Microsoft Update skrze proxy a tunel

[Withy14]

Ješté dověetek - pokud ten packet dropne firewall, tak proč by měl dávat o tom vědět příjemci, to jako mu řekne něco ve stylu - hele já ten packet dropnul, protože to mám tak nařízené?, to torchu postrádá logiku. Najděte si na googlu rozdíl mezi drop (zahodí packet a a nedělá nic) a reject (yahodí packet a odešle destination unreachable).  Tohle by mohli zvládat snad i ty nejlevnější krabičky.

[Reklama]

[Pavel 'TIGER' Růžička]

Ufff, tak jsem se dnes konečně dostal k pročtení tohoto vlákna, celkem dlouho jsem se mu vyhýbal, protože jsem tušil, že v tom bude nějaká šílenost. Já jen doplním, že situace může být úplně jiná. Službu nemusel zaříznout BleskMobil, ale Telefonica pro BleskMobil, a pak je po technické stránce situace úplně jiná.

[Tunelář]

Ufff, tak jsem se dnes konečně dostal k pročtení tohoto vlákna, celkem dlouho jsem se mu vyhýbal, protože jsem tušil, že v tom bude nějaká šílenost. :) Já jen doplním, že situace může být úplně jiná. Službu nemusel zaříznout BleskMobil, ale Telefonica pro BleskMobil, a pak je po technické stránce situace úplně jiná.

Ale to já přeci vím, sám na to upozorňuji. Ona má Telefonica problémy i jinde, občas se sní někdo i soudí (vše jen proto že se snaží ušetřit tam kde na to neměla právo). Mne už teď problémy ISP nezajímají, ten problém jsem dávno vyřešil.

Teď se snažím vylepšit svoji znalost Windows a komunikace tohoto OS s domovskými servery. Podobných výpadků bývá více a řešívám je různě. Tunel pro specifické služby Windows jsem musel sestavit prvně. Je celkem zábavné dozvědět se něco o systému který roky používáte, těch drobných nejasností...

Snad jen jak to má telefonica s tím NATem. Klasický NAT to nebude, spíše firewall který některé služby z venku propouští. Třeba teredo client říká že za NATem není. Pokud ale například zkusím spustit TOR-relay, tak je moje IP detekována špatně a test by se provedl oproti IP adrese nějakého rozhraní ISP (adresa je dostupná i z mé strany, nejen zvenku z Internetu). Jak je možné že je moje IP detekována špatně nevím. Příjde mi to jako by požadavek na test neprošel klasickým TOR-tunelem, ale standardní cestou. Nikoho mezi sebou a prvním uzlem sítě TOR jsem ale nenašel. Zda se dostanu na své porty 80/443 z venku jsem zatím (v poslední době) nezkoušel.

[Pavel 'TIGER' Růžička]

Nikoho mezi sebou a prvním uzlem sítě TOR jsem ale nenašel. Zda se dostanu na své porty 80/443 z venku jsem zatím (v poslední době) nezkoušel.

A jak jste to skenoval mezi sebou a prvním uzlem TORu? Některé prvky mohou být skryté a jen "přihlížet", pak přihlížecí výsledky pošlou jinou cestou a tam se upraví.

[Tunelář]

Synchronizace času, komunikace s časovými servery.

- Je používán protokol TCP, nebo UDP. Jde o typ připojení "time" (obdoba http, https, socks, ftp).

- U WinHTTP Proxy můžete ručně nastavit server (např.: netsh winhttp set proxy "localhost:??" bypass-list="<local>", nebo definovat co s jednotlivými typy připojení (např.: netsh winhttp set proxy proxy-server="http=localhost:??;https=localhost:??;ftp=localhost:??;socks=localhost:??;time=localhost:??" bypass-list="<local>". Také můžete importovat nastavení z IE, zde není pro typ "time" kolonka.

- Zdá se, že WinHTTP Proxy je schopno zpracovat typ připojení "time", ale můj HTTP/HTTPS proxy server pro TOR ani samotný TOR (tedy skrze "socks") nejsou zřejmě schopni s tímto typem připojení pracovat.

- Je tedy zbytečné dávat časové servery do vyjímek pro úplnou proxy (tedy ne pouhou HTTP proxy).
- Pokud se komunikace s časovými servery nedaří, je naopak potřeba zkontrolovat nastavení firewallu a případně přidat povolující odchozí pravidla pro službu "Systémový čas" (u 32-bit Windows: W32Time) pro protokoly TCP a UDP.
- Pokud řešíte naprostou anonymitu, zakažte automatickou synchronizaci času, nebo zkontrolujte kdy k ní má dojít.

[Reklama]

[Tunelář]

Možná se někdo rozhodnote vypnout automatické aktualizace, nebo automatické zjišťování aktualizací (ať již s automatickým stahovováním, nebo bez něj). Potom vás možná začne otravovat Centrum zabezpečení. Nevím jistě jak mají jaké verze Windows ošetřeno vypínání kterých varování... V každém případě, řešením je změna hodnoty klíče registru

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AutoUpdateDisableNotify"=dword:00000001

Aby se změna projevila ihned, spusťte Centrum zabezpečení, stačí jako obyčejný uživatel, a změňte způsob upozornění na jakoukoli hodnotu.

[Withy14]

To Tunelář: Připravuj video s nastavením a konfigurací WSUS, snad ti to trochu přiblíží jak fungují updaty na Windows, uvídm zda to bude koukatelné), pak ho uploadnu nejspíše na youtube. Jinak obecně to bude takový malý úvod i do Windows domény (do týdne by mělo být hotové).

[Tunelář]

Pokud to někoho zajímá, tak Windows Update už zase funguje. Nevím jak dlouho, ale poslední dva dny to funguje.

Pro změnu jsem několik posledních dní zaznamenával snahu blokovat vícenásobné připojení ke stejnému serveru (šlo o šifrovaná připojení na první TOR uzel), ale zdá se že i to se pozvolna uklidnilo. Což je dobře, protože pro mne je odezva neúnosná a ISP taky musí pěkně zahlcovat když vznikají desítky-stovky nových připojení každou minutu jen proto, že někdo rozbíjí/zahazuje navazovaná spojení.

P.S.
Jestli někdy Withy to video, nebo poznámky dotvoříš tak sem nezapomeň dát ten odkaz. Díky. Ale nespěchej, radši si užij babí léto a podzim - já tohle roční období miluji.

[Tunelář]

V minulosti jsem nadával na svoji neschopnost pochopit správnou funkčnost a zmiňoval jsem časovou prodlevu při změně pravidel pro WinHTTP Proxy...

Teď se pokusím objasnit jinou část problému, další kamínek do mozaiky. Zatím stále (možná ještě více) platí, že Microsoft patří umlátit maličkým kladívečkem - aby to trvalo dlouho a hodně to bolelo.

***
Velmi snadno se dá u různých systémů Windows dosáhnout drobnou změnou nastavení naprosto odlišného chování. V některýh případech (zatím to nejsem schopen písemně rozebrat) platí, že určité části/komponenty Windows se řídí nastavením proxy serveru pro IE. Toto nastavení, samo o sobě, má zřejmě také několik naprosto nepochopitelných omezení. Tady jsou některá z nich:

- do výjimek nelze zadat jen "hlavní" doménu a spoléhat že se to vztahuje i na subdomény
- pokud použijete pro subdomény předpis hvězdička - tečka - "hlavní" doména, tak se zase nevztahuje na "hlavní" domény
- hvězdičkovou konvenci lze pravděpodobně použít jen v první úrovni (u "první" subdomény), složitější řetězce s vícero "tečkami" se chovají špatně popsatelně

Příklad:
Zakažte firewallem odchozí komunikaci pro IE. Nastavte IE proxy skrze TOR tunel, povolte firewallu propouštět komunikaci TOR tunelem a spusťte TOR. Nastavte IE tak aby k internetovým adresám automaticky nepřidával subdoménu WWW ani žádnou jinou. Zakažte vyhledávání z adresního řádku.

Do výjimek proxy serveru zadejte "seznam.cz" (poznámka: Seznam provádí automatický redirect na adresu www.seznam.cz).
Zadáte-li do adresního řádku "seznam.cz" tak, protože firewall nedovolí IE komunikovat, komunikace se serverem bude neúspěšná a vše skončí chybou. V případě, že jste vyhledávání z adresního řádku nezakázali, tak se vyhledávač (skrze TOR tunel, protože jeho adesa není ve výjimkách) pokusil najít heslo "seznam.cz".
Zadáte-li do adresního řádku "www.seznam.cz" tak IE skrze TOR tunel načte web na této adrese.

Nyní do výjimek proxy serveru zadejte "*.seznam.cz".
Zadáte-li do adresního řádku "seznam.cz" tak IE skrze TOR tunel bude kontaktovat server "seznam.cz", a ten ho přesměruje na svoji subdoménu "www.seznam.cz", ale toto spojení (již neuskutečněné skrze TOR tunel, kvůli výjimce) bude blokováno firewallem.
V případě zadání adresy ""www.seznam.cz" web načtený skrze TOR.

P.S.
No nebylo by hezké kdyby se nastavení proxy serveru IE, týkalo opravdu jen IE a ještě byla konvence v definování výjimek nějak rozumově uchopitelná a hlavně funkční (odpovídala skutečným potřebám uživatelů)? S tímto problémem souvisí i dříve zmíněná vlastnost, že pokud je komunikace IE firewallem povolena probíhá někdy jinak. Vůbec si ale nedovoluji hlubší výzkum tímto směrem.

[Tunelář]

Jde sice o Windows 8 a IE11, ale je tu zmíněna spousta zajímavých věcí i narážek na to jak to ve Windows vlastně fungovalo a funguje nově. Skoro jako by autor četl mé nářky a reagoval.

http://blogs.msdn.com/b/ieinternals/archive/2013/10/11/web-proxy-configuration-and-ie11-changes.aspx