Één applicatie door een andere netwerkverbinding leiden

donderdag 30 september 2021 11:54

Acties:

0 Henk 'm!

Ja, en kaal

Topicstarter

Mijn vraag
Ik wil graag één enkele applicatie via Wi-Fi leiden, terwijl al het overige verkeer door de bedrade verbinding gaat. Waarom is niet super belangrijkrijk, het is toch een interessante uitdaging?

In de praktijk wil ik dit gebruiken in bijv een hotel - de ene applicatie kan gebruikmaken van de snelheid van een bedrade verbinding waarbij privacy minder een issue is, en de ander van de extra privacy die Wi-Fi biedt waarbij snelheid minder belangrijk is.

Relevante software en hardware die ik gebruik
Het gaat om Windows 10, en een laptop met gewoon ingebouwde ehternet en Wi-Fi. Ik weet vrij zeker dat die beide tegelijk aan kunnen, hoewel ik dat nog niet 100% heb kunnen verifiëren. Ik verwacht niet dat de exacte hardware hier relevant is.

Wat ik al gevonden of geprobeerd heb
Enige dat ik tot zover heb kunnen vinden, is allerlei ingewikkelde firewall rules, die het verkeer kunnen splitsen zoals ik wil, maar dan obv target IP-adressen, ipv op applicatienaam/-executable. Filteren op IP-adressen of poorten gaat niet, omdat beide scenario's danwel via ethernet, danwel via wifi, het hele internet moeten kunnen bereiken.

日本！🎌

donderdag 30 september 2021 11:58

Acties:

0 Henk 'm!

corporalnl

Denk dat je eerst duidelijk moet schetsen wat je exact wil doen?

Want als je via LAN in een hotel kamer verbind en via hotel wifi verbind zit je in 1 zelfde netwerk.

vrijdag 1 oktober 2021 04:09

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

_Thanatos_ schreef op donderdag 30 september 2021 @ 11:54:
Mijn vraag
Ik wil graag één enkele applicatie via Wi-Fi leiden, terwijl al het overige verkeer door de bedrade verbinding gaat...

Of dat kan, zal van de specifieke applicaties afhangen. Een service process heeft in de meeste gevallen wel configuratie opties waarin je een "binding" kunt opgeven: luister alleen op dit ip-adres. Voorgrond applikaties hebben dit soort opties meestal niet, alhoewel er uitzonderingen zijn.

Voor zo'n voorgrond applikatie zou je dan kunnen gaan knoeien met firewall rules. Maar basically ben je dan voortdurend bezig connectie pogingen te blokkeren. Applikatie doet connectie poging via WiFi, kut, mag niet. Nou dan maar via bedraad. Maar dan ben je al wel 100 tot 200 ms verder en dat soort vertragingen wil je niet regelmatig zien terugkeren in je verbinding.

Denk dat als de privacy van de bedrade verbinding een issue is, dat je beter naar ip-sec, ssh of desnoods vpn kunt gaan kijken

QnJhaGlld2FoaWV3YQ==

vrijdag 1 oktober 2021 06:50

Acties:

0 Henk 'm!

jadjong

Als je in de applicatie geen fixed netwerk adapter kan instellen blijf je toch hangen bij firewall regels die er voor zorgen dat app X alleen via de ene adapter naar buiten mag praten.

vrijdag 1 oktober 2021 07:17

Acties:

0 Henk 'm!

bregweb

Welke extra privacy biedt Wi-Fi? Waarom wil je die privacy?

Hattrick: Thorgal Eagles

vrijdag 1 oktober 2021 07:32

Acties:

0 Henk 'm!

dylan111111

Kan je in de applicatie zelf niet een netwerk adapter selecteren of forceren, wellicht in een config file?

vrijdag 1 oktober 2021 07:43

Acties:

0 Henk 'm!

thunder7

houten vaas/schaal nodig?

Ik denk dat je dan die applicatie moet virtualiseren.

Stel dat je het in die applicatie voor elkaar krijgt, dan nog zal hij systemcalls aan windows naar buiten sturen, waarbij Windows niet weet dat voor die applicatie DNS-calls cva een andere route moeten, om maar eens wat te noemen.

Maar als je de hele applicatie in VirtualBox of VMWare o.i.d. schuift, dan wordt het wel mogelijk.

hout-nerd - www.hetmooistehout.nl of www.houtenschalen.nl

vrijdag 1 oktober 2021 07:50

Acties:

0 Henk 'm!

Yucon

*broem*

bregweb schreef op vrijdag 1 oktober 2021 @ 07:17:
Welke extra privacy biedt Wi-Fi? Waarom wil je die privacy?

Die wifi kan een eigen hotspot zijn.

vrijdag 1 oktober 2021 07:58

Acties:

+4 Henk 'm!

barry457

Als die applicatie via wifi naar een bepaald ip adres moet, zou je de route kunnen aanpassen naar het ipadres van je wifi adapter.
Bijvoorbeeld:

IP adres laptop: 192.168.2.2
IP wifi laptop: 192.168.2.20
Applicatie IP: extern IP
Command: route add "extern IP" mask 255.255.255.0 192.168.2.20

Hierdoor zorg je dat al het verkeer naar het ip adres van de applicatie via je wifi adapter gaat.
Voor een test zou je dit elke keer zelf kunnen instellen. Voor gebruikers zou je dit moeten scripten.

vrijdag 1 oktober 2021 13:30

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

bregweb schreef op vrijdag 1 oktober 2021 @ 07:17:
Welke extra privacy biedt Wi-Fi? Waarom wil je die privacy?

Het lijkt er op dat @_Thanatos_ doelt op het feit dat wifi verbindingen automatisch encrypted zijn, terwijl verbindingen over bedraad dat niet zijn.

Maar er zijn natuurlijk vele mogelijkheden om ook over bedrade verbindingen encryptie af te dwingen

QnJhaGlld2FoaWV3YQ==

vrijdag 1 oktober 2021 13:33

Acties:

0 Henk 'm!

_Thanatos_

Ja, en kaal

Topicstarter

jadjong schreef op vrijdag 1 oktober 2021 @ 06:50:
Als je in de applicatie geen fixed netwerk adapter kan instellen blijf je toch hangen bij firewall regels die er voor zorgen dat app X alleen via de ene adapter naar buiten mag praten.

Dat dacht ik ook ja. Maar hoe dan?

bregweb schreef op vrijdag 1 oktober 2021 @ 07:17:
Welke extra privacy biedt Wi-Fi? Waarom wil je die privacy?

De beheerder van het netwerk kan niet (exact) weten welke client zich waar fysiek bevindt. Dat kan bij bedraad wel. Bovendien is het verkeer op een draadloos netwerk encrypted, terwijl op een LAN is alles clear, zodat het poepsimpel is om dataverkeer te capturen (en zelfs met alles HTTPS kan de metadata eromheen nog gecaptured worden)

Yucon schreef op vrijdag 1 oktober 2021 @ 07:50:
[...]

Die wifi kan een eigen hotspot zijn.

Of dat ja

barry457 schreef op vrijdag 1 oktober 2021 @ 07:58:
Als die applicatie via wifi naar een bepaald ip adres moet, zou je de route kunnen aanpassen naar het ipadres van je wifi adapter.

Ja dat is dus precies wat ik niet wil. Die applicatie moet bij het hele internet kunnen. Had ik volgens mij ook aangegeven in de TS.

thunder7 schreef op vrijdag 1 oktober 2021 @ 07:43:
Ik denk dat je dan die applicatie moet virtualiseren.

Daar zat ik ook aan te denken ja. Met een VM kun je inderdaad bijv bridgen naar een specieke netwerkadapter, of zelfs een VLAN opbouwen

Maar ik hoopte stiekem op een iets minder zware oplossing.

日本！🎌

vrijdag 1 oktober 2021 13:39

Acties:

+1 Henk 'm!

RGAT

_Thanatos_ schreef op vrijdag 1 oktober 2021 @ 13:33:
[...]

Dat dacht ik ook ja. Maar hoe dan?

[...]

De beheerder van het netwerk kan niet (exact) weten welke client zich waar fysiek bevindt. Dat kan bij bedraad wel. Bovendien is het verkeer op een draadloos netwerk encrypted, terwijl op een LAN is alles clear, zodat het poepsimpel is om dataverkeer te capturen (en zelfs met alles HTTPS kan de metadata eromheen nog gecaptured worden)

[...]

Of dat ja

[...]

Ja dat is dus precies wat ik niet wil. Die applicatie moet bij het hele internet kunnen. Had ik volgens mij ook aangegeven in de TS.

[...]

Daar zat ik ook aan te denken ja. Met een VM kun je inderdaad bijv bridgen naar een specieke netwerkadapter, of zelfs een VLAN opbouwen Maar ik hoopte stiekem op een iets minder zware oplossing.

En waar dacht je dat dat wifi netwerk op aangesloten zit? Datzelfde bedrade netwerk waar die beheerder alsnog even makkelijk (makkelijker zelfs) verkeer kan monitoren. Ook kan met Wifi juist je locatie beter bepaald worden. Ik kan een 20 meter lange kabel gebruiken maar met een semi-pro wifi netwerk kan je beheerder gewoon zien waar je (ongeveer) zit. Met AeroHive konden we tot ~1-1,5 meter precies zien waar de clients zaten.

Maar zonder wat informatie kunnen we hier niet echt iets mee, welke applicatie gaat het over, wat is de daadwerkelijke vraag en wat zijn de details zoals welke applicatie, netwerk etc?

Fixing things to the breaking point...

vrijdag 1 oktober 2021 13:54

Acties:

0 Henk 'm!

Sitelabs

_Thanatos_ schreef op vrijdag 1 oktober 2021 @ 13:33:

[...]

Daar zat ik ook aan te denken ja. Met een VM kun je inderdaad bijv bridgen naar een specieke netwerkadapter, of zelfs een VLAN opbouwen Maar ik hoopte stiekem op een iets minder zware oplossing.

En een docker container ipv een VM.

If you want to be more restrictive and only allow container services to be contacted through a specific external interface on the host machine, you have two choices. When you invoke docker run you can use either -p IP:host_port:container_port or -p IP::port to specify the external interface for one particular binding. Or if you always want Docker port forwards to bind to one specific IP address, you can edit your system-wide Docker server settings and add the option --ip=IP_ADDRESS. Remember to restart your Docker server after editing this setting.

https://docs.docker.com/c...ers/container-networking/

vrijdag 1 oktober 2021 14:07

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

RGAT schreef op vrijdag 1 oktober 2021 @ 13:39:
[...]

En waar dacht je dat dat wifi netwerk op aangesloten zit? Datzelfde bedrade netwerk waar die beheerder alsnog even makkelijk (makkelijker zelfs) verkeer kan monitoren. Ook kan met Wifi juist je locatie beter bepaald worden. Ik kan een 20 meter lange kabel gebruiken maar met een semi-pro wifi netwerk kan je beheerder gewoon zien waar je (ongeveer) zit. Met AeroHive konden we tot ~1-1,5 meter precies zien waar de clients zaten.

Maar zonder wat informatie kunnen we hier niet echt iets mee, welke applicatie gaat het over, wat is de daadwerkelijke vraag en wat zijn de details zoals welke applicatie, netwerk etc?

Het hele privacy gebeuren is hier niet aan de orde als ik de TS goed begrijp. Er moet 1 applicatie over 1 andere verbinding. En met die informatie zijn er dus best wel wat oplossingen voor te vinden zoals hierboven al naar voren komt.

"We don't make mistakes; we just have happy accidents" - Bob Ross

vrijdag 1 oktober 2021 14:15

Acties:

+1 Henk 'm!

FiXeR.nl

_Thanatos_ schreef op vrijdag 1 oktober 2021 @ 13:33:

De beheerder van het netwerk kan niet (exact) weten welke client zich waar fysiek bevindt. Dat kan bij bedraad wel. Bovendien is het verkeer op een draadloos netwerk encrypted, terwijl op een LAN is alles clear, zodat het poepsimpel is om dataverkeer te capturen (en zelfs met alles HTTPS kan de metadata eromheen nog gecaptured worden)

Dat is niet helemaal waar, via Hotspots kun je best eenvoudig via triangulatie een WLAN device lokaliseren. Zie bijvoorbeeld https://www.arubanetworks.com/products/location-services/.

Overigens is alles via WLAN geëncrypt tot de Accesspoint en is daarna hetzelfde als bedraad. Dus daar zit geen voordeel in als er iemand aan het meeluisteren is op de kabel.

vrijdag 1 oktober 2021 14:24

Acties:

0 Henk 'm!

Coach4All

I'm a Coach 4 All

Om het duidelijk(er) te krijgen...
Wil je (TS) bijvoorbeeld:

Surfen met Chrome via je WiFi
Al het andere netwerkverkeer via de bedrade verbinding.

Dan is de enige oplossing die ik kan bedenken om lokaal een proxy service te draaien en daar alleen in chrome naar te verwijzen.

--- Systeembeheerdersdag --- Voedselintolerantie ---

vrijdag 1 oktober 2021 16:52

Acties:

+1 Henk 'm!

Yucon

*broem*

Nu weet ik niet hoe bekend je met de materie bent, en je mogelijk als oplossing voor je probleem al in het begin een foute denkrichting ingeslagen bent. Ben je je ervan bewust als je een vpn gebruikt de eigenaar van de vaste lijn ook niet kan zien wat er doorheen gaat?

vrijdag 1 oktober 2021 19:34

Acties:

0 Henk 'm!

jadjong

_Thanatos_ schreef op vrijdag 1 oktober 2021 @ 13:33:
[...]

Dat dacht ik ook ja. Maar hoe dan?

Uitgaande regel aanmaken in de Windows firewall met deny *.*.*.* voor applicatie X. Dan bij advanced options die regel alleen toepassen bij de netwerkadapter waar de applicatie niet over mag verbinden.

[...]

De beheerder van het netwerk kan niet (exact) weten welke client zich waar fysiek bevindt. Dat kan bij bedraad wel. Bovendien is het verkeer op een draadloos netwerk encrypted, terwijl op een LAN is alles clear, zodat het poepsimpel is om dataverkeer te capturen (en zelfs met alles HTTPS kan de metadata eromheen nog gecaptured worden)

Elke debiel kan wlan sniffen, alleen netwerkbeheerders kunnen kabels/switches sniffen en aan dat accespoint zit uiteindelijk weer een kabel....

zondag 3 oktober 2021 01:47

Acties:

0 Henk 'm!

_Thanatos_

Ja, en kaal

Topicstarter

RGAT schreef op vrijdag 1 oktober 2021 @ 13:39:
[...]

En waar dacht je dat dat wifi netwerk op aangesloten zit? Datzelfde bedrade netwerk waar die beheerder alsnog even makkelijk (makkelijker zelfs) verkeer kan monitoren. Ook kan met Wifi juist je locatie beter bepaald worden. Ik kan een 20 meter lange kabel gebruiken maar met een semi-pro wifi netwerk kan je beheerder gewoon zien waar je (ongeveer) zit. Met AeroHive konden we tot ~1-1,5 meter precies zien waar de clients zaten.

Maar zonder wat informatie kunnen we hier niet echt iets mee, welke applicatie gaat het over, wat is de daadwerkelijke vraag en wat zijn de details zoals welke applicatie, netwerk etc?

Met bedraad netwerk is je locatie op de millimeter te bepalen. Beheerder weet immers precies over welk poortje iemand bezig is, en welk kamernummer daar bij hoort. Met wifi alleen als de beheerder de juiste apparatuur heeft, wat bij hotels bijna nooit het geval is, zo aan de AP's te zien die gewoon ergens in de gangen opgehangen zijn. Dat zijn meestal doodnormale huis-tuin-en-keuken dingen.

Maar dat is allemaal niet relevant eigenlijk.
Ik wil helemaal niet uitleggen waarom ik dit wil - ik wil dit gewoon

De vraag is hoe ik een applicatie over een andere netwerkverbinding kan leiden. Niet een specifieke applicatie, maar wel een gewone exe (geen UWP of Node.js ofzo). Een gewone normale desktopapplicatie. Welke dat is, is niet relevant, en dat mag ook niet relevant zijn, omdat de vraag een algemene is.

FiXeR.nl schreef op vrijdag 1 oktober 2021 @ 14:15:
[...]

Dat is niet helemaal waar, via Hotspots kun je best eenvoudig via triangulatie een WLAN device lokaliseren. Zie bijvoorbeeld https://www.arubanetworks.com/products/location-services/.

Overigens is alles via WLAN geëncrypt tot de Accesspoint en is daarna hetzelfde als bedraad. Dus daar zit geen voordeel in als er iemand aan het meeluisteren is op de kabel.

Allemaal mitsen en maren. Maar onder aan de streep bevestig je eigenlijk dat wi-fi inderdaad minder traceerbaar is

Yucon schreef op vrijdag 1 oktober 2021 @ 16:52:
Nu weet ik niet hoe bekend je met de materie bent, en je mogelijk als oplossing voor je probleem al in het begin een foute denkrichting ingeslagen bent. Ben je je ervan bewust als je een vpn gebruikt de eigenaar van de vaste lijn ook niet kan zien wat er doorheen gaat?

Zeker, en deze vraag verwachtte ik al

Via een VPN ben je inderdaad juist heel traceerbaar, alleen je fysieke locatie niet, maar je identiteit weer wel. Je logt nml in op een VPN. De beheerder van het netwerk kan er niets van zien, maar de VPN-provider weer wel. Dus om jezelf te beschermen van een dodgy netwerk is dit een goed idee; maar om jezelf onbekend te maken, is het een minder goed idee. Als je zeer privacy-gevoelige dingen gaat doen, dan moet je m.i. een onrealistische hoeveelheid vertrouwen hebben in je VPN-provider.

日本！🎌

zondag 3 oktober 2021 02:24

Acties:

+1 Henk 'm!

RGAT

_Thanatos_ schreef op zondag 3 oktober 2021 @ 01:47:
[...]

Maar dat is allemaal niet relevant eigenlijk.
Ik wil helemaal niet uitleggen waarom ik dit wil - ik wil dit gewoon

Welke dat is, is niet relevant, en dat mag ook niet relevant zijn, omdat de vraag een algemene is.

[...]

Zeker, en deze vraag verwachtte ik al
Via een VPN ben je inderdaad juist heel traceerbaar, alleen je fysieke locatie niet, maar je identiteit weer wel. Je logt nml in op een VPN. De beheerder van het netwerk kan er niets van zien, maar de VPN-provider weer wel. Dus om jezelf te beschermen van een dodgy netwerk is dit een goed idee; maar om jezelf onbekend te maken, is het een minder goed idee. Als je zeer privacy-gevoelige dingen gaat doen, dan moet je m.i. een onrealistische hoeveelheid vertrouwen hebben in je VPN-provider.

Het is dus wel degelijk relevant, jij vraagt of je iets specifieks kan doen, daarvoor is het nodig de hele vraag te stellen, anders is het antwoord niet veel meer dan een algemene: kan het? Ja, einde topic

Juist omdat je het hebt over traceerbaarheid bekabeld vs wifi en vs VPNs en dus wisselt tussen verbergen voor de beheerder of derde partij en dus duidelijk bepaalde eisen hebt die je om de een of andere reden niet wilt delen, totaal andere eisen dus.
Ik ga er vanuit dat je iets illegaals wilt doen vanwege het niet willen/kunnen vertellen wat de applicatie of usecase is, succes daarmee

Fixing things to the breaking point...

zondag 3 oktober 2021 03:48

Acties:

0 Henk 'm!

PhilipsFan

We hoeven helemaal niet te weten wat de TS precies van plan is. Dadelijk gaan we hem nog aanraden om Linux te gebruiken...

De vraag is simpel: kun je het netwerkverkeer van een afzonderlijke applicatie door een zelfgekozen NIC sturen. Het antwoord is: Dat kan niet. Windows ondersteunt deze functionaliteit niet. Als een applicatie een call naar internet doet, dan handelt het OS die af en het OS kan geen onderscheid maken tussen de verschillende NICs.

Er is misschien wel een workaround. Als beide NIC's tegelijk actief zijn, dan kun je met een firewall de toegang blokkeren van een applicatie tot een bepaalde NIC. Met een beetje geluk gaat hij het dan weer proberen en kom je op de andere uit. Geen ideale oplossing, ik heb het ook niet uitgeprobeerd, maar in theorie zou het kunnen werken. Niet met de Windows firewall maar misschien wel met een 3rd party firewall die iets uitgebreider geconfigureerd kan worden. Comodo Internet Security kan dit bijvoorbeeld wel. Daar kun je op applicatienivo rules maken en je kunt daarin ook het netwerk meenemen.

Ik heb wat lopen Googlen, dat had je ook zelf kunnen doen maar ik vind het wel een interessant probleem. Ik kwam op de volgende pagina: ForceBindIP. Dat doet _exact_ wat je wilt, maar ik heb dit dus niet uitgeprobeerd. Testen op eigen risico...

En anders kun je altijd nog Linux gaan gebruiken, want daarmee kan het ook niet

zondag 3 oktober 2021 08:36

Acties:

0 Henk 'm!

FreshMaker

PhilipsFan schreef op zondag 3 oktober 2021 @ 03:48:

De vraag is simpel: kun je het netwerkverkeer van een afzonderlijke applicatie door een zelfgekozen NIC sturen. Het antwoord is: Dat kan niet. Windows ondersteunt deze functionaliteit niet. Als een applicatie een call naar internet doet, dan handelt het OS die af en het OS kan geen onderscheid maken tussen de verschillende NICs.

Niet helemaal eens.

Een programma zoals qbittorrent kan je in de instellingen aangeven welke netwerkverbinding ( nic) gebruikt mag worden.
Als deze nic niet is aangesloten / verbonden, gaat er geen verkeer naar de client.

_Thanatos_ schreef op zondag 3 oktober 2021 @ 01:47:
[...]
Zeker, en deze vraag verwachtte ik al
Via een VPN ben je inderdaad juist heel traceerbaar, alleen je fysieke locatie niet, maar je identiteit weer wel. Je logt nml in op een VPN. De beheerder van het netwerk kan er niets van zien, maar de VPN-provider weer wel. Dus om jezelf te beschermen van een dodgy netwerk is dit een goed idee; maar om jezelf onbekend te maken, is het een minder goed idee. Als je zeer privacy-gevoelige dingen gaat doen, dan moet je m.i. een onrealistische hoeveelheid vertrouwen hebben in je VPN-provider.

Dat kan je ook zelf in de hand houden, door zelf een VPN te hosten.

Het is een utopie dat je in de huidige tijd, jezelf volledig anoniem op internet kan begeven.
het ligt aan de 'heftigheid' van je acties, hoever een opsporingsdienst zal gaan om het uit te zoeken.
Het is niet ongewoon dat men loging opvraagt bij social media en mailaanbieders, totdat ze uiteindelijk op providerniveau alsnog jouw huisadres vinden.

zondag 3 oktober 2021 08:58

Acties:

+1 Henk 'm!

FreshMaker

Yucon schreef op zondag 3 oktober 2021 @ 08:41:
[...]

Of wil TS daar op z'n hotelkamertje gewoon graag bepaalde genres films bekijken?

Tja, en of je daar dan nu zo geheimzinnig over moet doen.
Nu lijkt het eerder dat TS van plan is een opstand of aanval te organiseren

We zijn allemaal 'volwassen'
Zo lastig is het niet om dan toe te geven dat je xhamster of piratebay wilt gebruiken

* FreshMaker is niet zo moeilijk, do wat you like, don't bother me

maandag 4 oktober 2021 12:17

Acties:

0 Henk 'm!

_Thanatos_

Ja, en kaal

Topicstarter

Nee het gaat om "grijs gebied". Denk aan een torrentje downloaden van, laten we zeggen, een film die ik netjes heb gekocht maar niet bij me heb

Ik vind dat dat best moet kunnen. Beetje de tijd uitzitten dat ik nergens heen kan, of op iets moet wachten, of whatever. Liefst ga ik er lekker op uit natuurlijk, en dan gebruik ik een ultra-traceerbare 4G mobiele verbinding

en dan inderdaad met een VPN.

[ Voor 47% gewijzigd door _Thanatos_ op 04-10-2021 12:19 ]

日本！🎌

Vraag

Alle reacties