Mistborn bündelt wichtige Dienste und sichert diese durch VPN und separate Container ab.
In der derzeitigen Pandemie hat das Internet nochmals einen anderen Stellenwert erhalten. Das Corona-Virus zwingt viele Menschen dazu, von zu Hause aus am Rechner zu arbeiten. Fehlende menschliche Kontakte kompensieren sie verstärkt über das Internet.
Das stellt viele Privatpersonen und kleine Unternehmen vor Probleme beim Absichern der genutzten Dienste. Es tauchen verstärkt Bedrohungen auf, die die derzeitige Situation ausnutzen, um Schaden anzurichten. Zudem erfahren Dienste wie etwa Videokonferenzen über den Anbieter Zoom [1] enormen Zulauf, obwohl der Hersteller mit dem Schließen von Sicherheitslücken kaum hinterherkommt.
Sicherheit fürs LAN
Der Entwickler Steven Foerster, der mit seiner Firma Cyber 5K Software im Bereich Sicherheit anbietet, überlegte sich, wie er angesichts dessen seiner Familie einen einfach zu realisierenden Schutz bei sämtlichen Aktivitäten im Internet bieten könnte. Daraus resultierte das kürzlich auf Gitlab veröffentlichte Projekt Mistborn [2], das ausschließlich auf freie Software setzt. Der Name entstammt der gleichnamigen epischen Fantasy-Buchreihe des US-Autors Brandon Sanderson.
Mistborn bietet skriptgesteuert das Aufsetzen eines VPN-Tunnels mit Wireguard sowie das Blockieren von Werbung durch Pi-hole mittels DNScrypt [3]. Zusätzlich ist es möglich, weitere Dienste zu aktivieren, etwa Nextcloud, Cockpit, Syncthing, Rocket.Chat, Home Assistant, Jellyfin, Bitwarden, OnlyOffice, Tor oder Jitsi (Abbildung 1).
Abbildung 1: Das Schema zeigt das Prinzip von Mistborn. Dabei läuft jeglicher Verkehr durch einen Wireguard-Tunnel. Zugriffe von außen regelt die integrierte Firewall.
Auf dem RasPi 4
Im Test kam Mistborn auf einem RasPi 4 zum Einsatz, je nach genutztem Umfang reichen aber ältere Modelle aus. Sie steuern die Software über ein Webinterface von einem beliebigen Gerät aus. Der Entwickler empfiehlt für den Betrieb von Wireguard mit Pi-hole 1 GByte RAM und 10 GByte Speicherplatz.
Wollen Sie das Management-Tool Cockpit nutzen, sind mindestens 2 GByte RAM notwendig. Kommen Dienste wie Jitsi Meet, Nextcloud, Jellyfin, Rocket.Chat, Home Assistant oder OnlyOffice ins Spiel, brauchen Sie doch den RasPi 4 mit 4 GByte RAM. Der Speicherplatzbedarf steigt dann auf mindestens 25 GByte. Alternativ richten Sie die Software auf einem gemieteten Webspace oder VPS oder auf einem ausgedienten Notebook ein.
Die Software arbeitet mit den Distributionen Ubuntu 18.04 LTS, Debian 10 und dem aktuellen Raspbian zusammen. In letzter Minute kam noch Ubuntu 20.04 LTS hinzu. Wir haben mit den beiden Ubuntu-Versionen und mit Raspbian getestet. Im Folgenden geht es aber um Raspbian auf dem RasPi 4. Als Grundlage diente ein auf einer flotten SD-Karte mit 16 GByte installiertes und aktualisiertes Raspbian “Buster”. Als Medium kam eine Samsung Memory 16G EVO MicroSDHC UHS-I Grade 1 Class 10 zum Einsatz.
Feste IP und DDNS
Zudem benötigt der RasPi für Mistborn eine statische IP-Adresse [4]. Sollen die Dienste nur im LAN bereitstehen, genügt es, dem kleinen Rechner eine private statische Adresse zu geben. Das ist meist leicht über die Konfiguration im Router oder im Betriebssystem zu erledigen. Eine feste öffentliche IP-Adresse erhalten Sie am einfachsten über einen der zahlreichen DDNS-Dienstanbieter. Manche Router, etwa die Fritzbox von AVM, bieten einen solchen Dienst aber in ihrer Software an.
Sie haben die Möglichkeit, Mistborn direkt oder via SSH auf dem RasPi zu installieren. Findet die Installation per SSH statt, erstellt das Setup dabei eine Iptables-Regel, die künftige Verbindungen per SSH von derselben IP-Adresse zulässt, alle anderen externen Verbindungen aber blockiert. Interne Verbindungen über den Wireguard-Tunnel akzeptiert der PC weiterhin.
SSH einschalten
Egal, ob per SSH oder direkt: Von entscheidender Bedeutung ist, dass Sie vorher in Raspbian SSH freischalten, das dort seit einiger Zeit standardmäßig deaktiviert ist. Dazu starten Sie Raspi-config und setzen dort im Menü links oben den Haken für SSH unter Einstellungen | Raspberry Pi Konfiguration | Schnittstellen.
Alle Dienste in Mistborn laufen in Docker-Containern. Damit brauchen Sie sich aber gar nicht zu befassen, denn diese richtet die Software automatisch ein und verwaltet sie. Hier erstellt sie ebenfalls dynamisch nach Bedarf Iptables-Regeln, die externen Datenverkehr über die Container verhindern.
