DNS-lekken (oorzaken en oplossingen)

Wat is een DNS-lekBrowsers gebruiken het Domain Name System (DNS) om de kloof tussen internet-IP-adressen (nummers) en domeinnamen van websites (woorden) te overbruggen.

Wanneer een webnaam wordt ingevoerd, wordt deze eerst verzonden naar een DNS-server waar de domeinnaam wordt gekoppeld aan het bijbehorende IP-adres zodat het verzoek kan worden doorgestuurd naar de juiste computer.

Dit is een groot probleem voor privacy omdat alle standaard internetverkeer via een DNS-server moet gaan waar zowel de afzender als de bestemming zijn vastgelegd.

Die DNS-server behoort meestal tot de ISP van de gebruiker en valt onder de jurisdictie van de nationale wetgeving. In het VK moet bijvoorbeeld informatie die ISP's bij zich hebben op verzoek aan de politie worden overhandigd. Hetzelfde gebeurt in de VS, maar met de toegevoegde optie voor de ISP om de gegevens aan marketingbedrijven te verkopen.

Hoewel de inhoud van communicatie tussen de lokale computer van de gebruiker en de externe website kan worden gecodeerd met SSL / TLS (het wordt weergegeven als 'https' in de URL), kunnen de adressen van de afzender en de ontvanger niet worden gecodeerd. Als gevolg hiervan is elke bezochte bestemming bekend bij iedereen die legale (of criminele) toegang heeft tot de DNS-logboeken - dat wil zeggen dat een gebruiker onder normale omstandigheden geen privacy heeft over waar hij op internet gaat.


VPN's zijn ontworpen om dit probleem op te lossen door een kloof te creëren tussen de computer van de gebruiker en de bestemmingswebsite. Maar ze werken niet altijd perfect. Een aantal problemen betekent dat in bepaalde omstandigheden de DNS-gegevens terug kunnen lekken naar de ISP en dus in het zicht van de overheid en marketingbedrijven.

De problemen staan ​​bekend als DNS-lekken. Voor deze discussie over DNS-lekken gaan we er grotendeels van uit dat uw VPN het meest gebruikte VPN-protocol, OpenVPN, gebruikt.

Wat is een DNS-lek?

Een VPN brengt een gecodeerde verbinding tot stand (meestal een ‘tunnel’ genoemd) tussen uw computer en de VPN-server; en de VPN-server stuurt uw verzoek door naar de vereiste website. Op voorwaarde dat de VPN correct werkt, ziet uw ISP alleen dat u verbinding maakt met een VPN - hij kan niet zien waar de VPN u verbindt. Internet snoopers (overheid of crimineel) kunnen geen inhoud zien omdat deze gecodeerd is.

Een DNS-lek treedt op wanneer er iets onbedoeld gebeurt en de VPN-server wordt omzeild of genegeerd. In dit geval zal de DNS-serveroperator (vaak uw ISP) zien waar u op internet naartoe gaat, terwijl u denkt dat hij dat niet kan.

Dit is slecht nieuws, omdat het het doel van het gebruik van een VPN verslaat. De inhoud van uw webverkeer is nog steeds verborgen (door de versleuteling van de VPN), maar de belangrijkste onderdelen voor anonimiteit - uw locatie en browsegegevens - blijven onbeschermd en worden waarschijnlijk door uw ISP vastgelegd.

Hoe weet ik of mijn VPN een DNS-lek heeft??

Er is goed nieuws en slecht nieuws voor het detecteren van een DNS-lek. Het goede nieuws is dat het snel, eenvoudig en eenvoudig is om te controleren of uw VPN uw DNS-verzoeken lekt; het slechte nieuws is dat je, zonder te controleren, waarschijnlijk nooit van het lek op de hoogte bent totdat het te laat is.

Er zijn veel in-browser tools om te testen of uw VPN een DNS of een andere vorm van gegevenslekkage heeft, waaronder enkele gemaakt door VPN-providers zoals AirVPN (review) of VPN.ac. Als u niet zeker weet wat u moet doen, kunt u eenvoudig naar ipleak.net gaan terwijl u denkt dat uw VPN operationeel is. Deze site controleert automatisch op een DNS-lek (en geeft overigens ook veel meer informatie).

  1. invoeren ipleak.net in de adresbalk van uw browser.
  2. Zodra de webpagina is geladen, begint de test automatisch en krijgt u een IP-adres te zien.
  3. Als het adres dat u ziet, uw IP-adres is en uw locatie aangeeft en u een VPN gebruikt, betekent dit dat u een DNS-lek heeft. Als het IP-adres van uw VPN wordt weergegeven, werkt het normaal.

Indien mogelijk is het een goed idee om te testen met meerdere online schijven.

Afbeelding 1 toont ipleak.net gebruikt met een slecht geconfigureerde VPN. Het retourneert het juiste IP-adres. Dit is een DNS-lek.

Uw IP-adres # 2

Figuur 1

Afbeelding 2 toont ipleak gebruikt met ExpressVPN geconfigureerd om een ​​Belgische server te gebruiken (ExpressVPN laat u kiezen uit een reeks verschillende landen). Er is geen DNS-lek zichtbaar.

Uw IP-adres

Figuur 2

Voor de meeste gebruikers is het voldoende om deze controle uit te voeren voordat u doorgaat met het bladeren door andere sites. Voor sommige gebruikers is dit geen perfecte oplossing, omdat het vereist dat u verbinding maakt met internet en DNS-verzoeken verzendt om toegang te krijgen tot de controletools.

Het is mogelijk om te testen op DNS en andere lekken zonder een van deze websites te gebruiken, hoewel het vereist dat u uw eigen IP-adres kent en hoe u de Windows-opdrachtprompt gebruikt, het vereist ook een vertrouwde testserver om direct te 'pingen' ; dit kan een privéserver zijn die u kent en vertrouwt, of een van de volgende openbare testservers:

  • whoami.akamai.net
  • resolver.dnscrypt.org
  • whoami.fluffcomputing.com
  • whoami.ultradns.net

Open hiervoor de opdrachtprompt (ga naar het startmenu, typ "cmd" en druk op Enter) en voer vervolgens de volgende tekst in:

  • ping [servernaam] -n 1

Vervang [servernaam] door het adres van de door u gekozen testserver (bijvoorbeeld "ping whoami.akamai.net -n 1") en druk op Enter. Als een van de IP-adressen in de resulterende tekst overeenkomt met uw persoonlijke of lokale IP, is dit een indicatie dat er een DNS-lek aanwezig is; alleen het IP-adres van uw VPN moet worden weergegeven.

Afbeelding 3 toont het resultaat met ExpressVPN actief. Merk op dat het enige geretourneerde IP-adres het Belgische IP-adres is, zoals weergegeven in figuur 2. Er is geen DNS-lek zichtbaar.

freedome

figuur 3

Als u merkt dat uw VPN een DNS-lek heeft, is het tijd om te stoppen met browsen totdat u de oorzaak kunt vinden en het probleem kunt oplossen. Enkele van de meest waarschijnlijke oorzaken van een DNS-lek en hun oplossingen worden hieronder vermeld.

Problemen en oplossingen voor DNS-lekken

Het probleem # 1: onjuist geconfigureerd netwerk

DNS Lekproblemen en oplossingen

Dit is een van de meest voorkomende oorzaken van DNS-lekkage voor gebruikers die via verschillende netwerken verbinding maken met internet; bijvoorbeeld iemand die vaak schakelt tussen de router van zijn huis, WiFi van een coffeeshop en openbare hotspots. Voordat u verbinding maakt met de versleutelde tunnel van uw VPN, moet uw apparaat eerst verbinding maken met het lokale netwerk.

Zonder de juiste instellingen kunt u uzelf openstellen voor gegevenslekken. Wanneer u verbinding maakt met een nieuw netwerk, kunnen de DHCP-instellingen (het protocol dat het IP-adres van uw machine binnen het netwerk bepaalt) automatisch een DNS-server toewijzen om uw opzoekverzoeken af ​​te handelen - een die mogelijk bij de ISP hoort of een die mogelijk niet correct is beveiligd. Zelfs als u verbinding maakt met uw VPN op dit netwerk, zullen uw DNS-aanvragen de gecodeerde tunnel omzeilen, waardoor een DNS-lek ontstaat.

De oplossing:

In de meeste gevallen zal het configureren van uw VPN op uw computer om gebruik te maken van de DNS-server die door uw VPN wordt verstrekt of waaraan uw VPN de voorkeur geeft, DNS-verzoeken dwingen om via de VPN te gaan in plaats van rechtstreeks van het lokale netwerk. Niet alle VPN-providers hebben echter hun eigen DNS-servers, in welk geval het gebruik van een onafhankelijke DNS-server zoals OpenDNS of Google Public DNS het mogelijk zou moeten maken dat DNS-aanvragen door de VPN gaan in plaats van rechtstreeks vanaf uw clientcomputer. Helaas hangt het wijzigen van de configuratie op deze manier sterk af van uw specifieke VPN-provider en welk protocol u gebruikt - u kunt mogelijk instellen dat ze automatisch verbinding maken met de juiste DNS-server, ongeacht met welk lokaal netwerk u verbinding maakt; of u moet mogelijk elke keer handmatig verbinding maken met de server van uw voorkeur. Controleer de ondersteuning voor uw VPN-client voor specifieke instructies.

Als u uw computer handmatig moet configureren om een ​​gekozen onafhankelijke DNS-server te gebruiken, vindt u stapsgewijze instructies in het gedeelte ‘Uw instellingen wijzigen in een vertrouwde, onafhankelijke DNS-server’ hieronder.

Het probleem # 2: IPv6

Als u aan een IP-adres denkt, denkt u meestal aan een 32-bits code die bestaat uit 4 sets van maximaal 3 cijfers, zoals 123.123.123.123 (zoals hierboven beschreven). Dit is IP-versie 4 (IPv4), momenteel de meest voorkomende vorm van IP-adres. De pool van beschikbare ongebruikte IPv4-adressen wordt echter erg klein en IPv4 wordt (zeer langzaam) vervangen door IPv6.

IPv6-adressen bestaan ​​uit 8 sets van 4 tekens, dit kunnen letters of cijfers zijn, zoals 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334.

Het internet bevindt zich nog steeds in de overgangsfase tussen IPv4 en IPv6. Dit veroorzaakt veel problemen, vooral voor VPN's. Tenzij een VPN expliciet IPv6-ondersteuning heeft, zal elk verzoek van of naar uw machine verzonden via IPv6 - of verzonden met behulp van een dual-stack tunnel om IPv4 naar IPv6 te converteren (zie Teredo hieronder) - de VPN-tunnel volledig omzeilen, waardoor uw persoonlijke gegevens onbeschermd blijven . Kortom, IPv6 kan uw VPN verstoren zonder dat u het merkt.

De meeste websites hebben zowel IPv6-adressen als IPv4-adressen, hoewel een aanzienlijk aantal nog steeds alleen IPv4 is. Er zijn ook enkele websites die alleen IPv6 zijn. Of uw DNS-aanvragen voor IPv4- of IPv6-adressen zijn, hangt meestal af van uw ISP, uw netwerkapparatuur (zoals een draadloze router) en de specifieke website die u probeert te openen (met de implementatie van IPv6 nog steeds onvolledig, niet alle gebruikers kunnen toegang tot alleen IPv6-websites). De meerderheid van de DNS-lookups zal nog steeds IPv4 zijn, maar de meeste gebruikers zullen niet weten of ze IPv4- of IPv6-aanvragen doen als ze beide kunnen doen.

Een onderzoek door onderzoekers van Sapienza University of Rome en Queen Mary University in Londen in 2015 onderzocht 14 commerciële VPN-providers en ontdekte dat 10 van hen - een verontrustend hoog percentage - aan IPv6-lekken blootstonden.

  • HideMyAss
  • IPVanish
  • Astrill
  • ExpressVPN
  • StrongVPN
  • PureVPN
  • AirVPN
  • Tunnelbear
  • proXPN
  • Hotspot Shield Elite

Hoewel IPv6-lekkage niet strikt hetzelfde is als een standaard DNS-lek, heeft dit vrijwel hetzelfde effect op de privacy. Het is een probleem waar elke VPN-gebruiker zich bewust van moet zijn.

De oplossing:

Als uw VPN-provider al volledige ondersteuning biedt voor IPv6-verkeer, zou dit soort lek geen probleem voor u moeten zijn. Sommige VPN's zonder IPv6-ondersteuning hebben in plaats daarvan de optie om IPv6-verkeer te blokkeren. Het wordt in elk geval aanbevolen om voor een IPv6-compatibele VPN te kiezen, omdat dual-stack tunnels mogelijk nog een IPv6-blok kunnen omzeilen. (Zie Teredo hieronder.) Helaas zijn in de meeste VPN's geen voorzieningen getroffen voor IPv6 en zal daarom altijd IPv6-verkeer lekken. Zorg ervoor dat je voordat je een commerciële VPN gebruikt, weet of ze voorzieningen hebben getroffen voor IPv6 en kies er alleen een die volledige ondersteuning voor het protocol biedt.

Het probleem # 3: transparante DNS-proxy's

Sommige ISP's hebben een beleid aangenomen om hun eigen DNS-server in beeld te brengen als een gebruiker hun instellingen wijzigt om een ​​externe server te gebruiken. Als er wijzigingen in de DNS-instellingen worden gedetecteerd, gebruikt de ISP een transparante proxy - een afzonderlijke server die webverkeer onderschept en omleidt - om ervoor te zorgen dat uw DNS-verzoek naar hun eigen DNS-server wordt verzonden. Dit is in feite de ISP die een DNS-lek "forceert" en probeert het voor de gebruiker te verbergen. De meeste DNS-lekdetectietools kunnen een transparante DNS-proxy op dezelfde manier detecteren als een standaardlek.

De oplossing:

Gelukkig hebben recente versies van het OpenVPN-protocol een eenvoudige methode om transparante DNS-proxy's te bestrijden. Zoek eerst het .conf- of .ovpn-bestand voor de server waarmee u verbinding wilt maken (deze worden lokaal opgeslagen en staan ​​meestal in C: \ Program Files \ OpenVPN \ config; zie de OpenVPN-handleiding voor meer informatie), open in een teksteditor zoals kladblok en voeg de regel toe:

  • blok-buiten-DNS

Gebruikers van oudere versies van OpenVPN moeten bijwerken naar de nieuwste OpenVPN-versie. Als uw VPN-provider dit niet ondersteunt, is het misschien tijd om een ​​nieuwere VPN te zoeken. Naast de OpenVPN-fix hebben veel van de beter gemaakte VPN-clients hun eigen voorzieningen ingebouwd voor het bestrijden van transparante DNS-proxy's. Raadpleeg de ondersteuning van uw specifieke VPN voor meer informatie.

Het probleem # 4: Onzekere "functies" van Windows 8, 8.1 of 10

Windows-besturingssystemen vanaf 8 hebben de functie "Smart Multi-Homed Name Resolution" geïntroduceerd, bedoeld om de browsersnelheid te verbeteren. Hiermee worden alle DNS-aanvragen naar alle beschikbare DNS-servers verzonden. Oorspronkelijk zou dit alleen reacties van niet-standaard DNS-servers accepteren als de favorieten (meestal de eigen servers van de ISP of die van de gebruiker) niet reageerden. Dit is al erg genoeg voor VPN-gebruikers omdat het de incidentie van DNS-lekken aanzienlijk verhoogt, maar vanaf Windows 10 accepteert deze functie standaard de reactie van elke DNS-server die het snelst reageert. Dit heeft niet alleen hetzelfde probleem van DNS-lekkage, maar maakt gebruikers ook kwetsbaar voor DNS-spoofing-aanvallen.

De oplossing:

Dit is misschien het moeilijkste soort DNS-lek om op te lossen, vooral in Windows 10, omdat het een ingebouwd onderdeel van Windows is en bijna onmogelijk kan worden gewijzigd. Voor VPN-gebruikers die het OpenVPN-protocol gebruiken, is een vrij beschikbare open-source plug-in (hier beschikbaar) mogelijk de beste en meest betrouwbare oplossing.

Slimme multi-homed naamresolutie kan handmatig worden uitgeschakeld in de lokale groepsbeleidseditor van Windows, tenzij u een Home-editie van Windows gebruikt. In dit geval staat Microsoft eenvoudigweg niet toe dat u deze functie uitschakelt. Zelfs als u het op deze manier kunt uitschakelen, verzendt Windows het verzoek nog steeds naar alle beschikbare servers in het geval dat de eerste server niet reageert. Het wordt ten zeerste aanbevolen om de OpenVPN-plug-in te gebruiken om dit probleem volledig op te lossen.

Het kan ook nuttig zijn om de richtlijnen van US-CERT hier ook te bekijken. Aan slimme multi-homed naamresolutie zijn zulke belangrijke beveiligingsproblemen verbonden dat de overheidsinstantie haar eigen waarschuwing heeft afgegeven.

Het probleem # 5: Teredo

Teredo is de technologie van Microsoft om de compatibiliteit tussen IPv4 en IPv6 te verbeteren en is een ingebouwde functie van Windows-besturingssystemen. Voor sommigen is het een essentiële overgangstechnologie waarmee IPv4 en IPv6 probleemloos naast elkaar kunnen bestaan, waardoor v6-adressen kunnen worden verzonden, ontvangen en begrepen op v4-verbindingen. Voor VPN-gebruikers is het nog belangrijker een opvallend beveiligingslek. Aangezien Teredo een tunnelingprotocol is, kan het vaak voorrang hebben op de eigen gecodeerde tunnel van uw VPN, het omzeilen en dus DNS-lekken veroorzaken.

De oplossing:

Gelukkig is Teredo een functie die gemakkelijk vanuit Windows kan worden uitgeschakeld. Open de opdrachtprompt en typ:

netsh interface teredo set status uitgeschakeld

Hoewel je mogelijk problemen ondervindt bij het verbinden met bepaalde websites of servers of het gebruiken van torrent-applicaties, is het uitschakelen van Teredo een veel veiligere keuze voor VPN-gebruikers. Het wordt ook aanbevolen om Teredo en andere IPv6-opties in de instellingen van uw router of netwerkadapter uit te schakelen, om ervoor te zorgen dat geen verkeer de tunnel van uw VPN kan omzeilen.

Lekken in de toekomst voorkomen

het voorkomen van dns vpn-lekkenNu je hebt getest op een DNS-lek en ofwel schoon bent gekomen, of een lek hebt ontdekt en verholpen, is het tijd om te kijken naar het minimaliseren van de kansen dat je VPN in de toekomst een lek veroorzaakt.

Zorg er allereerst voor dat alle bovenstaande fixes van tevoren zijn uitgevoerd; schakel Teredo en Smart Multi-Homed Name Resolution uit, zorg ervoor dat uw VPN IPv6-verkeer ondersteunt of blokkeert, enz.

1. Wijzig de instellingen in een vertrouwde, onafhankelijke DNS-server

Uw router of netwerkadapter moet een manier hebben om TCP / IP-instellingen te wijzigen, waarbij u bepaalde vertrouwde DNS-servers op basis van hun IP-adres kunt opgeven. Veel VPN-providers hebben hun eigen DNS-servers, en het gebruik van de VPN zal u vaak automatisch hiermee verbinden; raadpleeg de ondersteuning van uw VPN voor meer informatie.

Als uw VPN geen eigen servers heeft, is een populair alternatief om een ​​open DNS-server van derden te gebruiken, zoals Google Open DNS. Om uw DNS-instellingen in Windows 10 te wijzigen:

  1. Ga naar uw configuratiescherm
  2. Klik op "Netwerk en internet"
  3. Klik op "Netwerkcentrum"
  4. Klik op "Adapterinstellingen wijzigen" in het linkerpaneel.
  5. Klik met de rechtermuisknop op het pictogram voor uw netwerk en selecteer "Eigenschappen"
  6. Zoek "Internet Protocol versie 4" in het venster dat wordt geopend; klik erop en klik vervolgens op "Eigenschappen"
  7. Klik op "Gebruik de volgende DNS-serveradressen"

U kunt nu een voorkeurs- en alternatief adres voor DNS-servers invoeren. Dit kan elke gewenste server zijn, maar voor Google Open DNS moet de voorkeurs-DNS-server 8.8.8.8 zijn, terwijl de alternatieve DNS-server 8.8.4.4 moet zijn. Zie figuur 4.

IPV 4

Figuur 4

Mogelijk wilt u ook de DNS-instellingen op uw router wijzigen - raadpleeg uw handleiding of ondersteuning voor uw specifieke apparaat voor meer informatie.

2. Gebruik een firewall of uw VPN om niet-VPN-verkeer te blokkeren

Sommige VPN-clients hebben een functie om automatisch verkeer te blokkeren dat niet door de VPN gaat - zoek naar een optie 'IP-binding'. Als u nog geen VPN hebt, kunt u overwegen om hier een VPN te kopen.

Als alternatief kunt u uw firewall configureren om alleen verkeer via uw VPN in en uit te laten. U kunt ook uw Windows Firewall-instellingen wijzigen:

  1. Zorg ervoor dat je al bent verbonden met je VPN.
  2. Open het Netwerkcentrum en zorg ervoor dat u zowel uw ISP-verbinding (die als 'Netwerk' moet verschijnen) als uw VPN (die als de naam van de VPN zou moeten verschijnen) kunt zien. "Netwerk" moet een thuisnetwerk zijn, terwijl uw VPN een openbaar netwerk moet zijn. Als een van beide op iets anders is ingesteld, moet u erop klikken en ze op het juiste netwerktype instellen in het venster dat wordt geopend.
  3. Zorg ervoor dat u bent aangemeld als beheerder op uw computer en open de instellingen van Windows Firewall (exacte stappen hiervoor variëren afhankelijk van de versie van Windows die u gebruikt).
  4. Klik op "Geavanceerde instellingen" (zie figuur 5).
  5. Zoek naar "Inkomende regels" in het linkerdeelvenster en klik erop.
  6. Op het rechterpaneel, onder Acties, zou u een optie voor "Nieuwe regel ..." moeten zien. Klik hier.
  7. Kies "Programma" in het nieuwe venster en klik op Volgende.
  8. Kies "Alle programma's" (of selecteer een individueel programma waarvoor u niet-VPN-verkeer wilt blokkeren) en klik op Volgende.
  9. Kies "De verbinding blokkeren" en klik op Volgende.
  10. Vink “Domain” en “Private” aan, maar zorg ervoor dat “Public” niet is aangevinkt. Klik volgende.
  11. U zou terug moeten zijn in het menu Geavanceerde instellingen voor Windows Firewall; zoek 'Uitgaande regels' en herhaal stap 6 tot en met 10.

ramen

Figuur 5

3. Voer regelmatig een DNS-lektest uit

Raadpleeg het gedeelte "Hoe weet ik of mijn VPN een DNS-lek heeft?" Hierboven voor instructies. Preventie is niet ironisch en het is belangrijk om regelmatig te controleren of al uw voorzorgsmaatregelen nog steeds vasthouden.

4. Overweeg VPN “monitoring” software

Dit kan extra kosten toevoegen bovenop uw bestaande VPN-abonnement, maar door de mogelijkheid om het verkeer van uw VPN in realtime te volgen, kunt u in één oogopslag zien of een DNS-controle naar de verkeerde server gaat. Sommige VPN-bewakingsproducten bieden ook aanvullende, geautomatiseerde hulpmiddelen voor het verhelpen van DNS-lekken.

5. Wijzig indien nodig uw VPN

U hebt de grootst mogelijke privacy nodig. De ideale VPN heeft ingebouwde DNS-lekbescherming, volledige IPv6-compatibiliteit, ondersteuning voor de nieuwste versies van OpenVPN of het protocol van uw keuze en beschikt over functionaliteit om transparante DNS-proxy's tegen te gaan. Probeer de diepgaande vergelijkingen en beoordelingen van thebestvpn.com om de VPN te vinden die alles biedt wat u nodig hebt om uw browsegegevens privé te houden.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me