Frage zu Gateway, DNS, Proxy

GlockMane88

Lt. Commander
Registriert
Aug. 2008
Beiträge
1.222
Hey Leute,

habe gerade auf einem Raspberry Pi einen Squid Proxy installiert, in einer Windows VM habe ich dann das Gateway entfernt und als DNS die Proxy IP eingegeben.

Nun habe ich in der VM Proxifier installiert und den Browser (Edge) per Regel über den Proxy geschickt..

Funktioniert auch soweit, allerdings dachte ich, ich müsste nicht den DNS Server in den Eigenschaften der Netzwerkkarte im Windows einstellen, sondern könnte das dem Proxifier überlassen, der auch eine entsprechende Option hat (Resolve hostnames through proxy). Allerdings funktioniert es dann nicht, ich muss den DNS in den Windows Netzwerkeigenschaften einstellen..

Meine Frage ist nun, erfüllt dieses Setup den Zweck, dass alles Offline ist, außer dem Browser?

Danke euch!
 
Das solltest du eher per Firewall lösen und das außerhalb der VM.

E: Etwas mehr Erklärung, deine Beschreibung hört sich danach an, dass du den Internetzugang der VM absichern willst. Wenn das nicht sicherheitskritisch ist, also primär du nur sicherstellen willst, dass nur der Browser ins Internet geht, dann kannst du das innerhalb der VM machen. Normalerweise wird sowas außerhalb der VM gemacht, dann kann es nämlich niemand innerhalb der VM umbiegen/abschalten usw.
Es ist zugegebenermaßen nicht ganz trivial außerhalb der VM nur den Traffic von Edge zu erlauben.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: GlockMane88, Cai-pirinha und madmax2010
@Tornhoof

Richtig, ich möchte primär sicherstellen, dass nur bestimmte Programm (z.B. der Browser) auf das Internet zugreifen und ich möchte das Ganze innerhalb der VM regeln. Das Gateway darf nur der Admin setzen und das ist nicht gesetzt.

Wo ich nur Bedenken habe ist der DNS Server, den ich ja trotzdem in den Windows Netzwerkeinstellungen setzen muss. Gehe ich richtig in der Annahme, dass dieses Detail die Internetblockade nicht schwächt, da ja der nächste Knotenpunkt (das Gateway) ohnehin nicht definiert ist und somit nichts rausgeht (außer die DNS-Abfrage zum Router)?
 
Du machst hier Fehlannahmen. Ich kenne Proxifier nicht und habe keine Lust mich in Software einzuarbeiten, die ggf. außer Marketing nix anderes macht als vorhandene Systemeinstellungen anzupassen. Daher beziehen sich meine Aussagen auf die normalen OS-Einstellungen.

Wenn du einem Browser oder anderer Software explizit einen Proxy konfigurierst und dort keine Ausnahmen definierst (kein Proxy für folgende Einträge...), dann schickt der Browser direkt alle Anfragen zum Proxy und erst der Proxy-Service guckt im DNS nach.
Solltest du beim Proxy aber nicht eine IP sondern den Hostname des Proxy eingetragen haben, muss natürlich das OS erst einmal nachgucken können wie denn der Proxy zu erreichen ist.
Wenn du also als Proxy die IP nimmst, sollte es auch funktionieren selbst wenn du im OS keinen DNS konfiguriert hast.
Ob jetzt ein Gateway relevant ist oder nicht hängt davon ab, ob der Proxy im gleichen Subnetz steht wie deine VM.
GlockMane88 schrieb:
Läuft denn auf dem Raspi überhaupt ein DNS Resolver? Ansonsten ist die Einstellung irrelevant, sofern der Proxy wie gesagt als IP konfiguriert ist damit Anfragen vom Browser direkt an den Proxy gehen.

GlockMane88 schrieb:
ich möchte primär sicherstellen, dass nur bestimmte Programm (z.B. der Browser) auf das Internet zugreifen und ich möchte das Ganze innerhalb der VM regeln.
Warum dann dieser unnötige Aufwand mit extra Software?
Windows Firewall > Zugelassene Apps.
Alternativ in den erweiterten Einstellungen alles ausgehende blockieren und nur explizit den Edge erlauben.

GlockMane88 schrieb:
Gehe ich richtig in der Annahme, dass dieses Detail die Internetblockade nicht schwächt, da ja der nächste Knotenpunkt (das Gateway) ohnehin nicht definiert ist und somit nichts rausgeht (außer die DNS-Abfrage zum Router)?
Nein. Ein potentieller Angreifer kann über DNS Anfragen Daten heraus tragen. Aus dem Grund erlauben Firmen mit guter IT ihren Geräten auch nur firmen-eigene DNS Resolver zu nutzen und analysieren diesen Traffic auf Anomalien. Das kann z.B. eine sehr große Payload der Pakete sein oder Anfragen zu bekannten C&C Servern von Malware, Ransomware, etc.

Aber warum sollten DNS Abfragen zum Router gehen wenn du als DNS den Raspi eingetragen hast? Oder drückst du dich nur unklar aus und meinst eher den Switch, der im Router-Switch-AP-NAT-Firewall-TK_Anlage-Modem-Kombigerät vorhanden ist?
Kennt ein System kein Gateway bzw. fehlen Routing-Informationen, ist nur noch Kommunikation im eigenen Subnetz möglich.
 
  • Gefällt mir
Reaktionen: Raijin
@snaxilian

Danke für deine ausführliche Antwort, aber kann man mit der Windows eigenen Firewall wirklich zuverlässig das Internet abstellen (vereinfacht gesagt) und nur einzelne Apps als Ausnahme definieren? Zudem möchte ich, dass Windows ebenso nicht heraustelefonieren kann und das lokale Netz sollte aber erreichbar sein..

Zum Thema DNS:

Richtig, der Raspi ist als DNS Server eingetragen, dann kann ich mit dem Browser surfen.. Eigentlich ging es mir bei der Frage darum, ob es ein Programm schaffen könnte "nach hause zu telefonieren", wenn im Windows ein DNS-Server gesetzt (aber kein Gateway), aber ich gehe mal von "nein" aus..

Und zu Proxifier:

Anscheinend ist es mehr als das, aber wie es genau funktioniert, weiß ich leider nicht..
 
Die Windows Firewall ist eine Firewall, Punkt. Wenn man weiß wie eine Firewall konfiguriert wird, kann man einer Anwendung auch zuverlässig die Internetverbindung abdrehen.
 
GlockMane88 schrieb:
ein Programm schaffen könnte "nach hause zu telefonieren", wenn im Windows ein DNS-Server gesetzt (aber kein Gateway), aber ich gehe mal von "nein" aus
Leider lautet die Antwort auf die Frage: ja.

Man kann in der Payload von DNS Anfragen Daten "verstecken", hier wird es halbwegs verständlich für Laien erklärt: https://www.computerwoche.de/a/klei...-wandern-daten-heimlich-ueber-das-dns,3331295
Aber normale Software mit nicht kriminellen Absichten macht dies soweit mir bekannt zum Glück nicht und absolute vollkommene Sicherheit wirst du niemals erlangen. Wenn es also Kriminelle darauf abgesehen haben, von diesem PC Daten zu bekommen, wird man Wege finden.
Für den Standardanwendungsfall wie von dir beschrieben, reichen die von mir oder @Raijin genannten Methoden.
Ob man mit der Win 10 Firewall die komplette Telemetrie von Win10 verhindern kann weiß ich nicht, müsste man testen. Also alles abklemmen, System ins Netzwerk hängen und mit sniffen ob und was noch so kommt.
 
snaxilian schrieb:
Ob man mit der Win 10 Firewall die komplette Telemetrie von Win10 verhindern kann weiß ich nicht
Zumindest in den Anfangszeiten von Windows 10 gab es bei der weltweiten Diskussion um Datenschutz, Opt-in und Opt-out, etc. auch Berichte, dass sich Windows bei diesen Dingen nicht an die eigene Firewall hält und trotzdem Daten sendet. Diese Info kann aber beliebig veraltet sein bzw. etwaige Leaks können natürlich auch einfach nur durch unvollständige Regeln in der Firewall entstehen (zB weil man nicht alle Ports/IPs/Domains von Microsoft erwischt hat).

Letztendlich ist Microsoft aber ein Stück weit wie ein Politiker. Wenn es um die eigenen Belange geht, kann man ihnen nicht vertrauen. Das gilt bei den Diäten und den Transparenzregeln im Bundestag und eben auch bei Microsofts eigener Datensammelei. Wer stimmt schon gegen die eigene Gehaltserhöhung - oder wer blockiert schon die eigene Datenkrake.

Wer den Datenschutz von Windows 10 absolut ganz nach oben hängt, sollte daher eher über eine externe Lösung nachdenken und sich nicht auf Windows-Bordmittel verlassen - meine Meinung.
 
  • Gefällt mir
Reaktionen: snaxilian
Der Vollständigkeit halber sei erwähnt, dass nicht nur MS sich so verhält. Auch Apple hatte zum Jahresanfang geplant, dass man mit der Host-Firewall nicht (mehr) vorhandene Systemdienste einschränken kann, sind aber wohl nach einem medialen Shitstorm zurück gerudert. Naja mal schauen wie lange noch bzw. wann sie es erneut versuchen^^
Man kann die Diskussion auch auf die Spitze treiben denn gefühlt jeder (kommerzielle) Anbieter von Firewalls hatte schon "hart-kodierte vergessene Service-Accounts", Backdoors, etc. also bräuchte man, wenn man es ganz genau nehmen will, zwei Firewalls unterschiedlichster Art oder Anbieter in Reihe aber das ist ein Thema, was im privaten Bereich irrelevant ist.
 
Zurück
Oben