Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[Pizzapeter]

Ja, das klingt gut, werd ich ausprobieren. Bleibt noch das andere Problem, aber eins nach dem anderen... Werde berichten

 

[Pizzapeter]

So, direkt gescheitert.... AFWall lässt sich weder deaktivieren noch deinstallieren, beide Felder sind Grau. Das selbe nachdem ich der Wall Root entzogen, und auch neu gestartet habe...

 

[fireburner]

Geht's vielleicht übern Play Store deinstallieren? Ansonsten gilt nur manuell die apk und Daten in der /data Partition zu löschen.
Edit: mir fällt gerade ein, das AfWall.ne Einstellung hat die verhindert, dass es deinstalliert werden kann. Also mal die Einstellungen durchschauen.

 

[Pizzapeter]

Jetzt läuft es hab mit der Suche noch ein Post von ooo gefunden: Start Datenleck Fix aus, Regeln löschen, Firewall deaktivieren, erst dann deinstallieren... Regeln löschen ging nicht, hab noch den GeräteAdmin entfernt, dann ging es. Danke auch unserem Themastarter.
Leider läuft die Neue noch nicht perfekt, hat sich mehrmals selbst deaktiviert mit der Meldung: Fehler beim anwenden der Regeln... Im Protokoll war nichts auffälliges zu sehen Und ob ich updaten kann mit F droid... Hab die neuste Version. Problem 2 hat sich erstmal erledigt, da ich noch kein neues Script eingefügt habe, so werd ich das erst testen.

 

[York]

Hallo ooo und an0n
und natürlich ein Servus an alle anderen hier,

mir ist aufgefallen, dass Ihr in Euren Scripts teilweise andere Parameter in den Anfangszeilen verwendet als das Script vom Kuketz. Z.B. -X statt -F, fehlendes FORWARD, einige extra Befehle mit security und raw Parametern, etc. Das alles kommt mir gerade etwas Spanisch vor. Wäre toll, wenn Ihr kurz erläutern könntet, warum ihr entsprechend abgeändert habt bzw. andere Einstellung präferiert.

Viele Grüße

Spoiler: Kuketz Script

F-Droid und AFWall+ – Android ohne Google?! Teil4 • Kuketz IT-Security Blog

##
## iptables.sh   
## AFWall+ additional firewall rules
## Mike Kuketz
## www.kuketz-blog.de
## Changes: 25.08.2014
##

IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables

# All 'afwall' chains/rules gets flushed automatically, before the custom script is executed

# Flush/Purge all rules expect OUTPUT (quits with error)
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IP6TABLES -F INPUT
$IP6TABLES -F FORWARD
$IP6TABLES -t nat -F
$IP6TABLES -t mangle -F

# Flush/Purge all chains
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
$IP6TABLES -X
$IP6TABLES -t nat -X
$IP6TABLES -t mangle -X

# Deny IPv6 connections 
$IP6TABLES -P INPUT DROP 
$IP6TABLES -P FORWARD DROP 
$IP6TABLES -P OUTPUT DROP

Spoiler: ooo Script (Post #104)

Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

#
# /data/local/afwall/afwall-start-script
#
IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables

# Flush/Purge INPUT rules (All 'afwall' chains/rules gets flushed automatically, before the custom script is executed)
$IPTABLES -F INPUT

# Flush/Purge all chain
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
#$IP6TABLES -X
#$IP6TABLES -t nat -X
#$IP6TABLES -t mangle -X

# Deny IPv6 connections
#$IP6TABLES -P INPUT DROP
#$IP6TABLES -P OUTPUT DROP

Spoiler: an0n Script im IPv4-Firewall-Patch

IPv4-Firewall-Patch (ASN-Blockliste, Security-Iptables, DNS)

#!/system/bin/sh
# Blacklist by 4non - January 2016
# denies all connections to big snifflers
# some rules taken from: github.com/ukanth/afwall/wiki/CustomScripts
# android-path: /system/su.d/ (SuperSu-Boot-Script)
####################################################

IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables

# Wait until Startup-Leakage-Script finishes
$IPTABLES -A OUTPUT --wait
$IPTABLES -A INPUT --wait
$IPTABLES -A FORWARD --wait
$IP6TABLES -A OUTPUT --wait
$IP6TABLES -A INPUT --wait
$IP6TABLES -A FORWARD --wait

# Reset all Iptable rules
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t mangle -F
$IPTABLES -t mangle -X
$IPTABLES -t raw -F
$IPTABLES -t raw -X
$IPTABLES -t security -F
$IPTABLES -t security -X
$IP6TABLES -F
$IP6TABLES -X
$IP6TABLES -t nat -F
$IP6TABLES -t nat -X
$IP6TABLES -t mangle -F
$IP6TABLES -t mangle -X
$IP6TABLES -t raw -F
$IP6TABLES -t raw -X
$IP6TABLES -t security -F
$IP6TABLES -t security -X

# Deny IPv6 connections
$IP6TABLES -P OUTPUT DROP
$IP6TABLES -P INPUT DROP
$IP6TABLES -P FORWARD DROP

 

[Pizzapeter]

Hi, Firewall läuft soweit... hab jetzt mehrere Profile gemacht, und im Standartprofil das Script aus dem Startpost eingefügt, jetzt kann ich die Firewall im Standartprofil nicht aktivieren... im anderen Profil geht es. Hab dabei auch gemerkt das in post 407 von mir gezeigte Script nicht vollständig war, es fehlt :53

 

[Pizzapeter]

Hi
Nachdem AFwall sich abwechselnd nicht mehr aktivieren oder deaktivieren lassen wollte, habe ich sie wieder deinstalliert. Dabei ließ sich das Script nicht entfernen... Danach hab ich im Dateimanager alles was ich von AFwall gefunden hab gelöscht, und mein CM11 neu installiert. Das war mit Version 2.2.3 jetzt hab ich 2.2.1 neu installiert, und hab kein Script eingetragen. In der genannten Gastronomie komme ich zwar ins Wlan, aber nicht ins WWW... siehe unten, in alle anderen Netze komme ich rein. Nun könnte es sein das noch irgendwo das Script existiert... so mein Gedanke, ich hatte es ja auch bei der ersten Deinstallation von Version 1.4.3.... nicht entfernt

 

[an0n]

@Pizzapeter: überprüfe ob der afwalldatenleckfix in system/etc/init.d drin ist, dann lösche es. ansonsten wenn der fehler weiterbesteht, kann es nicht an afwall liegen, sondern eher an sonstigen Einstellungen am Phone oder an dem Netz in der Gastro.

@York: Diese Regeln sind dazu da um einen Reset bestehender Iptable-regeln durchzuführen und IPv6 zu blocken, ich hab meines umfangreich gemacht bzw. alle tables werden resettet und es muss in meinem fall in den su.d ordner.

X bedeutet löschen, F ebenfalls, was der Unterschied ist weiss ich nicht so genau) Ich hab in meinem script X sowie F drin (wie von ukanth empfohlen), es kommt zu keinem Fehler wenn es in su.d ladet.

zweites Beispiel: wenn das phone bootet, wird es in /data/local geladen, wenn -F regeln drin wären, würde es zu Fehlern führen, das steht auch im ersten Beispiel (F Output quits with error)

Im ersten Beispiel bzw. Script von kuketz wird es empfohlen über die interne SD zu verbinden, ab Android 5 ist das aber nicht mehr möglich Scripte von der SD auszuführen, wenn überhaupt dann per copy und paste nach afwall.

Das zweite Beispiel würd ich nicht nehmen, da es in Konflikt stehen würde mit dem afwall startup-datenlekfix, das ebenfalls beim booten startet (init.d ordner), das script im su.d ordner wiederum startet direkt nach den init.d scripten.
Allgemein ist das Resetten nur wichtig, wenn man eigene/benutzerdefinierte Iptable-Regeln reinsetzt.

Inzwischen hab ich aber rausgefunden, dass es keine 'ip6tables -t nat' und 'ip6tables -t security' gibt, die anderen aber gibt es und sollten aufgelistet sein.

 

[Pizzapeter]

Hi
standardmäßig sind für den Browser Wlan u. Daten erlaubt, hab letztens mal alle 5 Optionen erlaubt, und es hat gefunzt.... wieder deaktiviert, nichts mehr. Gestern hab ich zusätzlich nur Lan aktiviert, und es funzte ??. Ich komme dann auf eine Fritzboxseite wo ich bestätigen muss, das meine Mac Adresse protokolliert wird.
Das AFwall Startscript hab ich mal entfernt, und nach Neustart wieder aktiviert. Aber mein Gedanke war eher mein altes Script, das ich selbst eingetragen hatte. Werde ich demnächst aber mal testen.

 

[NNW]

...inspiriert durch dieses (AFWall+) Forum und der damit verbundenen Unerstützung (insbesondere durch ooo) ist die Firewall im aktiven Einsatz. Vielen Dank für deine/eure Aktivitäten.

"Etwas" ist mir aber (noch) nicht ganz klar.

1. Was ist die "-w option" und welche App zickt rum?

2. Warum gegen 45 Pakete an den DNS-Server, obwohl "mein" Browser nocht nicht aktiv/zugelassen war.

3. Wodurch/Warum entstehen unterschiedliche Informationen beim DNS-Check (Remote_ADDR; resolver)?

4. Kann der zeitliche Darstellungsintervall des Firewall-Protokolls verändert/verlängert werden?

Könnt ihr euch die Screenshots mal ansehen und mitteilen was noch verbessert werden sollte?

 

[ooo]

1. Was ist die "-w option" und welche App zickt rum?

Siehe Screenshot (konkurrierende Prozesse; "-w" versucht das zu umgehen, s. a. "man iptables" Terminal > Linux box)
Die App/den Prozess kann ich dir nicht sagen. - Es ist ja dein Phone ...
Kandidaten
FAQ · ukanth/afwall Wiki · GitHub

2. Warum gegen 45 Pakete an den DNS-Server, obwohl "mein" Browser nocht nicht aktiv/zugelassen war.

Abgesehen von freigegebenen Anwendungen (Browser etc.), gibt es ja Apps, die während der Startphase bereits ausgeführt werden, ohne dass sie explizit vom Anwender gestartet werden (im Vordergrund). - Auch Linux-Prozesse und andere Hintergrundprozesse können das verursachen.

3. Wodurch/Warum entstehen unterschiedliche Informationen beim DNS-Check (Remote_ADDR; resolver)?

Das kann z. B. daran liegen, dass eine App/ein Prozess eigene DNS-Server (die IPs direkt) benutzt oder (extern) umgeleitet wird, oder daran, dass wechselnd verschiedene Schnittstellen benutzt werden (diverse Mobilfunkprovider/diverse W-LANs). - Remote_ADDR ist (auf der Web Site) die IP Adresse deines Phones (bzw. deines Routers), wie sie der Web Server des Anbieters sieht.

4. Kann der zeitliche Darstellungsintervall des Firewall-Protokolls verändert/verlängert werden?

Bei AFWall+ Firewall nein (es gibt dort im Log keine Einstellung für das Zeitfenster und keine Zeitstempel). - Wenn du allerdings die App Netzwerk Log meinst, dann geht das in den Einstellungen der App.

 

[NNW]

Abgesehen von freigegebenen Anwendungen (Browser etc.), gibt es ja Apps, die während der Startphase bereits ausgeführt werden, ohne dass sie explizit vom Anwender gestartet werden (im Vordergrund). - Auch Linux-Prozesse und andere Hintergrundprozesse können das verursachen.

...schnelle Antwort, danke.

wollte eigentlich "mini-pics" hochladen und nicht diese großen Bilder/Dateien.
Wenn diese stören, bitte administrativ abändern.

Wie und mit welchen Maßnahmen können diese Hintergrundprozesse in der Starthase verringert werden?

 

[ooo]

Wie und mit welchen Maßnahmen können diese Hintergrundprozesse in der Starthase verringert werden?

Das ist ein komplett anderes und komplexes Thema. - Prinzipiell geht bei korrekt eingerichteter Firewall nichts nach draußen (auch nicht beim Start des Phones).
Zum Deaktivieren von Apps/Prozessen kann man sich z. B. mit folgenden Apps (sehr lange und intensiv - Monate ...) beschäftigen/einlesen:

• Titanium Backup Pro (Deaktivieren/einfrieren von Apps, root-App)
• DisableService (Hintergrund-Prozesse deaktivieren, root-App)
• Autostarts (Beim Starten startende Prozesse/Apps blocken, root-App)
  
• XPosed plus XPrivacy Module

Entsprechende Threads gibt es auch hier im Forum.

(Tipp: Ich möchte dich nicht "wegschieben", aber jedes Phone ist anders und erfordert andere "Handarbeit" und permanente Wartung. - Man ist nicht mit dem einmaligen Abarbeiten einer Checkliste fertig ... sorry.)

 

[aitsch]

Hallo,

Das ist wirklich eine sehr gute Anleitung. Vielen Dank dafür.

Du gehst bei der Konfiguration der Firewall auch auf die VPN Einstellungen ein.
Ich habe mir über die Systemeinstellungen einen VPN Zugang eingerichtet und alle Einstellungen wie von dir beschrieben eingestellt. Mit aktivierter Firewall kommt aber gar nicht erst eine Verbindung zustande. Ich muss die Firewall dazu komplett deaktivieren dann klappt alles wunderbar.

Was muss ich tun, um auch mit aktivierter VPN Verbindung und Firewall zu surfen?

Viele Grüße

aitsch

 

[ooo]

Das weiß ich aktuell nicht.

FAQ · ukanth/afwall Wiki · GitHub
FAQ · ukanth/afwall Wiki · GitHub
FAQ · ukanth/afwall Wiki · GitHub

CustomScripts · ukanth/afwall Wiki · GitHub

[4.0+][ROOT][2.2.3] AFWall+ IPTables Firewall [14 MAR 2016]

VPN can't connect · Issue #529 · ukanth/afwall · GitHub

 

[aitsch]

@ooo Danke für die schnelle Antwort.

Ich verstehe es so, dass man die UID des GRE-Protokoll-users per Script freischalten muss :

IPTABLES=/system/bin/iptables
APT_UID=104
$IPTABLES -A afwall-wifi -m owner --uid-owner $APT_UID -j ACCEPT || exit

Wobei die UID 104 je Gerät angepasst werden muss.

Weißt du wie ich die passende ID ermitteln kann?

Viele Grüße

aitsch

 

[ooo]

Schau in der App Netzwerk Log im Protokoll nach, welche UID(s) / IPs involviert sind, bzw. im AFWall+ Protokoll, was geblockt wurde.

 

[aitsch]

Klasse Tipp. Mit Netzwerk Log habe ich alle UIDs ausmachen können die auf Port 443 zugreifen.
Das o.g. Script ist nicht nötig gewesen. Man kann alles über die GUI einstellen.

Problem gelöst.Nochmals Danke.

 

[kaot5]

Hallo Zusammen,

ich habe ein kleines Problem und weiß nicht ganz woran es liegt:
Habe CM13 in kombination mit AF-Wall und xprivacy. Im WLAN kann ich alles was ich empfangen und senden möchte durchführen. Sobald ich ins mobile Netz wechsle funktioniern nicht mehr alle Funktionen: Webbrowser geht, KMail und Clash of Kings nicht. Es wurden bei allen die gleichen Einstellungen gewählt. Es sieht für mich so aus als wäre da noch ein weiterer Portfilter bei mobile Daten aktiv. Bin mir aber nicht sicher, ob xprivacy etwas zuschnürt obwohl es keine beschränkungen gibt.

Ich hatte auch versucht beides zu deaktivieren und das System neu zu starten, ohne Erfolg. Vieleicht doch was vom Betriebssystem?

Hoffe es kann jemand helfen.

Danke schonmal

 

[ooo]

Versuchsweise AFWall+ deaktivieren, dann in AFWall+ die Einstellung Preferences > Fix Startup Data Leak deaktivieren, dann neu starten und testen. - Zu XPrivacy kann ich nichts sagen.