Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[ooo]

Fehler: IPFire not found. Logisch. Aber wie installiere Ich IPFire auf ein Linux Live usb?

IPFire brauchst du nicht.

Mach das hier (im Terminal von Linux Mint):

bash /root/asn_ipfire.sh --afwall "Google,Facebook,Twitter,Oracle,Acxiom"

Dann hast du eine (neue) Datei afwall_rules.txt im aktuellen Verzeichnis (oder in /root/).
Die Datei kommt auf das Smartphone nach z. B. /data/local/afwall/ (oder, wo du deine Custom Scripts hast).
Man kann den Dateinamen natürlich auch ändern.

Dann trägst du das (evtl. zusätzlich) als neue Zeile in den Einstellungen von AFWall+ ein (im Beispiel oben ist das dann ". /data/local/afwall/afwall_rules.txt").

Phone neu starten.

 

[Mumford]

@ooo Entschuldigung wenn Ich immer wieder deine Hilfe brauche. Aber es klappt noch nicht ganz. Um alles genau auf zu listen was Ich mache, im Terminal:

ssh

cd ~
curl -O https://notabug.org/maloe/ASN_IPFire_Script/raw/master/asn_ipfire.sh
chmod 755 asn_ipfire.sh

Und danach:

bash /root/asn_ipfire.sh --add "Google,Facebook,Twitter,Oracle,Acxiom"

oder

bash /root/asn_ipfire.sh --afwall "Google,Facebook,Twitter,Oracle,Acxiom"

bekomme Ich 'Permission denied.'

Wenn Ich sudo dazu schreibe: 'No such file or directory'. Mache Ich etwas falsch?

 

[ooo]

Aber es klappt noch nicht ganz

Das zeigt dir den "echten" Pfad des aktuellen Verzeichnisses, in dem du bist (im Linux Mint Terminal):

pwd

Das zeigt dir den Inhalt des aktuellen Verzeichnisses:

ls -la

Das hier, ob im aktuellen Verzeichnis die Datei asn_ipfire.sh ist und welche Berechtigungen vergeben sind:

ls -la asn_ipfire.sh

Wenn die Datei asn_ipfire.sh ausgegeben wird und ausführbar (-rwxr-xr-x) ist, dann ist der korrekte Befehl für dich dieser hier:

bash asn_ipfire.sh --afwall "Google,Facebook,Twitter,Oracle,Acxiom"

Sollte das nicht funktionieren, dann mit sudo versuchen:

sudo bash asn_ipfire.sh --afwall "Google,Facebook,Twitter,Oracle,Acxiom"

(Dein "ssh" von oben ist übrigens nicht nötig ...)

 

[Mumford]

Ja, jetzt ist es mir gelungen!!!! Und wieder einen herzlichen Dank!

Nur wird IP Nummer 172.217.19.68 immer noch nicht geblockt, womit es angefangen hat. Es gehört zu den 172.217.19.0/24 range, und ASN AS151169, aber wird von den Script nicht in den Datei verarbeitet. Mal weiter recherchieren warum dass so ist.

 

[ooo]

Installier dir die whois binary mit (Eingabe im Linux Mint Terminal):

sudo apt install whois

Dann check mal den IP-Range und den Owner der IP mit:

whois 172.217.19.68

In der Ausgabe suchst du den Wert in der Zeile mit "CIDR:".
Das ist dann in eine neue Zeile in der Datei afwall_rules.txt zu schreiben:

/system/bin/iptables -A "afwall" -d <HIER_WERT_VON_CIDR_HINSCHREIBEN> -j REJECT

(Kann man mit dem Dateimanager von Linux Mint öffnen (heisst Dateien bzw. Files im Startmenü) mit Maus-Doppelklick auf den Dateinamen afwall_rules.txt - wie bei Windows auch; Terminal ist nicht nötig).
​

Datei abspeichern, auf das Phone übertragen, AFWall+ einrichten (wenn noch nicht gemacht), Phone neu starten.

 

[Mumford]

@ooo

Und dann kommt als CIDR 172.217.0.0/16 heraus. Es wird auch im afwall_rules.txt aufgelistet (den alte als auch den neue). Aber IP Addresse 172.217.19.68 wird nicht geblockt, wie Ich schon gemeldet habe.

Hier (172.217.19.68 IP Address Details - ipinfo.io) gehört er zu den 172.217.19.0/24 und nicht zu (172.217.0.0/16 Netblock Details - Google LLC - ipinfo.io). Dass heisst, den Script von Maloe und Kuketz sammelt nicht alle Daten? Was fehlt dann noch mehr?

 

[ooo]

gehört er zu den 172.217.19.0/24

172.217.19.0/24 sind die IP-Adressen von 172.217.19.0 bis 172.217.19.255 (also ein range von 256 IPs)
172.217.0.0/16 sind die IP-Adressen von 172.217.0.0 bis 172.217.255.255 (also ein range von 256 * 256 = 65.536 IPs)

172.217.0.0/16 zu sperren ist also "besser" - in beiden Bereichen ist die IP-Adresse 172.217.19.68 enthalten und sollte eigentlich blockiert werden.
___

Du kannst auch die IP einzeln blockieren (mit -I = insert, anstatt -A = append) als letzte Zeile:

/system/bin/iptables -I "afwall" -d 172.217.19.68 -j REJECT

___

Hier findet man Details zu Custom Scripts (englisch):

ukanth/afwall​

___

Frage: Wie merkst du, dass die IP nicht blockiert wird (Aktion|Funktion|App|Log ...)?

 

[Mumford]

@ooo

Frage: Wie merkst du, dass die IP nicht blockiert wird (Aktion|Funktion|App|Log ...)?

Website besucht: www.nos.nl (niederlandische version ARD)
App: Lineage Browser Jelly
Mehrere IP Adressen werden geladen im Hintergrund, wovon in diesem Fall jetzt eine andere google IP-adresse: 172.217.16.164 (andere Addresse nicht wichtig)
Net Monitor:

USER ID 10048
APP Version 7.1.2
INSTALLED ON: Thu Jan 01 00:00:00 GMT+01:00 2009
Remote Address: 172.217.16.164 (IPv6 translated)
Remote Hex 0000000000000000FFFF0000A410D9AC
Remote Host fra15s11-in-f4.1e100.net
Local Address 192.xxxxxx (IPv6 translated)
Local Hex xxxxxxxxxxxxxxxxxxxxxxxxxxxx

Service port 443
Payload Protocol https
Transport protocol tcp6
Last seen 2018-04-27 18:42:39.659

Simultaneous connections
[...]

Wenn Ich jetzt die beide IP-adressen in dem Browsen eingebe, werden die geblockt.
Wenn die in dem Net Monitor wie oben gelogt sind, heisst es dann, mit die IP Addresse ist dann auch einen Verbindung gemacht?

 

[Kyle Katarn]

@ooo

Frage: Wie merkst du, dass die IP nicht blockiert wird (Aktion|Funktion|App|Log ...)?

Website besucht: www.nos.nl (niederlandische version ARD)
App: Lineage Browser Jelly

Semi-OT:
Ich benutze neben IceCatMobile insbesondere Fennec F-Droid als Browser.
Jelly nutze ich nicht. Er ist zwar nicht gelöscht oder eingefroren unter LineageOS, hat jedoch keine Verbindung ins Internet, da per AFWall+ gesperrt.

Fennec hat den großen Vorteil, dass er ebenso wie Firefox - auf dem Fennec basiert - mit Firefox-Add-ons insbesondere zur Datensparsamkeit direkt "gepflastert" werden kann, z.B.
- CanvasBlocker
- Cookie AutoDelete
- Decentraleyes
- HTTPS Everywhere
- Smart Referer
- uBlock Origin oder
- uMatrix.

Als grundlegend empfinde ich bei gerooteten Systemen neben AFWall+ auch immer AdAway, um Werbeanzeigen zu verhindern.

Ich habe mit Fennec eben www.nos.nl besucht, jedoch die von dir genannte IP-Adresse nicht von NetMonitor angezeigt bekommen.
Vielleicht solltest du einen anderen Browser als Jelly verwenden, der IMHO auf Chrome und WebView basiert.

Wenn die in dem Net Monitor wie oben gelogt sind, heisst es dann, mit die IP Addresse ist dann auch einen Verbindung gemacht?

Ja, weil die Verbindung nicht bereits zuvor per AdAway oder ASN-Skript (beide auf Systemebene) oder ublock Origin / uMatrix (im Browser) blockiert wurde.

 

[Mumford]

Semi-OT:
Ich benutze neben IceCatMobile insbesondere Fennec F-Droid als Browser.
Jelly nutze ich nicht. Er ist zwar nicht gelöscht oder eingefroren unter LineageOS, hat jedoch keine Verbindung ins Internet, da per AFWall+ gesperrt.

Jelly wird auch nur für Testzwecken benutzt. Fennec oder ähnliches kommt später auf das Handy. Wenn Ich soweit bin, und alles installiert habe, und es funktioniert, werde Ich alles neu auf ein zweites Gerät installieren.

Danke in jedem Fall.

Ja, weil die Verbindung nicht bereits zuvor per AdAway oder ASN-Skript (beide auf Systemebene) oder ublock Origin / uMatrix (im Browser) blockiert wurde.

Hmmmm, dass verstehe Ich dann nicht. Wenn beide Addressen in dem Browser eingegeben werden, dann werden die blockiert (durch ASN Skript). Aber im Net Monitor werden die dann immer noch im Log aufgelistet.

 

[ooo]

@Mumford

Wenn die AFWall+ App beim Start des Phones erst *nach* irgendeiner App (oder irgendeinem Service) gestartet wird, der eine Verbindung zu der Google-IP aufbaut, dann kann das die Firewall nicht verhindern ... (unter LineageOS mit LineageOS su-Add-On als root. Der Data Leak Fix funktioniert dann nicht. - Mit SuperSU und Option afwallstart in /su/su.d/ funktioniert es ...).

Wenn später die AFWAll+ App (der Service) die definierten Custom Scripts ausgeführt hat und die Firewall-Regeln gesetzt hat, dann wird diese IP geblockt ... (siehe manueller Test im Browser).
___

Du benötigst auch neben der afwall_rules.txt noch die iptables_on.sh (als erste Zeile) in den Custom Script Einstellungen der AFWall+ App.

https://www.android-hilfe.de/attachments/screenshot_20180323-100546-png.623034/

 

[Mumford]

@Mumford

Wenn die AFWall+ App beim Start des Phones erst *nach* irgendeiner App (oder irgendeinem Service) gestartet wird, der eine Verbindung zu der Google-IP aufbaut, dann kann das die Firewall nicht verhindern ... (unter LineageOS mit LineageOS su-Add-On als root. Der Data Leak Fix funktioniert dann nicht. - Mit SuperSU und Option afwallstart in /su/su.d/ funktioniert es ...).

Check, hätte Ich schon gemacht.

Wenn später die AFWAll+ App (der Service) die definierten Custom Scripts ausgeführt hat und die Firewall-Regeln gesetzt hat, dann wird diese IP geblockt ... (siehe manueller Test im Browser).

Check. Wird er auch. Aber nicht im Net Monitor.
___

Du benötigst auch neben der afwall_rules.txt noch die iptables_on.sh (als erste Zeile) in den Custom Script Einstellungen der AFWall+ App.

...als erste Zeile.....Dass ist bei mir nicht der Fall. Werde es korrigieren und wieder testen!

Edit: Hat nichts geändert beim Net Monitor. Hat 'IPv6 translated' in dem Log noch etwas zu bedeuten?

 

[ooo]

App: Lineage Browser Jelly

In der Standard-Einstellung geht der Jelly-Browswer von LineageOS beim Öffnen zu Google (Such-Maske als Startpage).

google IP-adresse: 172.217.16.164 (andere Addresse nicht wichtig)

Das ist dann der Verbindungsversuch zu Google.

Verbindung gemacht?

Nein.
(Dein IPv6 ist deaktiviert mit dem Kuketz-Script iptables_on.sh.)
___

Du kannst ja wegen dem Net Monitor-Protokoll mal bei den Entwicklern der App nachfragen, wie das läuft und was das zu bedeuten hat? (Ich weiß es nicht.) - Vielleicht protokolliert Net Monitor alles. Auch das, was nicht ins Internet kann?

 

[Mumford]

War auch meine Gedanke, also ein Mail war Heute Morgen schon unterwegs.


War mich davon schon bewust. Ist beim Testgerät noch nicht sehr wichtig.

 

[Mumford]

@ooo und anderen:

Endlich mal ein Antwort von den Entwickler (Net Monitor/Secuso):

Der NetMonitor macht in regelmäßigen Abständen "Snapshots" vom
Netzwerkstack des Geräts. Das heißt alle ausgehenden Pakete werden
aufgenommen. Ich nehme an, dass das Programm, das sie Verwenden[AFWall+), auch
den Netzwerkstack untersucht und dann die Pakete filtert. Das bedeutet,
dass Pakete, die auf dem Netzwerkstack sind, nicht zwangsweise auch
gesendet werden. Also wenn Pakete im NetMonitor angezeigt werden heißt
das nicht, dass auch eine Verbindung stattgefunden hat.

Was ein Netzwerkstack genau bedeutet weiss Ich nicht, aber gut zu wissen das nicht immer eine Verbindung stattfindet.

 

[Kyle Katarn]

... Das bedeutet, dass Pakete, die auf dem Netzwerkstack sind, nicht zwangsweise auch
gesendet werden. Also wenn Pakete im NetMonitor angezeigt werden heißt
das nicht, dass auch eine Verbindung stattgefunden hat.

Hier zum Netzwerkstack nach dem OSI-Modell.

Früher™, als Network Log noch funktionierte, ließ sich genau das einstellen:
Genau nur die Pakete anzeigen, die auch das Gerät verlassen haben, damit man nicht durcheinander kommt.
Danke für deine Initiative, an die Entwickler zu schreiben.
Ich werde sie heute anschreiben (kontakt@secuso.org), ob genau dieser Zustand implementiert werden kann.

 

[Mumford]

Ich werde sie heute anschreiben (kontakt@secuso.org), ob genau dieser Zustand implementiert werden kann.

Gute Idee! Es kann sein dass Du kein Antwort bekommst (es ist eine beschlossene Gruppe), melde Dich dann an den Webmaster, warscheinlich wird er diese Mail dann weiter schicken.

 

[Kyle Katarn]

Vielen Dank für deinen Hinweis, ich habe die Mail auch schon bekommen:

Spoiler

Your mail to 'SECUSO-core' with the subject

Net Monitor v2.0 von f-droid.org

Is being held until the list moderator can review it for approval.

The reason it is being held:

Post by non-member to a members-only list

Either the message will get posted to the list, or you will receive
notification of the moderator's decision.

Edit:
Ich werde ein paar Tage warten, bevor ich den Webmaster unter website@secuso.org anschreibe ;-)

 

[ooo]

Je nach Phone- bzw. ROM-Hersteller und der Art der Nicht-/Implementierung von Protokoll-Services und binaries, kann es immer Probleme geben. - Selbst Ukanth schreibt zu seiner AFWall+ - gerade für immer wieder problematische Samsung-Geräte:

I excluded lot of samsung devices from free because AFWall+ was not working due to bad implementation of iptables by Samsung.
You can try APK from github for free version or from f-droid.

Quelle:
Playstore - Free & Donate Compatiblity are Different · Issue #752 · ukanth/afwall​

(Auch andere Apps - z. B. Monitoring-Apps - können bei "verbraucher-unfreundlichen" Phones/ROMs - evtl. beabsichtigt - Probleme bereiten/bekommen ... Die Apps halten sich an die Standards, der Phone-/ROM-Hersteller leider nicht ...)

 

[Kyle Katarn]

Vielen Dank auch für deinen Hinweis, @ooo!
Bei mir sind es ein Moto G4 Play (XT1602) und ein Moto E 2015 (XT1524), beide mit LOS 14.1 und nahezu identisch konfiguriert.

Ich möchte von SECUSO gerne wissen, ob die Einstellungsmöglichkeit von Network Log auch bei Net Monitor implementiert werden kann, nämlich nur diejenigen Verbindungen aufzuführen, die auch wirklich das Smartphone verlassen haben.
Network Log benötigte "root", Net Monitor benötigt es nicht.
Eventuell könnte dort ein Knackpunkt liegen.
Mal sehen, ob und welche Antwort ich erhalte ...