Wanzenbefall

Hie und da kommt es vor, dass man erst Konsequenzen zieht, wenn man das Grauen schwarz auf weiss vor Augen hat. Und auch wenn man es immer schon geahnt hat, erst die nackten Zahlen bewegen zum Umdenken.

Lange habe ich ein Projekt vor mir hergeschoben. Ich wollte endlich mal aufräumen. Aufräumen im heimischen Netzwerk. 40 Devices mit Internetzugang tummeln sich bei mir im (W)LAN.

Da habe ich nun konsequent mal für Ordnung gesorgt:

a) nach Kategorien (Client, Server, IoT) unterteilt und Adressräume vorgesehen – fixe IP Adressen
b) Mac Adressen Whitelisten (alles andere wird aus dem Wlan ausgeschlossen)
c) Gäste WLAN

Soweit so gut. Der ganze Akt hat mich knapp 2 Abende beschäftigt. Da ich bei mir im LAN pi.hole

Das System mit der Pi-hole-Software wird als DNS-Server in ein bestehendes, zumeist kleineres, privates Rechnernetz eingebunden. Es übernimmt damit die Aufgabe, Domainanfragen der verbundenen Clients aufzulösen und in IP-Adressen umzuwandeln. Auf der Basis von Ausschlusslisten von bekannten Werbe- oder Trackingdomains und benutzerdefinierten Ausschlusslisten werden Anfragen entweder an konfigurierbare andere DNS-Server weitergeleitet oder, falls eine angefragte Domain in einer Ausschlussliste existieren sollte, eine technisch unbrauchbare IP-Adresse an den Client ausgeliefert (sog. DNS sinkhole).

laufen habe, habe ich mir zudem auch gedacht, jetzt wo alle Clients schön ihre fixen IP Adressen haben, kann ich das Log aus Pi.Hole zurücksetzen und anschließend beobachten welche Geräte besonders viel quatschen – das heißt: welche Geräte viel nach außen kommunizieren.

Bei einem Macbook, Tablet oder Phone ist das Ganze mehr oder weniger schlüssig. Man tut, man macht, man surft. Da schlagen viele viele Aufrufe zu vielen vielen Servern auf – na klar: Ruft man orf.at auf ruft man auch den Server dazu auf, klickt man auf einen Artikel, dann erfolgt ein weiterer Serveraufruf von orf.at und vielleicht auch hin zu den Werbeservern, die Werbebanner ausliefern (dagegen hilft übrigens oben genanntes Pi.hole).

Kurzrum, viele Anfragen die durch Pi.Hole gehen sind legitim. Das Tablet, dass ein Update lädt, die smarte Steckdose die einen Zeitserver aufruft um die Zeit zu synchronisieren.

Tada

Überraschend, oder auch nicht, war allerdings das Ergebnis zu den FireTV Geräten und dem Echo Dot von Amazon. Diese drei Devices haben über 80% der Anfragen ans Internet ausgemacht. In einem Beobachtungszeitraum von knapp 12 Stunden gingen zwischen 3000 und knapp unter 5000 Anfragen zu amazon Servern oder Servern von „Partnern“ raus.

Den Inhalt dieser Aufrufe an die Server kann ich nicht lesen, das wäre mir jetzt auch zu aufwändig, allerdings die Tatsache, dass so extrem viele Aufrufe abgesetzt werden lässt die Alarmglocken läuten.

Im Vergleich dazu, das Apple TV mit nicht ganz 100 Aufrufen.

Beobachtbare Spitzen (geblockte Requests) ca alle 6 Stunden.

Interessant dabei, das einzige Gerät in oben genannter Liste, das tatsächlich auch aktiv genutzt wurde, war das Apple TV.

FireTV und Echo Dot waren bei mir im Home Office nicht in Benutzung. Das zweite FireTV ohnehin nicht, das hängt an einem alten TV bei unseren Fitnessgeräten und war in diesen Stunden ebnenso nicht in Verwendung.

Lessons learned

Also zusammengefasst lässt sich sagen, die amazon FireTV und Echo Dot Devices sind in einer Tour beim kommunizieren mit ihren Servern. Und das auch wenn diese Geräte schlichtweg nicht genutzt werden. Also auch im angedachten Standby Zustand sind diese aktiv und machen eine Großteil des Netzwerkverkehrs aus, quasi ein ständiges lautes Hintergrundrauschen.

Den Echo Dot habe ich nachdem ich das gesehen habe, zurückgesetzt und vom Netz genommen. Der ist mittlerweile verkauft. Das FireTV im Büro wird alsbald durch ein Apple TV ersetzt und der verbliebene FireTV Stick bekommt nur noch bei tatsächlichem Bedarf Strom.

Finger weg von diesen Wanzen!