live-DVD Firewall

Ideen zu allem, was nützlich wäre. Vorschläge und Tipps zur JonDonym-Programmierung.
Post Reply
Al3ph
Posts: 140
Joined: Sun Aug 11, 2013 20:41

live-DVD Firewall

Post by Al3ph » Fri Apr 17, 2015 20:03

Ich habe jetzt einmal die neue Firewall-Funktion getestet, werde daraus aber nicht ganz schlau. Geht es nur mir so oder lässt sich die Tor-only Funktion nicht mehr abschalten? Ich habe es jedenfalls nicht geschafft die Verbindung für andere Programme wieder freizugeben und musste neu starten.

Darüber hinaus als Laie gefragt:
Worin besteht die Schwierigkeit eine FW zu etablieren die gewisse Verbindungen zulässt und andere nicht?
Ließe sich das auf der basis von iptables nicht realisieren? Meine Idee wäre ja wie gesagt nur Verbindungen nach außen zuzulassen die über Tor oder JonDo laufen, und alle direkten Verbindungen ins Internet zu blockieren.
Aber ich weiß auch nicht ob das sinnvoll und mit vertretbarem Aufwand möglich ist. Ich halte es aber zumindest für diskussionswürdig.

Noch besser wäre natürlich die Firewall auf einem eigenen single-board computer laufen zu haben aber ich denke eine Lösung auf der DVD wäre besser als nichts.

cane

Re: live-DVD Firewall

Post by cane » Fri Apr 17, 2015 20:35

Worin besteht die Schwierigkeit eine FW zu etablieren die gewisse Verbindungen zulässt und andere nicht?
iptables kann Rechte aufgrund der UID vergeben, also der User-Kennung, mit der ein Programm gestartet wurde. iptables kann keine Rechte aufgrund eines Programmnamens vergeben.

Also können entweder alle Programme, die Sie als User starten sich in Internet verbinden (incl. TorBrowserBundle oder JonDo) oder kein Programm, dass sie als User starten kann sich mit dem Internet verbinden.
werde daraus aber nicht ganz schlau
Ok - war vielleicht noch ein bisschen zu früh, dass mit auf die Live-DVD zu packen. In der kommenden Version wird es besser gelöst sein.
und musste neu starten
Das wird bei der nächsten Version definitiv so sein. Man wird beim Start wählen können zwischen "Simple Firewall" und "Restricted Firewall (Tor-only)" und evtl. auch noch "Restricted Firewall (JonDo-only)" und diese einmal getroffene Auswahl nur durch Reboot ändern können.

Al3ph
Posts: 140
Joined: Sun Aug 11, 2013 20:41

Re: live-DVD Firewall

Post by Al3ph » Fri Apr 17, 2015 21:05

Wieder was gelernt, danke.
Eine permanente Auswahl des Firewall-settings beim start wäre sicher sinnvoller, ich bin schon gespannt auf die nächste Version.

Eine Sache noch - betrifft das Einfrieren von JonDo noch andere Nutzer? Ich habe jedes Mal wenn ich ins JonDo-Menü gehe das Problem dass ich den Prozess killen und neustarten muss. Nicht tragisch aber etwas nervig.

Al3ph
Posts: 140
Joined: Sun Aug 11, 2013 20:41

Re: live-DVD Firewall

Post by Al3ph » Thu May 21, 2015 4:28

Eine Verständnisfrage noch zur Firewall:

Sehe ich das richtig dass man aus dem terminal keinen Netzwerkzugriff hat wenn die FW aktiv ist?
Geht dann nur mit proxychains, oder?

Außerdem habe ich dann keinen Zugriff (zumindest mit GUI) auf den daemon, oder?
Im Fall von JonDo habe ich es über das terminal geschafft, etwas mühsam aber das wechseln von Kaskaden funktioniert problemlos. Gibt es mit Tor-FW die Möglichkeit die circuits zu sehen bzw. die torrc zu editieren?

cane

Re: live-DVD Firewall

Post by cane » Thu May 21, 2015 6:44

Sehe ich das richtig dass man aus dem terminal keinen Netzwerkzugriff hat wenn die FW aktiv ist?
Bei Tor-FW geht im Terminal alles, wenn man "torsocks" nimmt, bei JonDo-FW muss man "proxychains" nehmen.

Code: Select all

> torsocks wget .....

> proxychains wget ....
Außerdem habe ich dann keinen Zugriff (zumindest mit GUI) auf den daemon, oder?
Prinzipiell kann sich Vidalia mit einem laufenden Tor-Daemon verbinden, wenn der Control-Port entsprechend konfiguriert ist.

Der Tor-Daemon ist entsprechend konfiguriert und TorBrowser kann sich bei Bedarf mit dem Daemon verbinden.

Wenn jemand Zeit hat und sich damit beschäftigen will, wie Vidalia das machen könnte, würde ich es einbauen. Ist wahrscheinlich nicht schwer, vielleicht gibt es eine commadline option? Control-Port und Control-Passwort für den Tor-Daemon stehen in der Connfig von Vidalia.

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: live-DVD Firewall

Post by xg27 » Thu May 21, 2015 7:54

Al3ph wrote:... nur Verbindungen nach außen zuzulassen die über Tor oder JonDo laufen, und alle direkten Verbindungen ins Internet zu blockieren.
Vielleicht zuerst ein paar ports mit Tor/JonDo belegen und dann alle anderen [ports] blockieren.....

Dazu muss Tor/Jondo natuerlich zuerst laufen.

Edit:
Ich finde das allerdings uebertrieben.Gegen Kompromittierung vom Netzwerk (und vom Angreifer extra hergestellte Verbindungen) besser oft reboot-en. Und welche Verbindungen man selbst herstellt oder nicht; das sollte man eigentlich unter Kontrolle haben...

cane

Re: live-DVD Firewall

Post by cane » Thu May 21, 2015 9:41

Vielleicht zuerst ein paar ports mit Tor/JonDo belegen und dann alle anderen [ports] blockieren.....

Dazu muss Tor/Jondo natuerlich zuerst laufen.
Das ist in der aktuell stabilen Version schon drin, man kann eine FW config beim Start wählen. Neber der bekannten "Simple FW" gibt es auch "Tor-only" und "JonDo-only".

Vielleicht muss ich dazu eine extra Doku-Seite schreiben, bisher steht es nur auf der Seite über Anon-Dienste: https://www.anonym-surfen.de/help/jondo-live-cd10.html

Post Reply