DNS-lekkasjer (årsaker og rettelser)

Hva er en DNS-lekkasjeNettlesere bruker Domain Name System (DNS) for å bygge bro over gapet mellom IP-adresser på Internett (numre) og domenenavn på nettsteder (ord)..


Når et webnavn legges inn, sendes det først til en DNS-server der domenenavnet blir matchet med den tilknyttede IP-adressen, slik at forespørselen kan videresendes til riktig datamaskin.

Dette er en stort problem for personvern siden all standard Internett-trafikk må passere gjennom en DNS-server der både avsender og destinasjon er logget.

Den DNS-serveren tilhører vanligvis brukerens ISP, og er under jurisdiksjonen til nasjonale lover. I Storbritannia må for eksempel informasjon som ISP-er har, overføres til rettshåndhevelse på forespørsel. Tilsvarende skjer i USA, men med den ekstra muligheten for ISP å selge dataene til markedsføringsselskaper.

Mens innholdet i kommunikasjonen mellom brukerens lokale datamaskin og det eksterne nettstedet kan krypteres med SSL / TLS (det vises som 'https' i URLen), kan ikke avsender- og mottakeradressene krypteres. Som et resultat vil alle besøkte destinasjoner være kjent for den som har lovlig (eller kriminell) tilgang til DNS-loggene - det vil si at under normale omstendigheter har en bruker ikke noe privatliv over hvor han går på internett.

VPN-er er utviklet for å løse dette problemet ved å skape et gap mellom brukerens datamaskin og destinasjonswebstedet. Men de fungerer ikke alltid perfekt. En serie problemer betyr at DNS-dataene under visse omstendigheter kan lekke tilbake til Internett-leverandøren og derfor til regjeringens og markedsføringsselskaper.

Problemene er kjent som DNS-lekkasjer. I forbindelse med denne diskusjonen om DNS-lekkasjer, vil vi i stor grad anta at VPN-en din bruker den vanligste VPN-protokollen, OpenVPN.

Hva er en DNS-lekkasje?

En VPN oppretter en kryptert forbindelse (vanligvis kalt en ‘tunnel’) mellom datamaskinen og VPN-serveren; og VPN-serveren sender forespørselen din til det nødvendige nettstedet. Forutsatt at VPN fungerer som det skal, vil all Internett-leverandøren din se at du kobler til en VPN - den kan ikke se hvor VPN kobler deg til. Internett-snoopere (myndigheter eller kriminelle) kan ikke se noe innhold fordi det er kryptert.

En DNS-lekkasje oppstår når noe utilsiktet skjer, og VPN-serveren blir forbigått eller ignorert. I dette tilfellet vil DNS-serveroperatøren (ofte Internett-leverandøren din) se hvor du skal på internett mens du tror han ikke kan.

Dette er dårlige nyheter, siden det beseirer formålet med å bruke en VPN. Innholdet i Internett-trafikken er fremdeles skjult (av VPNs kryptering), men de viktigste delene for anonymitet - din posisjons- og surfedata - blir ikke beskyttet og sannsynligvis logget av ISP-en..

Hvordan kan jeg si om VPN-en har en DNS-lekkasje??

Det er gode nyheter og dårlige nyheter for å oppdage en DNS-lekkasje. Den gode nyheten er at det er raskt, enkelt og enkelt å sjekke om VPN-enheten din lekker DNS-forespørslene dine; den dårlige nyheten er at uten å sjekke, vil du neppe vite om lekkasjen før det er for sent.

Det er mange verktøy i nettleseren for å teste om VPN-en din har en DNS eller annen form for datalekkasje, inkludert noen laget av VPN-leverandører som AirVPN (anmeldelse) eller VPN.ac. Hvis du ikke er sikker på hva du skal gjøre, kan du ganske enkelt gå til ipleak.net mens du tror VPN-enheten din er i drift. Dette nettstedet vil automatisk sjekke for en DNS-lekkasje (og forresten, gir mye mer informasjon også).

  1. Tast inn ipleak.net i nettleserens adressefelt.
  2. Når nettsiden er lastet inn, starter testen automatisk, og du får vist en IP-adresse.
  3. Hvis adressen du ser er din IP-adresse og viser din plassering, og du bruker en VPN, betyr dette at du har en DNS-lekkasje. Hvis VPNs IP-adresse vises, fungerer den normalt.

Hvis det er mulig, er det lurt å teste med flere elektroniske brikker.

Figur 1 viser ipleak.net brukt med en dårlig konfigurert VPN. Den returnerer riktig IP-adresse. Dette er en DNS-lekkasje.

IP-adressen din nr. 2

Figur 1

Figur 2 viser ipleak brukt med ExpressVPN konfigurert til å bruke en belgisk server (ExpressVPN lar deg velge fra en rekke forskjellige land). Det er ingen DNS-lekkasje åpenbar.

IP-adressen din

Figur 2

For de fleste brukere vil det være tilstrekkelig å utføre denne sjekken før du fortsetter å bla gjennom andre nettsteder. For noen brukere vil dette ikke være en perfekt løsning, ettersom det krever at du kobler deg til internett og sender DNS-forespørsler for å få tilgang til kontrollverktøyene..

Det er mulig å teste for DNS og andre lekkasjer uten å bruke et av disse nettstedene, selv om det krever at du vet din egen IP-adresse og hvordan du bruker Windows-ledeteksten. Det krever også en pålitelig testserver for deg å 'pinge' direkte ; dette kan være en privat server du kjenner og stoler på, eller en av følgende offentlige testservere:

  • whoami.akamai.net
  • resolver.dnscrypt.org
  • whoami.fluffcomputing.com
  • whoami.ultradns.net

For å gjøre dette, åpner du ledeteksten (gå til startmenyen, skriv "cmd" og trykk Enter), og skriv deretter inn følgende tekst:

  • ping [servernavn] -n 1

Bytt ut [servernavn] med adressen til den valgte testserveren (for eksempel “ping whoami.akamai.net -n 1”), og trykk Enter. Hvis noen av IP-adressene som er funnet i den resulterende teksten samsvarer med din personlige eller lokale IP, er det en indikator på at det er en DNS-lekkasje. bare VPNs IP-adresse skal vises.

Figur 3 viser resultatet når ExpressVPN kjører. Legg merke til at den eneste IP-adressen som returneres er den belgiske IP-en, som vist i figur 2. Det er ingen DNS-lekkasje synlig.

dome

Figur 3

Hvis du oppdager at VPN-enheten din har en DNS-lekkasje, er det på tide å slutte å bla til du kan finne årsaken og løse problemet. Noen av de mest sannsynlige årsakene til en DNS-lekkasje, og løsningene deres er listet opp nedenfor.

DNS-lekkasjer og problemer

Problemet nr. 1: Feil konfigurert nettverk

DNS-lekkasjeproblemer og fikser

Dette er en av de vanligste årsakene til DNS-lekkasje for brukere som kobler seg til internett gjennom forskjellige nettverk; for eksempel noen som ofte bytter mellom hjemmeruter, WiFi-kafé og offentlige hotspots. Før du kobler deg til VPNs krypterte tunnel, må enheten først koble seg til det lokale nettverket.

Uten de riktige innstillingene på plass, kan du la deg være åpen for datalekkasjer. Når du kobler til et hvilket som helst nytt nettverk, kan DHCP-innstillingene (protokollen som bestemmer maskinens IP-adresse i nettverket) automatisk tilordne en DNS-server til å håndtere oppslagforespørslene dine - en som kan tilhøre Internett-leverandøren, eller en som kanskje ikke er korrekt sikret. Selv om du kobler deg til VPN på dette nettverket, vil DNS-forespørslene dine omgå den krypterte tunnelen og forårsake en DNS-lekkasje.

Løsningen:

I de fleste tilfeller vil konfigurering av VPN på datamaskinen din for å bruke DNS-serveren levert eller foretrukket av VPN, tvinge DNS-forespørsler til å gå gjennom VPN i stedet for direkte fra det lokale nettverket. Ikke alle VPN-leverandører har imidlertid egne DNS-servere. I så fall skal en uavhengig DNS-server som OpenDNS eller Google Public DNS tillate DNS-forespørsler å gå gjennom VPN i stedet for direkte fra klientmaskinen. Dessverre avhenger endring av konfigurasjonen på denne måten mye av din spesifikke VPN-leverandør og hvilken protokoll du bruker - det kan hende du kan stille dem til å automatisk koble til riktig DNS-server uansett hvilket lokalt nettverk du kobler til; eller det kan hende du må koble manuelt til den foretrukne serveren din hver gang. Sjekk støtten til VPN-klienten din for spesifikke instruksjoner.

Hvis du må konfigurere datamaskinen din manuelt til å bruke en valgt uavhengig DNS-server, kan du finne trinnvise instruksjoner i delen "Endre innstillingene til en pålitelig, uavhengig DNS-server" nedenfor.

Problemet nr. 2: IPv6

Vanligvis, når du tenker på en IP-adresse, tenker du på en 32-biters kode som består av 4 sett med opptil 3 sifre, for eksempel 123.123.123.123 (som beskrevet ovenfor). Dette er IP-versjon 4 (IPv4), for tiden den vanligste formen for IP-adresse. Imidlertid blir bassenget med tilgjengelige ubrukte IPv4-adresser veldig lite, og IPv4 erstattes (veldig sakte) av IPv6.

IPv6-adresser består av 8 sett med 4 tegn, som kan være bokstaver eller tall, for eksempel 2001: 0db8: 85a3: 0000: 0000: 0000: 8a2e: 0370: 7334.

Internett er fremdeles i overgangsfasen mellom IPv4 og IPv6. Dette skaper mange problemer, spesielt for VPN-er. Med mindre en VPN eksplisitt har IPv6-støtte, vil enhver forespørsel til eller fra maskinen din som sendes over IPv6 - eller sendes ved hjelp av en dobbeltstabeltunnel for å konvertere IPv4 til IPv6 (se Teredo nedenfor) - fullstendig omgå VPN-tunnelen, og etterlate dine personlige data ubeskyttet . Kort sagt, IPv6 kan forstyrre VPN-en uten at du er klar over det.

De fleste nettsteder har både IPv6-adresser og IPv4-adresser, selv om et betydelig antall fremdeles bare er IPv4. Det er også noen få nettsteder som bare er IPv6. Om DNS-forespørslene dine angir IPv4- eller IPv6-adresser vil vanligvis avhenge av Internett-leverandøren din, nettverksutstyret ditt (for eksempel trådløs ruter) og det spesifikke nettstedet du prøver å få tilgang til (med implementering av IPv6 fremdeles ufullstendig, vil ikke alle brukere kunne for å få tilgang til nettsteder som kun er IPv6). Flertallet av DNS-oppslag vil fortsatt være IPv4, men de fleste brukere vil ikke være klar over om de stiller inn IPv4- eller IPv6-forespørsler hvis de kan gjøre begge deler.

En studie av forskere fra Sapienza University of Rome og Queen Mary University of London i 2015 undersøkte 14 kommersielle VPN-leverandører, og fant at 10 av dem - en urovekkende høy andel - var utsatt for IPv6-lekkasjer.

  • HideMyAss
  • IPVanish
  • Astrill
  • ExpressVPN
  • StrongVPN
  • PureVPN
  • AirVPN
  • Tunnelbear
  • ProXPN
  • Hotspot Shield Elite

Mens IPv6-lekkasje ikke strengt tatt er den samme som en standard DNS-lekkasje, har den omtrent den samme effekten på personvernet. Det er et problem som enhver VPN-bruker skal være klar over.

Løsningen:

Hvis VPN-leverandøren din allerede har full støtte for IPv6-trafikk, burde ikke denne typen lekkasjer være noe problem for deg. Noen VPN-er uten IPv6-støtte vil i stedet ha muligheten til å blokkere IPv6-trafikk. Det anbefales å gå for en IPv6-kapabel VPN i alle fall, ettersom dobbeltstabeltunneler kan tenkes å omgå en IPv6-blokk. (Se Teredo nedenfor.) De fleste VPN-er vil dessverre ikke sørge for IPv6 og vil derfor alltid lekke IPv6-trafikk. Forsikre deg om at du vet før du bruker en kommersiell VPN om de har laget bestemmelser for IPv6, og bare velg en som har full støtte for protokollen.

Problemet nr. 3: Gjennomsiktige DNS-proksier

Noen leverandører har vedtatt en policy om å tvinge sin egen DNS-server inn i bildet hvis en bruker endrer innstillingene sine for å bruke en tredjepartsserver. Hvis endringer i DNS-innstillingene blir oppdaget, bruker Internett-leverandøren en gjennomsiktig proxy - en egen server som avskjærer og omdirigerer webtrafikk - for å sikre at DNS-forespørselen din blir sendt til deres egen DNS-server. Dette er effektivt ISP’en ‘tvinger’ en DNS-lekkasje og prøver å skjule den fra brukeren. De fleste DNS-lekkasjedeteksjonsverktøy vil kunne oppdage en transparent DNS-proxy på samme måte som en standard lekkasje.

Løsningen:

Heldigvis har nylige versjoner av OpenVPN-protokollen en enkel metode for å bekjempe gjennomsiktige DNS-proxy. Først finner du .conf- eller .ovpn-filen for serveren du ønsker å koble til (disse er lagret lokalt og vil vanligvis være i C: \ Program Files \ OpenVPN \ config; se OpenVPN manualen for mer informasjon), åpne i en teksteditor som notisblokk og legg til linjen:

  • blokk-utsiden av DNS

Brukere av eldre versjoner av OpenVPN bør oppdatere til den nyeste OpenVPN-versjonen. Hvis VPN-leverandøren din ikke støtter dette, kan det være på tide å se etter en nyere VPN. I tillegg til OpenVPN-fiksen, vil mange av de bedre laget VPN-klientene ha sine egne bestemmelser innebygd for å bekjempe gjennomsiktige DNS-proxy. Se din spesifikke VPN-støtte for ytterligere detaljer.

Problemet 4: Windows 8, 8.1 eller 10s usikre “funksjoner”

Windows-operativsystemer fra og med åtte har introdusert funksjonen "Smart Multi-Homed Name Resolution", som er ment å forbedre nettleserhastigheten. Dette sender ut alle DNS-forespørsler til alle tilgjengelige DNS-servere. Opprinnelig vil dette bare godta svar fra ikke-standard DNS-servere hvis favorittene (vanligvis Internett-leverandørens egne servere eller de som er satt av brukeren) ikke klarte å svare. Dette er ille nok for VPN-brukere, ettersom det øker forekomsten av DNS-lekkasjer kraftig, men fra og med Windows 10 vil denne funksjonen som standard godta svaret fra hvilken DNS-server som er raskest å svare. Dette har ikke bare det samme problemet med DNS-lekkasje, men etterlater også brukere sårbare for DNS-forfalskningsangrep.

Løsningen:

Dette er kanskje den vanskeligste typen DNS-lekkasje å fikse, spesielt i Windows 10, fordi det er en innebygd del av Windows og kan være nesten umulig å endre. For VPN-brukere som bruker OpenVPN-protokollen, er en fritt tilgjengelig åpen kildekode-plugin (tilgjengelig her) muligens den beste og mest pålitelige løsningen.

Smart multi-homed Name Resolution kan slås av manuelt i Windows 'Local Group Policy Editor, med mindre du bruker en Home Edition av Windows. I dette tilfellet tillater Microsoft ganske enkelt ikke muligheten til å slå av denne funksjonen. Selv om du er i stand til å slå den av på denne måten, vil Windows fremdeles sende forespørselen til alle tilgjengelige servere i tilfelle den første serveren ikke svarer. Det anbefales på det sterkeste å bruke OpenVPN-pluginen for å løse dette problemet.

Det kan også være nyttig å sjekke US-CERTs retningslinjer her også. Smart Multi-Homed Name Resolution har så betydelige sikkerhetsproblemer knyttet til seg at regjeringsbyrået utstedte et eget varsel om emnet.

Problemet 5: Teredo

Teredo er Microsofts teknologi for å forbedre kompatibiliteten mellom IPv4 og IPv6, og er en innebygd funksjon i Windows-operativsystemer. For noen er det en viktig overgangsteknologi som lar IPv4 og IPv6 sameksistere uten problemer, slik at v6-adresser kan sendes, mottas og forstås på v4-tilkoblinger. For VPN-brukere er det viktigere et blendende sikkerhetshull. Siden Teredo er en tunnelprotokoll, kan det ofte ha forrang for VPNs egen krypterte tunnel, omgå den og dermed forårsake DNS-lekkasjer.

Løsningen:

Heldigvis er Teredo en funksjon som lett er deaktivert fra Windows. Åpne ledeteksten og skriv:

netsh-grensesnittet teredo-sett tilstand deaktivert

Selv om du kan oppleve noen problemer når du kobler deg til bestemte nettsteder eller servere eller bruker torrent-applikasjoner, er deaktivering av Teredo et mye sikrere valg for VPN-brukere. Det anbefales også å slå av Teredo og andre IPv6-alternativer i ruteren eller nettverkskortets innstillinger, for å sikre at ingen trafikk kan omgå VPNs tunnel.

Forhindrer fremtidige lekkasjer

forhindrer dns vpn lekkasjerNå som du har testet for en DNS-lekkasje og enten kommer ren ut, eller oppdaget og utbedret en lekkasje, er det på tide å se nærmere på å minimere sjansene for at VPN-en din spretter en lekkasje i fremtiden.

Først av alt, sørg for at alle de ovennevnte rettelsene er blitt utført på forhånd; deaktiver Teredo og Smart Multi-Homed Name Resolution, sørg for at VPN enten støtter eller blokkerer IPv6-trafikk, osv..

1. Endre innstillinger til en pålitelig, uavhengig DNS-server

Ruteren eller nettverkskortet ditt skal ha en måte å endre TCP / IP-innstillinger på, der du kan spesifisere bestemte pålitelige DNS-servere etter deres IP-adresser. Mange VPN-leverandører vil ha egne DNS-servere, og bruk av VPN vil ofte automatisk koble deg til disse; sjekk VPNs støtte for mer informasjon.

Hvis VPN-en din ikke har proprietære servere, er et populært alternativ å bruke en åpen tredjeparts DNS-server, for eksempel Google Open DNS. Slik endrer du DNS-innstillingene dine i Windows 10:

  1. Gå til kontrollpanelet
  2. Klikk "Nettverk og Internett"
  3. Klikk på "Network and Sharing Center"
  4. Klikk på "Endre adapterinnstillinger" på venstre panel.
  5. Høyreklikk på ikonet for nettverket ditt og velg "Egenskaper"
  6. Finn “Internet Protocol Version 4” i vinduet som åpnes; klikk på den og klikk deretter på "Egenskaper"
  7. Klikk på "Bruk følgende DNS-serveradresser"

Du kan nå oppgi en foretrukket og alternativ adresse for DNS-servere. Dette kan være hvilken som helst server du ønsker, men for Google Open DNS bør den foretrukne DNS-serveren være 8.8.8.8, mens den alternative DNS-serveren skal være 8.8.4.4. Se figur 4.

IPV 4

Figur 4

Det kan også være lurt å endre DNS-innstillingene på ruteren din - se i manualen eller supporten for den spesifikke enheten din for mer informasjon.

2. Bruk en brannmur eller VPN-en til å blokkere ikke-VPN-trafikk

Noen VPN-klienter vil inneholde en funksjon som automatisk blokkerer all trafikk som ikke går gjennom VPN - se etter et ‘IP Binding’ alternativ. Hvis du ikke har en VPN ennå, kan du vurdere å skaffe en herfra.

Alternativt kan du konfigurere brannmuren din slik at den kun tillater trafikk inn og ut via VPN-en. Du kan også endre innstillingene for Windows-brannmuren:

  1. Forsikre deg om at du allerede er koblet til VPN-en.
  2. Åpne Network and Sharing Center og sørg for at du kan se både ISP-tilkoblingen din (som skal vises som “Network”) og VPN-en (som skal vises som navnet på VPN). “Nettverk” skal være et hjemmenettverk, mens VPN-en skal være et offentlig nettverk. Hvis en av dem er satt til noe annet, må du klikke på dem og stille dem til riktig nettverkstype i vinduet som åpnes.
  3. Forsikre deg om at du er logget inn som administrator på maskinen din og åpne Windows-brannmurinnstillingene (eksakte trinn for dette varierer avhengig av hvilken versjon av Windows du kjører).
  4. Klikk på “Avanserte innstillinger” (se figur 5).
  5. Finn “Inngående regler” på venstre panel og klikk på den.
  6. På høyre panel, under Handlinger, bør du se et alternativ for "Ny regel ...". Klikk på dette.
  7. I det nye vinduet velger du “Program” og klikker Neste.
  8. Velg “Alle programmer” (eller velg et individuelt program du vil sperre trafikk uten VPN for) og klikk Neste.
  9. Velg “Blokker forbindelsen” og klikk Neste.
  10. Merk av for “Domene” og “Privat”, men pass på at “Offentlig” ikke er krysset av. Klikk Neste.
  11. Du bør være tilbake i Advanced Settings-menyen for Windows Firewall; finn "Utgående regler" og gjenta trinn 6 til 10.

Windows

Figur 5

3. Utfør en DNS-lekkasjetest regelmessig

Se avsnittet "Hvordan kan jeg si om VPN-en har en DNS-lekkasje?" Ovenfor for instruksjoner. Forebygging er ikke ironclad, og det er viktig å sjekke ofte at alle forholdsreglene dine fremdeles holder fast.

4. Vurder VPN “overvåkning” programvare

Dette kan legge til en ekstra kostnad på toppen av ditt eksisterende VPN-abonnement, men muligheten til å overvåke VPNs trafikk i sanntid vil tillate deg å se på et øyeblikk om en DNS-sjekk går til feil server. Noen VPN-overvåkingsprodukter tilbyr også flere automatiserte verktøy for å fikse DNS-lekkasjer.

5. Endre VPN om nødvendig

Du trenger maksimalt privatliv. Den ideelle VPN-en har innebygd DNS-lekkasjebeskyttelse, full IPv6-kompatibilitet, støtte for de nyeste versjonene av OpenVPN eller protokollen du velger, og har funksjonalitet på plass for å motvirke gjennomsiktige DNS-proxy. Prøv thebestvpn.coms dybde sammenligninger og anmeldelser for å finne VPN som tilbyr alt du trenger for å holde surfedataene dine private.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me