Na super. Nach der Migration des vierten Notebooks auf #Fedora 40 schwant mir langsam, dass vermutlich "MAC address randomization mode" eingeführt wurde.
Jedenfalls tut #DHCP im eigenen #WLAN nicht mehr wie erwartet und die Clients werden von der #Firewall abgebürstet.
Erst mal rausfinden, wie man das abhängig von der SSID wieder deaktiert. Eigentlich war mir gar nicht langweilig...
Warum einen #Werbefilter verwenden?
#Mozilla behauptet von sich, um unsere #Privatsphäre bemüht zu sein aber sie liefern #Firefox ihren #Browser nicht mit voreingestellten Werbefilter / #Werbeblocker aus. Es gibt diverse kleinere Browser, die das inzwischen machen und somit wäre es nicht mehr so revolutionär wenn Mozilla dies auch tun würde. Sei es drum, die erste Aktion nachdem ihr Firefox installiert habt sollte immer sein einen Werbefilter zu installieren. Dieser schützt euch vor ausufernder teilweise betrügerischer #Werbung. Er spart euch Zeit beim #YouTube schauen. Es wird verhindert, dass euer Surfverhalten großflächig ausgewertet und vermarktet wird. Selbst das FBI empfiehlt Werbefilter zu verwenden. Lasst euch nicht vom Rumheulen mancher Seiten erweichen euren Werbefilter abzuschalten, denn diese Seiten zahlen nicht wenn ihr euch durch abgeschalteten Werbefilter bei ihnen Schadsoftware einfangt und euren Rechner neu installieren müsst.
⚠️ Bitte merkt euch aus Sicherheitsgründen und zum Schutz der Privatsphäre niemals ohne Werbefilter surfen! ⚠️
Uneingeschränkt empfehlen kann ich "uBlock Origin" 👍
"uBlock Origin" filtert in der Defaulteinstellung zuverlässig die Werbung heraus auch bei YouTube. Dafür werden von Freiwilligen Listen gepflegt, die bekannte Werbung so herausfiltern, dass das Surferlebnis nicht durch kaputte Seiten beeinträchtigt wird. Man muss ihn nur installieren und kann dann lossurfen.
Installation für Firefox hier: https://addons.mozilla.org/de/firefox/addon/ublock-origin/
Ein Filter der lernt, Werbung zu filtern ist der "Privacy Badger".
Dieser Werbefilter wurde von der EFF (US-Bürgerrechtsorganisation für Freiheit im Internet) entwickelt. Die haben Ahnung und sind vertrauenswürdig. Hauptunterschied ist, dass dieser Werbefilter erst lernt die Werbung zu filtern anhand ihres negativen Verhaltens für die Privatsphäre. Damit seid ihr nach kurzer Lernphase auch gegen neue Methoden geschützt, da der Filter ständig dazulernt. Hintergrund ist, dass die Listen, die man für "uBlock Origin" herunterladen muss verfälscht sein könnten oder verboten werden könnten von restriktiven Regimen. Hauptkritikpunkt ist, dass man sich einen individuellen Fingerabdruck im Browser erzeugt, anhand dessen ihr theoretisch getrackt werden könntet. Dazu spielt der Server eine für euch individuell erzeugte Werbung aus. Ein anderer Server prüft dann, ob ihr genau diese Werbung filtert und weiß dann, dass ihr schon mal den vorherigen Server besucht habt.
Hier könnt ihr "Privacy Badger" für Firefox installieren:
https://addons.mozilla.org/de/firefox/addon/privacy-badger17/
Für alte und langsame Rechner eignet sich eine Werbefirewall.
Die Werbefirewall "Bluhell" arbeitet mit den selben Listen wie "uBlock Origin". Der Unterschied ist, dass "uBlock Origin" die Werbung filtert. Dazu werden die Werbeanzeigen herausgenommen und die Seite danach neu zusammengebaut, sodass es möglichst gutes Gesamterscheinungsbild im Browser erscheint. Dies braucht Zeit und Rechenleistung, was auf aktuellen Rechnern kein Problem ist. "Bluhell" blockt nur den Zugriff auf die Server, die die Werbung ausspielen. Dies geht schneller und einfacher aber die angezeigten Seiten sehen dann gelegentlich etwas kaputt aus mit einem großen Loch wo vorher die Werbung war.
Zur Installation für Firefox hier: https://addons.mozilla.org/de/firefox/addon/bluhell-firewall/
Werbung ausschalten ohne Filter mit der Leseansicht.
Wie gesagt solltet ihr aus Sicherheitsgründen niemals auf den Werbefilter verzichten. Manchmal sitzt man aber an einem fremden oder öffentlichen Rechner, wo man nicht mal eben was installieren kann oder darf. Dann hilft euch die Leseansicht im Firefox. Sie ist auch hilfreich, wenn ihr Seiten ausdrucken wollt, da unnötiges ausgeblendet wird. Um sie zu nutzen, einfach in der Adressleiste auf das entsprechende Symbol klicken.
Werbung blockieren mit der "hosts" Datei.
Das Prinzip ist ähnlich wie bei "Bluhell" aber ganz ohne Installation. Es gibt die Datei "hosts", die eigentlich dafür gedacht ist im lokalen Netzwerk auf Server weiterzuleiten, die nicht über einen DNS-Server aufgelöst werden können, weil man dafür keinen im lokalen Netzwerk eingerichtet hat. Der Trick ist jetzt Werbedomains, entweder auf die IP 0.0.0.0 oder 127.0.0.1 (localhost) umzuleiten. Klinkt für Anfänger wahrscheinlich nach Technikkaudawelsch bedeutet aber einfach nur, dass die Anfragen an Werbung ins leere gehen. Nachteil ist, dass bestimmte Dienste wie "Spotify" nicht mehr funktionieren, wenn sie keine Verbindung mehr zu ihrer Werbung haben. Ein weitere Nachteil ist, dass sich die Server für Werbung ständig ändern und man manuell Updates einspielen muss. Diese Aufgabe übernimmt sonst "Bluhell" oder "uBlock Origin" für euch.
Wie es geht wird hier beschrieben: https://www.hosteurope.de/blog/hosts-datei-finden-und-aendern-oder-fuer-eigenen-blocklist-blacklist-index-optimieren/
Listen erhält man hier: https://pgl.yoyo.org/as/serverlist.php
Oder hier: https://github.com/lightswitch05/hosts
Werbung filtern an einem zentralen Punkt für alle Geräte im eigenen Netzwerk mit "Pi Hole".
Diese Lösung ist nur etwas für Leute die sich auskennen, weil viele technische Schritte notwendig sind. Als Belohnung erhält man aber eine Lösung, die fertig eingerichtet für alle Geräte verfügbar ist. So kann man seine Wie ganze Familie, Verwandtschaft und Freunde wirkungsvoll schützen. Dazu richtet man sich auf einen #RaspberryPi einen Server ein, der die Werbung filtert. Danach muss man das lokale Netzwerk nur so konfigurieren, dass alle Geräte diesen Server nutzen für den Internetzugriff. Geräte im #Internet verbinden sich per #VPN mit dem eigenen Server. Den Server kann man zusätzlich als eigene Cloud nutzen und für vieles mehr.
Wie man ein sogenanntes "Pi Hole" einrichtet wird hier beschrieben: https://www.heise.de/tipps-tricks/Pi-Hole-auf-dem-Raspberry-Pi-einrichten-so-geht-s-4358553.html
#pihole #uBlockOrigin #Bluhell #firewall #adblocker #freiheit #anleitung #tutorial #Sicherheit #Wissen #software #www #web #Schutz #Betrug #Abofalle
https://linuxnews.de/ipfire-2-27-core-update-182-freigegeben/ #IPFire #Firewall
frp is a fast reverse proxy that allows you to expose a local server located behind a NAT or firewall to the Internet. It currently supports #TCP and #UDP, as well as #HTTP and #HTTPS protocols, enabling requests to be forwarded to internal services via #domain name.
frp also offers a #P2P connect mode.
source: https://ria.ru/20231003/vpn-1900174800.html
The Russian communications regulator #Roskomnadzor plans to block all VPN services that allow users to access resources banned in Russia from March 1 next year. These include widely used platforms such as #Instagram, #Facebook and #Whatsapp.
It will be more difficult to get to the platforms, but #TOR via "Bridges" tunnels even through the Chinese #firewall, so Russia should not be a #problem.
Heute hab' ich Blut und Wasser geschwitzt - umso süßer ist der Erfolg!
Nach einem Hardwareschaden auf der #SSD meiner #APU1D4 hatte ich neue SSDs beschafft: 'msata 16g' - 4 Stück, weil ich auch mehrere dieser Boards besitze.
Vom Hersteller verbaut und spezifiziert war 'msata 16d', aber die waren nicht mehr zu bekommen.
Naja, war ja klar - keine davon wurde von der #Hardware erkannt, egal ob unter #GNU/Linux oder #FreeBSD.
Nach viel Recherche und wochenlangem Zaudern war ich heute mutig/verzweifelt genug, das #Coreboot #BIOS zu flashen. Vielen Dank überigens an #VoyageLinux für die Starthilfe.
Natürlich habe ich mir ins Höschen gemacht, dass ich Depp das Board kaputt flashe, besonders wegen einer Meldung zu angeblich falschen Chip. Aber ein beherztes '--force' brachte den Erfolg. Zuerst das Flashen selber und dann nach dem Neustart, dass die Disk nun erkannt wird. 🚀
Nun kann ich die Hardware weiter nutzen und der Weg ist frei zu einer stressfreihen Migration meiner #Firewall zwischen den Feiertagen.
#PC-Engines #pfSense #flashrom
Meine Gedanken von #IPFire zu #OPNsense zu wechseln werden langsam konkreter. Aktuell bin ich für mein privates Netzwerk (15-20 unterschiedlicher Geräte) auf der Suche nach einer zukunftssicheren Hardware (mind. 3x LAN) die auch nicht viel Strom verbraucht. Ein Monitor muss auch angeschlossen werden können.
Meine Recherche heben jetzt folgende zwei Geräte ergeben:
https://www.ipu-system.de/produkte/ipu662.html
oder
https://www.ipu-system.de/produkte/ipu654.html
Sicherheitsinteressen deutscher IT-Projekte in US-Hand
Eigentlich geht es überhaupt nicht um den vermummten unbekannten Hacker, sondern um eine "angesehene" Beratungsfirma aus den USA. Die Beraterfirma CSC mit ihren elf Tochtergesellschaften ist allerdings nicht nur für heikle US-Geheimdienstmissionen unterwegs, sondern arbeitete auch für deutsche Ministerien in vielen ganz wichtigen IT Projekten:
Sucht man nach diesen Begriffen in unserer Artikelsuche, so wird man häufiger fündig als einem lieb sein sollte und alle Projekte sind sehr eng mit der angeblich bedrohten Sicherheit der Bundesrepublik verbunden. Deshalb fragt netzpolitik.org die beteiligten Ministerien auch, ob es angemessen und verantwortlich sei ausgerechnet dafür eine US Firma zu beteiligen.
Die Bundesregierung mochte auf diese Frage nicht antworten und das Bundesinnenministerium richtete laut netzpolitik.org aus, ihm genügten entsprechende Klauseln in den Rahmenverträgen mit CSC. Demnach sei es untersagt, „bei der Vertragserfüllung zur Kenntnis erlangte vertrauliche Daten an Dritte weiterzuleiten“.
Die staatlichen Stellen begnügen sich mit dem Wissen, dass viele Millionen Euro aus dem Staatshaushalt an die CSC geflossen sind, die Frage, welche strategischen Infos darüber hinaus in die Hände der USA kamen, spielt für die Regierung keine Rolle. Fragen müsste man auch, welche strategische Richtung in den Projekten wurde durch CSC beeinflusst?
Den Gipfel entdeckten SZ und der Stern vor 3 Wochen: So war CSC an Studien zu den Informationssystemen für die „Nationale Luftabwehr“, die Marine oder einzelne ihrer Fregatten beteiligt und beschaffte Software zur Cyberabwehr und reorganisierte die Datenverwaltung des Militärs. Auch an dem noch lauenden maritimen Überwachungsprojekt „MARSUR“, das bald in das EU-Grenzüberwachungssystem EUROSUR integriert wird, ist CSC beteiligt und erstellte für die Marine ein IT-Sicherheitskonzept.
Damit wissen wir schon mal, gegen welche ausländische Macht die Firewall der Marine sicher sehr durchlässig sein könnte.
Mehr dazu bei https://netzpolitik.org/2013/csc-in-alle-grossen-it-vorhaben-eingebunden-de-mail-npa-epa-staatstrojaner-waffenregister-e-gerichtsakte-e-strafregister/
und https://www.lernzeit.de/geheimer-krieg/
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7976-20220404-csc-war-immer-dabei.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7976-20220404-csc-war-immer-dabei.htm
Tags: #CSC #USA #Snowden #Sicherheitsinteressen #BRD #Geheimdienste #Hacking #Verbraucherdatenschutz #Datenschutz #Datensicherheit #DE-Mail #nPA #ePA #Ausweis #Staatstronjaner #Waffenregister #Strafregister #Firewall #Marine #Datenpannen #Datenskandale #Militär #Bundeswehr #Transparenz #Cyberwar
Um auf die Schnelle rauszufinden, welche app eines Android-Telephons erst einmal grundsätzlich die Möglichkeit hat über Wifi oder data nach Hause zu telefonieren, erstellt man sich am besten kurz eine Liste. Das geht recht einfach über den Package manager.
Von Deinem Linux-Terminal und einem verbundenen Telephon:
$ adb shell
Auf dem Telefon:
Berechtigung für Internet:
$ for package in $(pm list packages -3 | cut -f2 -d":"); do dumpsys package $package | grep “android.permission.INTERNET: granted=true” > /dev/null && echo $package done;
Berechtigung für mobile Daten:
$ for package in $(pm list packages | cut -f2 -d":"); do echo $package; pm dump $package | grep “Mobile network”; done;
Vermutlich wird diese Liste bei den meisten recht lang sein und mit “iptables” könnte man (auf einem Telephon mit root-Rechten),
dem Treiben nun ein Ende setzen.
Echt gut geeignet ist dafür auf dem Handy AFWall+ – https://f-droid.org/de/packages/dev.ukanth.ufirewall/
Allerorten liest man, wie es Bösewichten gelungen ist, mit relativ geringer krimineller Energie in sensible Netze einzudringen. Sei es Rechenzentren, Verwaltungen, Krankenhäuser, Kraftwerke uvm.
Ich bin ja nun kein offiziell ausgebildeter ITler, sondern mache den Kram seit 15 Jahren eher als Hobby und auch davor, wo ich es beruflich gemacht habe, eher wie ein Handwerker und nicht wie ein Ing, welcher sich auf zugelieferte Sachen verlassen muss. Damals gab es sowas noch nicht. Damals gab es nicht einmal das Internet, welches man fragen konnte. Und die nächsten Nerds waren auch nicht immer greifbar.
Trotzdem verstehe ich immer noch nicht, wieso man kritische Infrastruktur, welche man bisweilen auch von aussen administrieren muss, nicht einfach über zertifikatsbasiertes VPN zugänglich macht. Und vielleicht zusätzlich noch die IP-Ranges einschränkt oder so. Das ist doch alles kein Hexenwerk. Und Server, welche öffentlich zugänglich sind, über eine Firewall vom sensiblen Teil des Netzes trennt. Dann bleibt einzig noch SQL-Injection oder so übrig.
Bei mir ist Port 80, 443 TCP sowie ein unüblicher Port UDP für das VPN von aussen erreichbar. IoT ist über das Gastnetz eingebunden. Bleiben bei mir nur noch Android-Phone und PCs übrig, welche über Browser oder Apps von innen nach aussen ein Loch reissen können. In einer sensiblen Umgebung könnte man das auch noch abfangen. Ich mache mir die Mühe noch nicht. Allerdings habe ich Netzwerkdrucker und NAS per Kindersicherung komplett vom äusseren Netz getrennt. Und ja, die Drucker nörgeln gerne deswegen. Und der Samsung Drucker hat sich schonmal über den Windows Treiber seinen Weg nach aussen gebohrt, um ungefragt neue Firmware aufzuspielen, damit die billigen Tonerkartuschen nicht mehr funktionieren. Rechtzeitig den Stecker gezogen. Fand ich jetzt von HP auch sehr grenzwertig.
Bei meinen Servern bei Netcup verfahre ich ähnlich. Kein Port 22. SSH nur über VPN und auch das mit Zertifikaten. Im Notfall kann ich über die Konsole der Adminumgebung eingreifen. Und da sehe ich auch die einzige Schwachstelle. Sollte bei Netcup dieser Bereich kompromittiert werden, habe auch ich geloost. Und wie man letztens bei einem Querdenker-RZ gesehen hat, ging das dort relativ schmerzlos direkt ins interne Netz. Da hoffe ich, dass andere Anbieter schlauer sind...
Das zeigt, 100% Sicherheit gibt es nicht. Aber wenigstens die Infrastruktur von aussen so vernageln, dass man ohne interne Geräte zu verseuchen, nicht rein kommt, ist schon ok.
Wie man verhindern kann, dass man über Mail oder Web eingefangene Dinge nicht das interne Netz zerfressen lässt, da gibt es sicherlich auch genug Möglichkeiten, aber damit habe ich mich weniger befasst. Klar ist, der Nutzer ist da die größte Sicherheitslücke. Und die lässt sich nicht stopfen. Keine Chance...
[caption id="attachment_24097" align="alignnone" width="635"] Created with GIMP[/caption] [caption id="attachment_24098" align="alignnone" width="635"] Created with GIMP[/caption] it all could have been so well an ARM based router, with HDMI (!) with SATA (!) with enough power, but adding a second interface (every router needs[...]
#linux #gnu #gnulinux #opensource #administration #sysops #bananapi #arm #router #firewall
Originally posted at: https://dwaves.de/2021/11/01/bananian-bananapi-lamobo-r1-bcm53125-the-arm-router-that-is-not-a-router-it-is-a-layer-2-switch-with-only-one-nic-default-root-password-is-pi/
#RaspberryPi #Firewall : #HowTo Install and Manage it by Using UFW ⚓ https://linuxiac.com/raspberry-pi-firewall/ ䷉ #linuxiac
