Whonix installeren: Virtueel en extra veilig
Whonix is een alternatief besturingssysteem dat vooral bedoeld is voor wie anonimiteit en privacy hoog in het vaandel heeft staan. Whonix gaat in principe van twee virtuele machines uit, een gateway en een werkstation. Zo kun je Whonix installeren.
Eerder keken we al naar een soortgelijk OS, namelijk Tails. Dat mag door de configuratie-opties en extra tools een veiliger omgeving zijn voor bedreigingen van buitenaf, Whonix geeft hoog op over een nog betere beveiliging en is gebaseerd op Kicksecure, een Debian-Linux-distributie, speciaal met het oog op veiligheid. Via www.kwikr.nl/kicks lees je welke veiligheidsfuncties zoal zijn geïmplementeerd.
Om er maar enkele te noemen: gebruik van AppArmor-profielen om systeemtoegang door applicaties te beperken, toepassing van diverse kernel hardening-technieken van het KSPP (Kernel Self Protection Project) en een versleutelde swapfile voor een optimale bescherming van lokale data.
Kenmerken
Whonix werd in 2012 aanvankelijk uitgebracht onder de naam TorBOX, waarbij een virtuele machine als een transparante proxy fungeert die alle internetverkeer via het Tor-netwerk laat lopen.
Wie zich verder wil verdiepen in de veiligheidsfuncties van Whonix, kan de tabellen via www.kwikr.nl/whovs raadplegen. Die komen weliswaar van Whonix zelf – de auteurs zijn niet te beroerd toe te geven dat dit (ongewilde) partijdigheid in de hand kan werken – maar de informatie blijft interessant.
In de rubriek Security worden talloze veiligheidsfuncties op elf vlakken, waaronder Network, Browser Plugin Security, Forensics en Hardening, vergeleken tussen Whonix en onder meer Tails en Tor Browser.
Downloads
Zoals gezegd draait het bij Whonix om twee machines: een gateway en een werkstation. Hoewel je hiervoor twee fysieke machines kunt inzetten, waarbij je de gateway op de ene machine en het werkstation (gevirtualiseerd) op de andere machine installeert, houden wij het in ons scenario bij slechts één fysieke machine, weliswaar met twee VM’s.
Whonix laat zich op verschillende systemen installeren en met enige moeite op een usb-stick, maar een usb-image is vooralsnog niet beschikbaar. De meest gebruikelijke methode is via een hypervisor, en Whonix zelf stelt voor VirtualBox een nagenoeg kant-en-klare ova-applicatie beschikbaar (Open Virtual Appliance). De hypervisor zelf download je gratis. We gaan ervan uit dat je deze reeds hebt geïnstalleerd, op Linux, macOS of Windows.
Wie in de repository van Whonix is geïnteresseerd, kan terecht op https://gitlab.com/whonix. De makkelijkste manier om de VM te downloaden, is via www.kwikr.nl/whovm. Je zult zien dat er twee edities van Whonix beschikbaar zijn: een CLI-variant (command line interface) en een GUI-versie (met een Xfce-desktopomgeving). Het is ook mogelijk een Xfce-werkstation te combineren met een CLI-gateway (zie verderop de paragraaf ‘GUI en CLI’).
Whonix installeren
Om Whonix te installeren, start je VirtualBox op, open je het menu Bestand en kies je Appliance importeren. Verwijs via het mapicoon naar het gedownloade ova-bestand. Bij Instellingen Appliance merk je meteen dat het om twee VM’s gaat. Je kunt hier trouwens bepaalde eigenschappen aanklikken en aanpassen, mocht je dat willen. Bevestig met Importeren en met Akkoord (2x).
Als het goed is, vind je nu twee VM’s in de Virtualbox-beheermodule. Vanuit Instellingen kun je alsnog onderdelen wijzigen. Houd er rekening mee dat sommige opties slechts aan te passen zijn als de VM is uitgeschakeld.
Met een dubbelklik start je alvast de gateway-VM op. Nadat je op Understood (2x) hebt geklikt, vraagt een wizard je hoe je met het Tor-netwerk wilt verbinden. Dat kan ‘automatisch’ via Connect, maar ook via Configure, waar je zelf een Tor-bridge op kunt geven. Na het bootstrappen hoor je dan over een Tor-connectie te beschikken.
Over naar de VM van het werkstation, waar je na je een akkoord de gewenste applicaties kunt opstarten. Open Tor Browser en surf naar https://check.torproject.org om na te gaan of je wel degelijk via Tor surft. Je krijgt hier ook het ip-adres van de Tor-relay te zien.
Instellingen als schermresolutie en toetsenbordindeling kun je eventueel aanpassen via Applications / Settings. Of je gebruikt de console om het een en ander in te stellen. Via www.kwikr.nl/whocli vind je een overzicht van de belangrijkste commando’s.
Netwerk
Je zult merken dat je vanuit de gateway niet zomaar met Tor Browser aan de slag kunt. Het is namelijk de bedoeling dat je dit alleen vanuit het werkstation doet. Daartoe heeft Whonix een intern virtueel netwerk opgezet. Dit merk je wanneer je in VirtualBox de instellingen van de VM van het werkstation opent en Netwerk selecteert. De Netwerkadapter is gekoppeld aan het Intern netwerk met de naam Whonix.
Bij de VM van de gateway zijn twee virtuele netwerkadapters ingeschakeld: de ene is eveneens met dat interne netwerk verbonden, terwijl de andere via NAT is gekoppeld. Deze NAT-modus zorgt ervoor dat de netwerkengine van VirtualBox als een router fungeert die zich tussen elke VM en de hostmachine plaatst. Hierdoor kan de gateway wel het externe netwerk bereiken, maar kan de host de VM niet benaderen, tenzij je poortdoorverwijzingsregels definieert.
Beide VM’s kunnen elkaar onderling evenmin bereiken, maar door deze aan hetzelfde interne netwerk te koppelen, wordt dit toch mogelijk, zodat je vanuit het werkstation het internet op kunt via de gateway, die alle verkeer via het Tor-netwerk verstuurt.
GUI en CLI
Zoals gezegd is het eveneens mogelijk een Xfce-werkstation te koppelen aan een headless gateway. Dat kan bijvoorbeeld als volgt: download het ova-bestand van de CLI-gateway en open dit bestand in de 7-Zip File Manager. Selecteer het bijbehorende vmdk-bestand en sleep het bijvoorbeeld naar je bureaublad.
Ga daarna naar VirtualBox, waar je ervoor zorgt dat beide Whonix-VM’s uitgeschakeld zijn. Creëer een nieuwe VM in VirtualBox, geef hem een geschikte naam (bijvoorbeeld Whonix-Gateway-CLI), stel hem in op Linux, Debian (64-bit) en ken er voldoende geheugen aan toe. Selecteer Gebruik een bestaand virtuele harde schijf bestand, klik op het mapicoon en op Toevoegen en verwijs naar je uitgepakte vmdk-bestand.
Voor je de nieuwe VM opstart, vergelijk je alle instellingen van de reeds geïnstalleerde Xfce-gateway met de CLI-machine en zo nodig pas je deze laatste aan. Zo zal je onder meer een tweede netwerkadapter moeten inschakelen om die aan het Intern Netwerk met de naam Whonix te koppelen.
Bij het opstarten van de CLI-gateway kun je je in eerste instantie aanmelden met de gegevens user en changeme en vervolgens Tor inschakelen. Na de systeemcheck kun je ook je werkstation opstarten.