Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Tails 6.17 en DNS

05-07-2025, 16:05 door Anoniem, 10 reacties
Tails 6.17 is laatst uitgekomen.

Nu merkte ik zonet dat ik geen Tor -connectie meer krijg als ik DNS - verkeer in mijn router heb geblokkeerd.
Bij eerdere versies was dit nooit een probleem.
Blijkbaar werd DNS bij Tor vroeger niet gebruikt.
Maar nu opeens wel?
Is dit dan veiliger en/of anoniemer?
Het lijkt mij van niet.

Iemand hier die er er toevallig wat meer van weet?
Reacties (10)
05-07-2025, 20:42 door Anoniem
https://tails.net/contribute/design/Tor_enforcement/DNS/
06-07-2025, 12:21 door Anoniem
Voor je Tor op kan, moet je eerst de directory met nodes ophalen. En de publieke sleutels van die nodes. Ik kan mij voorstellen dat Tor daarvoor DNS gebruikt.

Als je op Tor zit, dan zouden er geen DNS requests meer van binnen Tor moeten worden gedaan. Dan zou een aanvaller aan de DNS requests kunnen bepalen welke sites je bezoekt.

Met een verouderde lijst van nodes ben je ook niet veilig. Al was het maar omdat je anders bent als andere gebruikers en daardoor opvalt.

Je hebt misschien ook nog stats van de nodes die vertellen welke nodes het snelst zijn of welke het meeste verkeer hebben. Geen idee of dit zo werkt bij Tor.
06-07-2025, 14:44 door Anoniem
Bedankt voor de antwoorden tot dusver.

Mijn reactie: Precies! De DNS poort wordt als zodanig niet door TOR gebruikt !
Juist daarom vind ik het verdacht.

Vanouds is UDP port 53 bedoeld voor DNS requests tot een maximum van 512 bytes.
Ook TCP port 53 is bestemd voor DNS, en is nuttig bij langere requests dan 512 bytes.
Zie https://www.infoblox.com/dns-security-resource-center/dns-security-faq/is-dns-tcp-or-udp-port-53/
Maar in principe gebruikte Tor ze niet.

Om één en ander te verzekeren had ik daarom ooit eens een "bogon" router toegevoegd die requests die bij Tor-verkeer
abnormaal zijn, blokkeert (waaronder dus poort 53). Want je weet maar nooit.
Dit dus als extra verzekering dat DNS niet kan worden gebruikt.
Het werkte naar wens tot en met Tails 6.16, maar opeens niet meer bij Tails 6.17.
Met Tails 6.16 krijg ik namelijk nog keurig een Tor connection, maar helaas in Tails 6.17 niet meer...
Pas als ik de router met de DNS-blokkade (poort 53) verwijder, krijg ik met Tails 6.17 wél weer Tor-connectie.

Dit lijkt aan te geven dat de standaard DNS-poort nu opeens wél wordt gebruikt, nl. bij het maken van een Tor-connectie.
Verwijder ik namelijk mijn standaard toegevoegde "bogon-router", dan krijg ik met Tails 6.17 wél weer connectie met Tor.
Maar het houdt schijnbaar in dat in Tails 6.17 weer gebruik wordt gemaakt van DNS?!... (of in elk geval van deze poort),
terwijl dit in eerdere versies niet zo was. Daarom vind ik het verwarrend en verdacht.

Het lijkt erop te duiden dat in Tails versie 6.17 weer actief van DNS poorten gebruik wordt gemaakt,
bijvoorbeeld omdat Tor nu wél op één of andere manier gebruik maakt van DNS? of vanwege iets anders
waarvoor men deze DNS poorten is gaan gebruiken.

Het zou fijn zijn om er achter te komen waarom men dit heeft gedaan, en of het per ongeluk of echt de bedoeling is
Want zoals al werd aangegeven in https://tails.net/contribute/design/Tor_enforcement/DNS/
zou het eigenlijk niet moeten gebeuren dat DNS wordt gebruikt met Tor.
Tenzij onlangs misschien is besloten om de DNS-poort in Tor voor iets heel anders te gaan gebruiken,
maar zo maakt men er wel een zootje van. Het maakt dingen voor gebruikers onzeker,
en dat lijkt me niet wenselijk behalve als het om één of andere reden beslist noodzakelijk zou zijn,
maar wat is die reden dan?...
07-07-2025, 09:27 door Anoniem
Zelf een DNS Proxy draaien (bijvoorbeeld een PiHole), en op router niveau poort 53 dichtzetten voor alles behalve je PiHole. Dan kijken welke requests er verstuurd worden tijden een Tor sessie; dan weet je precies wat er gebruikt wordt en welke URL's opgevraagd worden.
07-07-2025, 10:39 door Anoniem
Door Anoniem: Bedankt voor de antwoorden tot dusver.

Mijn reactie: Precies! De DNS poort wordt als zodanig niet door TOR gebruikt !

The following is the complete list of the applications allowed to use the clearnet DNS configuration:

* the tor process itself, [...]

* The Unsafe Browser

07-07-2025, 11:20 door Anoniem
Door Anoniem: Zelf een DNS Proxy draaien (bijvoorbeeld een PiHole), en op router niveau poort 53 dichtzetten voor alles behalve je PiHole. Dan kijken welke requests er verstuurd worden tijden een Tor sessie; dan weet je precies wat er gebruikt wordt en welke URL's opgevraagd worden.
Door Anoniem: Zelf een DNS Proxy draaien (bijvoorbeeld een PiHole), en op router niveau poort 53 dichtzetten voor alles behalve je PiHole. Dan kijken welke requests er verstuurd worden tijden een Tor sessie; dan weet je precies wat er gebruikt wordt en welke URL's opgevraagd worden.
Tja... daar moet je dan wel de spullen voor hebben.
Bij Tails kan je volgens mij niets in de software wijzigen, dus heb je een geschikte tweede PC nodig, en liefst zonder de bestaande inhoud van deze tweede PC om zeep te helpen. Dat wordt me wat te lastig... Maar ik zal er over nadenken.

Een andere oplossing om het te onderzoeken zou monitoren met Wireshark kunnen zijn via een mirror poort.
Maar dit geeft hetzelfde probleem. Vroeger wel gedaan met een oude laptop op WinXP, maar hier draaien de meest up-to date wireshark versies niet meer op, en dit is met de huidige encryptie (TLS 1.3) waarschijnlijk wel nodig.
07-07-2025, 12:03 door Anoniem
en dit is met de huidige encryptie (TLS 1.3) waarschijnlijk wel nodig.

TLS is toch poort TCP853, niet UDP53? Dus als er TLS voor DNS gebruikt wordt, zou een blokkade op UDP53 niets uit moeten maken. Geen TLS, dan heb je ook geen slicers nodig in Wireshark, dan is het gewoon plain text.
07-07-2025, 12:27 door Anoniem
Door Anoniem:
Door Anoniem: Bedankt voor de antwoorden tot dusver.

Mijn reactie: Precies! De DNS poort wordt als zodanig niet door TOR gebruikt !

The following is the complete list of the applications allowed to use the clearnet DNS configuration:

* the tor process itself, [...]

* The Unsafe Browser


Bedankt voor het benadrukken.
Ik heb inmiddels een vermoeden wat hier gisteren gaande was.

Alle tor-nodes bleken gisteren omstreeks dat moment bezet, zodat ik automatisch werd doorgesluisd naar bridge mode.
Maar in bridge mode hoort vermoedelijk DNS te werken, en deze was dus geblokkeerd door mijn "bogon" router.
Waarschijnlijk kreeg ik dáárom geen enkele verbinding.

Zojuist heb ik nog eens opgestart met Tails 6.17 en.... nu kreeg ik wél gewoon Tor-connectie! (geen bridge mode)
ongeacht de blokkade van DNS op mijn router.

(ter bevestiging misschien even in de gaten houden of dit inderdaad vaker gebeurt)
07-07-2025, 15:04 door Anoniem
Door Anoniem: Bij Tails kan je volgens mij niets in de software wijzigen,

Installing additional software automatically when starting Tails: be careful about what you install

https://tails.net/doc/persistent_storage/additional_software/index.en.html
Gisteren, 11:23 door Anoniem
Door Anoniem: Tails 6.17 is laatst uitgekomen.

Nu merkte ik zonet dat ik geen Tor -connectie meer krijg als ik DNS - verkeer in mijn router heb geblokkeerd.
Bij eerdere versies was dit nooit een probleem.
Blijkbaar werd DNS bij Tor vroeger niet gebruikt.
Maar nu opeens wel?
Is dit dan veiliger en/of anoniemer?
Het lijkt mij van niet.

Iemand hier die er er toevallig wat meer van weet?

Het belangrijkste is dat de overheid en consorten niet zien wat je doet. Ze zien dat je Tor of Tails gebruikt, so what? Daar hebben ze wat aan... ;-)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.