AA-123RF-18465882-pakhnyushchyy-123RF.jpg

© pakhnyushchyy, 123RF

Sichere Kommunikation im Internet mit Whonix

Nix da!

Die zunehmende Neugier verschiedener Akteure macht Anonymität im Internet immer wichtiger. Whonix bietet eine bequem zu installierende und umfassende Lösung, um Ihre Privatsphäre zu wahren.

Nicht erst seit den Enthüllungen Edward Snowdens stellt sich für viele Anwender die Frage, wie sie ihre Kommunikation gegen Ausspähversuche und Spionagesoftware absichern sollen. Dabei stehen häufig speziell bestimmte Berufsgruppen wie Journalisten oder Anwälte sowie Whistleblower und politische Aktivisten im Fokus von Geheimdiensten und anderen Behörden. Um verschlüsselt und anonym via Internet kommunizieren zu können, benötigen Betroffene besondere technische Schutzmaßnahmen.

Auch Unternehmer und Forscher ziehen oft die Aufmerksamkeit auf sich und werden Ziel von Angriffen. Um unbefugte Lauscher auszusperren, liefert nun das in Dresden beheimatete Whonix-Projekt nicht nur diesen Zielgruppen einen interessanten Ansatz: Innerhalb einer virtuellen Maschine (VM) läuft ein speziell gehärtetes und isoliertes System mit Anschluss an das Internet über das Tor-Netzwerk. Diese Kombination ermöglicht eine verschlüsselte und nur schwer nachzuvollziehende Kommunikation.

Quartett

Whonix erhalten Sie für Linux in insgesamt vier Paketen: Neben einem vorbereiteten Gateway für die Virtualbox mit rund 1,8 GByte Umfang liefern die Entwickler eine vollständige Arbeitsumgebung auf Basis von Debian "Stable" mit einer Größe von rund 2,1 GByte, die ebenfalls in Virtualbox als gesondertes System läuft. Die beiden Pakete liegen komplett vorkonfiguriert im OVA-Format zum Herunterladen bereit [1]. Diese Lösung richtet sich an Einsteiger mit geringen Netzwerkkenntnissen, die Entwickler beschreiben sie aber als noch in der Testphase befindlich.

Whonix läuft komplett in einer Virtualbox-Maschine, das Programm muss daher zwingend auf Ihrem System installiert sein. Die meisten Distributionen führen Virtualbox in ihren Repositories, sodass sich die Installation in der Regel auf wenige Mausklicks beschränkt. Alternativ laden Sie die Software direkt bei Oracle herunter [2]. Dort finden Sie auch entsprechende Anleitungen zur Installation.

Ihr Computer muss über eine CPU verfügen, die die VT-x- oder AMD-V-Erweiterungen zur hardwareseitigen Virtualisierung beherrscht. Außerdem braucht er mindestens 4 GByte RAM, da neben dem Host-Betriebssystem zwei virtuelle Maschinen für Whonix aktiv sind. Listing 1 zeigt, wie Sie kontrollieren, ob der Rechner die entsprechende Technik unterstützt. Liefert das Kommando ein leeres Ergebnis zurück, ist der PC zu alt, oder Sie müssen die Hardware-Virtualisierung im BIOS des Rechners aktivieren.

Listing 1

$ egrep '(vmx|svm)' /proc/cpuinfo
flags           : fpu [...] ds_cpl vmx est [...] dtherm arat
[...]

Whonix legt in den VMs zudem zwei virtuelle Massenspeicher mit jeweils 100 GByte Kapazität an, die anfangs auf dem Datenträger insgesamt etwa 10 GByte Plattenplatz in Anspruch nehmen. Da Virtualbox diese Massenspeicher dynamisch alloziert, die virtuellen Disks also erst mit der Auslastung auf dem Datenträger wachsen, müssen Sie nicht 200 GByte Massenspeicherkapazität für die beiden Komponenten von Whonix vorhalten. Der freie Festplattenspeicher sollte jedoch einen Mindestumfang von mehr als 20 GByte aufweisen.

In zwei weiteren, als stabil gekennzeichneten Paketen nutzt Whonix die im Linux-Kernel verankerte KVM-Technologie, um in einer virtuellen Maschine unter KVM/Qemu zu arbeiten. Auch hierzu stehen ein Gateway sowie eine Workstation von etwa gleichem Umfang wie für die Virtualbox bereit [3]. Diese lassen sich mithilfe grafischer Frontends wie dem Virtual Machine Manager nutzen, der einen ähnlich komfortablen Einsatz gestattet wie Virtualbox.

Zu beiden Lösungen finden Sie außerdem im Download-Bereich die dazugehörigen OpenPGP-Signaturen und Schlüssel, mit deren Hilfe sich die Datenintegrität der heruntergeladenen Pakete prüfen lässt. Für Einsteiger stellen die Entwickler dazu eine Anleitung bereit [4].

Funktionsweise

Whonix leitet den gesamten Datenverkehr mithilfe voreingestellter Firewall-Regeln über die im Gateway konfigurierte Tor-Verbindung, während die Whonix-Workstation als dem Gateway nachgeschaltetes Bedieninterface für den Anwender dient. Die Workstation verbindet sich dabei über ein vom Host-System isoliertes Netz mit dem Internet.

Das Gateway verfügt dazu über zwei virtuelle Netzwerkschnittstellen. Damit möchte das Projekt größtmögliche Sicherheit für den Anwender erreichen: Dieser Aufbau verhindert unter anderem, dass Unbefugte IP-Adressen oder besuchte Webseiten abgreifen. Zudem wendet die vom Host-System abgekoppelte VM, sollte ein Angreifer sie denn wirklich unbemerkt mit Malware kompromittieren, Schaden vom Host-System ab.

So verhindert das System DNS- und IP-Protokoll-Leaks und unterbindet mittels Stream Isolation eine sogenannte Identity Correlation. Diese Technik ermöglicht beim Verwenden identischer Übertragungswege im Tor-Netzwerk für verschiedene Applikationen einem Angreifer Rückschlüsse auf die Identität des Anwenders.

Um das hohe Sicherheitsniveau beizubehalten, sollten Sie jedoch auch mit dem Host sorgfältig umgehen, auf dem die virtuellen Maschinen arbeiten. Wird er durch Schadsoftware kompromittiert, zieht das unter Umständen auch die VMs in Mitleidenschaft. Es empfiehlt sich daher, Whonix auf einem frischen Host-System zu installieren.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Under cover
    Whonix ermöglicht in virtuellen Maschinen anonymes Surfen im Internet bei größtmöglicher Sicherheit und vollem Schutz der Privatsphäre.
  • Unsichtbar
    Whonix ermöglicht in virtuellen Maschinen anonymes Surfen im Internet bei größtmöglicher Sicherheit und vollem Schutz der Privatsphäre.
  • Distribution Whonix sucht Entwickler

    Whonix, eine Debian-basierte Linux-Distribution zur anonymisierten Internetnutzung, sucht ehrenamtliche Mitarbeiter.
  • Mehrfach gesichert
    Subgraph OS will umfassende Sicherheit für nicht technikaffine Anwender realisieren. Schon die jetzt vorliegende Alpha-Version macht neugierig auf mehr.
  • Neues auf den Heft-DVDs
    Jeden Monat erscheinen neue, spannende Distributionen. Auf den Datenträgern zu dieser Ausgabe finden Sie eine Auswahl, die die Artikel im Heft optimal ergänzt und Ihnen so einen zeitraubenden Download erspart.
Kommentare

Infos zur Publikation

LU 04/2017: SPEZIAL-DISTRIBUTIONEN

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

WLAN lässt sich nicht einrichten
Werner Hahn, 21.03.2017 14:16, 0 Antworten
Dell Latitude E6510, Ubuntu 16.4, Kabelbox von Telecolumbus. Nach Anklicken des Doppelpfeiles (o...
"Mit Gwenview importieren" funktioniert seit openSuse 42.2 nicht mehr
Wimpy *, 20.03.2017 13:34, 2 Antworten
Bisher konnte ich von Digitalkamera oder SD-Karte oder USB-Stick Fotos mit Gwenview importieren....
Ich habe eine awk Aufgabe und bekomme es nicht so Recht hin
Dennis Hamacher, 10.03.2017 18:27, 1 Antworten
Ich hoffe Ihr könnt mir dabei helfen oder mir zeigen wie der Befehl richtig geschrieben wird. Ich...
Unter Linux Open Suse Leap 42.1 einen Windows Boot/ ISO USB Stick erstellen...
Tim Koetsier, 07.03.2017 15:26, 1 Antworten
Hallo, weiß jemand wie ich oben genanntes Vorhaben in die Tat umsetzen kann ? Wäre echt dankba...
Druckertreiber installieren OpenSuse42.1
Tim Koetsier, 07.03.2017 15:22, 1 Antworten
hallo, kann mir BITTE jemand helfen ich verzweifel so langsam. Habe einen Super Toner von Canon...