DNS puščanja (vzroki in popravki)

Kaj je puščanje DNSBrskalniki uporabljajo sistem domenskih imen (DNS), da premostijo vrzel med internetnimi naslovi IP (številkami) in imeni domen spletnega mesta (besede).

Ko je vneseno spletno ime, ga najprej pošlje na strežnik DNS, kjer se ime domene ujema s pripadajočim naslovom IP, tako da lahko zahtevo posreduje v pravi računalnik.

To je a velik problem za zasebnost saj mora ves standardni internetni promet potekati prek DNS strežnika, kjer sta zabeležena tako pošiljatelj kot cilj.

Ta DNS strežnik običajno pripada uporabnikovim ponudnikom internetnih storitev in je pod jurisdikcijo nacionalnih zakonov. Na primer, v Veliki Britaniji morajo informacije, ki jih hranijo ponudniki internetnih storitev, na zahtevo posredovati organom pregona. Podobno se dogaja v ZDA, vendar z dodano možnostjo ISP, da podatke proda tržnim podjetjem.

Medtem ko je vsebina komunikacije med uporabnikovim lokalnim računalnikom in oddaljenim spletnim mestom lahko šifrirana s SSL / TLS (v URL-ju je prikazana kot "https"), naslova pošiljatelja in prejemnika ni mogoče šifrirati. Posledično bo vsaka obiskana destinacija znana vsem, ki imajo pravni (ali kazenski) dostop do dnevnikov DNS - torej v normalnih okoliščinah uporabnik nima zasebnosti, kam gre po internetu.


VPN-ji so zasnovani za rešitev te težave z ustvarjanjem vrzeli med uporabnikovim računalnikom in ciljnim spletnim mestom. Vendar ne delujejo vedno odlično. Niz vprašanj pomeni, da lahko v določenih okoliščinah podatki DNS pridejo nazaj do ponudnika internetnih storitev in zato v pristojnost vladnih in marketinških podjetij.

Težave so znane kot puščanje DNS. Za namen te razprave o puščanju DNS bomo v veliki meri domnevali, da vaš VPN uporablja najpogostejši protokol VPN, OpenVPN.

Kaj je puščanje DNS?

VPN vzpostavi šifrirano povezavo (običajno imenovano "predor") med vašim računalnikom in strežnikom VPN; in strežnik VPN pošlje vašo zahtevo na zahtevano spletno mesto. Če VPN deluje pravilno, bo videl samo vaš ISP, da se povezujete z VPN - ne more videti, kje vas VPN povezuje. Internetni ostrostrelci (državni ali kazenski) ne morejo videti nobene vsebine, ker je šifrirana.

Do uhajanja DNS pride, kadar se zgodi nekaj nenamernega, in strežnik VPN zaobide ali prezre. V tem primeru bo operater strežnika DNS (pogosto vaš ponudnik internetnih storitev) videl, kam grete po internetu, medtem ko verjamete, da ne more.

To je slaba novica, saj premaga namen uporabe VPN-ja. Vsebina vašega spletnega prometa je še vedno skrita (s šifriranjem VPN), vendar najpomembnejši deli za anonimnost - vaša lokacija in podatki brskanja - ostanejo nezaščiteni in jih najverjetneje beleži vaš ISP..

Kako naj vem, če ima moj VPN puščanje DNS?

Za odkrivanje puščanja DNS obstajajo dobre in slabe novice. Dobra novica je, da je preverjanje, ali vaš VPN pušča vaše zahteve DNS, hitro, enostavno in preprosto; slaba novica je, da brez preverjanja verjetno ne boste nikoli vedeli o puščanju, dokler ne bo prepozno.

Obstaja veliko orodij v brskalniku, s katerimi lahko preverite, ali ima VPN DNS ali drugo obliko puščanja podatkov, vključno z nekaterimi, ki jih naredijo ponudniki VPN, na primer AirVPN (pregled) ali VPN.ac. Če niste prepričani, kaj bi morali storiti, lahko preprosto obiščete ipleak.net, medtem ko menite, da je vaš VPN uporaben. To spletno mesto bo samodejno preverilo puščanje DNS (in, mimogrede, ponuja tudi veliko več informacij).

  1. Vnesite ipleak.net v naslovno vrstico brskalnika.
  2. Ko se spletna stran naloži, se test samodejno začne in prikazan vam bo naslov IP.
  3. Če je naslov, ki ga vidite, vaš naslov IP in prikazuje vašo lokacijo ter uporabljate VPN, to pomeni, da imate puščanje DNS. Če je prikazan IP naslov vašega VPN, potem deluje normalno.

Če je mogoče, je dobro, da se preizkusite z več spletnimi preverjalniki.

Slika 1 prikazuje ipleak.net, ki se uporablja s slabo konfiguriranim VPN. Vrne pravilen naslov IP. To je puščanje DNS.

Vaš IP naslov # 2

Slika 1

Slika 2 prikazuje ipleak, ki se uporablja pri ExpressVPN, konfiguriranem za uporabo belgijskega strežnika (ExpressVPN vam omogoča izbiro iz različnih držav). Ni puščanja DNS.

Vaš IP naslov

Slika 2

Za večino uporabnikov bo to preverjanje pred nadaljevanjem brskanja po drugih spletnih mestih zadostovalo. Za nekatere uporabnike to ne bo popolna rešitev, saj zahteva povezavo z internetom in pošiljanje DNS zahtev za dostop do orodij za preverjanje.

DNS in druge puščanje je mogoče preizkusiti brez uporabe enega od teh spletnih mest, čeprav morate poznati svoj IP naslov in kako uporabljati ukazni poziv Windows, poleg tega pa potrebuje tudi zaupanja vreden preizkusni strežnik, da lahko neposredno »pingujete« ; to je lahko zasebni strežnik, ki ga poznate in mu zaupate, ali eden od naslednjih javnih preskusnih strežnikov:

  • whoami.akamai.net
  • resoluver.dnscrypt.org
  • whoami.fluffcomputing.com
  • whoami.ultradns.net

Če želite to narediti, odprite ukazni poziv (pojdite v začetni meni, vnesite "cmd" in pritisnite Enter) ter vnesite naslednje besedilo:

  • ping [ime strežnika] -n 1

Zamenjajte [ime strežnika] z naslovom vašega izbranega preskusnega strežnika (na primer "ping whoami.akamai.net -n 1") in pritisnite Enter. Če se kateri koli od naslovov IP, ki jih najdete v dobljenem besedilu, ujema z vašim osebnim ali lokalnim IP, je pokazatelj, da je prišlo do puščanja DNS; prikaže se samo IP naslov vašega VPN.

Slika 3 prikazuje rezultat z izvajanjem ExpressVPN. Upoštevajte, da je edini vrnjeni IP naslov belgijski IP, kot je prikazano na sliki 2. Ni puščanja DNS.

SVOBODA

Slika 3

Če ugotovite, da ima vaš VPN puščanje DNS, je čas, da nehate brskati, dokler ne najdete vzroka in odpravite težavo. Spodaj so navedeni nekateri najverjetnejši vzroki puščanja DNS in njihove rešitve.

DNS pušča težave in rešitve

Problem 1: Nepravilno konfigurirano omrežje

DNS Težave in odpravljanje uhajanja

To je eden najpogostejših vzrokov puščanja DNS za uporabnike, ki se prek interneta povežejo z internetom; na primer nekdo, ki pogosto preklaplja med domačim usmerjevalnikom, WiFi v kavarni in javnimi vročimi točkami. Preden se povežete s šifriranim tunelom VPN, se mora vaša naprava najprej povezati z lokalnim omrežjem.

Brez ustreznih nastavitev se lahko pustite odprti za puščanje podatkov. Ko se povežete s katerim koli novim omrežjem, lahko nastavitve DHCP (protokol, ki določa IP naslov vaše naprave v omrežju) samodejno dodeli strežnik DNS za obravnavo vaših zahtev po iskanju - tistega, ki lahko pripada ponudniku internetnih storitev ali tistega, ki morda ni pravilno zavarovana. Tudi če se v tem omrežju povežete s svojim VPN, bodo vaše zahteve DNS zaobšle šifrirani predor, kar bo povzročilo puščanje DNS.

Popravek:

V večini primerov konfiguriranje VPN-ja na vašem računalniku za uporabo strežnika DNS, ki ga ponuja ali najprimernejše za vaš VPN, bo prisililo, da zahteve DNS gredo skozi VPN in ne neposredno iz lokalnega omrežja. Vsi ponudniki VPN nimajo lastnih strežnikov DNS, v tem primeru pa bi z uporabo neodvisnega strežnika DNS, kot sta OpenDNS ali Google Public DNS, omogočilo, da zahteve DNS gredo skozi VPN in ne neposredno iz vašega odjemalca. Na žalost je sprememba konfiguracije na ta način zelo odvisna od vašega specifičnega ponudnika VPN in protokola, ki ga uporabljate - morda jih boste lahko nastavili tako, da se bodo samodejno povezali s pravilnim strežnikom DNS, ne glede na to, v katero lokalno omrežje se povežete; ali pa se boste morda morali vsakič ročno povezati s svojim želenim strežnikom. Preverite podporo za odjemalca VPN, če imate posebna navodila.

Če morate ročno konfigurirati računalnik za uporabo izbranega neodvisnega strežnika DNS, najdete navodila po korakih v razdelku „Spremenite nastavitve v zaupanja vreden neodvisni strežnik DNS“ spodaj.

Problem # 2: IPv6

Ponavadi, ko pomislite na naslov IP, pomislite na 32-bitno kodo, sestavljeno iz 4 nizov do 3 števk, na primer 123.123.123.123 (kot je opisano zgoraj). To je različica IP 4 (IPv4), trenutno najpogostejša oblika naslova IP. Vendar pa razpon razpoložljivih neuporabljenih naslovov IPv4 postaja zelo majhen in IPv4 nadomešča (zelo počasi) IPv6.

IPv6 naslove sestavlja 8 nizov 4 znakov, ki so lahko črke ali številke, na primer 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334.

Internet je še vedno v fazi prehoda med IPv4 in IPv6. To ustvarja veliko težav, zlasti pri VPN-jih. Če VPN izrecno nima podpore za IPv6, bo vsaka zahteva do ali iz vaše naprave, poslana prek IPv6 - ali poslana z dvokapnim tunelom za pretvorbo IPv4 v IPv6 (glejte Teredo spodaj) - popolnoma zaobšla tunel VPN, vaše osebne podatke pa bo pustil nezaščitene . Skratka, IPv6 lahko poruši vaš VPN, ne da bi se tega zavedali.

Večina spletnih mest ima naslove IPv6 in IPv4, čeprav je še vedno veliko samo IPv4. Obstaja tudi nekaj spletnih mest, ki so samo IPv6. Ali so vaše zahteve DNS za naslove IPv4 ali IPv6 običajno odvisne od vašega ponudnika internetnih storitev, omrežne opreme (kot je brezžični usmerjevalnik) in določenega spletnega mesta, do katerega poskušate dostopati (z implementacijo IPv6 še vedno ni popolno, vsi uporabniki ne bodo mogli za dostop do spletnih mest samo za IPv6). Večina iskanj DNS bo še vedno IPv4, vendar se večina uporabnikov ne zaveda, ali vlagajo zahteve za IPv4 ali IPv6, če lahko storijo oboje.

Študija raziskovalcev z rimske univerze Sapienza in londonske univerze Queen Mary je leta 2015 pregledala 14 komercialnih ponudnikov VPN in ugotovila, da je 10 od njih - moteče visok delež - podvrženo puščanju IPv6.

  • SkrijMyAss
  • IPVanish
  • Astrill
  • ExpressVPN
  • MočanVPN
  • PureVPN
  • AirVPN
  • Predor
  • ProXPN
  • Hotspot Shield Elite

Medtem ko puščanje IPv6 ni popolnoma enako kot standardno puščanje DNS, ima precej enak učinek na zasebnost. To vprašanje se mora zavedati vsak uporabnik VPN.

Popravek:

Če ima vaš ponudnik VPN že popolno podporo za promet IPv6, vam tovrstno puščanje ne bi smelo predstavljati težav. Nekateri VPN-ji brez podpore za IPv6 bodo namesto tega imeli možnost blokirati promet IPv6. Priporočljivo je, da v vsakem primeru uporabite IPN6, ki podpira funkcijo IPv6, saj bi lahko tuneli z dvojnim nabojem še vedno zaobšli blok IPv6. (Glejte Teredo spodaj.) Na žalost večina VPN-jev ne bo poskrbela za IPv6 in bo zato vedno uhajal promet IPv6. Preden uporabite komercialni VPN, se prepričajte, ali so poskrbeli za IPv6, in izberite le tistega, ki ima popolno podporo protokola.

Problem # 3: Prozorni strežniki DNS

Nekateri ponudniki internetnih storitev so sprejeli politiko prisiljavanja svojega lastnega strežnika DNS v sliko, če uporabnik spremeni svoje nastavitve za uporabo tretjega strežnika. Če se odkrijejo spremembe nastavitev DNS, bo ponudnik internetnih storitev uporabil pregleden proxy - ločen strežnik, ki prestreže in preusmeri spletni promet - in tako poskrbi, da bo vaša zahteva DNS poslana na njihov strežnik DNS. To je dejansko, da ponudnik internetnih storitev "prisili" puščanje DNS in ga poskuša prikriti pred uporabnikom. Večina orodij za odkrivanje uhajanja DNS bo lahko zaznala pregleden proxy DNS na enak način kot standardno puščanje.

Popravek:

Na srečo imajo zadnje različice protokola OpenVPN enostaven način za boj proti preglednim proxy DNS. Najprej poiščite datoteko .conf ali .ovpn za strežnik, s katerim se želite povezati (shranjeni so lokalno in bodo običajno v C: \ Program Files \ OpenVPN \ config; za več podrobnosti glejte priročnik OpenVPN), odprite v urejevalnik besedila, kot je beležka in dodajte vrstico:

  • blok-zunaj-dns

Uporabniki starejših različic OpenVPN naj posodobijo na najnovejšo različico OpenVPN. Če vaš ponudnik VPN tega ne podpira, je morda čas, da poiščete novejšo VPN. Poleg popravka OpenVPN bo tudi veliko bolje izdelanih odjemalcev VPN vgrajenih lastnih določb za boj proti preglednim proxy DNS. Več podrobnosti najdete v podpori vašega posebnega VPN-ja.

Težava št. 4: "funkcije" sistema Windows 8, 8.1 ali 10

Operacijski sistemi Windows od 8. ure dalje so uvedli funkcijo »Smart Multi-Homed Name Resolution«, ki je namenjena izboljšanju hitrosti brskanja po spletu. Ta pošlje vse zahteve DNS na vse razpoložljive strežnike DNS. Prvotno bi to sprejelo odzive samo z nestandardnih strežnikov DNS, če najljubši (običajno lastni strežniki ponudnika internetnih storitev ali tisti, ki jih je nastavil uporabnik), niso odgovorili. Za uporabnike VPN je to dovolj slabo, saj močno povečuje pojavljanje puščanja DNS, vendar bo v sistemu Windows 10 ta funkcija privzeto sprejela odziv tistega, za katerega se DNS strežnik najhitreje odzove. Ta ima ne le isto težavo z uhajanjem DNS, ampak tudi uporabnike čuti do napadov ponarejanja DNS.

Popravek:

To je morda najtežje odpraviti uhajanje DNS, zlasti v sistemu Windows 10, saj je vgrajen del sistema Windows in ga je skoraj nemogoče spremeniti. Za uporabnike VPN, ki uporabljajo protokol OpenVPN, je prosto dostopni vtičnik odprtega izvora (na voljo tukaj) morda najboljša in najbolj zanesljiva rešitev.

Pametno večosebno ločljivost imen lahko ročno izklopite v urejevalniku lokalnih skupinskih pravil, razen če uporabljate domačo izdajo sistema Windows. V tem primeru Microsoft preprosto ne dovoljuje možnosti izklopa te funkcije. Tudi če ga lahko izklopite na ta način, bo Windows še vedno poslal zahtevo vsem razpoložljivim strežnikom, če prvi strežnik ne odgovori. Zelo priporočljivo je, da za popolno reševanje te težave uporabite vtičnik OpenVPN.

Morda bo koristno preveriti tudi smernice US-CERT tudi tukaj. Smart Resolution Resolution Name je z njim povezana tako pomembna varnostna vprašanja, da je vladna agencija izdala lastno opozorilo o tej temi.

Problem # 5: Teredo

Teredo je Microsoftova tehnologija za izboljšanje združljivosti med IPv4 in IPv6 in je vgrajena funkcija operacijskih sistemov Windows. Za nekatere je to bistvena prehodna tehnologija, ki omogoča, da IPv4 in IPv6 sobivata brez težav, kar omogoča, da se v6 povezave pošiljajo, sprejemajo in razumejo v v4 povezavah. Za uporabnike VPN je pomembnejša luknja za zaščito. Ker je Teredo protokol za tuneliranje, ima pogosto prednost pred šifriranim tunelom vašega VPN, tako da ga zaobide in tako povzroči puščanje DNS.

Popravek:

Na srečo je Teredo funkcija, ki jo je v sistemu Windows enostavno onemogočiti. Odprite ukazni poziv in vnesite:

stanje brez vmesnika terez vmesnika onemogočeno

Medtem ko se lahko pri povezovanju z določenimi spletnimi mesti ali strežniki ali uporabi torrentov pojavite nekatere težave, je onemogočanje Teredo veliko bolj varna izbira za uporabnike VPN. Priporočamo tudi, da v nastavitvah usmerjevalnika ali omrežnega adapterja izklopite Teredo in druge možnosti IPv6, da zagotovite, da noben promet ne more mimo tunela vaše VPN..

Preprečevanje puščanja v prihodnosti

preprečevanje puščanja dns vpnZdaj, ko ste preizkusili puščanje DNS in bodisi izšli čisti, ali odkrili in odpravili puščanje, je čas, da razmislite o zmanjšanju možnosti, da bo vaš VPN v prihodnosti sprožil puščanje.

Najprej se prepričajte, da so bili vsi zgoraj navedeni popravki izvedeni vnaprej; onemogočite Teredo in Smart Multi-Homed Resolution Name, preverite, ali vaš VPN podpira ali blokira promet IPv6 itd..

1. Spremenite nastavitve na zaupanja vreden neodvisen strežnik DNS

Vaš usmerjevalnik ali omrežni adapter mora imeti možnost spreminjanja nastavitev TCP / IP, kjer lahko določite določene zaupanja vredne strežnike DNS po njihovih naslovih IP. Mnogi ponudniki VPN bodo imeli svoje DNS strežnike in uporaba VPN vas bo pogosto samodejno povezala s temi; za več informacij preverite podporo VPN-ja.

Če vaš VPN nima lastniških strežnikov, je priljubljena alternativa uporaba odprtega, tretjega DNS strežnika, kot je Google Open DNS. Če želite spremeniti nastavitve DNS v sistemu Windows 10:

  1. Pojdite na nadzorno ploščo
  2. Kliknite »Omrežje in internet«
  3. Kliknite »Center za omrežje in skupno rabo«
  4. Na levi plošči kliknite »Spremeni nastavitve adapterja«.
  5. Z desno miškino tipko kliknite ikono vašega omrežja in izberite »Lastnosti«
  6. V oknu, ki se odpre, poiščite “Internet Protocol Version 4”; kliknite in nato kliknite »Lastnosti«
  7. Kliknite »Uporaba naslednjih naslovov DNS strežnika«

Zdaj lahko vnesete želeni in nadomestni naslov za strežnike DNS. To je lahko kateri koli strežnik, ki ga želite, toda za Google Open DNS bi moral biti najprimernejši DNS strežnik 8.8.8.8, medtem ko bi bil drugi DNS strežnik 8.8.4.4. Glej sliko 4.

IPV 4

Slika 4

Morda boste želeli spremeniti tudi nastavitve DNS na usmerjevalniku - za dodatne informacije glejte priročnik ali podporo za določeno napravo.

2. Za preprečevanje prometa, ki ni VPN, uporabite požarni zid ali vaš VPN

Nekateri odjemalci VPN bodo vključevali funkcijo za samodejno blokiranje prometa, ki ne bo potekal prek VPN - poiščite možnost »IP Binding«. Če še nimate VPN-ja, pomislite, da ga dobite od tukaj.

Lahko pa konfigurirate svoj požarni zid tako, da dovoljuje promet samo znotraj vaše VPN. Prav tako lahko spremenite nastavitve požarnega zidu Windows:

  1. Prepričajte se, da ste že povezani s svojim VPN.
  2. Odprite Center za omrežje in skupno rabo in se prepričajte, da vidite svojo ISP povezavo (ki bi morala biti prikazana kot »Omrežje«) in VPN (ki bi se moral prikazati kot ime VPN). »Omrežje« bi moralo biti domače omrežje, VPN pa javno omrežje. Če je kateri koli od njih nastavljen na nekaj drugega, ga boste morali klikniti in ga v oknu, ki se odpre, v ustrezni vrsti omrežja..
  3. Prepričajte se, da ste prijavljeni kot skrbnik na svojem računalniku in odprite nastavitve požarnega zidu Windows (natančni koraki za to se razlikujejo glede na to, katero različico sistema Windows uporabljate).
  4. Kliknite na "Napredne nastavitve" (glej sliko 5).
  5. Na levi plošči poiščite »Dohodna pravila« in jo kliknite.
  6. Na desni strani pod razmikom Dejanja bi morali videti možnost »Novo pravilo ...«. Kliknite to.
  7. V novem oknu izberite "Program" in kliknite Naprej.
  8. Izberite »Vsi programi« (ali izberite posamezen program, za katerega želite blokirati promet, ki ni VPN) in kliknite Naprej.
  9. Izberite "Blokiraj povezavo" in kliknite Naprej.
  10. Potrdite „Domena“ in „Zasebno“, vendar se prepričajte, da ni označeno „Javno“. Kliknite Naprej.
  11. Ponovno bi morali biti v meniju Napredne nastavitve za požarni zid Windows; poiščite "Pravila za odhod" in ponovite korake od 6 do 10.

Windows

Slika 5

3. Redno izvajajte test puščanja DNS

Za navodila glejte razdelek »Kako naj vem, ali ima moja VPN puščanje DNS?« Zgoraj. Preprečevanje ni neželeno, zato je treba pogosto preverjati, ali so vsi vaši previdnostni ukrepi še vedno hitri.

4. Razmislite o programski opremi za nadzor VPN

To lahko doda dodatne stroške poleg vaše obstoječe naročnine VPN, vendar bo možnost spremljanja prometa vašega VPN-ja v realnem času omogočila, da na prvi pogled vidite, če gre za preverjanje DNS na napačen strežnik. Nekateri izdelki za spremljanje VPN ponujajo tudi dodatna, avtomatizirana orodja za odpravljanje puščanja DNS.

5. Po potrebi spremenite VPN

Potrebujete največjo možno zasebnost. Idealen VPN bo imel vgrajeno zaščito pred puščanjem DNS, popolno združljivost IPv6, podporo za najnovejše različice OpenVPN ali protokol po vaši izbiri in funkcionalnost za preprečevanje preglednih proxy DNS. Preizkusite poglobljene primerjave in ocene thebestvpn.com in poiščite VPN, ki ponuja vse, kar potrebujete, da bodo podatki o brskanju zasebni.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me