Mit einem Raspberry Pi und der richtigen Software filtern Sie für alle Endgeräte Ihres LANs lästige Werbung und fiese Tracker zuverlässig aus.
Werbung wird im Internet vielfach als aufdringlich und belästigend empfunden. Hinzu kommen Tracker, die das Surfverhalten ausspionieren. Bei Einzelarbeitsplätzen lassen sich solche unerwünschten Inhalte leicht mithilfe von Browser-Erweiterungen einschränken oder aussperren. Will man aber mehrere Arbeitsplätze entsprechend konfigurieren, kann das je nach Anzahl der Computer viel Zeit beanspruchen. Mithilfe spezieller Appliances lassen sich die unerwünschten Inhalte aber zentral blockieren, bevor sie das Intranet erreichen. Wir haben uns unterschiedliche Konzepte und deren Umsetzung zum Blockieren von Werbung und Trackern auf Webseiten angesehen.
Funktionsweise
Die vorgestellten Lösungen integrieren Sie direkt hinter dem Router ins lokale Netz, sodass sämtlicher ein- und ausgehender Datenverkehr über sie läuft. Sie fungieren dabei als DNS-Server. Eine Ausnahme bildet die Upribox, die ein WLAN aufspannt, über das Anwender abgesichert im Internet surfen. Darüber hinaus bieten einige der besprochenen Lösungen auch integrierte VPN-Server und anonymisieren so zusätzlich IP-Adressen. Von außerhalb des VPNs lassen sich die Arbeitsstationen im internen Netz nicht mehr anhand ihrer IP-Adresse identifizieren. Bei allen besprochenen Lösungen handelt es sich zudem um freie Software, als Hardwarebasis dient meist ein Raspberry Pi. Das gewährt selbst beim Einsatz rund um die Uhr moderate Betriebskosten.
Einer der wichtigsten Vorteile solch zentralisierter Appliances besteht darin, dass man sie nur einmal in das lokale Netz einbinden und konfigurieren muss. Größtenteils aktualisieren sich die Systeme selbsttätig im laufenden Betrieb, sodass kein zusätzlicher Aufwand für das Anpassen und regelmäßige Updates der Werkzeuge und Betriebssysteme entsteht. Manuelle Konfigurationen der Clients entfallen ebenfalls weitgehend. Zudem können unterschiedlichste Geräte aus dem LAN abgeschirmt auf das Internet zugreifen. Auch mobile Geräte wie Smartphones und Tablets sowie IoT-Devices werden automatisiert geschützt.
AdGuard Home
Der DNS-Server AdGuard Home [1] blockiert bestimmte Domains, die Werbung verbreiten und das Surfverhalten der Anwender ausspionieren. Zusätzlich lassen sich über Sperrlisten auch bekannte Malware-Domains blockieren. Die Software benötigt dabei auf den Endgeräten keinen Client, sondern wird auf einem Raspberry Pi installiert und agiert dann netzwerkweit.
Als Basis setzt AdGuard Home ein installiertes Betriebssystem wie Raspberry Pi OS voraus. Es empfiehlt sich, den Mini-Rechner vor der Installation mit einer statischen IP zu versehen, um Probleme nach einem Neustart durch eine geänderte Adresse zu vermeiden. Die Anwendung lässt sich sodann mit einem einzigen Befehl aus dem Terminal des RasPi heraus installieren und starten (Listing 1).
Listing 1
AdGuard einrichten
$ curl -s -S -L https://raw.githubusercontent.com/AdGuardTeam/AdGuardHome/master/scripts/install.sh | sh -s -- -v
Die Software erkennt die verwendete Hardware automatisch und richtet das System komplett ein. Zum Abschluss der Routine erhalten Sie Informationen, wie Sie das Webinterface des Werkzeugs aufrufen und die Anwendung am Prompt in Grundzügen steuern. Sobald Sie die angegebene URL in einem Webbrowser aufrufen, startet ein grafischer Einrichtungsassistent. Er führt Sie in fünf Schritten durch die Grundkonfiguration, wobei Sie zum Schutz des Systems ein Nutzerkonto samt Passwort anlegen müssen.
Außerdem liefert der Assistenten ausführliche deutschsprachige Anleitungen zur Konfiguration des Routers und verschiedener Geräteklassen. Für die korrekte Funktion des AdGuard-Home-Servers müssen Sie die DHCP- und DNS-Einstellungen am Router für den Internet-Zugang modifizieren, da es sonst insbesondere bei Neustarts des Routers oder des AdGuard-Servers zu Problemen kommen kann. Nach Abschluss der Grundeinrichtung loggen Sie sich im Webbrowser mit den soeben aktivierten Nutzerdaten ein und gelangen in das Dashboard (Abbildung 1).
Abbildung 1: Das Eingangsfenster von AdGuard Home wirkt übersichtlich.
Dort sehen Sie grafisch aufbereitet einige statistische Angaben zu den verbundenen Clients, den DNS-Anfragen, abgelehnten Anfragen und gefilterten Webseiten. Darunter folgen eine Tabelle der Clients, eine Liste der am häufigsten angefragten Domains sowie eine Aufstellung der am häufigsten gesperrten Domains. AdGuard Home aktualisiert diese Statistiken nicht fortlaufend, Sie müssen sie manuell durch einen Klick auf Statistiken aktualisieren auf den aktuellen Stand bringen.
Nach dem Schließen und bei erneutem Öffnen der Administrationsoberfläche müssen Sie die Port-Nummer nicht mehr in der URL mitangegeben, sofern Sie bei der Grundeinrichtung die voreingestellten Werte nicht verändert haben.
Einstellungssache
Die Einstellungsdialoge von AdGuard Home finden Sie in Gruppen zusammengefasst in einer Leiste am oberen Fensterrand. Prinzipiell funktioniert das System bereits nach der Ersteinrichtung. Im Menü Einstellungen | Allgemeine Einstellungen können Sie verschiedene Services aktivieren, zum Beispiel einen Kinderschutzfilter. Dazu werden allerdings Webservices kontaktiert. In diesem Einstellungsdialog legen Sie außerdem fest, wie häufig AdGuard Home die Blockierlisten aktualisieren soll. Die Option Sichere Suche verwenden schränkt verschiedene Webseiten in ihrer Funktion ein, sodass sie sich nur für bestimmte Anwendungsszenarien eignet.
Je nach Größe des lokalen Netzes und somit der Intensität des Datenverkehrs empfiehlt es sich, die Protokollintervalle zu modifizieren. In der Gruppe Konfiguration der Protokolle definieren Sie, wie lange der Server die Protokolle aufbewahrt und ob er die Client-IP-Adressen darin anonymisiert. Haben Sie hier Änderungen vorgenommen, bestätigen Sie diese durch einen Klick auf den grünen Button Speichern.
In der Kategorie DNS-Einstellungen, die Sie ebenfalls unter Einstellungen finden, tragen Sie bei Bedarf zusätzlich zum bereits vorhandenen Upstream-DNS-Server weitere DNS-Dienste ein, sodass mehrere Alternativen zur Verfügung stehen. Bei mehreren DNS-Diensten nimmt die Software zudem eine Lastverteilung vor und nutzt den schnellsten Server bevorzugt. Sie können das jedoch modifizieren, indem Sie das Optionsfeld vor einer der Alternativen aktivieren.
Protokollarisches
Bei aktivierter Protokollfunktion listet AdGuard Home im Reiter Anfragenprotokoll alle Anfragen auf. Dabei nennt es nicht nur die Uhrzeiten, die angefragten Server und die Statusnachrichten der Anfragen, sondern führt in der Spalte Client auch die Rechner im LAN auf, von denen die jeweilige Anfrage ausging. Sie können anhand dieser Protokolle bei Bedarf die Filtereinstellungen nachjustieren. Für einzelne Clients lassen sich bestimmte Server-Anfragen sperren, indem Sie hinter dem jeweiligen Protokolleintrag auf Sperren klicken (Abbildung 2).
Abbildung 2: Die Protokollfunktion von AdGuard Home ermöglicht das manuelle Sperren von Domains.
Filterlisten
Im Menü Filter | DNS-Sperrliste sind zwei Filterlisten mit zusammen etwa 55 000 gesperrten Domains bereits eingetragen. Durch Setzen eines Häkchens aktivieren Sie die jeweilige Liste, durch einen Klick auf die Schaltfläche Nach Aktualisierungen suchen unterhalb der Tabelle bringen Sie die aktivierten Listen auf den aktuellen Stand.
Um zusätzliche Listen hinzuzufügen, klicken Sie auf Sperrliste hinzufügen und entscheiden im nächsten Dialog, ob Sie aus einer Liste vorgefertigter Blockierlisten (Abbildung 3) eine oder mehrere aktivieren möchten oder ob Sie eine eigene Sperrliste hinzufügen wollen. Der Auswahldialog für vorgefertigte Sperrlisten gestattet das Einbinden allgemeiner Listen mit Werbe- und Tracker-Domains sowie die Integration von Malware-Domain-Listen. Zusätzlich stehen regionale, nach Ländern geordnete Listen zur Auswahl.
Abbildung 3: In AdGuard Home fügen Sie zusätzliche Sperrlisten per Mausklick hinzu.
Für heterogene Umgebungen mit Windows-Clients lässt sich zudem eine speziell auf die Sicherheitslöcher dieses Betriebssystems abgestimmte Spy-Liste aktivieren, die diverse Spionage-Domains blockiert.
eBlocker
eBlocker [2] präsentiert sich als Komplettlösung für den Raspberry Pi, den Banana Pi M2+ oder für eine virtuelle Maschine auf Basis von Virtualbox. Ursprünglich handelte es sich um eine kombinierte Hard- und Softwarelösung. Den Vertrieb der kommerziellen eBlocker-Geräte stellte der Hersteller jedoch 2019 ein, während er die Software als eBlockerOS nach wie vor pflegt und mittlerweile als Non-Profit-Projekt weiterführt.
Als Mindestvoraussetzung für den Einsatz von eBlockerOS geben die Entwickler einen Raspberry Pi mit mindestens 1 GByte Arbeitsspeicher an, empfehlen aber ein Modell der vierten Generation mit mindestens 2 GByte RAM. Das System benötigt eine mindestens 8 GByte große SD-Karte, die laut Empfehlung mindestens der Class-10-Spezifikation [3] entsprechen sollte. Für das Netzteil rät das Projekt ein Exemplar mit mindestens 3 Ampere Leistung an. Zusätzlich muss am Router oder Switch ein freier LAN-Port zum Anschluss des RasPi vorhanden sein.
Die Entwickler stellen zudem auf der Projektseite eine Liste kompatibler Router und Repeater bereit, die in Kombination mit eBlockerOS getestet wurden. Die Liste erhebt keinen Anspruch auf Vollständigkeit. Allerdings sind die meisten handelsüblichen Geräte zu eBlockerOS kompatibel. Bei den aufgelisteten Browsern bestehen keine Kompatibilitätsdefizite, jedoch lassen sich bei einigen davon bestimmte Funktionen nicht in Kombination mit eBlockerOS nutzen.
Installation
Sie laden zunächst das aktuelle, knapp 740 MByte umfassende eBlockerOS-Image herunter und entpacken es mit einem entsprechenden Archivierungswerkzeug. Das dabei entstandene Abbild mit einem Umfang von etwa 4,2 GByte transferieren Sie anschließend mithilfe des Befehls aus Listing 2 oder über ein wie Tool Balena Etcher auf eine MicroSD-Karte. Von dieser booten Sie dann den Raspberry Pi, der dabei mit einem handelsüblichen LAN-Kabel an den Router angeschlossen sein muss. Tastatur, Maus und Bildschirm braucht der Kleincomputer dazu jedoch nicht.
Listing 2
eBlocker einrichten
$ dd if=eBlocker-2.8.2-raspberry-pi.img of=/dev/mmcblk0 bs=4M
Nach einigen Minuten Wartezeit können Sie von jedem beliebigen Arbeitsplatz im Netz aus eBlockerOS auf dem Raspberry Pi aktivieren, indem Sie im Webbrowser des Arbeitsplatzcomputers die URL http://setup.eblocker.org eingeben. Das eBlocker-System verwendet nun ARP-Spoofing, um die im LAN vorhandenen Endgeräte automatisch zu lokalisieren und sich als Gateway in den Datenverkehr einzubinden. Es erscheint ein kleines orangefarbiges eBlocker-Symbol oben rechts auf dem Bildschirm, außerdem werden einige Statusangaben zum aktuellen System eingeblendet. Ab diesem Zeitpunkt analysiert eBlocker alle Datenpakete mithilfe einer Deep-Packet-Inspection, überprüft zusätzlich via DNS-Blocking notorische Datensammler-Domains und modifiziert jeweils die ausgesandte User-Agent-Kennung.
Nun rufen Sie das Dashboard auf, in dem Sie eBlockerOS individuell konfigurieren. Dazu klicken Sie einfach unten mittig auf den Link Dashboard für dieses Gerät. Er erscheint ein Dialog, der Sie darauf hinweist, dass Sie ein Lesezeichen für den Browser anlegen können. Anschließend gelangen Sie in das spartanische Dashboard, wo Sie zunächst das System konfigurieren. Sie klicken dazu rechts oben im Dashboard auf das Zahnradsymbol. Im sich nun öffnenden Einrichtungsassistenten stellen Sie die Software durch einen Klick auf Landesflagge auf die deutsche Fassung um.
Nach Auswahl von Weiter akzeptieren Sie die Lizenz und stellen im nächsten Schritt die Zeitzone ein. Anschließend fragt der Assistent einen Namen für das eBlocker-System ab, der aber nur beim Betrieb mehrerer eBlocker im LAN eine Rolle spielt. Der nächste Schritt bezieht sich auf die automatisierte Aktivierung von eBlocker für Geräte, die Sie neu in das Netz integrieren. Voreingestellt wird eBlocker für solche Geräte nicht aktiv geschaltet. Im letzten Schritt geben Sie den Lizenzschlüssel ein, ein Relikt aus der Zeit der kommerziellen eBlocker-Version. Inzwischen erscheint hier bereits ein gültiger Lizenzschlüssel, Sie müssen lediglich eine gültige E-Mail-Adresse angeben. Sie dient dazu, Anwender in Notfällen wie ernsthaften Sicherheitsproblemen der Software kurzfristig zu kontaktieren. Ein erneuter Klick auf Weiter schließt die Konfiguration ab.
Falls Aktualisierungen vorliegen, schlägt der Assistent noch vor, ein Update von eBlockerOS vorzunehmen. Dazu klicken Sie auf Jetzt aktualisieren (empfohlen), was binnen weniger Minuten das System auf den aktuellen Stand bringt. Nach dem Abschluss des Updates startet der Raspberry Pi neu, und es erscheint ein Hinweisfenster, das über die installierten Updates informiert.
Nach einem erneuten Klick auf den Weiter-Button gelangen Sie in das Dashboard (Abbildung 4). Dort sehen Sie im Info-Segment rechts alle im LAN befindlichen Geräte, die das System bei der Einrichtung lokalisiert hat. Mithilfe der Einstellungsleiste links konfigurieren Sie bei Bedarf die verschiedenenen Optionen. Das Dashboard erreichen Sie künftig durch Eingabe der IP-Adresse des eBlocker-Systems, gefolgt von der Port-Nummer 3000.
Abbildung 4: Die Konfigurationsoptionen von eBlocker sind sinnvoll gruppiert.
Einstellungen
Um das System eingehend zu konfigurieren und gegen unbefugte Zugriffe zu schützen, setzen Sie zunächst ein Admin-Passwort. Dazu klicken Sie unten links in der vertikalen Gruppenleiste auf System und danach auf den Link Admin-Passwort oben mittig. Dann schieben Sie den Regler vor der Option Administratorpasswort ist deaktiviert nach rechts und legen im nun erscheinenden Dialog das Passwort für den Administrator fest. Danach ist das System geschützt.
Sie können anschließend weitere Sicherheitsoptionen ändern. Um die IP-Adressen zu anonymisieren, stellt eBlocker in der Gruppe IP-Anonymisierung gleich zwei Möglichkeiten zur Verfügung: Voreingestellt werden die Datenpakete automatisiert über das Tor-Netzwerk versandt, während sich alternativ eine VPN-Verbindung über einen öffentlichen Diensteanbieter konfigurieren lässt.
Auch verschiedenste Optionen zur DNS-Firewall, zum Jugendschutz mit Blacklists und Whitelists und zum Schutz von Mobilgeräten stellen Sie gegebenenfalls in den entsprechenden Kategorien ein. Über die Kategorie Doktor können Sie sich zudem Statusanzeigen ansehen. Im Dialog Geräte schalten Sie den eBlocker-Schutz für die einzelnen erkannten Endgeräte durch Betätigen des Schiebereglers vor jeder IP-Adresse in der Tabelle ein oder aus.
Status
Zu jedem Endgerät im LAN können Sie im Webbrowser aktuelle Statusangaben abrufen. Dazu tippen Sie die IP-Adresse des eBlocker-Systems im Browser ein, gefolgt von einem Doppelpunkt und der Port-Nummer 3000. Alternativ verwenden Sie die URL http://eblocker.box. Beim Zugang via IP-Adresse klicken Sie im Anmeldedialog oben rechts auf das Symbol Dashboard öffnen.
eBlockerOS öffnet nun ein Fenster mit zahlreichen Kacheln, die über unterschiedliche Betriebszustände Auskunft geben (Abbildung 5). Neben Statistiken gibt es auch Optionskacheln. So sehen Sie über die Kachel Nachrichten beispielsweise Systemnachrichten ein oder aktivieren über Anonymisierung die IP-Anonymisierung für die aktuelle Arbeitsstation. Zusätzlich können Sie einen Funktionstest des Werkzeugs vornehmen oder über die Kachel oben in der Mitte eBlocker für die Workstation pausieren. Nützlich ist außerdem die Option, Listen mit zu blockierenden oder erlaubten Domains zu verwalten, indem Sie diese in den entsprechenden Dialogen Domains blocken und Domains erlauben hinzufügen.
Abbildung 5: Statistikanzeigen geben einen Überblick über gefilterte Inhalte.
Pi-hole
Das für den Raspberry Pi konzipierte, aber auch für Intel/AMD-Architekturen erhältliche Pi-hole [4] gehört zu den bekanntesten Werbe- und Tracking-Blockern. Die Appliance setzt mindestens 2 GByte freien Massenspeicher und 512 MByte RAM voraus. Pi-hole verwandelt den Mini-Rechner in einen DNS-Server, der sämtliche Datenpakete filtert. Es lassen sich dabei sogar für definierte Endgeräte eigene Profile speichern, mit deren Hilfe Sie Inhalte wie nicht jugendfreie Webseiten blockieren.
Installation
Sie integrieren Pi-hole via Curl als Applikation in ein bestehendes Betriebssystem. Bevor Sie die Anwendung unter Pi OS oder Debian installieren, aktivieren Sie am besten einen SSH-Server, damit Sie später von jedem Endgerät im Netz aus auf den RasPi zugreifen können. Unter Pi OS schalten Sie den SSH-Server bequem per Schieberegler im Konfigurationsdialog des Betriebssystems ein. Unter Debian installieren Sie dazu manuell das Paket openssh-server. Anschließend installieren Sie Pi-hole über den Befehl curl -sSL https://install.pi-hole.net | bash im Terminal. Nach der Installation öffnet sich automatisch ein Ncurses-Konfigurationsassistent.
Darin legen Sie zunächst eine statische IP-Adresse für den Kleincomputer fest. Danach wählen Sie aus einer vorgegebenen Liste einen DNS-Anbieter aus, über den Pi-hole die Webanfragen auflöst, und laden anschließend eine Blockliste. Im nächsten Schritt aktivieren Sie das Web-Interface für die Verwaltung und legen noch einige Angaben zur Protokollierung der Daten fest. Danach blendet die Software eine Anzeige mit allen wichtigen Daten ein. Darunter befindet sich auch das Passwort zum Einloggen in die Weboberfläche. Außerdem erscheint der Hinweis, dass Sie den Pi-hole-Rechner nun auf allen Endgeräten im LAN als DNS-Server eintragen müssen.
Start frei!
Die Weboberfläche des Pi-hole-Systems lässt sich nun von jedem Webbrowser im lokalen Netz aus aufrufen. Dazu geben Sie die URL http://pi.hole/admin oder die IP-Adresse des Pi-hole-Systems ein. Nach einer Anmeldung gelangen Sie auf eine übersichtliche Oberfläche, die links Einstelloptionen für die Konfiguration des Werkzeugs in Kategorien zusammenfasst, während rechts die entsprechenden Dialoge erscheinen (Abbildung 6).
Abbildung 6: Das Dashboard von Pi-hole ist ergonomisch und modern gestaltet.
Hier sehen Sie grafisch ansprechend aufbereitet die wichtigsten Daten zu den vorhandenen Clients, deren Anfragen, den blockierten Aufrufen und auch zu den Filterlisten. Unterhalb davon visualisieren Aktivitätslisten in Form von Balkengrafiken die Zahl der Netzanfragen. Es folgen Kreisgrafiken und Tabellen zu den am häufigsten aufgerufenen Domains, die Pi-hole nach erlaubten und blockierten Domains sortiert, und zur Art der Anfragen. Außerdem zeigt das System prozentual an, welche Upstream-Server genutzt wurden. Ganz unten im Fenster sehen Sie zusätzlich statistische Angaben zu den im Netz angemeldeten Clients. Einstellungen nehmen Sie dagegen in der links im Fenster vertikal angeordneten Gruppenleiste vor.
Gruppendynamik
Ein zentrales Feature von Pi-hole ist die Möglichkeit, einzelne Endgeräte in Gruppen zusammenzufassen und diese mit gesonderten Filterregeln zu versehen. So können Sie beispielsweise Tablet-PCs oder Smartphones, die überwiegend von Kindern genutzt werden, in einer eigenen Gruppe zusammenfassen und mit einheitlichen Regeln ausstatten. Dadurch entfällt die zeitraubende Konfiguration von Einzelgeräten.
Im Menü Groups legen Sie dazu wahlfrei Gruppen an, die Sie einzeln durch einen Schieberegler aktivieren oder abschalten. Gleich unter der Konfigurationsgruppe Groups in der vertikalen Kategorienleiste finden Sie die Gruppe Clients. Darin legen Sie die einzelnen Clients an, wobei die von Pi-hole erkannten Endgeräte mit ihren MAC-Adressen in einem Ausklappmenü erscheinen. Für jeden Client im LAN können Sie dabei einen gesonderten Eintrag anlegen und in der darunter befindlichen Tabelle jeden der angelegten Clients einer Gruppe zuweisen. Dazu gibt es wiederum in jeder Client-Zeile ein entsprechendes Auswahlfeld.
Listen
Die Blockierlisten von Pi-hole ergänzen Sie bei Bedarf über zwei Optionen. Um eine einzelne Domain in die Sperrliste aufzunehmen, nutzen Sie den Dialog Domains. Sie können hier auch durch Setzen eines Häkchens vor der Option Add domain as wildcard alle Subdomains in die Liste einbeziehen. In diesem Fall passt Pi-hole die eingegebene Regel zum Sperren der Domain entsprechend an.
Zusätzliche Listen mit zu sperrenden Domains integrieren Sie dagegen im Dialog Adlists. Dazu geben Sie im Adressfeld die URL der neuen Liste ein und führen anschließend im Terminal den Befehl pihole -g aus, um die Aufstellung ins System aufzunehmen. Alternativ klicken Sie den im Dialog vorhandenen Link an, um im Browser-Fenster die bestehenden Blockierlisten zu aktualisieren.
Die neu hinzugekommenen Listen erscheinen in einer Tabelle unterhalb des Eingabedialogs und lassen sich bei Bedarf durch einen Klick auf das rote Papierkorbsymbol ganz rechts neben dem Listeneintrag wieder entfernen. Voreingestellt aktiviert Pi-hole neue Sperrlisten für alle Gruppen. Es besteht jedoch die Möglichkeit, neue Listen auch spezifisch individuellen Gruppen von Endgeräten zuzuweisen. Dazu wählen Sie die fragliche Gruppe in der Spalte Group assignment aus. Neu hinzugefügte Listen lassen sich zudem im laufenden Betrieb jederzeit per Schieberegler in der Spalte Status ein- oder ausschalten.
Zusätzlich können Sie Pi-hole für vorgegebene Zeiträume ausschalten, indem Sie die entsprechende Option in der Kategorie Disable Blocking auswählen. Hier geben Sie den Zeitraum an, in dem die Anwendung keine Blockierfunktion ausüben soll.
Ansichtssache
In der Gruppe Query Log lassen Sie sich alle anfragenden Domains tabellarisch geordnet anzeigen. Dabei erscheinen jeweils die letzten 100 Einträge. Sofern Sie eine der Domänen in eine Sperrliste übernehmen möchten, klicken Sie hinter dem jeweiligen Eintrag ganz rechts auf Blacklist. Pi-hole übernimmt die entsprechende Domain nach einer Bestätigung in die individuelle Zusatzliste zu sperrender Domains (Abbildung 7).
Abbildung 7: In Pi-hole können Sie auch einzelne Domains gezielt in Blockierlisten übernehmen.
Upribox
Die aus Österreich stammende Upribox [5] gehört zu den Senioren unter den zentralen Filterlösungen für Intranets. Es gibt sie als fertig vorkonfigurierte Appliance auf Basis eines Raspberry Pi mit einer 16 GByte großen MicroSD-Karte für 125 Euro auf der Webseite des Projekts. Sie können die freie Software jedoch auch zur Nutzung mit Ihrem eigenen RasPi als 655 MByte großes Image von der Github-Seite des Projekts beziehen. Die Software läuft allerdings nur auf älteren Modellen der dritten Generation des britischen Kleincomputers.
Inbetriebnahme
Die Upribox spannt schon beim ersten Hochfahren ein WLAN auf, muss aber für das Setup trotzdem über eine Kabelverbindung ins LAN integriert werden. Von einem beliebigen Computer im Netz aus melden Sie sich im WLAN upribox mit dem WPA2-Schlüssel changeme an. Danach rufen Sie im Webbrowser der Maschine die URL https://upri.box:4300 auf und gelangen nach einer Sicherheitsabfrage in die Administrationsoberfläche des Systems. Im Login-Bildschirm melden Sie sich als Nutzer upri mit dem Passwort changethedefaults! an. Sie gelangen nun in das Dashboard mit der Geräteübersicht (Abbildung 8).
Abbildung 8: Optisch schlicht, aber mit allen nötigen Informationen präsentiert sich das Dashboard der Upribox.
Zunächst ändern Sie dort das Passwort für den Nutzer upri, indem Sie oben rechts im Browser-Fenster auf den Nutzernamen klicken. Die Software öffnet nun einen Dialog, in dem Sie ein neues Passwort eingeben und auch den Namen des administrativen Nutzers ändern können. Anschließend klicken Sie unten auf Speichern und gelangen wieder in die Geräteübersicht.
Neben den einzelnen im WLAN angemeldeten Geräten finden Sie im Dashboard auch deren Status. Die Upribox ermöglicht es, durch Setzen eines Optionsfelds für jede Workstation im WLAN deren Schutzstatus individuell zu ändern. Voreingestellt befinden sich die Geräte im geschützten Modus, in dem Werbung und Tracker ausgeblendet werden. Der Ninja-Modus, den Sie in der rechten Spalte aktivieren, ermöglicht zudem das Surfen über das Tor-Netzwerk. Dabei fällt dann aber der Datendurchsatz deutlich geringer aus als im geschützten Modus, was beispielsweise beim Streamen von Videos Probleme verursachen kann.
Werden Inhalte in einem der beiden Schutzmodi nicht mehr korrekt angezeigt, setzen Sie das Optionsfeld in der linken Spalte und deaktivieren damit sämtliche Schutzmechanismen für die betreffende Arbeitsstation. Klicken Sie auf eine der Gerätebezeichnungen, liefert die Software eine Internet-Nutzungsstatistik für den jeweiligen Client.
Einstellungen
Links in der Gruppenleiste stellen Sie das System über die Kategorie Konfiguration mit wenigen Handgriffen individuell ein. So regeln Sie hier über das Setzen oder Entfernen eines Häkchens den Zugang zur Upribox und Ihres WLANs. Zusätzlich können Sie Dienste wie SSH oder einen integrierten VPN-Server aktivieren. Auch eine statische IP-Adresse lässt sich in diesem Dialog für den Kleincomputer aktivieren (Abbildung 9). Über den Link Einstellungen hinter den jeweiligen Optionen konfigurieren Sie anschließend den jeweiligen Dienst.
Abbildung 9: Die Konfiguration der Upribox fällt sehr spartanisch aus.
Statistiken
Die Kategorie Statistik in der vertikalen Leiste links im Hauptfenster öffnet eine grafisch aufbereitete Anzeige, die die Anzahl der blockierten und gefilterten Inhalte nennt. Dazu gibt es auch Balkengrafiken, die den Umfang der gefilterten und blockierten Inhalte nach Kalenderwochen sortiert anzeigen. Eine kleine Tabelle führt außerdem die am häufigsten gefilterten und blockierten Domains auf.
|
|
AdGuard Home |
eBlocker |
Pi-hole |
Upribox |
|---|---|---|---|---|
|
Lizenz |
GPL v.3 |
EUPL v.1.2 |
EUPL v.1.2 |
GPL v.3 |
|
Funktionen |
||||
|
Blockieren von Werbung |
ja |
ja |
ja |
ja |
|
Blockieren von Malware |
ja |
nein |
nein |
nein |
|
webbasierte Konfiguration |
ja |
ja |
ja |
ja |
|
automatische Updates der Filterlisten |
ja |
ja |
ja |
ja |
|
Einrichtungsassistent |
ja |
ja |
ja |
ja |
|
mehrere DNS-Upstream-Server einstellbar |
ja |
ja |
nein |
nein |
|
Protokollfunktion |
ja |
ja |
ja |
ja |
|
grafische Statistiken |
ja |
ja |
ja |
ja |
|
zusätzliche Filterlisten möglich |
ja |
ja |
ja |
nein |
|
Tor-Netzwerk integriert |
nein |
ja |
nein |
ja |
|
VPN-Option integriert |
nein |
ja |
nein |
ja |
Fazit
Alle hier vorgestellten Lösungen zum zentralisierten Filtern von Werbung und Trackern erfüllen ihre Aufgabe zuverlässig. Die Unterschiede liegen im Funktionsumfang und in der Bedienergonomie. Am einfachsten lässt sich die Upribox handhaben, die nur wenige Einstellmöglichkeiten bietet.
Den größten Funktionsumfang weisen Pi-hole und eBlocker auf. Beide erfordern zumindest Grundkenntnisse in Netzwerktechnologien. Pi-hole glänzt dabei aus dem Stand mit den umfangreichsten Sperrlisten. AdGuard Home eignet sich wie die Upribox primär für den Einsatz in kleinen LANs und setzt zur Installation und Konfiguration kaum Kenntnisse voraus. Für den professionellen Einsatz in großen Netzen erscheinen Pi-hole und vor allem eBlocker mit ihren detaillierteren Konfigurationsoptionen geeigneter.
Allen Lösungen haben gemeinsam, dass sie praktisch transparent arbeiten und – mit Ausnahme der Upribox im Ninja-Modus – beim Surfen weder erhöhte Latenzen noch Geschwindigkeitseinbußen auftreten. Welche Lösung zum Einsatz kommt, hängt daher primär von den Anforderungen und den Vorlieben der Admins ab. (jlu)
Infos
- AdGuard: https://adguard.com/de/adguard-home/overview.html
- eBlocker: https://eblocker.org
- Geschwindigkeitsklassen: https://www.sdcard.org/developers/sd-standard-overview/speed-class/
- Pi-hole: https://pi-hole.net/
- Upribox: https://upribox.org/
- Tor-Netzwerk: https://www.torproject.org/de/
