Smartphones befinden sich naturgemäß nicht immer hinter einem Filter wie pi-hole und nicht allen Apps vertraut man uneingeschränkt. Diese Lücke kann NetGuard schließen.
Es gibt verschiedene Möglichkeiten, den Netzwerkverkehr eines Android-Smartphones zu filtern. AFWall+ ist sicherlich eine sehr mächtige Lösung, benötigt aber root-Rechte. Ich roote meine Smartphones aus Sicherheitserwägungen grundsätzlich nicht. Außerdem macht man sich das Leben mit einem gerooteten Smartphone auch nicht unbedingt leichter. Eine weitere Möglichkeit sind Apps, die ein virtuelles lokales VPN betreiben und den Netzwerk verkehr über diesen Umweg filtern. In diese Kategorie fallen Blokada und NetGuard.
Blokada ist, was die Bedienung betrifft, definitiv die einfachere Lösung. Der gesamte Traffic wird durch ein VPN geleitetet, der Anwender wählt aus verschiedenen Blocking-Listen aus und entsprechend dieser Listen filtert Blokada. Vor allem wenn man nicht viel Konfigurationsaufwand betreiben möchte, ist Blokada eine tolle Lösung. NetGuard hat darüber hinaus noch weitergehende Möglichkeiten, da man damit einzelne Apps komplett vom Zugriff auf WLAN und/oder mobile Daten ausschließen kann. Der Preis dafür ist ein ungleich höherer Konfigurationsaufwand und geringere Übersichtlichkeit.
NetGuard installieren
Es gibt NetGuard in verschiedenen Ausführungen:
- Im Play Store gibt es eine funktional abgespeckte Version, die den Google-Richtlinien entspricht. Schließlich möchte der Werbekonzern Google keine Apps zulassen, die potenziell Werbung filtern können.
- Weil Android aber eine offeneres Betriebssystem als z. B. iOS ist, kann man via GitHub auch eine APK herunterladen und manuell installieren.
- Eine weitere Version lässt sich über den F-Droid Store beziehen.
Diese Anleitung basierte auf der F-Droid Variante und sollte auch mit der GitHub-Variante funktionieren. Die Play Store-Ausführung ist ungeeignet, da sie funktional zu beschnitten ist.
Der Entwickler von NetGuard, Marcel Bokhorst, ist auch für die beliebte Mail-App FairEmail verantwortlich. Ähnlich wie bei FairEmail sind einige Pro-Funktionen als „Premium“ markiert und setzen eine Spende voraus. Spendet man mehr als 5€ kann man NetGuard auf allen eigenen Geräten aktivieren. Eine solch schmale Spende sollte selbstverständlich sein, wenn man eine App nutzt!
Die Pro-Funktionen umfassen die Möglichkeit, den Netzwerk-Verkehr zu filtern und das Filter-Protokoll. Für diese Anleitung setze ich die Pro-Funktionen voraus.
Der Spendenprozess ist etwas kompliziert, weil F-Droid kein integriertes Bezahlsystem hat, funktioniert aber zuverlässig. Zur Auswahl stehen aktuell PayPal, Bitcoin oder Monero.
NetGuard einrichten
Nach dem Start muss man erst einmal die Einrichtung der VPN Verbindung zulassen. Diese ist Grundvoraussetzung für den Betrieb der App.
Nach dem Start ist die App dennoch deaktiviert. Der Schieberegler oben Links zeigt den Betriebszustand an. Über die drei Punkte oben rechts erreicht man – wie bei Android üblich – die Menüs.
In den Einstellungen ruft man zuerst die Standard-Einstellungen auf. Hier muss man wählen zwischen einem Backlist- und einem Whitelist-Ansatz. Bei einem Whitelist-Ansatz wählt man WLAN und Mobilfunk blockieren, wodurch alle Apps automatisch keinen Netzzugriff haben und dieser manuell freigeschaltet werden muss.
Man kann dies auch umgekehrt machen und von Haus aus allen Apps Netzzugriff gewähren und nur einzelne Apps blockieren. Das hängt stark von eurem Nutzungsprofil und den genutzten Apps ab. Ich mag dieses „mehr“ an Kontrolle und verfolge einen Whitelist-Ansatz. Den Schalter für „Wenn Bildschirm an“ Regeln anwenden habe ich deaktiviert. Hierdurch kann man Apps bei aktiviertem Screen den Zugriff erlauben und würde dadurch primär unerwünschten Traffic im Hintergrund verhindern.
Anschließend benötigt man eine Blocking-Liste, die sich über den Einstellungspunkt Sicherung laden lässt.
NetGuard nimmt dazu die Liste von Steven Black. Es lassen sich auch andere Listen nutzen, aber da mir die Liste von Steven Black genügt, habe ich das nicht getestet. Soweit ich das sehe, aktualisiert NetGuard die Host-Datei nicht automatisch, man sollte also von Zeit zu Zeit die Option Host-Datei herunterladen anklicken.
Danach ruft man die Erweiterten Optionen auf. Hier kann man entscheiden, ob man die Regeln auch für System-Apps anwenden möchte. Ich nutze ein sehr reduziertes Custom ROM, weshalb ich auf den zusätzlichen Konfigurationsaufwand verzichte. Arbeitet man mit einem Stock ROM, muss man sich ggf. diese Mühe machen. Die Option Datenverkehr filtern ist essenziell, da dadurch erst die Blocking-Liste zum Einsatz kommt. Die Optionen Internetzugriff protokollieren und Bei Internetzugriff benachrichtigen sind für den Anfang bei einem Blacklist-Szenario sehr hilfreich, da dadurch Benachrichtigungen bei einem Internetzugriff erscheinen. Ansonsten würden die Apps einfach stillschweigen blockiert werden. Nach einiger Zeit kann man diese Optionen aber zugunsten des Batterieverbrauchs deaktivieren, da dann jede App konfiguriert sein dürfte.
NetGuard im Betrieb
Hat man alle Einstellungen vorgenommen, schaltet man NetGuard scharf.
Entweder konfiguriert man nun in der App-Liste schon mal prophylaktisch für die Apps die jeweiligen Berechtigungen oder wartet auf die jeweilige Benachrichtigung. Über die drei Menüpunkte kann man im Betrieb das Protokoll aufrufen (muss ggf. erst angeschaltet werden) und damit lässt sich verfolgen, was die Apps so aufrufen. Das Protokoll ist ausführlicher, aber auch unübersichtlicher als bei Blokada.
Seine Stärke spielt NetGuard also weniger als Adblocker aus, sondern mehr im Bereich der Kontrolle. Apps, denen man keinen Zugriff auf das Netz oder z. B. nur im WLAN Zugriff gestatten möchte, lassen sich so effektiv steuern. Für reines Adblocking nutze ich zusätzlich Fennec mit uBlock.
Bewertung
Wenn man ein seriöses Custom ROM nutzt und nur Apps aus F-Droid installiert, braucht weder Blokada, noch NetGuard. Sobald man aber Apps aus dem Play Store (oder eben Aurora) oder Hersteller-Apps via APK installiert, betritt man quasi das Reich des Bösen. Manche Apps haben mehr Tracker als Funktionen integriert und nicht auf alle Apps kann man verzichten. Hier ist dann je nach Bedarf Blokada oder NetGuard erforderlich.
Kann es sein, dass du dich im Verlauf bei Whitelist/Blacklist vertan hast? Du beschreibt am Anfang beide Ansätze und ich vermute du meinst, dass du den Whitelist-Ansatz verfolgt.
Danke, da hast du völlig recht.