Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[ooo]

@tecc - Mir raucht auch gerade der Kopf (joke)

Erstmal:

1. Was hast du genau für ein Phone (Marke, Modell, Typ, SKU ...)?
   
2. Welche exakte Android-Version (Screenshot von Einstellungen > Über das Phone)?
3. Wie hast du gerootet?
4. Hat es init.d-Support (kannst du den Start-Datenleck Fix aktivieren)?
   
5. Wer ist dein Provider, was ist das genau für ein Tarif?
   
6. Benutzt du VPN/Orbot/Tor/Proxies/Virenscanner mit Firewall/andere Apps, die die Firewall stören könnten (wenn ja, alles erstmal deaktivieren/deinstallieren)?
7. Wohin gehen die Kernel-Sachen (das Gerät kann auch intern mit sich selbst "sprechen")?
   (Die root-Sachen sollten nur DNS-Verbindungen sein, dann ist das okay)

Aus dem Bauch:

1. Voll-Backup machen
   
2. Alle Werte in den beiden APNs aufschreiben
3. Dann erst die APNs Menü-Punkt "Zurücksetzen ..." über das Android-Menü/die Menü-Taste in der Liste
   (Die APNs werden dadurch gelöscht und neu anlegt - sicherheitshalber beim Provider fragen, wie die aktuellen Werte sind und vergleichen)
   
4. Alle relevanten Apps deaktivieren/besser komplett deinstallieren, s. o.
5. Das Phone neu starten
6. Nur mit AFWall und "Mobilen Daten" (nicht W-LAN = auslassen) beschäftigen - sonst nichts
7. Custom scripts der AFWall (wenn benutzt) deaktivieren, also löschen
8. Erstmal etwas Einfaches machen, bis alles erklärbar ist - z. B. nur den Browser ins Internet lassen.

(Der netd-Daemon existiert erst seit Android 4.3. - Wenn Android 4.2, dann auf "automatisch" stellen.)

 

[tecc]

Jetzt fehlt nur noch das "Alles Kopfsache"

Zu Deinen Fragen:

1. Sony Z1
2.Cm 12.1 bzw Android 5.1.1
3. Weiß ich nicht mehr sry
4. Datenleck-Fix aktiviert
5. Vodafone irgendnen Red Tarif
6. Keine weitere "Sicherheitssoftware" o.a. außer Xprivacy
7. Kernel ging letztens Richtung Google und heute zum Provider-Proxy als Http

Kann das leider alles nicht so wirklich reproduzieren das ich genau sagen was wann passiert. Aufgefallen heute
und was ich nicht verstehe sind folgendne 2 Situationen:

- Web-APN plus (0)Root ergibt beim Browser aufruf von Wiki Traffic für die APP Browser in Network Log einmal IP Wiki einmal DNS Provider und mehrmals Log zu "Apnic" Ips-laut whois "ip verwaltung pacifik" ? Zudem alle (1000)er apps ausser audio fx ein Kontakt zu ner google ip obwohl keiner dieser Apps in der AfWall der Zugang gestattet wurde

- Proxy Apn ohne (0)root ergibt traffic (-1)Kernel zum Provider obwohl kein Zugang durch AfWall gestattet

APNs neu einlesen usw hatt ich schon ohne Erfolg probiert. Was mich halt stutzig mach sind die geloggten Verbindungen in Network Log von Sachen die kein Zugang in AfWall erhalten haben und ich versteh nicht warum
wenn ich den "Web-APN" nehme der App (0)Root Zugang ermöglichen muss um Internet zu haben und wenn ich
den "Proxy-APN" nehme dieses nicht mehr muß. Was bedeutet dieser Proxy in den Provider Einstellungen
überhaupt ? Ist der nur für DNS-Anfragen oder geht der ganze Verkehr über diesen Proxy ?

Irgendwie komm ich immer öfter zu dem Gedanken mir einfach wieder ne Original ROM zu flashen, mich brav
wie Millionen andere zur Google und AppAnbieter-Hure zu machen und glücklich vor mich hin zu vegetieren +_+

 

[ooo]

CM 12.1 ist schon mal gut ... (hat init.d, netd deaktivierbar und Datenleck Fix ist vorhanden)

Hast du in Network Log die Einstellung "Hinter Firewall protokollieren" aktiviert, damit man nur den Traffic protokolliert bekommt, der das Phone wirklich verlässt? - Nach der Einstellung neu starten.

Sonst wird auch der von der Firewall geblockte Traffic in Network Log mit protokolliert.

Um immer einen bestimmten DNS-Server (root 0 Traffic DNS Port 53 UDP) zu erzwingen, muss man das Custom Script aus dem Startposting in jedem eingesetzen Profil der Firewall eintragen.

system (1000) und kernel (-11) blocken (also nicht anhaken) und dann nach Neustart wieder testen.

(Warum setzt man einen Proxy-APN ein? Für MMS? - Frag mal den Provider - vermeiden/löschen?)

Vodafone APNs für MMS und Internet (Vodafone Support):
Hilfe | Mobilfunk-Services einrichten - Telefonie & Messaging

(Die in einer CM-ROM hinterlegten APNs (/system/etc/apns-conf.xml, /system/etc/selective-spn-conf.xml) sind nicht immer aktuell ...)

 

[ohnonot]

Danke, das hat alles gut geklappt (acer liquid e700, stock android 4.4.2 kitkat, gerooted).

Ich wollte noch anfügen:
init.d support kann man auch auf anderen modellen nachträglich aktivieren.
im endeffekt muss man die richtige busybox version finden und installieren - bei mir war es diese hier - und dann kann man verschiedene wege gehen.
ich hab das hier benutzt:
[MOD][APK+SCRIPT+ZIP] Enable Init.d for Any Phones w/o Need of Custom Kernels!!! - Post #2 - XDA Forums
- das shell script term-init.sh also.

danach dann sicherheitshalber nochmal in afwall+ das init script aktivieren.

noch eine kleine anmerkung:
initd = init daemon
aber:
bei init.d steht das d für directory, also ein verzeichnis in dem das programm (in diesem falle init) zusätzliche konfigurationen findet. das ist so üblich auf linux systemen.

ps:
init hat nach reboot die testdatei sud.ooo angelegt, kann ich aber nochmal 200% sichergehen, also nachprüfen, dass auch die firewall rectzeitig gestartet wird?

 

[ooo]

@ohnonot - Die Firewall (iptables) startet immer vor allen Apps, weil diese Bestandteil des Kernels ist (wie bei GNU/Linux auch). - Das afwallstart-Script sorgt noch bevor Android gestartet wird dafür, dass alle iptables-Regeln auf DROP stehen (= alles geblockt). - Wenn du nach dem Booten einen Timestamp in der Log-Datei sud.ooo für afwallstart hast, dann ist es sicher (und rechtzeitig gestartet). - Um das zu testen, musst du nur die Log-Zeile im afwallstart-Script einfügen/aktivieren, die dann einen Eintrag in sud.ooo macht.

Erst später, wenn Android gestartet wird, startet auch der AFWall+-Service (die App) und setzt dann die eigentlichen iptables-Regeln anhand der in der App gemachten Einstellungen. - Bis dahin sind aber evtl. bereits andere Apps gestartet (vor der AFWall+ App) und werden durch die über afwallstart gesetzten DROP-Regeln daran gehindert, in das Internet zu kommen, bis der AFWall+ Service gestartet ist.

(Beim Motorola E 2015 LTE/4G hat term-init.sh - nebst allen anderen Optionen, einschließlich die ramdisk manuell mit init.d zu patchen - mit der Stock-ROM versagt. - Deswegen bin ich den Weg mit su.d & su-Daemon gegangen. - Dabei behält man auch den SELinux-Kontext "strict" (sicherer) und muss es nicht aufweichen = "permissive")

 

[ohnonot]

danke für die detaillierte zusatzerklärung.

ich hab jetzt eine entsprechende logzeile im afwallstart-script eingefügt, und das script wird tatsächlich ausgeführt beim booten.

wie würdest du deine eigenen sicherheitsvorkehrungen aus dem ersten post bewerten - es wird ja empfohlen in der firewall einigen anwendungen netzwerkverkehr zu erlauben - bin ich also immer noch nicht 100% abgesichert dass mein fon nicht nach hause telefoniert?

(der kuketz-blog ist auf meiner leseliste).

 

[ooo]

Na, optimal! ... (joke)

Wenn du keine Anwendungen nach draußen haben möchtest, dann legst du dir halt ein Profil an, in dem überhaupt kein Haken gesetzt ist und nennst es z. B. "ALLES blockieren" oder so ...

Oder du deaktivierst alle Schnittstellen (W-LAN aus, Mobile Daten aus, Flugmodus an, Bluetooth aus etc.).

100 % (= Garantie) bekommst du auch bei mir nicht, sorry ... ;-)

 

[anonymousdark]

Hallo,

1. ich habe auch versucht die 2 IPtables Scripte (facebookblock) versucht festzulegen.
Bei mir kommt nur: IPTables-Regeln werden angewendet. Dann lädet es (Stunden lang...)
Habe die Skripte auch per Notepad++ erstellt und unten steht auch UNIX.
Den Pfad habe ich auch korrekt angegeben.
Was habe ich falsch gemacht?

2.Ich möchte auch gerne den Google-Adressraum -, WIfi, Mobile daten blocken etc...
Muss man das alles in ein einziges script schreiben?
Die Profile kann man ja nicht paralel laufen lassen , oder?

Handy: Samsung Galaxy S III GT I9300.
ROM: Omni 4.4.4.-20150521
Kernel-Version: 3.0.64-OMNI-g5017730
APP: AFWall+ (v2.1.1)

Bitte um Hilfe

 

[ooo]

Lad uns hier mal deine Custom Scripts komplett hoch, dann können wir uns das vllt. morgen zusammen anschauen ...

 

[anonymousdark]

Da sind die Scripts von Mike K.
Habe diese nicht selbst geschrieben^^....

##
## iptables.sh  
## AFWall+ additional firewall rules
## Mike Kuketz
## www.kuketz-blog.de
## Changes: 25.08.2014
##

IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables

# All 'afwall' chains/rules gets flushed automatically, before the custom script is executed

# Flush/Purge all rules expect OUTPUT (quits with error)
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IP6TABLES -F INPUT
$IP6TABLES -F FORWARD
$IP6TABLES -t nat -F
$IP6TABLES -t mangle -F

# Flush/Purge all chains
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
$IP6TABLES -X
$IP6TABLES -t nat -X
$IP6TABLES -t mangle -X

# Deny IPv6 connections
$IP6TABLES -P INPUT DROP
$IP6TABLES -P FORWARD DROP
$IP6TABLES -P OUTPUT DROP

## Block Facebook https://developers.facebook.com/docs/apps/security
## Outgoing Connection
$IPTABLES -A "afwall" -d 31.13.24.0/21 -j REJECT
$IPTABLES -A "afwall" -d 31.13.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 66.220.144.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.63.176.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.171.224.0/19 -j REJECT
$IPTABLES -A "afwall" -d 74.119.76.0/22 -j REJECT
$IPTABLES -A "afwall" -d 103.4.96.0/22 -j REJECT
$IPTABLES -A "afwall" -d 173.252.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 204.15.20.0/22 -j REJECT

 

[ooo]

Die Scripte von Mike Kuketz sind in Ordnung (UNIX-Zeilenschaltung vorausgesetzt).

Zu 1.
Ich hatte diesen Effekt auch schon (endloses Anwenden).
Meine Lösung war, die W-LAN-Schnittstelle auszuschalten und den Flugmodus einzuschalten.
Die AFWall App dann verlassen und aus dem Speicher zu entfernen (oder ein Neustart des Phones in diesem Zustand).
Die AFWall+ der Version 1.3.4.1 funktionierte bei mir besser als die neueren ab V2.0.0 ++.
Oder mal umgekehrt probieren, wenn die 1.3.4.1 installiert ist, dann auf eine 2.0.x ausweichen.
Es kommt auch auf die ROM an.
Man kann auch in den Einstellungen der Firewall mit den Binaries für iptables/Busybox (Auto|System|Build-in) etwas variieren/probieren.
Evtl. kann man sich noch versuchsweise die neueste Busybox installieren (Busybox Stericson - Google Play Store - suchen ...).

Zu 2.
Ja, alles in ein Script (also Google unterhalb von Facebook z. B.).
Das Script in jedem Profil hinterlegen (wenn mehrere vorhanden sein sollten).
Also Profil aktivieren > Einstellungen > Skript festlegen.

 

[anonymousdark]

Vielen Dank schonmal ooo,

werde es mal ausprobieren.
Google Playstore etc. werden garnicht erst auf mein Smartphone installiert .
Deshalb versuch ich mal deine Tipps ohne Busybox

 

[wewede]

Die AFWall+ der Version 1.3.4.1 funktionierte bei mir besser als die neueren ab V2.0.0 ++.
Oder mal umgekehrt probieren, wenn die 1.3.4.1 installiert ist, dann auf eine 2.0.x ausweichen.

Das war das Stichwort: Der FDroid-Store will beim Besuch immer AFWall updaten. Da ich dazu aber statt einfach upzudaten die alte Version entfernen müsste, wollte ich erst mal von den Experten hören, ob das Update notwendig ist bzw. deutliche Vorteile bringt - ist jetzt ja keine Beta-Version mehr?

Danke

 

[ooo]

Solange du keine Probleme hast, bleib bei deiner Version.

 

[anonymousdark]

Hallo ich habe einfachmal mein Handy neu flasht etc.
Omnirom 5.1.1 /kann zur Not wieder auf 4.4.4 wechseln

Dann nach deiner Anleitung bis 3.2.1. Firewall installieren und einrichten vorgegangen.
Nach dem eingeben der 2 IPTables Zeilen und klicken auf [OK] geht die Firewall aus, ist das richtig?
Aktiviren kann ich die AFWall+ dannach auch nicht mehr.

 

[ooo]

Nein, das ist nicht okay. - Was passiert, wenn du die Custom Scripts erst mal komplett weg lässt (also die 2 iptables Zeilen)?
(Wenn du deine Kuketz Custom Scripts einsetzt, solltest du übrigens die Einstellung IPv6-Unterstützung auslassen)

Schau nach, wo deine iptables und ip6tables binaries wirklich sind (normal in /system/bin/...). - Korrigier das in den Scripts bei Bedarf. - Oder nimm die Einstellung für die AFWall-eigenen iptables (binaries). - Plus reboot.

 

[anonymousdark]

1.Wenn ich die Zwei IPTables Zeilen weglasse und Firewall aktiviren drücke, werden die Normalen IPtables (Abhehakte angewandt) und die Firewall ist wieder an/aktiv. Sprich kein X in dem AFWall+ Symbol
IPv6 ist aus.

2.Blöde Frage, aber wo finde ich diese, sehe kein system/bin...?
Bei IPTAbles Binärdatei ist Auto markiert.

 

[ooo]

Installiere dir Terminal Emulator (falls du noch kein Terminal hast).
Dann öffne die App und gib folgendes ein (nach "su" Root-Anfrage positiv bestätigen):

su
which iptables
which ip6tables

"which" gibt dir den kompletten Pfad zu einer binary (z. B. iptables) aus. - Wird nichts ausgegeben, kennt die ROM die binary (z. B. iptables) nicht.



Wenn etwas ausgegeben wird, ist das in der Script-Zeile entsprechend einzutragen:

IPTABLES=<ausgabe-von-which-iptables>
IP6TABLES=<ausgabe-von-which-ip6tables>
...

Wird nichts ausgegeben, kann man einfach die iptables von AFWall benutzen (Einstellungen > Binaries > iptables > Integrierte ...) oder auf "auto" stellen.




Mit einem Root-fähigen File Explorer kann man die iptables-binaries auch suchen (z. B. Amaze), wenn man in dessen Einstellungen den Root-Modus aktiviert hat.



_

 

[anonymousdark]

Okay jetzt hat es funktioniert, hatte zwischen den --dport also zwischen den zwei Strichen >>>- -<<< eine Leerzeile.
War auch ein bisschien verwirrt wegen Zeile und Spalte.

Also alles normal schreiben mit Leerzeilen, Cursor direkt hinter die erste IP setzen und einmal Enter drücken.
Ich habe deinen Code einmal in ein Textdokument kopiert, dort konnte man besser erkennen wo die Leerzeilen sind.
(Liegt auch vilelleicht an meinem Browser, aber war schon hilfreich).

Jetzt möchte ich aber nicht zwischen etlichen Profilen wechseln.
Du hast geschrieben, dass man alles in ein Script schreiben kann?

Würde gerne folgende Adressen/Dienste blockieren:

googleadressraum
faceboockbutton (Script von Mike)

 

[ooo]

Klar, geht:

##
## iptables.sh
## AFWall+ additional firewall rules
## Mike Kuketz
## www.kuketz-blog.de
## Changes: 25.08.2014
##

IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables

# All 'afwall' chains/rules gets flushed automatically, before the custom script is executed

# Flush/Purge all rules expect OUTPUT (quits with error)
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IP6TABLES -F INPUT
$IP6TABLES -F FORWARD
$IP6TABLES -t nat -F
$IP6TABLES -t mangle -F

# Flush/Purge all chains
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
$IP6TABLES -X
$IP6TABLES -t nat -X
$IP6TABLES -t mangle -X

# Deny IPv6 connections
$IP6TABLES -P INPUT DROP
$IP6TABLES -P FORWARD DROP
$IP6TABLES -P OUTPUT DROP

## Block Facebook https://developers.facebook.com/docs/apps/security
## Outgoing Connection
$IPTABLES -A "afwall" -d 31.13.24.0/21 -j REJECT
$IPTABLES -A "afwall" -d 31.13.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 66.220.144.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.63.176.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.171.224.0/19 -j REJECT
$IPTABLES -A "afwall" -d 74.119.76.0/22 -j REJECT
$IPTABLES -A "afwall" -d 103.4.96.0/22 -j REJECT
$IPTABLES -A "afwall" -d 173.252.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 204.15.20.0/22 -j REJECT

## Block GOOGLE IPs
## Outgoing Connection
#
# Hier die Google IPs eintragen, die geblockt werden sollen ... OHNE führendes "#" (= Kommentar).
# $IPTABLES -A "afwall" -d <DEINE-ZU-BLOCKENDE-GOOGLE-IP-1> -j REJECT
# $IPTABLES -A "afwall" -d <DEINE-ZU-BLOCKENDE-GOOGLE-IP-2> -j REJECT
# $IPTABLES -A "afwall" -d <DEINE-ZU-BLOCKENDE-GOOGLE-IP-3> -j REJECT
# $IPTABLES -A "afwall" -d <DEINE-ZU-BLOCEKNDE-GOOGLE-IP-n> -j REJECT
# ...

Du kannst das auch als Datei anlegen und benutzen.