötigt eine SD-Karte mit mindestens 8 GByte Kapazität, die laut Empfehlung mindestens der Class-10-Spezifikation entsprechen sollte. Für das Netzteil rät das Projekt ein Exemplar mit mindestens 3 Ampere Leistung an. Zusätzlich muss am Router oder Switch ein freier LAN-Port zum Anschluss des Raspberry Pi vorhanden sein.

Die Entwickler stellen zudem auf der Projektseite eine Liste kompatibler Router und Repeater bereit, die in Kombination mit eBlockerOS getestet wurden. Die Liste erhebt keinen Anspruch auf Vollständigkeit. Allerdings sind die meisten handelsüblichen Geräte zu eBlockerOS kompatibel. Bei den aufgelisteten Browsern bestehen keine Kompatibilitätsdefizite, jedoch lassen sich bei einigen davon bestimmte Funktionen nicht in Kombination mit eBlockerOS nutzen.

Installation

Sie laden zunächst das aktuelle, knapp 740 MByte große eBlockerOS-Image herunter und entpacken das Abbild mit einem entsprechenden Werkzeug. Die dabei entstandene Datei mit einem Umfang von etwa 4,2 GByte transferieren Sie mithilfe des Befehls aus Listing 2 oder über ein Tool wie Balena Etcher auf eine MicroSD-Karte. Von dieser booten Sie dann den Raspberry Pi, der dabei mit einem handelsüblichen LAN-Kabel an den Router angeschlossen sein muss. Tastatur, Maus und Bildschirm braucht der Kleincomputer dazu jedoch nicht. Nach einigen Minuten Wartezeit können Sie von jedem beliebigen Arbeitsplatz im Netz aus eBlockerOS auf dem Raspberry Pi aktivieren, indem Sie im Webbrowser des Arbeitsplatzcomputers die URL eingeben. Das eBlocker-System verwendet nun ARP-Spoofing, um die im LAN vorhandenen Endgeräte automatisch zu lokalisieren und sich als Gateway in den Datenverkehr einzubinden.

Es erscheint ein kleines orangefarbenes eBlocker-Symbol oben rechts auf dem Bildschirm, außerdem werden einige Statusangaben zum aktuellen System eingeblendet. Ab diesem Zeitpunkt analysiert eBlocker alle Datenpakete mithilfe einer Deep-Packet-Inspection, überprüft zusätzlich via DNS-Blocking notorische Datensammler-Domains und modifiziert die von den einzelnen Clients ausgesandte User-Agent-Kennung.

Nun rufen Sie das Dashboard auf, in dem Sie eBlockerOS individuell konfigurieren. Dazu klicken Sie einfach unten mittig auf den Link Dashboard für dieses Gerät. Er erscheint ein Dialog, der Sie darauf hinweist, dass Sie ein Lesezeichen für den Browser anlegen können. Danach gelangen Sie in das spartanische Dashboard, wo Sie zunächst das System kon- figurieren. Sie klicken dazu rechts oben im Dashboard auf das Zahnradsymbol. In dem sich nun öffnenden Einrichtungsassistenten stellen Sie die Software durch einen Klick auf die Landesflagge auf die deutsche Lokalisierung um.

Listing 2: eBlocker einrichten

$ dd if=eBlocker?2.8.2?raspberry?pi.img of=/dev/mmcblk0 bs=4M

Nach Auswahl von Weiter akzeptieren Sie die Lizenz und stellen im nächsten Schritt die Zeitzone ein. Anschließend fragt der Assistent einen Namen für das eBlocker-System ab, der aber nur beim Betrieb mehrerer eBlocker im LAN eine Rolle spielt. Der nächste Schritt bezieht sich auf die automatisierte Aktivierung von eBlocker für Geräte, die Sie neu in das Netz integrieren. Voreingestellt wird eBlocker für solche Geräte nicht aktiv geschaltet. Im letzten Schritt geben Sie den Lizenzschlüssel ein, ein Relikt aus der Zeit der kommerziellen eBlocker-Version. Inzwischen erscheint hier bereits ein gültiger Lizenzschlüssel, Sie brauchen lediglich eine gültige E-Mail-Adresse anzugeben. Sie dient dazu, Anwender in Notfällen wie ernsthaften Sicherheitsproblemen der Software kurzfristig zu kontaktieren. Ein erneuter Klick auf Weiter schließt die Konfiguration ab.

Falls Aktualisierungen vorliegen, schlägt der Assistent noch vor, ein Update von eBlockerOS vorzunehmen. Dazu klicken Sie auf Jetzt aktualisieren (empfohlen), was binnen weniger Minuten das System auf den aktuellsten Stand bringt. Nach dem Abschluss des Updates startet der Raspberry Pi neu, und es erscheint ein Hinweisfenster, das über die installierten Aktualisierungen informiert.

Nach einem erneuten Klick auf den Weiter-Buttongelangen Sie in das Dashboard 4. Dort sehen Sie im Info-Segment rechts alle im LAN befindlichen Geräte, die das System bei der Einrichtung lokalisiert hat. Mithilfe der Einstellungsleiste links konfigurieren Sie bei Bedarf die verschiedenen Optionen. Das Dashboard erreichen Sie künftig durch Eingabe der IP-Adresse des eBlocker-Systems, gefolgt von der Port-Nummer 3000.

Einstellungen

Um das System eingehend zu konfigurieren und gegen unbefugte Zugriffe zu schützen, setzen Sie zunächst ein Admin-Passwort. Dazu klicken Sie unten links in der vertikalen Gruppenleiste auf System und danach auf den Link Admin-Passwort oben mittig. Dann schieben Sie den Regler vor der Option Administratorpasswort ist deaktiviert nach rechts und legen im daraufhin erscheinenden Dialog das Passwort für den Administrator fest. Danach ist das System geschützt.

Sie können nun weitere Sicherheitsoptionen ändern. Um die IP-Adressen zu anonymisieren, stellt eBlocker in der Gruppe IP-Anonymisierung gleich zwei Möglichkeiten zur Verfügung: Voreingestellt werden die Datenpakete automatisiert über das Tor-Netzwerk versandt, während sich alternativ eine VPN-Verbindung über einen öffentlichen Diensteanbieter konfigurieren lässt.

Auch verschiedene Optionen zur DNS- Firewall, zum Jugendschutz mit Blacklists und Whitelists und zum Schutz von Mobilgeräten stellen Sie gegebenenfalls in den entsprechenden Kategorien ein. Über die Kategorie Doktor sehen Sie sich außerdem Statusanzeigen an. Im Dialog Geräte schalten Sie den eBlocker-Schutz für die einzelnen erkannten Endgeräte durch Betätigen des Schiebereglers vor jeder IP-Adresse in der Tabelle ein oder aus.

Status

Zu jedem Endgerät im LAN können Sie im Webbrowser aktuelle Statusangaben abrufen. Dazu tippen Sie die IP-Adresse des eBlocker-Systems im Browser ein, gefolgt von einem Doppelpunkt und der Port-Nummer 3000. Alternativ verwenden Sie die URL . Beim Zugang via IP-Adresse klicken Sie im Anmeldedialog oben rechts auf das Symbol Dashboard öffnen.

eBlockerOS öffnet nun ein Fenster mit zahlreichen Kacheln, die Auskunft über unterschiedliche Betriebszustände geben 5 5. Neben Statistiken gibt es auch Optionskacheln. So sehen Sie über die Kachel Nachrichten beispielsweise Systemnachrichten ein oder aktivieren über Anonymisierung die IP-Anonymisierung für die aktuelle Arbeitsstation. Zusätzlich können Sie einen Funktionstest des Werkzeugs vornehmen oder eBlocker über die Kachel oben in der Mitte für die Workstation pausieren. Nützlich ist zudem die Option, Listen mit zu blockierenden oder erlaubten Domains zu verwalten, indem Sie diese in den entsprechenden Dialogen Domains blocken und Domains erlauben hinzufügen.

? Pi-hole

Das für den Raspberry Pi konzipierte, aber auch für Intel/?AMD-Architekturen erhältliche Pi-hole gehört zu den bekanntesten Werbe- und Tracking-Blockern. Die Appliance setzt mindestens 2 GByte freien Massenspeicher und 512 MByte RAM voraus. Pi-hole verwandelt den Mini-Rechner in einen DNS- Server, der sämtliche Datenpakete filtert. Es lassen sich dabei sogar für definierte Endgeräte eigene Profile speichern, mit deren Hilfe Sie Inhalte wie nicht jugendfreie Webseiten blockieren.

Installation

Sie integrieren Pi-hole via Curl als Applikation in ein bestehendes Betriebssystem. Bevor Sie die Anwendung unter Pi OS oder Debian installieren, aktivieren Sie am besten einen SSH-Server, damit Sie später von jedem Endgerät im Netz aus auf den RasPi zugreifen können.

Unter Pi OS schalten Sie den SSH-Server bequem per Schieberegler im Konfigurationsdialog des Betriebssystems ein. Unter Debian installieren Sie dazu manuell das Paket openssh-server. Anschließend installieren Sie Pi-hole über den Befehl curl ?sSL . pi?hole.net | bash im Terminal. Nach der Installation öffnet sich automatisch ein Ncurses-Konfigurationsassistent.

Darin legen Sie zunächst eine statische IP-Adresse für den Kleincomputer fest. Danach wählen Sie aus einer vorgegebenen Liste einen DNS-Anbieter aus, über den Pi-hole die Webanfragen auflöst, und laden anschließend eine Blockliste. Im nächsten Schritt aktivieren Sie das Web-Interface für die Verwaltung und legen noch einige Angaben zur Protokollierung der Daten fest.

Daraufhin blendet die Software eine Anzeige mit allen wichtigen Daten ein. Unter diesen befindet sich auch das Passwort zum Einloggen in die Weboberfläche. Außerdem erscheint der Hinweis, dass Sie den Pi-hole-Rechner nun auf allen Endgeräten im LAN als DNS-Server eintragen müssen.

Start frei!

Die Weboberfläche des Pi-hole-Systems lässt sich nun von jedem Webbrowser im LAN aus aufrufen. Dazu geben Sie die URL oder die IP-Adresse des Pi-hole-Systems ein. Nach einer Anmeldung gelangen Sie auf eine übersichtliche Oberfläche, die links die Konfigurationsoptionen in Kategorien zusammenfasst, während rechts die entsprechenden Dialoge erscheinen 6.

Hier sehen Sie grafisch ansprechend aufbereitet die wichtigsten Daten zu den vorhandenen Clients, deren Anfragen, den blockierten Aufrufen und auch zu den Filterlisten. Unterhalb davon visualisieren Aktivitätslisten in Form von Balkengrafiken die Zahl der Netzanfragen. Es folgen Kreisgrafiken und Tabellen zu den am häufigsten aufgerufenen Domains, die Pi-hole nach erlaubten und blockierten Domains sortiert, und zur Art der Anfragen. Außerdem zeigt das System prozentual an, welche Upstream- Server genutzt wurden. Ganz unten im Fenster sehen Sie zusätzlich statistische Angaben zu den im Netz angemeldeten Clients. Einstellungen nehmen Sie dagegen in der links im Fenster vertikal angeordneten Gruppenleiste vor.

Gruppendynamik

Ein zentrales Feature von Pi-hole ist die Möglichkeit, einzelne Endgeräte in Gruppen zusammenzufassen und diese mit gesonderten Filterregeln zu versehen. So können Sie beispielsweise Tablet-PCs oder Smartphones, die überwiegend von Kindern genutzt werden, in einer eigenen Gruppe zusammenfassen und mit einheitlichen Regeln ausstatten. Dadurch entfällt die zeitraubende Konfiguration von Einzelgeräten.

Im Menü Groups legen Sie dazu wahlfrei Gruppen an, die Sie einzeln durch einen Schieberegler aktivieren oder abschalten. Gleich unterhalb der Konfigurationsgruppe Groups in der vertikalen Kategorienleiste finden Sie die Gruppe Clients. Darin legen Sie die einzelnen Clients an, wobei die von Pi-hole erkannten Endgeräte mit ihren MAC-Adressen in einem Ausklappmenü erscheinen. Für jeden Client im LAN können Sie dabei einen gesonderten Eintrag anlegen und in der darunter befindlichen Tabelle jeden dieser angelegten Clients einer Gruppe zuweisen. Dazu gibt es wiederum in jeder Client-Zeile ein entsprechendes Auswahlfeld.

Listen

Die Blockierlisten von Pi-hole ergänzen Sie bei Bedarf über zwei Optionen. Um eine einzelne Domain in die Sperrliste aufzunehmen, nutzen Sie den Dialog Domains. Sie können hier auch durch Setzen eines Häkchens vor der Option Add domain as wildcard alle Subdomains in die Liste einbeziehen. In diesem Fall passt Pi-hole die eingegebene Regel zum Sperren der Domain entsprechend an.

Zusätzliche Listen mit zu sperrenden Domains integrieren Sie dagegen im Dialog Adlists. Dazu geben Sie im Adressfeld die URL der neuen Liste ein und führen anschließend im Terminal den Befehl pihole ?g aus, um die Aufstellung in das System aufzunehmen. Alternativ klicken Sie den im Dialog vorhandenen Link an, um im Browser-Fenster die bestehenden Blockierlisten zu aktualisieren. Die neu hinzugekommenen Listen erscheinen in einer Tabelle unterhalb des Eingabedialogs und lassen sich bei Bedarf durch einen Klick auf das rote Papierkorbsymbol ganz rechts neben dem Listeneintrag wieder entfernen.

In der Voreinstellung aktiviert Pi-hole neue Sperrlisten für alle Gruppen. Es besteht jedoch die Möglichkeit, neue Listen auch spezifisch individuellen Gruppen von Endgeräten zuzuweisen. Dazu wählen Sie die fragliche Gruppe in der Spalte Group assignment aus. Neu hinzugefügte Listen lassen sich zudem im laufenden Betrieb jederzeit per Schieberegler in der Spalte Status ein- oder ausschalten. Zusätzlich können Sie Pi-hole für vorgegebene Zeiträume ausschalten, indem Sie die entsprechende Option in der Kategorie Disable Blocking auswählen. Hier geben Sie den Zeitraum an, in dem die Anwendung keine Blockierfunktion ausüben soll.

Ansichtssache

In der Gruppe Query Log lassen Sie sich alle anfragenden Domains tabellarisch geordnet anzeigen. Dabei erscheinen jeweils die letzten 100 Einträge. Möchten Sie eine der Domänen in eine Sperrliste übernehmen, klicken Sie hinter dem jeweiligen Eintrag ganz rechts auf Blacklist.Pi-hole übernimmt die Domain nach einer Bestätigung in die individuelle Zusatzliste zu sperrender Domains 7 7.

? Upribox

Die aus Österreich stammende Upribox gehört zu den Senioren unter den zentralen Filterlösungen für Intranets. Es gibt sie auf der Webseite des Projekts als fertig vorkonfigurierte Appliance auf Basis eines Raspberry Pi mit einer 16 GByte großen MicroSD-Karte für 125 Euro. Sie können die freie Software jedoch auch zur Nutzung mit Ihrem eigenen RasPi als 655 MByte großes Image von der Github- Seite des Projekts beziehen. Die Software läuft allerdings nur auf älteren Modellen der dritten Generation des britischen Kleincomputers.

Inbetriebnahme

Die Upribox spannt schon beim ersten Hochfahren ein WLAN auf, muss aber für das Setup trotzdem über eine Kabelverbindung ins LAN verfügen. Von einem beliebigen Computer im Netz aus melden Sie sich im WLAN upribox mit dem WPA2-Schlüssel changeme an. Dann rufen Sie im Webbrowser der Maschine die URL auf und gelangen nach einer Sicherheitsabfrage in die Administrationsoberfläche des Systems. Im Login-Bildschirm melden Sie sich als Benutzer uprimit dem Passwort changethedefaults! an. Sie gelangen nun in das Dashboard mit der Geräteübersicht 8.

Zunächst ändern Sie dort das Passwort des Nutzers upri, indem Sie oben rechts im Browser-Fenster auf den Nutzernamen klicken. Die Software öffnet nun einen Dialog, in dem Sie ein neues Passwort eingeben und auch den Namen des administrativen Nutzers ändern können. Anschließend klicken Sie unten auf Speichern und gelangen wieder zurück in die Geräteübersicht.

Neben den im WLAN angemeldeten Geräten finden Sie im Dashboard auch deren Status. Die Upribox ermöglicht es, durch Setzen eines Optionsfelds für jede Workstation im WLAN deren Schutzstatus individuell zu ändern. Voreingestellt befinden sich die Geräte im geschützten Modus, in dem Werbung und Tracker ausgeblendet werden. Der Ninja-Modus, den Sie in der rechten Spalte aktivieren, ermöglicht zudem das Surfen über das Tor- Netzwerk. Dabei fällt der Datendurchsatz aber geringer aus als im geschützten Modus, was beispielsweise beim Streamen von Videos Probleme verursachen kann.

Werden Inhalte in einem der beiden Schutzmodi nicht mehr korrekt angezeigt, setzen Sie das Optionsfeld in der linken Spalte und deaktivieren damit sämtliche Schutzmechanismen für die betreffende Arbeitsstation. Klicken Sie auf eine der Gerätebezeichnungen, liefert die Software eine Internet-Nutzungsstatistik für den jeweiligen Client.

Einstellungen

Links in der Gruppenleiste stellen Sie das System über die Kategorie Konfigurationmit wenigen Handgriffen individuell ein. So regeln Sie hier über das Setzen oder Entfernen eines Häkchens den Zugang zur Upribox und Ihrem WLAN. Zudem können Sie Dienste wie SSH oder einen integrierten VPN-Server aktivieren. Auch eine statische IP-Adresse lässt sich in diesem Dialog für den RasPi aktivieren 9. Über den Link Einstellungen hinter der fraglichen Option konfigurieren Sie anschließend den jeweiligen Dienst.

Statistiken

Die Kategorie Statistik in der vertikalen Leiste links im Hauptfenster öffnet eine grafisch aufbereitete Anzeige, die die Anzahl der blockierten und gefilterten Inhalte nennt. Dazu liefert die Upribox auch Balkengrafiken, die den Umfang der gefilterten und blockierten Inhalte nach Kalenderwochen sortiert anzeigen. Eine kleine Tabelle führt außerdem die am häufigsten gefilterten und blockierten Domains auf.

Fazit

Alle hier vorgestellten Lösungen zum zentralisierten Filtern von Werbung und Trackern erfüllen ihre Aufgabe zuverlässig. Die Unterschiede liegen im Funktionsumfang und in der Bedienergonomie. Am einfachsten lässt sich die Upribox handhaben, die nur wenige Einstellmöglichkeiten bietet. Den größten Funktionsumfang weisen Pi-hole und eBlocker auf. Beide erfordern zumindest Grundkenntnisse in Netzwerktechnologien. Pi-hole glänzt dabei mit den umfangreichsten Sperrlisten. AdGuard Home eignet sich wie die Upribox primär für den Einsatz in kleinen LANs und setzt zur Installation und Konfiguration kaum Kenntnisse voraus. Für den professionellen Einsatz in großen Netzen erscheinen Pi-hole und vor allem eBlocker mit ihren detaillierteren Konfigurationsoptionen geeigneter.

Alle Lösungen haben gemeinsam, dass sie praktisch transparent arbeiten und dass – mit Ausnahme der Upribox im Ninja-Modus – beim Surfen weder erhöhte Latenzen noch Geschwindigkeitseinbußen auftreten. Welche Lösung zum Einsatz kommt, hängt daher primär von den Anforderungen und den Vorlieben des Administrators ab.

(jlu)

Dateien zum Artikel herunterladen unter

Weitere Infos und interessante Links