Die aus Österreich stammende Upribox auf Basis des Raspberry Pi schützt wirkungsvoll vor Gefahren aus dem Internet. Jetzt ist das System in der zweiten Version erschienen.

Gefahren lauern im Internet überall. Die Technologien, mit denen Werbetreibende, Kriminelle und Behörden Nutzer nicht nur belästigen, sondern auch ausspionieren, werden immer ausgefeilter. Umso wichtiger sind für jeden einzelnen Anwender Schutzmechanismen und Gegenmaßnahmen, die Datensammlern und anderen Neugierigen das Leben erschweren.

Doch die meisten Nutzer besitzen keine ausreichende Kenntnis der zahlreichen Gefahren, die im Internet lauern, und ergreifen daher auch nur bedingt wirksame Gegenmaßnahmen. Hinzu kommt, dass neue Technologien das Konfigurieren von Webbrowser, Router und Firewall immer mehr komplizieren und es daher neben profunden Kenntnissen auch viel Zeit braucht, um eine EDV-Infrastruktur abzusichern.

Dieser Problematik hat sich der österreichische Sicherheitsspezialist Markus Donko-Huber bereits 2014 an der Fachhochschule St. Pölten angenommen und mit einem kleinen Team die Upribox (“Usable Privacy Box”) entwickelt. Dabei handelt es sich um einen Raspberry Pi mit einer entsprechend angepassten Raspbian-Variante. Die Aufgabe der Upribox besteht darin, die Privatsphäre und eine erhöhte Sicherheit beim Surfen im Internet zu gewährleisten, ohne dem Nutzer großen Konfigurationsaufwand abzufordern.

Mit der Verfügbarkeit des Raspberry Pi 3 und dessen neuen Modells B+ haben die Entwickler um Markus Donko-Huber auch die Upribox überarbeitet und an die zusätzlichen technischen Möglichkeiten angepasst, sodass die Software nunmehr in Version 2 erscheint.

Einstieg

Sie erhalten die Upribox als Komplettpaket über den Webshop des Projekts für 120 Euro, wobei das Paket neben einem Raspberry Pi 3 in einem geschwungenen Gehäuse auch ein ausreichend stark dimensioniertes externes Netzteil, ein LAN-Kabel zum Anschluss an den heimischen Router sowie eine Speicherkarte mit dem Betriebssystem umfasst [1]. Besitzen Sie schon einen RasPi 3, dann laden Sie das Betriebssystem der Upribox von der Github-Seite des Projekts herunter und installieren Sie es wie ein herkömmliches Raspbian auf eine Micro-SD-Karte [2].

Das lediglich rund 800 MByte umfassende und unter der GPLv3 angebotene Software-Archiv wurde explizit für die beiden neuesten Modelle des RasPi entworfen. Die ältere Upribox-Variante arbeitete auch mit dem RasPi 2 zusammen, wobei man für die Nutzung des WLANs einen USB-WLAN-Dongle benötigte. Da der Raspberry Pi der dritten Generation und das neueste Modell 3B+ bereits einen leistungsfähigen WLAN-Chip enthalten, braucht die Upribox 2.0 keine zusätzliche Hardware mehr.

Der Raspberry Pi 2 unterstützt die Upribox 2.0 nicht mehr. Zudem empfehlen die Entwickler eine Micro-SD-Karte mit 4 GByte Kapazität nach Class-10-Spezifikation, um unnötige Latenzen im Betrieb zu vermeiden. Zusätzlich sollte das externe Netzteil bei 5 Volt Ausgangsspannung mindestens 2 Ampere liefern, um das System ausreichend mit Energie zu versorgen.

Inbetriebnahme

Vor dem Hochfahren der Upribox schließen Sie das Gerät mit einem Netzwerkkabel an den Router an. Anschließend gibt es zwei Möglichkeiten, die webbasierte Verwaltungsoberfläche zu erreichen: Hängt der Computer per LAN-Kabel oder WLAN am Netz, geben Sie im Webbrowser die Adresse https://upribox.local:4300 ein.

Möchten Sie gleich auf das von der Upribox aufgespannte drahtlose Netz zugreifen, so stellen Sie zunächst eine Verbindung zu dem WLAN mit der SSID upribox her. Es verwendet eine WPA2-Verschlüsselung, das Passwort lautet changeme. Danach öffnen Sie auf dem Computer den Webbrowser und geben in der Adresszeile die Adresse https://upri.box:4300 ein.

Bevor Sie der Browser auf die Hauptseite der Upribox leitet, müssen Sie zunächst eine Sicherheitsausnahmeregel bestätigen. Beachten Sie bitte, dass vor dem Einloggen auf der Upribox dafür bereits ein Zugang zum Internet bestehen muss, da sonst statt der Startseite eine Fehlermeldung erscheint.

Alternativ können Sie sich auch per SSH mit der Upribox verbinden. Dazu geben Sie im Terminal den Befehl ssh upri@upri.box ein und verwenden anschließend das Passwort changethedefaults!.

Sie sollten in allen Fällen die voreingestellten Passwörter schnellstmöglich ändern, um Unbefugten den Zugriff zu verwehren.

Erste Schritte

Beim ersten Zugriff auf die Startseite der Upribox führt das System zunächst eine Evaluierung des Internet-Zugangs durch. Dazu müssen Sie sich von einem anderen Computer im LAN aus über das aufgespannte WLAN der Upribox mit der Testseite http://test.upribox.org verbinden. Dort bestätigen Sie nach erfolgreichem Test die entsprechende Abfrage (Abbildung 1).

Abbildung 1: Die Funktion des Internet-Zugangs wird geprüft.

Mehr Konfiguration braucht es zunächst nicht. Im folgenden Dialog klicken Sie auf den Schalter Geräteübersicht und melden sich dann als Benutzer upri mit dem Passwort changethedefaults! mit administrativen Rechten an. Der Browser leitet Sie nun zum Dashboard, das zunächst die Geräteübersicht darstellt (Abbildung 2). Hier sehen Sie alle Client-Computer zusammen mit deren Betriebsmodus.

Abbildung 2: Im Dashboard sehen Sie alle Geräte im lokalen Netz.

DHCP

Die Upribox konfiguriert normalerweise den Internet-Zugang über den stationären DSL-Router mittels des Apate-Daemons automatisch. Kommt es hierbei zu Problemen, müssen Sie die Privacy-Box manuell anpassen, wobei in der Regel auch Konfigurationsarbeiten am Router anfallen.

Üblicherweise arbeitet auf jedem Router mit Zugang zum DSL- oder VDSL-Netz ein DHCP-Server, der an alle kabelgebundenen Computer wie auch an per WLAN integrierte Systeme automatisch IP-Adressen vergibt. Die Upribox verfügt nun zusätzlich über einen eigenen DHCP-Server, der jedoch nur als Fallback-Lösung zum Einsatz kommt, wenn Sie das System manuell konfigurieren.

Dabei müssen Sie der Upribox eine feste IP-Adresse zuweisen und den DHCP-Server auf dem DSL-Router abschalten. Auf diese Weise stellen Sie sicher, dass der nun aktivierte DHCP-Server der Upribox exklusiv IP-Adressen zuweist und die Datenpakete anschließend von den Rechnern im LAN aus über die Upribox und den DSL-Router fließen.

Drei Modi

Die Upribox gestattet für jedes angeschlossene Gerät einen jeweils individuell festzulegenden Betriebsmodus im WLAN. Dazu gibt es drei vordefinierte Modi.

Kein Modus steht für einen uneingeschränkten Datentransfer. In diesem Modus filtert die Upribox also weder lästige Werbeeinblendungen im Internet heraus, noch blockiert sie Tracker oder andere zum Ausspähen genutzte Technologien. Es besteht also keine erhöhte Sicherheit.

Der zunächst für alle angeschlossenen Clients voreingestellte Silent Modus blockiert Reklame ebenso wie verschiedenste Technologien zum Ausspähen des Surfers. In diesem Modus lässt sich das Surfverhalten also nahezu nicht mehr nachvollziehen.

Die sicherste Betriebsart stellt der Ninja Modus dar: Hier unterdrückt die Upribox nicht nur Werbe- und Tracking-Netzwerke, sondern leitet alle Datenpakete für eine zusätzliche Anonymisierung auch noch durch das Tor-Netzwerk. So garantiert der Ninja-Modus zwar einen verbesserten Schutz der Privatsphäre, führt aber auch zu einer geringfügigen Verlangsamung der Surfgeschwindigkeit, da alle Datenpakete durch die Zwiebelschichten des Tor-Netzwerks sickern müssen.

Die Betriebsmodi zeigt die Upribox im Dashboard an, wobei sie für jedes erkannte Gerät alle drei Modi zur Verfügung stellt. Dazu listet die Oberfläche im Bildschirm Geräteübersicht in einer tabellarischen Übersicht alle erkannten Geräte untereinander angeordnet auf, die Betriebsmodi finden Sie daneben. Mit einem Mausklick auf die Optionsfelder unterhalb der Piktogramme schalten Sie den Betriebsmodus für das jeweilige Gerät um.

Die Upribox gestattet damit den simultanen Einsatz verschiedener Modi, wobei diese jeweils permanent mit dem Server aktualisiert werden. Somit erkennt das System auch, wenn sich Clients zwischenzeitlich abmelden. Das Umschalten zwischen den Modi dauert etwas: Da der Ninja-Modus eine Verbindung zum Tor-Netzwerk etabliert, vergehen beim Aktivieren dieser Betriebsart einige Sekunden, bis der Zugang steht.

Falls Sie nicht das Upribox-Bundle des Entwicklers nutzen, sondern nur die Software auf einem bereits vorhandenen Raspberry Pi laden, beachten Sie bitte, dass das individuelle Umschalten der Betriebsmodi während des Surfens nur auf einem Raspberry Pi 3B+ anstandslos funktioniert.

Nur das aktuelle Topmodell der Raspberry-Pi-Reihe verfügt über einen entsprechenden WLAN-Chip vom Typ CYW43455 (ehemals Broadcom BCM43455) mit Dual-Band- und Multi-SSID-Kapazität, sodass sich die Modi im laufenden Betrieb ändern lassen. Bei älteren Modellen wäre dazu ein externer USB-WLAN-Dongle nötig. Allerdings unterstützt Raspbian hier nur wenige Chipsätze, die Multi-SSID-fähig sind. In der Projektdokumentation finden Sie dazu nähere Informationen [3].

Statistisches

Eine der Neuerungen in der zweiten Version der Upribox-Software besteht im Sammeln und Auflisten verschiedener statistischer Daten, die beim Surfen im Internet anfallen. Im Bildschirm Geräteübersicht finden Sie dazu nach einem Klick auf einen der aktiven Client-Computer eine Statistik, die die in der aktuellen Kalenderwoche übertragene Datenmenge beziffert und als Balkengrafik visualisiert.

Zusätzlich sehen Sie hier, welche Dienste und Protokolle im Berichtszeitraum am häufigsten genutzt und welche DNS-Abfragen vorgenommen wurden. Klicken Sie links im Dashboard auf die Kategorie Statistiken, dann erhalten Sie Informationen über die in demselben Zeitraum blockierten Domains, und zwar für das gesamte LAN. Zusätzlich listet die Übersicht gefilterte Inhalte auf, wobei für beide Gruppen jeweils die zehn am häufigsten kontaktierten Domains erscheinen (Abbildung 3).

Abbildung 3: Die Statistiken geben Auskunft über Abfragen und Datenvolumen.

Die statistischen Angaben helfen nicht nur, den Datenverkehr von Rechnern zu überwachen, sondern auch jenen von Geräten des Internet of Things (IoT), die sich in Ihrem Netz befinden. Da diese ebenfalls in der Liste der aktiven Systeme erscheinen, lässt sich anhand der Verbindungsdaten erkennen, mit wem die IoT-Geräte kommunizieren und welche Datenmengen dabei anfallen.

Manuell

Falls Sie individuelle Einstellungen an der Upribox vornehmen möchten, müssen Sie dem Link Konfiguration folgen. Das System bietet in diesem Dialog zunächst nur das (De-)Aktivieren vorhandener Dienste und das Ändern der Zugangseinstellungen an. Über die Einstellungen hinter den einzelnen Optionen verzweigt die Routine jedoch in ausführlichere Dialoge, die weitere Konfigurationsmöglichkeiten bieten.

Im Abschnitt WLAN signalisieren Balken bei der Neuvergabe eines Passworts für den drahtlosen Zugang zur Upribox die jeweilige Passwortstärke, sodass Sie zu schwache und daher unsichere Passwörter auf einen Blick erkennen. Harmonieren Ihr DSL-Router und die Upribox nicht miteinander und müssen Sie daher den DHCP-Server neu konfigurieren und der Upribox eine statische IP-Adresse zuweisen, so geschieht dies im Dialog Konfiguration (Abbildung 4).

Abbildung 4: Mithilfe der statischen Konfiguration binden Sie die Upribox trotz eines störrischen Routers ins Netz ein.

Beim Wechsel der Betriebsmodi der Upribox werden alle dabei zu konfigurierenden Dienste jeweils vollautomatisch gestoppt, neu gestartet und angepasst, so wie der DHCP-Server und der Apate-ARP-Spoofing-Dämon (Abbildung 5).

Abbildung 5: Dank automatisierter Routinen müssen Sie sich beim Wechsel der Betriebsmodi nicht um Details kümmern.

VPN

Über die Option VPN gestattet es die Upribox, einen getunnelten Zugang freizuschalten. So erhalten Sie beispielsweise von unterwegs aus über die Upribox einen sicheren Zugang ins Internet. Auch beim Internet-Zugang über das Upribox-VPN von einem Hotspot aus blockiert das System lästige Reklame und Tracker.

Dazu legen Sie nach einem Klick auf Einstellungen zunächst ein VPN-Profil an. Zusätzlich installieren Sie auf dem Client-Computer einen OpenVPN-Client. Verwenden Sie ein Smartphone, so müssen Sie dort einen der offiziell verfügbaren VPN-Clients als App laden.

Fazit

Die Entwickler der Upribox versprechen nicht zu viel: Die Privacy-Box lässt sich in aller Regel tatsächlich ohne Konfigurationsarbeit in Betrieb nehmen und eignet sich daher ausgezeichnet auch für weniger kundige Nutzer, die die Sicherheit beim Surfen im Netz verbessern und ihre Privatsphäre wahren möchten. Vorbildlich ist auch die ausführliche Dokumentation, die den Umgang mit dem System erläutert, wenn auch nur auf Englisch.

Bei unseren Tests in Kombination mit einem herkömmlichen DSL-Router und einem LTE-MiFi-System mit einer WLAN-Brücke zeigte die Upribox weder Schwächen noch Latenzen oder verlangsamte Surfgeschwindigkeiten. Zudem ist es den Entwicklern gelungen, mithilfe der auf dem Python-Web-Framework Django aufbauenden Konfigurationsdialoge eine schlichte, aber eingängige Verwaltungsoberfläche für die Upribox zu bauen. Für Anwender, die das Upribox-System auch jenseits der grafischen Konfigurationsoberfläche anpassen möchten, liefert das Projekt zudem tiefer in die Materie einsteigende Dokumentationen.