Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[anonymousdark]

Hallo,
ich hab mal ne Frage zu "Netzwerk Log".

Wenn ich bei "Apps" auf einen "Eintrag" gehe und auf die Ip drücke/klicke erscheint ja ein PopUp-fenster,
bei dem man eine WHOIS-Abfrage machen kann.

Wenn ich auf WHOIS IP Address drücke/klicke.
Geht zwar mein Browser (Orfox) auf zeigt aber nach dem Laden nur eine weiße Seite an. Woran kann das liegen?

Oder wie macht ihr eine WHOIS-Abfrage?

Zudem ist mir aufgefallen das "(1006)Camera" [Systemapp] 2 Pakete gesdent hat. IP 178.63.16.48:0HTTPS(TCP/wlan0)
(1006) Kann ich aber in AfWall+ nicht finden >.<

 

[mratix]

Whois verwendet eh ein eigenes Protokoll bzw. Port für die Anfragen ins Internet. Das muss man ihm öffnen.

Aber als Browser-url betrifft es nicht, das sollte funktionieren. Solange die Seite nicht geblockt oder anderweitig gesperrt ist.

Das ist ja ne kontaktfreudige Cam, die ins inet will. Die würde ich sofort per Regel sperren.

 

[anonymousdark]

Das merkwürdige ist ja das es manchmal geht und machmal nicht. Also das mit der Addressabfrage.

Im (-1) Kerne taucht diese natürlich auch auf.

Gib es da einen Port den ich zusätzlich sperren sollte? 178.63.16.48:0 wofür steht :0 ? für Port Null?
$IPTABLES -A "afwall" -d 178.63.16.48 -j REJECT

 

[mratix]

Den kernel würde ich nicht anfassen.

Aber der Cam mit

-m owner --uid-owner 1006

komplett den Saft abdrehen.

Sorry für die schnipselhafte Formulierung, bin gerade am Phone einrichten, kann daher weder richtig quoten, noch vernünftig Beispiele aufzeigen.

 

[anonymousdark]

Den kernel würde ich nicht anfassen.

Hatte ich auch nicht vor .

Wie sieht das eig mit den IPs aus die über "Orbot" laufen, sollte man diese auch kontrollieren?

Danke schonmal...
Ist das so korrekt?:
$IPTABLES -A 'afwall' -m owner --uid-owner 1006 -j DROP

 

[mratix]

Wie sieht das eig mit den IPs aus die über "Orbot" laufen, sollte man diese auch kontrollieren?

Orbot, der Browser für das Tor-Netzwerk?
Kann ich dir nicht sagen, habe es nicht im Einsatz.

Denke er leitet alles durch die lokale Proxy über einen einzigen Port an die destination. Zumindest funktionieren so Proxy-Server.

In der Regeltabelle (Menü Firewall-Regeln) sollten zusätzliche Einträge gelistet sein. Einfach nach dem Tor-Port suchen.

Ist das so korrekt?:
$IPTABLES -A 'afwall' -m owner --uid-owner 1006 -j DROP

Ja das sollte klappen. Falls er am Statement meckert, ergänze noch: -p tcp

 

[anonymousdark]

Orbot, der Browser für das Tor-Netzwerk?

Ja, genau dieser. Ich surfe ja nicht so oft übers Handy, aber ab und an ist das schon nützlich.^^

Was nutzt du/ihr denn zum (Surfen), oder machst du das garnicht?

Falls er am Statement meckert, ergänze noch: -p tcp

Bis jetzt kam keine Meldung. Und laut Netzwerklog wurden auch weder empfangen noch gesendet. 0Bytes,0Pakete.

Normalerweise sollte man auf solch ein Gerät wegen der VDS generell verzichten...aber das ist ja wieder ein anderes Thema^^...

 

[mratix]

Was nutzt du denn zum Surfen, oder machst due das garnicht?

OT: Surfen hab ich mir seit Windows abgewöhnt, komme nur noch zum recherchieren
/OT

Meine Browser: Ghostery und Orbitum

Spoiler

Ghostery hat den tollen Filter (den man als FF-Addon kennt) drinnen. Verhindert erfolgreich dass irgendwelche brüstigen Damen auf dem Schirm aufpoppen oder einen ins Casino locken. Nachteil er hält lokal sehr viel cache vor, Bereinigungsroutine tut nicht ganz bzw. nur kurz. Ein kleiner schneller sicherer Browser.

Orbitum wirbt ganz groß mit Datenschutz, Privatsphäre usw. Hält sich selbst nicht dran. Aufdringliche Kacheln für Soziale Netzwerke, Spiele, Favoriten (nach App-Update wieder drauf). Unter der Haube ist Tracking eingebaut. Lässt sich zwar abschalten und einschränken, passt irgendwie nicht ins Konzept des Versprechens, Vertrauens. Ansonsten ebenfalls klein und kompatibel für alle Inhalte.

 

[anonymousdark]

OT: Surfen hab ich mir seit Windows abgewöhnt, komme nur noch zum recherchieren
/OT

Schuldige der Begriff "Surfen", war wohl nicht sehr bedacht gewählt .
Das ist bei mir natrülich auch hauptsachtlich die Suche nach Informationen.

 

[mratix]

Hehe, komm macht dir keinen Kopf. Bin weder spießig noch nachtragend. Alles humorvoll gemeint und auch angekommen.

Ich z.B. gehe den ganzen neuen Sozialnetzversammlungen aus dem Weg da dort eine andere Altersgruppe ihren Spielplatz hat. Und der Datenschutz ist nicht unbedingt "uns betreffend" weil wir etwas verheimlichen müssen, eher den Wölfen nicht als leichte Beute zu fallen.

Wir haben "hier" unseren Stammtisch und surfen durch die Themen.

 

[anonymousdark]

Und der Datenschutz ist nicht unbedingt "uns betreffend" weil wir etwas verheimlichen müssen, eher den Wölfen nicht als leichte Beute zu fallen.

Eben, komplett Unsichtbar geht natürlich nicht. Das ist mir druchaus bewusst.

Bist du denn so alt...? Nee quatsch, weiss schon wie du das meinst.

 

[York]

Danke für eure Antworten. Beschäftige mich gerade ein wenig mit den Scripts für Afwall. Leider fehlt eine vernünftige Dokumentation und ich verstehe teilweise nur Bahnhof.

Ich möchte folgendes erreichen:
Blockiere bei UID 1000 alle Verbindungen außer über Port 123 (evtl. auch mit Angabe einer IP Adresse)

Das mit dem blockieren aller Verbindungen klappt wunderbar mit:
iptables -A 'afwall' -m owner --uid-owner 1000 -j DROP

Was muss ich ergänzen, damit Port 123 für die NTP Verbindung offen bleibt?

UID 1000 stellt Verbindungen zu cache.google.com her. Habe versucht über Adaway den Host zu blocken. Klappt nicht. Hab irgendwo mal gelesen, dass einige Apps eine DNS in die App hardcodieren, Netflix zum Beispiel. Die Google Apps sind da wohl keine Ausnahme. Da aber auch über diese UID der NTP Server verbunden wird, würde ich gerne eine Ausnahmeregel hinzufügen.

 

[mratix]

Leider fehlt eine vernünftige Dokumentation und ich verstehe teilweise nur Bahnhof.

Iptables ist eine Erfindung für Linux. Es gibts mehr als genug Anleitungen, Tutorials und HowTo's. Die kannst alle zu 99% verwenden.

Das mit dem blockieren aller Verbindungen klappt wunderbar mit:
iptables -A 'afwall' -m owner --uid-owner 1000 -j DROP

Solange das Häkchen bei UID1000 nicht drinnen ist, was ratsamt ist, brauchst du auch keine weitere Blockregel.

Was muss ich ergänzen, damit Port 123 für die NTP Verbindung offen bleibt?

Entweder du erstellst noch eine Regel (vor dieser Blockregel) welche dann explizit

-d 123.123.123.123/32 --dport 123

erlaubt.

Oder verwendest eine Negierung in der bestehenden. Das ist ein ! (Ausrufezeichen), unmittelbar vor entsprechender Option oder einem Wert.

z.B.

$IPTABLES -A "afwall" -p tcp ! --dport 123 -m owner --uid-owner 1000 -j "afwall-reject"

würde weiterhin alles von UID1000 blockieren, außer Port 123.

# schau dir mal als praktisches Beispiel mein script im Posting #358, die beiden letzten Regeln an

UID 1000 stellt Verbindungen zu cache.google.com her. Habe versucht über Adaway den Host zu blocken. Klappt nicht.

©ooo hat dir im Posting #353 ganz gute Links zum Thema herausgesucht. Einfach bischen lesen.

Leider ist die Sache, auf dem Androiden, nicht einfach so umzusetzen. Bin ebenfalls an dem Thema dran.

Spoiler

How to disable Google Chrome from sending data to safebrowsing-cache.google.com and safebrowsing.clients.google.com?

Adding 127.0.0.1 for safebrowsing-clients.google.com or safebrowsing-cache.google.com does not help. I did just that and according my suricata logs it is still pointing to the Google's real addresses, so browser does not use hostsfile for that. I also tcpdumped the whole C-class where it previously pointed and still there is traffic to these addresses while I request totally different web sites.

However string match in iptables does the trick:

$IPTABLES -I FORWARD -m string --to 41 --algo bm --string 'safebrowsing-clients' -j GOOGLE
$IPTABLES -I FORWARD -m string --to 41 --algo bm --string 'safebrowsing-cache' -j GOOGLE
$IPTABLES -I GOOGLE -m string --to 80 --algo bm --string 'google' -j DROP

So a bit awkward and works only in Linux, but it works.

 

[an0n]

NTP ist doch nur das Zeitprotokoll, das braucht man doch normalerweise nicht ausser vielleicht beim allerersten Booten, damit die Uhrzeit automatich eingestellt wird. Es läuft nicht über UID1000 sondern über UID -14 laut Afwall.

cache.google.com oder sonstige einzelne IP rauszupicken und zu blocken ist auch völlig sinnlos, eine URL kann mehrere IP-Adressen beinhalten. Am besten gleich alle google IPs blocken und dann hat Ruhe für immer.

 

[mratix]

@an0n ja, dem ntp/Timesync stimme ich dir zu.
Die Frage von @York war ja explizit für UID1000 gestellt. Wer weis was sich dort wirklich hinter 123/tcp verbirgt.

Außerdem würde vorher schon die NTP-Regel (siehe @ooo #353) greifen und zu ntp0.fau.de umleiten. Falls vorhanden.

Das Thema mit den caches ist nicht so einfach. Teilweise halten große Netzbetreiber, Leitungsprovider u.a. den vor. Das ganze ist praktischgesehen ein DNS-Betrug. Da kaum alle Verbindungen tatsächlich an die Google-Server geleitet werden oder dort zeitnah ankommen.

Zum Glück sehe und merke ich (bis jetzt) nichts von all dem. k.A. welche Apps es alles betrifft.

 

[kosmas]

Hallo zusammen,

auch erstmal von mir ein fettes Danke an euch alle hier. Informativ und zielorientiert, gefällt mir !

Ich habe eine Frage. Beim durchstöbern meiner Build.prop sind mir folgende Zeilen aufgefallen:

#Google DNS
net.dns1=8.8.8.8
net.dns2=8.8.4.4

Ich denke jetzt mal "einfach":

• kann ich nicht die IP Adresse hier direkt ändern?
• oder würde ich damit mein Phone stilllegen?

Nutze auch die AFWall Skripte mit der DNS Umleitung auf die von @an0n vorgeschlagenen Server. Ist eine reine Verständnis-Frage.

Gruß K.

 

[mratix]

Beim durchstöbern meiner Build.prop sind mir folgende Zeilen aufgefallen:

#Google DNS
net.dns1=8.8.8.8
net.dns2=8.8.4.4

Das gehört dort gar nicht rein. Kann komplett raus.

 

[mratix]

Mal ne Frage, bzw. zwei

wer oder was ändert die resolv.conf auf Google DNS?
Die /system/etc/dhcpcd/dhcpcd-hooks/20-dns.conf bezieht doch die Settings vom Router (DHCP Server). Und sollte sie an die resolv.conf weitergeben?
---
Und dann hab ich gerade noch was gefunden
/system/etc/quipc.conf

Spoiler

# X86 ONLY - UBUNTU:
# Set QUIPC_CONF_PATH environment variable to indicate the path of this file, e.g:
#   export QUIPC_CONF_PATH="/usr2/arahmat/quipc.conf"

# URL for QUIPS server (N3)
QUIPS_SERVER_URL = https://n3.indoor.izat-location.net/quipsds/LookupService

# URL for RAS server
RAS_SERVER_URL = https://r1.indoor.izat-location.net/ras/DeviceRegistration

# Password for secured MSAP-enabled AP
SSID_PWD = qu1pspsk

Himmel, was ist denn das? Was baut arahmat hier rein

 

[an0n]

In build.prop werden dns-einträge seit android 4.4 ignoriert, kann man entfernen oder stehen lassen, ist eigentlich egal.

Ob dhcpd auf resolv.conf bezieht ist irrelevant, relevant ist, ob der kernel resolv.conf-support hat, ansonsten funktioniert DNS über resolv.conf nicht.

Die quipc.conf bezieht sich soweit ich weiss auf Telefonzellen-GPS, primäre GPS Einstellungen sind unter gps.conf zu finden.

 

[anonymousdark]

Jo, Hi. Kann mir jemand sagen, ob es normal ist, dass man bei dem Dateimanager/Explorer von Lolllipop kein Symbol für die Einstellungen hat?
Ich habe auf mein altes 9070P (Testphone) ein Omnirom geflasht. Habe generell nur CM genutzt (Hauptphone).
Jetzt wollte ich einfachmal per Allgemeinen Einstellungen im Dateimanager den Rootzugriff einstellen, dabei ist wie gesagt noch nichtmal eine Funtkion dafür vorhanden (Zahnradbutton/ Menü)??
Bei der CM ist sogar ein Terminal voinstalliert bei Omni nicht....

Mit geht es um das Einbinden der AFWall+ Scripts. Im Rootzugriffsmodus (Dateimanger) würde ich den Pfad zu den .sh Dateien sehen.

Update: Habe mir Eine Terminal.apk vom F-Droid geladen und auf die SD geschoben & installiert.
Terminaleingabe: find -iname "Dateiname". Problem gelöst.