Ga jij nog even gauw opzoeken wat er wel en niet in een hosts file past. Hint: hele URLs gaat dus duidelijk niet.

Wat probeer je precies te bereiken?
Komt er een error? Time-out?

Waarom laat je de sites over je localhost lopen? Wellicht om die over de VPN te duwen? Deze constructies doet me de wenkbrouwen enigzins fronzen, waarom zo moeilijk doen?

Probeer eens:
Het gaat mis omdat je zowel http:// als www. weglaat. Het eerste geeft aan met welk communicatieprotocol je met een server praat, het tweede is gewoon onderdeel van de naam die naar een ip-adres vertaald moet worden. Dat 'www' een gangbare conventie is voor website-domeinen wil nog niet zeggen dat het een geheel vormt met http:// of https://. Deze website heeft als domein security.nl en heeft gekozen de webserver via subdomein www.security.nl toegankelijk te maken. Maar dat had net zo goed mallepietje.security.nl of wateroverlast.security.nl kunnen zijn. Het is gewoon een naam die in een IP-adres wordt vertaald, en die naam heeft op technisch niveau geen enkele betekenis (al kan een webbrowser zo gemaakt zijn dat voor www.security.nl het http-protocol wordt gegokt en voor ftp.security.nl het ftp-protocol; dat zijn van die pogingen dingen makkelijk te maken die veel mensen doen denken dat het betekenis heeft en dus vooral voor verwarring zorgen). Het is het deel voor ':' dat het te gebruiken communicatieprotocol aangeeft.

Ik denk dat dit heel verhelderend kan zijn: http://nl.wikipedia.org/wiki/Url

Het communicatieprotocol en dus de URL-notatie hebben niets in de hosts-file te zoeken, daar gaat het alleen om de domeinnamen.

*facepalm*

Daan,

hoeveel moeite heb je gedaan voor je dit ging vragen?

Zelfs op http://en.wikipedia.org/wiki/Hosts_(file) staat hoe het moet.

Hallo,

Ik heb al een hoop gelezen, echter ik heb geen idee of dit aan de VPN ligt
die ik van plan ben altijd te gaan gebruiken.
Ik wil een hoop pagina's in de hosts file gaan zetten, van een lijst
die ik heb gevonden als extra veiligheid.


De error die ik krijg bij webwereld is als volgt.

Unable to connect
Iceweasel can't establish a connection to the server at webwereld.nl.

De rest van de 'geblokte site's' doen het wel.

Dus waarom blokt webwereld wel, en kan ik de rest wel gewoon
openen?

Veel, maar er schijnt iets niet te werken.

Ik probeer heus wel wat zoektermen in Google zoals Debian+how to block a site with the hosts file
en Linux+hosts file.

Tevens heeft iedereen wel eens een beetje hulp nodig toch?

Daan, het format van een regel in de hosts file is als volgt:

Let op: ik gebruik hier de term host (zoals "www"), maar dit mag ook een domainname (zoals www.security.nl) zijn.

Met [host] wordt bedoeld dat je 0..n alternatieve hostnames mag opnemen op 1 regel (je mag ze natuurlijk ook over meerdere regels verspreiden). Slashes en protocolaanduidingen (zoals bijv. gebruikt door webbrowsers) horen NIET in een hosts file. Als je dat toch doet heb je kans dat de parser van de hosts file er soms wel, en soms niet, een geldige hostname uit weet te halen.

Voorbeeld:

Het bovenstaande zorgt ervoor dat netwerkpakketjes bestemd voor (letterlijk en exact) addthis.com en www.addthis.com, ongeacht protocol (bijv. http://addthis.com, https://www.addthis.com of ftp://addthis.com) naar jouw eigen computer worden gestuurd. Pakketjes voor www.security.nl gaan altijd naar 213.156.0.236; zodra hun IP-adres wijzigt krijg je geen verbinding meer.

Belangrijk: voor whatever.addthis.com en security.nl zal jouw computer nog steeds DNS lookups doen, want die hostnames staan niet letterlijk in jouw hosts file. Omdat je geen "wildcards" (zoals *.addthis.com) in een hostsfile kunt opnemen is het in de praktijk knap lastig om hosts daadwerkelijk te blokkeren met je hosts file.

Echter, niemand hier snapt waarom je hosts als webwereld.nl, www.security.nl en www.bof.nl probeert te blokkeren. Leg dat eens uit?

Maar die gasten hier zijn van zo'n hoog niveau, dat ze wel eens flabbergasted zijn als iemand een vraag stelt die 'onder' het niveau ligt.

Dus gewoon stellen die vragen, daar is het hier een forum voor.

Misschien domme vraag, maar waarom zou je altijd een VPN actief willen hebben?

SideTopic :

Naar aanleiding van je voorbeeld wil ik aanhaken met hostfile security aangelegenheid of security oplossing waar ik al eens aan gedacht heb maar niet weet of dat werkelijk zin heeft.

• Internetbankieren #1

Laten we een bekende bank nemen als bijvoorbeeld ING
Ik zie dat het internet bankieren van ING plaatsvindt onder het domein "mijn.ing.nl" of meer precies is de link "https://mijn.ing.nl/internetbankieren/SesamLoginServlet" . Daarbij hoort nu het ip adres 145.221.194.139 .

Ingegeven door je voorbeeld met het specifiek toewijzen van een domein aan het juiste bijbehorende ip adres wordt dat dan :


Zou deze oplossing dan qua security zin hebben, iets meer veiligheid bieden?


• Internetbankieren #2

Een omgekeerde aanpak kan ook, niet direct via het host file overigens, en vereist een apart computer account dat ik overigens iedereen aanraadt om dat te doen speciaal en alleen voor het internetbankieren met daarbij een extra en speciaal alleen daarvoor te gebruiken browser.

Je uitgaande firewall zo instellen dat het alleen toestemming heeft contact te maken met je internetbankier domein adres over poort 443 en het specifieke bijbehorende ip adres en alle andere/overige connecties voor de specifieke interbetbankier browser verder te verbieden (met uitzondering nog van de specifieke OCSP connectie die je nodig hebt voor de certificaat controle.)


• De Maar,..
Specifieke toewijzing via een hostfile beschermt je overigens niet tegen social engineering met iets aangepaste url's .
In het tweede voorbeeld zou social engineering met een internet bankieren url weer niet werken (denk ik zo), wat natuurlijk ook de bedoeling is.

Wellicht zijn er nog diverse goede methoden (twee blokkade mogelijkheden naast elkaar misschien) om ervan verzekerd zijn dat het dns lookup adres goed is en niet meer zou werken wanneer dat adres verandert?


• Vraag,..
Welke waarde bedoel je precies met "0..n" ?
"Met [host] wordt bedoeld dat je 0..n alternatieve hostnames mag opnemen op 1 regel"

[/quote]Echter, niemand hier snapt waarom je hosts als webwereld.nl, www.security.nl en www.bof.nl probeert te blokkeren. Leg dat eens uit?[/quote]
Die gebruikte ik gewoon al voorbeeld.

Dus verder niks mis mee.

Ga die andere eens proberen.

Voor security.nl krijg ik nu deze melding

This Connection is Untrusted

Dus deze word geblockt.


http:webwereld.nl + www.addthis doen het wel gewoon, :-(


In mijn hosts file staan zoals aangegeven nu deze:
------------------------------------------------------------------------------
127.0.0.1 localhost
127.0.1.1 1

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

# Block web sites by Daan
127.0.0.1 addthis.com www.addthis.com
213.156.0.236 www.security.nl
127.0.0.1 webwereld.nl

Niet echt, maar dat is mijn fout. Ik gokte dat security.nl en www.security.nl hetzelfde IP-adres zouden hebben, maar dat is onjuist, op dit moment geldt:

Door de juiste IP-adressen op te nemen in je hosts file, blokkeer je die sites natuurlijk juist niet! Blokkeren kan door die hostnames aan 127.0.0.1 te koppelen, bijv. als volgt:

Blokkeren van addthis.com is veel lastiger, recentelijk gebruikte deze ct1.addthis.com om de fingerprinting javascript van op te halen, maar die hostname kan morgen alweer gewijzigd zijn.

Met excuses aan de TS voor het beantwoorden van een "side topic"...
Een beetje, maar er is ook een nadeel (zie verderop). Nb. wat je voorstelt beschermt je (deels) tegen DNS aanvallen, maar niet tegen netwerkaanvallen (bijv. MitM of op routing niveau).

Het is echter een onvolledige maatregel, want als ik https://mijn.ing.nl/internetbankieren/SesamLoginServlet open worden er ook SSL/TLS verbindingen gemaakt met bankieren.mijn.ing.nl, bankieren.mijnzakelijk.ing.nl en mon.retail.ing.nl (ik heb niet getest wat er gebeurt als ik daadwerkelijk inlog).

Ondanks alle problemen ermee denk ik dat SSL/TLS nog steeds de meeste zekerheid biedt dat je daadwerkelijk communiceert met de bedoelde mijn.ing.nl zodra je "https://mijn.ing.nl/internetbankieren/SesamLoginServlet" in de URL-balk van je webbrowser ziet, samen met een slotje, en daar een geldig certificaat voor getoond kan worden. Hier moet je sowieso op letten voor je inlogt (met of zonder aangepaste hosts file).

Bij een DNS aanval kun je naar een ander IP-adres gestuurd worden, waarop de ING logon pagina nagebouwd zou kunnen zijn. Echter om "https://mijn.ing.nl/internetbankieren/SesamLoginServlet" zonder foutmeldingen in de URL-balk van jouw webbrowser te kunnen tonen, zullen de aanvallers ofwel een geldig certificaat voor mijn.ing.nl hebben moeten kunnen kopen, ofwel de bestaande private key van mijn.ing.nl hebben moeten kopiëren ofwel er moet sprake zijn van ongepatchte (bekende of 0day) SSL/TLS kwetsbaarheden in jouw webbrowser en/of de server van de bank.

Of aanvallers moeten, zoals beschreven in https://www.security.nl/posting/396579/Malware+installeert+vals+SSL-certificaat+voor+bankfraude, een vals (root-) certificaat op jouw PC (of onder jouw account) hebben kunnen installeren en je DNS instellingen aanpassen. Jouw aangepaste hosts file zou je dan kunnen redden - tenzij de malware dit doorhad en de hosts file heeft gewijzigd of leeggemaakt.

Kortom, als SSL/TLS betrouwbaar werkt en jouw PC en/of de server niet gehacked zijn, ben je onafhankelijk van DNS, IP-adressen, routering en MitM aanvallen, maar je moet wel goed op je URL balk letten.

Het nadeel van fixed entries in je hosts file is dat als de betreffende site van IP-adres wijzigt (bijv. om een DoS aanval te mitigeren of als ING een nieuwe site bouwt met dezelfde hostname op een nieuw IP-adres, en de oude site nog een tijdje laat bestaan), je wellicht vergeet dat je zo'n aanpassing gemaakt hebt. Communicatie met meerdere hosts maakt dit alleen maar ingewikkelder, daarom zou ik van de hosts file afblijven.

Opvallend is dat banken (voor zover ik weet) nog geen dedicated "apps" maken voor Windows (zoals de Belastingdienst gelukkig wel doet).

Bijv. http://mijn.1ng.nl/, http://mijn.ing.org/ en http://mijn.ing.co/ bestaan en zijn niet van ING... Hoeveel "typo's" wil je opnemen in je hosts file? Maak een snelkoppeling aan voor https://mijn.ing.nl/ (klik nooit op dergelijke links in mails en websites) en vertrouw op SSL/TLS. Bij iDEAL dubbel-checken dat je op https://ideal.ing.nl/ zit!

En waarom block onderstaande twee niet?

127.0.0.1 webwereld.nl
127.0.0.1 bof.nl

Hi Anoniem,

ben je wellicht een lijst aan het maken zoals http://someonewhocares.org/hosts/

Ik zou zelf overigens nooit de IP adressen van sites zelf gaan vermelden. Wie zegt dat die altijd hetzelfde zijn?
Kijk maar eens naar het IP van google.com (nslookup google.com), dat zijn er een hele boel.
Zorg dat je DNSSEC goed gebruikt dan ben je veel verder. (zie http://www.dnssec.nl/home.html)

Check http://www.debian.org/doc/manuals/debian-reference/ch05.en.html#_the_hostname_resolution.
Wat staat er in jouw /etc/nsswitch.conf en /etc/host.conf ?

In de /etc/host.conf staat dit: multi on

In de /etc/nsswitch.conf staat beneden.
Alhoewel ik er niet veel van snap.
Ben pas aan de Debian.


# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd: compat
group: compat
shadow: compat

hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis

/etc/nsswitch.conf en /etc/host.conf zijn OK.

Kun je de output van het volgende commando geven zodat we kunnen zien of iets op jouw computer (127.0.0.1) luistert op poort 80 en daar iets mee doet?

Bedankt weer * voor uitgebreide antwoord.

Aangaande "side topic" :
- had het idee dat met de reactie van ' Gisteren, 09:14 door Anoniem' het topic wel een beetje op zijn einde liep ivm de uitleg van reageerder.
- blokkeren en juist toewijzen van specifieke adressen, bank verhaal aanhaken bij dat laatste waarmee een discussie over het hostfile en eventuele nieuwe toepassingen ervan wellicht zelfs nog voor een wat bredere interesse in het topic konden zorgen.

ING verbindingen
- bankieren.mijnzakelijk.ing.nl en mon.retail.ing.nl lijken mij niet nodig voor de particuliere bankierder, goede kans dat je kan particulier interbankieren zonder toestaan van deze extra verbindingen.
Banken vragen soms meer verbindingen dan daadwerkelijk nodig is voor internetbankieren, denk maar aan bijvoorbeeld de welbekende adobe tracker(s).

Internetbankier optie #2 werkt uit ervaring goed. Weer veiliger want meer geisoleerd, nog veiliger is om het account zelf te encrypten opdat bij besmetting van een ander account het bankier account onaangetast blijft.

Dedicated app?
Een bankier app zal hier niet op een systeem komen. Sommige banken doen er alles aan om trackers te laten blijven meekijken en verstoppen deze dieper in de internet bankier pagina code.
Een eigen bankier app is dan het summum om code te verstoppen, daar kan je als gebruiker al minder op ingrijpen. Wat doet de internetbankier app voor je mobiel?
Niemand die het uitzoekt, niemand die het interesseert? Vanwaar dat vertrouwen als het gedrag op de websites de nodige indicaties heeft gegeven?

Maar goed, kan het verder helemaal vinden in je argumentatie te focussen op de url bar.

Mvg

* modem config

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -


Iets van 10.200 files in je host file zetten lijkt me wat veel, vermoeden is dat het je computer wel wat trager maakt.
Bovendien, veel van dit soort rules zijn al wel in diverse soorten addons opgenomen om tracking en reclame te blokkeren bijvoorbeeld.
Deze lijsten worden ook nog eens (als je wil) automatisch bijgewerkt, dat is niet het geval met een hostfile, onpraktische aanpak lijkt me dus.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

@ Daan
Los van de interesse in de werking van het host file ben ik erg benieuwd wat je wil bereiken.
Gaat het nu om

a) Een paar sites te geheel te blokkeren? Delen van sites te blokkeren?
b) Sites juist te koppelen aan een adres, maar waarom zou je dat doen?

Wanneer je heel veel verbindingen wil blokkeren kan je dat denk ik beter doen met een een of ander firewall programma. Mits beschikbaar voor Debian, ken het verder niet.

Mocht je bepaalde 'functies' op Webwereld (volkomen terecht) irritant vinden zijn daar diverse oplossingen voor te vinden met bijvoorbeeld gebruik van wat addons.
Deze site 'stikt' bijvoorbeeld van de trackers en reclame onzin, ben je de pagina vullende reclame zat?
Dat is zo gepiept hoor met een adblocker en bijbehorende element hiding rules. Deze site en de zusterpagina's zijn op die manier behoorlijk schoon en weer leesbaar te krijgen.

Wil je deze site niet zien kan je hem natuurlijk ook gewoon niet bezoeken, daar heb je geen regel voor nodig in je host file lijkt me zo.
Het is namelijk niet zo dat je bij elke klik op het internet wordt omgeleid naar Webwereld, dat zouden ze vast wel willen maar lukt dan nog niet erg.
;-)

succes met de config in ieder geval

Hallo,

Ja ik wil inderdaad van de meeste addons af.

Want wie kan me vertellen wat addons allemaal voor metadata doorsturen?
Bijvoorbeeld: UserAgentSwither, BetterPrivacy enz.
Er zullen misschien mensen roepen gebruk een sniffer en kijk welke datapakketen er worden verzonden en ontvangen
maar dat gaat me allemaal nog even boven de pet. Debian is al gelijk een hoop opzoeken enz. wat ik niet erg vind, echter
ik moet wel snappen waar ik mee bezig ben. En door gaans doe je daar wel een paar jaar over.

Een hosts file leek me erg makkelijk om het grootste en ergste gros van advertentie en trackers te blokken.

Neem nou bijv. dat canvas tracking van de week.
Heb je die in de hosts file, dan is het een keer invoeren en klaar is kees.
Natuurlijk veranderd er wel eens iets, maar goed je moet ergend beginnen, dus vandaar dat ik dat met een hosts file
wilde gaan doen. En zo te zien ben ik dus niet de enige die dit een insterresante optie vind.

Het gaat je niet lukken om bepaalde "delen" van websites te blokkeren via je hostfile.

Voor het blokkeren van ongewenste content in je browser is denk ik een hosts file vol met entries nog steeds behoorlijk effectief, dat is volgens mij namelijk de eerste (afgezien van cache) plek waar naam-resolutie plaatsvind. Echter als je het dan goed wilt doen zit je wel met gigantische hosts file, sommige besturingssystemen schijnen daar niet zo van te houden, ook is er blijkbaar onderscheid tussen 0.0.0.0 en 127.0.0.1 wat me in de eerste instantie verbaast maar volgens mij is er lig in Windows 8.1 er iets veranderd wat misschien hiermee te maken heeft

Ik heb jaren een vrij omvangrijke hosts file gebruikt in windows en het werkte prima, geen merkbare vertraging. Dat was een hosts file met ruim 5000 entries (voornamelijk reclame farms).

Het beste advies ooit gegeven was misschien wel: "Zoekt en gij zult vinden" (en vervolgens nooit meer vergeten).
En daarom: de weg naar het juiste antwoord begint altijd bij (liefst de juiste...) vragen te stellen,
en de moeite te nemen om jezelf daarin te verdiepen. In dit geval bijvoorbeeld:
1. wat is een hostsfile en waar dient het in principe voor?
2. wat is VPN en waar dient het in principe voor?
3. zou een hosts-file in sommige gevallen misschien ook een threat kunnen zijn?
4. is het gerijmd om de "hostsfile functie" bij VPN te gebruiken: does it make sense?...

Hint:
Mulvad says: "We offer a personal VPN that passes all internet traffic to and from your computer
through our anonymising and uncensored servers using an encrypted tunnel."
Bijbehorende vragen:
1. Van wie is dan het IP-adress van een uitgaande verbinding van je PC-client die is uitgerust met mulvad VPN?...
2. Is het aannemelijk dat een hostsfile hier iets aan zal veranderen?

Als je er hiermee nog steeds niet helemaal uitkomt, of anders gewoon ter controle:
1. Verzeker jezelf ervan dat je hostsfile voldoet aan alle vereisten. (zonder tik- en syntaxfouten e.d.
en ook zonder (onzichtbare) toegevoegde "rommel" van gecompliceerde tekstverwerkers; gebruik daarom altijd
een eenvoudige notepad-achtige editor voor view/edit van hostsfiles!)
2. Test vervolgens eens of je hostsfile misschien wel wil werken zónder VPN.
Zo ja: ga naar klaar
Zo nee: controleer nogmaals punt 1 en overtuig jezelf ervan of alle mulvad-wijzigingen werkelijk ongedaan zijn gemaakt.

Klaar
Je kent na dit traject te hebben gevolgd met aan zekerheid grenzende waarschijnlijkheid het juiste antwoord op je vraag,
en hebt er waarschijnlijk ook nog wat andere wetenswaardigheden bijgeleerd.
Mvg, cluc-cluc