Whonix: Ubuntu-VM zum anonymen Surfen einrichten

Whonix ist ein Betriebssystem mit dem Ziel, die Privatsphäre und Anonymität des Benutzers zu wahren. Hierfür leitet Whonix den kompletten Internetverkehr durch das Tor-Netzwerk. Aus Sicherheitsgründen, um z.B. IP- und DNS-Leaks zu verhindern, setzt sich Whonix aus zwei VMs (Workstation & Gateway) zusammen. Das Gateway stellt dabei die Verbindung zum Tor-Netzwerk her und stellt sicher, dass sämtlicher Netzwerkverkehr darüber geroutet wird. Die Workstation ist für die eigentliche Nutzung, z.B. zum Surfen im Internet, gedacht. Die einzige Verbindung der Workstation zur Außenwelt ist über das Gateway. Die einzelnen Applikationen (Webbrowser, E-Mail-Client, Messenger etc.) in der Workstation müssen also nicht einzeln konfiguriert werden, sondern alle Anfragen laufen über das Gateway und werden somit durch das Tor-Netzwerk geleitet.

Als Workstation kommt im Allgemeinen die von Whonix empfohlene Whonix-Workstation zum Einsatz. Man kann aber auch andere Betriebssysteme als Workstation verwenden. In diesem Beitrag zeige ich euch, wie ihr eine Ubuntu-VM und die Whonix-Gateway-VM unter QEMU/ KVM einrichtet.

Folgende Software wurde verwendet:
  • Ubuntu v20.04 LTS
  • Whonix v15.0.1.7.2
  • QEMU/KVM (qemu-kvm) v4.2.1
  • Virtual Machine Manager (virt-manager) v2.2.1

Whonix-Gateway einrichten

Im ersten Schritt muss Whonix heruntergeladen, die Whonix-Gateway-VM importiert und eingerichtet werden.

Whonix für QEMU/KVM herunterladen

Die aktuelle Version von Whonix für QEMU/KVM findet ihr auf der Whonix-Website. Ladet diese herunter und verifiziert zur Sicherheit die heruntergeladene Datei (siehe verlinkte Whonix-Website als auch Software-Signaturen verifizieren).

Whonix-Gateway-VM importieren

Als erstes muss die heruntergeladene Datei entpackt werden:

tar -xvf Whonix-XFCE-15.0.1.7.2.libvirt.xz
Terminal / Konsole

Innerhalb der entpackten Dateien findet ihr die folgenden zwei XML-Dateien:

  • Whonix_external_network-15.0.1.7.2.xml
  • Whonix_internal_network-15.0.1.7.2.xml

Diese Dateien enthalten die Konfiguration für die benötigten virtuellen QEMU/KVM-Netzwerkinterfaces. Bei Bedarf könnt ihr diese noch anpassen und z.B. die Namen abändern. Außerdem solltet ihr sicherstellen, dass bei euch nicht bereits Netzwerkinterfaces mit den hinterlegten Namen (virbr<Zahl>) existieren.

Zum Importieren der beiden neuen virtuellen Netzwerkinterfaces dienen folgende Befehle:

virsh -c qemu:///system net-define Whonix_external*.xml
virsh -c qemu:///system net-define Whonix_internal*.xml
Terminal / Konsole

Im Virtual Machine Manager solltet ihr unter dem Menüpunkt Bearbeiten - Verbindungsdetails die importierten Netzwerkinterfaces aufgelistet bekommen:

Virtual Machine Manager: Whonix-Netzwerkinterfaces importieren

Weiter geht es mit dem Import der eigentlichen Gateway-VM. Dazu verschiebt die Datei Whonix-Gateway-XFCE-15.0.1.7.2.qcow2 in euer VM-Verzeichnis. Standardmäßig wird davon ausgegangen, dass sich die VM-Dateien in /var/lib/libvirt/images/ befinden. Bei mir liegen diese abweichend unter ~/VMs/:

mv Whonix-Gateway-XFCE-15.0.1.7.2.qcow2 ~/VMs/
Terminal / Konsole

Falls bei euch das Verzeichnis auch vom Standardverzeichnis abweicht, muss nun noch die Konfigurationsdatei vor dem eigentlichen Import Whonix-Gateway-XFCE-15.0.1.7.2.xml angepasst werden:

[...]
<driver name='qemu' type='qcow2'/>
<source file='/home/sl/VMs/Whonix-Gateway-XFCE-15.0.1.7.2.qcow2'/>
[...]
Datei: Whonix-Gateway-XFCE-15.0.1.7.2.xml - VM-Pfad anpassen
Hinweis

Solltet ihr später beim Starten der Gateway-VM ein Fehler bzgl. blkiotune erhalten, müsst ihr die entsprechende Einstellung bzw. das XML-Element vor dem Import aus der Konfigurationsdatei entfernen.

Um nun die Gateway-VM zu importieren, wird folgender Befehl ausgeführt:

virsh -c qemu:///system define Whonix-Gateway*.xml
Terminal / Konsole

Anschließend sollte die Gateway-VM im Virtual Machine Manager vorhanden sein:

Virtual Machine Manager: VM-Übersicht - Whonix-Gateway-VM

Whonix-Gateway-VM starten und einrichten

Startet nun die Gateway-VM. Beim ersten Start leitet euch ein Einrichtungsassistent durch die initiale Tor-Einrichtung. Aus Sicherheitsgründen solltet ihr zudem das System per apt aktualisieren und bestenfalls auch die Zugangsdaten des Standardbenutzers anpassen.

Um zu überprüfen, ob alles korrekt eingerichtet ist, kann folgende Befehl genutzt werden:

whonixcheck
[INFO] [systemcheck] Connected to Tor.
[INFO] [systemcheck] Whonix is produced independently of, with no guarantee from, The Tor Project. Whonix is a research project. https://www.whonix.org
[INFO] [systemcheck] Whonix APT Repository: Enabled.
When the Whonix team releases BUSTER updates,
they will be AUTOMATICALLY installed (when you run apt-get dist-upgrade)
along with updated packages from the Debian team. Please
read https://www.whonix.org/wiki/Trust to understand the risk.
If you want to change this, use:
    sudo whonix_repository
[INFO] [systemcheck] Debian Package Update Check: Checking for software updates via apt-get... ( Documentation: https://www.whonix.org/wiki/Update )
[WARNING] [systemcheck] Debian Package Update Check Result: apt-get reports that packages can be updated.
Please update Whonix-Gateway and Whonix-Workstation:
(Open a terminal, Start Menu -> System -> Terminal.)
upgrade-nonroot
[INFO] [systemcheck] Please donate!
   See: https://www.whonix.org/wiki/Donate
Terminal / Konsole

Hier werdet ihr auch noch einmal darauf hingewiesen, falls euer System nicht aktuell ist und es Aktualiserungen gibt.

Ubuntu-VM einrichten

Öffnet über den Virtual Machine Manager die Einstellungen eurer Ubuntu-VM. Entfernt alle vorhandenden Netzwerkgeräte. Anschließend fügt ein neues Netzwerkgerät mit der Netzwerkquelle "Whonix-Internal" hinzu:

Virtual Machine Manager: Ubuntu-VM - Gateway-Netwerk konfigurieren

Startet jetzt eure Ubuntu-VM. Da die Gateway-VM ohne DHCP-Service läuft, müssen wir noch eine statische IP für die Ubuntu-VM einrichten. Das könnt ihr bspw. über das GUI des Netzwerk-Managers machen.

Das Gateway ist über die IP 10.152.152.10/18 zu erreichen. Als IP für eure VM könntet ihr z.B. 10.152.152.11/18 konfigurieren:

Ubuntu-VM: mit NetworkManager statische IP vergeben

Ihr solltet nun mit dem Gateway-Netzwerk verbunden sein. Zum Testen, ob alles funktoniert, öffnet einen Webbrowser und ruft https://check.torproject.org:

Tor-Webseite zum Überprüfen, ob Tor-Verbindung hergestellt
Hinweis Anonymität & Tor-Netzwerk

Wenn ihr das Tor-Netzwerk verwenden wollt, um z.B. anonym zu surfen, dann solltet ihr einige Punkte berücksichtigen bzw. beachten:
Whonix-Doku: Tips on Remaining Anonymous

Fazit

Whonix bzw. das Whonix-Gateway kann bei Bedarf auch leicht mit anderen Betriebsystemen, wie z.B. Ubuntu, verwendet werden. Im Gegensatz zum Tor-Browser oder Tails bietet es aufgrund der Umsetzung basierend auf zwei isolierten VMs einen erweiterten Schutz z.B. vor DNS- oder IP-Leaks.

Feedback

Für Feedback zum Beitrag, seien es Fragen, Korrigierungen und/oder Anregungen, könnt ihr mir gerne eine Nachricht per E-Mail oder Mastodon schreiben (siehe Kontakt).