GUFW - Ein PC nur fürs Onlinebankingprogramm

Hallo Community!

Ich möchte / muss spätestens mit dem Auslaufen von Win 10 auch mein Onlinebanking umstellen. Auch Dank Mikes Distrobeschreibungen / empfehlungen bin ich mit allem anderen schon auf Linux umgestiegen. MX Linux war für mich ein Volltreffer! Komme gut damit klar und bin weitestgehend zufrieden. Nun möchte ich nach und nach auch bei Linux etwas mehr in die Tiefe gehen.

Mein altes Bankingprogramm (Banking4W) habe ich sehr geschätzt, doch das mit Wine zum Laufen zu bringen stelle ich mir für mich doch etwas zu kompliziert vor. Darum will ich nun Hibiscus auf der Jameica Plattform ausprobieren. An alten PC’s mangelt es mir nicht und daher möchte ich (in leichter Anlehnung an Mikes persönlicher Bankingpraxis) einen PC mit MX Linux (oder evt. AntiX aus gleichem Hause) aufsetzen der dann nur fürs Banking mit Jameica / Hibiscus vorgesehen ist.

Ich möchte MX bzw. die GUFW Firewall so einrichten dass das System aktuell gehalten werden kann und sonst nur Hibiscus sowie der Kartenleser cyberJack RFID Komfort (USB) von Reiner für mögliche Updates ins Internet darf!!

  1. Habe ich bei dieser Idee etwas übersehen?

  2. Wie genau setze ich das in MX und in seiner GUFW-Firewall um??

Bitte möglichst ein „Tutorial“ für GUFW welches auch ich als Linuxanfänger abarbeiten kann. In GUFW eingehenden Verkehr generell abzulehnen scheint nicht soo schwer zu sein und ist wohl auch der Standard, aber ich habe keine Ahnung wie ich den nötigen Verkehr für System- und Kartenleserupdates sowie den für Hibiscus erkenne und ermögliche. Alles andere soll ja eingehend wie auch ausgehend!) dicht gemacht werden.

Vielen Dank für eure Bemühungen schon im voraus!

Mit freundlichem Gruß in die Runde :slight_smile:

Moorruebe

Der PC wird doch nur für Hibiskus verwendet, oder? Warum dann die Outbound-Firewall-Lösung? Eine Outbound-Firewall auf dem selben Gerät ist schnell ausgehebelt, wenn sie nicht mit anderen Maßnahmen kombiniert wird.

Eine Bank mit modernem, separaten TAN-System (PushTAN oder ChipTAN) sollte auch im Falle einer Kompromittierung des PCs keine bösartigen Überweisungen zulassen. D.h. das einzige Risiko wäre ein Leaken der finanziellen Daten. Würde mir überlegen, ob es den zusätzlichen Aufwand Wert ist einen separaten PC nur dafür zu verwenden.

Wine sollte auf einem System das wichtige Daten hat sowieso nicht installiert sein, da man damit auch für einige Windows-Malware anfällig wird.

VM mit Windows und dem Programm wäre eine effektive Lösung.

Hallo! :slight_smile:

Habe ich auch schon dran gedacht. Wegen des Programms wäre das natürlich reizvoll. Aber mit VMs habe ich keinerlei praktische Erfahrung. Und ich möchte das Datenschutzverhalten von Microsoft (u.a. Datenkraken) möglichst nicht noch länger unterstützen. Lieber konzentriere ich mich künftig auf Linux und vertiefe dort meine Kenntnisse. Aber was wohl das wichtigste ist, einer der PCs war zwar mal zu seiner Zeit aus dem High End Segment, ist es aber schon lange nicht mehr. Der wäre wohl schlicht zu schwach dafür. Spätestens Win 11 würde wegen der Systemanforderungen ohnehin nicht darauf laufen.

Das ist die Idee. Evt. noch Libre Office um vielleicht mal lokal Daten aufzubereiten, muss aber nicht unbedingt sein.

Die Outbound-Firewall Thematik ist für mich neu. Wenn ich das auf die schnelle richtig verstehe ist GUFW vom Charakter her eher eine Inbound-Firewall da ja eingehender Verkehr standardmäßig geblockt wird. Sie ist ohnehin an Board und ich wollte sie durch standardmäßiges blocken auch des ausgehenden Verkehrs nur erweitern. Systemupdates durch den MX-Updater, Firmwareupdates für den Kartenleser und den eigentlichen Bankverkehr durch Hibiscus wollte ich durch definierte Ausnahmen von den restriktiven Standards ermöglichen. Nur weiß ich noch nicht wie ich genau das bewerkstellige.

Wie kann (G)UFW ausgehebelt werden? Und noch wichtiger, an welche Maßnahmen denkst du?

Ich habe mal irgendwo in einem Bankingthema sinngemäß gelesen: „Sinn eines mehrschichtigen Sicherheitssystems ist es nicht, sich nur auf eine Komponente zu verlassen und andere zu vernachlässigen.“ Den Gedanken habe ich mir gut gemerkt. Fand und finde ihn sehr weise. Wird ja auch von Mike des öfteren so propagiert.

Damit magst du richtig liegen. Trotzdem, meine Finanzdaten im Netz zu sehen fände ich schlimm genug und gar nicht prickelnd!
Wenn meine Idee mit relativ einfachen Mitteln (GUFW oder anderen Mittel?) halbwegs umsetzbar ist, ist der Aufwand für mich ok. Der PC ist ohnehin vorhanden, die Perepherie auch.

Gruß :slight_smile:
Moorruebe

P.S.:

Just noch gefunden dieser Auszug aus dem Privacy Handbuch:

„Oder man könnte auch sehr restriktiv vorgehen, standardmäßig alle ausgehenden Dienste sperren und dann nur für einzelne Protokolle die Kommunikation nach außen erlauben:

sudo ufw default reject outgoing
sudo ufw allow out http
sudo ufw allow out https

sudo ufw allow out from any to X.X.X.X port 53
sudo ufw allow out from any to Y.Y.Y.Y port 53 „

Nach diesen beispielhaften Befehlen (oder ähnlich) müsste doch etwas für meine Idee zu stricken sein, oder?? Bin doch sicher nicht der erste der solche Gedanken verfolgt …

@nobody verfasste hierzu ein Tutorial: https://www.kuketz-forum.de/t/maximaler-datenschutz-windows-hinter-einem-proxy-betreiben/8428

Hast du mal nachgelesen, was eine Outbound-Firewall macht? UFW kann beides, Inbound und Outbound. Dein Vorschlag möchte UFW auch als Outbound-Firewall verwenden, da du ausgehende Verbindungen beschränken willst.

Prozesse mit den entsprechenden Effective Capabilities (z.B. CAP_NET_ADMIN, CAP_SYS_ADMIN, oder mit vollen Root-Rechten) und keine weiteren Restriktionen für diesen Prozess (z.B. durch MAC oder Sandboxing) können Veränderungen an der Linux-Firewall vornehmen.

Das Problem ist, dass so, wie viele Distros im Auslieferungszustand sind (MAC und Sandboxing quasi nicht-existent, zahlreiche Ansatzpunkte für Privilege Escalation) und wie sie praktisch von vielen Anwendern verwendet werden (z.B. Sudo-Account für Alltag), es für Malware relativ einfach ist diese zu bekommen. Ein einfaches Beispiel ist die Tatsache, dass viele Nutzer einen Sudo/Wheel-Account im Alltag verwenden, was Privilege Escalation für nicht-gesandboxte Prozesse trivial macht. In dem Moment, wo Schadcode einmal läuft, hat der Durchschnitts-Linux-Benutzer also ein deutliches Problem.

Eine Firewall kann zwar ein Teil der Lösung sein, ist alleine auf dem selben Gerät aber aus oben genannten Gründen nicht so hilfreich, wie man vielleicht auf den ersten Blick denkt. Wenn du wirkliche Sicherheit für deine Daten willst, musst du ein System verwenden bei dem Anwendungen Anwendungen Sicherheitsprinzipale sind (z.B. Android, GrapheneOS, iOS).

Inwiefern das alles überhaupt relevant ist, wenn du das Gerät nur für eine einzelne Anwendung verwendest, ist natürlich fraglich, aber dann brauchst du dir auch über Outbound-Firewall-Beschränkungen keine Gedanken machen, da die für sich genommen eh nicht so viel bewirken.