DNS-lækager (Årsager og rettelser)

Hvad er en DNS-lækageBrowsere bruger Domain Name System (DNS) til at bygge bro over afstanden mellem internet-IP-adresser (numre) og webstedets domænenavne (ord).


Når der indtastes et webnavn, sendes det først til en DNS-server, hvor domænenavnet matches med den tilknyttede IP-adresse, så anmodningen kan videresendes til den rigtige computer.

Dette er en stort problem for privatlivets fred da al standard internettrafik skal passere gennem en DNS-server, hvor både afsender og destination er logget.

Denne DNS-server hører normalt til brugerens internetudbyder og er under national lovgivning. For eksempel i Storbritannien skal oplysninger, der er indeholdt af internetudbydere, udleveres til retshåndhævelse efter anmodning. Tilsvarende sker i USA, men med den ekstra mulighed for ISP at sælge dataene til marketingfirmaer.

Mens indholdet af kommunikation mellem brugerens lokale computer og det eksterne websted kan krypteres med SSL / TLS (det vises som 'https' i URL-adressen), kan afsender- og modtageradresserne ikke krypteres. Som et resultat vil enhver besøgt destination blive kendt for den, der har lovlig (eller kriminel) adgang til DNS-logfilerne - dvs. under normale omstændigheder har en bruger intet privatliv over hvor han går på Internettet.

VPN'er er designet til at løse dette problem ved at skabe et hul mellem brugerens computer og destinationswebstedet. Men de fungerer ikke altid perfekt. En række spørgsmål betyder, at DNS-data under bestemte omstændigheder kan lækker tilbage til internetudbyderen og derfor i regerings- og marketingvirksomhedens ansvarsområde.

Problemerne er kendt som DNS-lækager. Med henblik på denne diskussion om DNS-lækager antager vi stort set, at din VPN bruger den mest almindelige VPN-protokol, OpenVPN.

Hvad er en DNS-lækage?

En VPN opretter en krypteret forbindelse (normalt kaldet en 'tunnel') mellem din computer og VPN-serveren; og VPN-serveren sender din anmodning videre til det krævede websted. Forudsat at VPN fungerer korrekt, vil alt din ISP se, at du opretter forbindelse til en VPN - den kan ikke se, hvor VPN forbinder dig. Internet snoopers (regering eller kriminel) kan ikke se noget indhold, fordi det er krypteret.

En DNS-lækage opstår, når der sker noget utilsigtet, og VPN-serveren omgås eller ignoreres. I dette tilfælde vil DNS-serveroperatøren (ofte din internetudbyder) se, hvor du går på Internettet, mens du mener, at han ikke kan.

Dette er dårlige nyheder, da det besejrer formålet med at bruge en VPN. Indholdet af din webtrafik er stadig skjult (af VPN's kryptering), men de vigtigste dele til anonymitet - din placering og browserdata - forbliver ubeskyttet og sandsynligvis logget af din internetudbyder..

Hvordan man kan se, om min VPN har en DNS-lækage?

Der er gode nyheder og dårlige nyheder til at opdage en DNS-lækage. Den gode nyhed er, at det er hurtigt, nemt og enkelt at kontrollere, om din VPN lækker dine DNS-anmodninger; den dårlige nyhed er, at uden at kontrollere, er det usandsynligt, at du nogensinde vil vide noget om lækagen, før det er for sent.

Der er mange i browser-værktøjer til at teste, om din VPN har en DNS eller anden form for datalækage, herunder nogle lavet af VPN-udbydere, såsom AirVPN (anmeldelse) eller VPN.ac. Hvis du ikke er sikker på, hvad du skal gøre, kan du ganske enkelt gå til ipleak.net, mens du mener, at din VPN er operationel. Dette websted vil automatisk tjekke for en DNS-lækage (og giver i øvrigt meget mere information).

  1. Gå ind ipleak.net i din browsers adresselinje.
  2. Når websiden er indlæst, begynder testen automatisk, og du får vist en IP-adresse.
  3. Hvis den adresse, du ser, er din IP-adresse og viser din placering, og du bruger en VPN, betyder det, at du har en DNS-lækage. Hvis din VPNs IP-adresse vises, fungerer den normalt.

Hvis det er muligt, er det en god ide at teste med flere online checkers.

Figur 1 viser ipleak.net brugt med en dårligt konfigureret VPN. Den returnerer den rigtige IP-adresse. Dette er en DNS-lækage.

Din IP-adresse nr. 2

figur 1

Figur 2 viser ipleak brugt med ExpressVPN konfigureret til at bruge en belgisk server (ExpressVPN giver dig mulighed for at vælge fra en række forskellige lande). Der er ingen DNS-lækager synlige.

Din IP-adresse

Figur 2

For de fleste brugere vil det være tilstrækkeligt at udføre denne check, før de fortsætter med at gennemse andre steder. For nogle brugere vil dette ikke være en perfekt løsning, da det kræver, at du opretter forbindelse til internettet og sender DNS-anmodninger for at få adgang til checker-værktøjerne.

Det er muligt at teste for DNS og andre lækager uden at bruge et af disse websteder, selvom det kræver, at du kender din egen IP-adresse, og hvordan du bruger Windows-kommandoprompten. Det kræver også en betroet testserver for dig at 'pinge' direkte ; dette kan være en privat server, du kender og har tillid til, eller en af ​​følgende offentlige testservere:

  • whoami.akamai.net
  • resolver.dnscrypt.org
  • whoami.fluffcomputing.com
  • whoami.ultradns.net

For at gøre dette skal du åbne kommandoprompten (gå til startmenuen, skriv “cmd” og tryk på Enter), og indtast derefter følgende tekst:

  • ping [servernavn] -n 1

Udskift [servernavn] med adressen på din valgte testserver (for eksempel “ping whoami.akamai.net -n 1”), og tryk på Enter. Hvis en af ​​de IP-adresser, der findes i den resulterende tekst, matcher din personlige eller lokale IP, er det en indikator for, at der er en DNS-lækage; kun din VPNs IP-adresse skal vises.

Figur 3 viser resultatet, når ExpressVPN kører. Bemærk, at den eneste IP-adresse, der returneres, er den belgiske IP, som vist i figur 2. Der er ingen DNS-lækager synlige.

freedome

Figur 3

Hvis du finder ud af, at din VPN har en DNS-lækage, er det tid til at stoppe browsing, indtil du kan finde årsagen og løse problemet. Nogle af de mest sandsynlige årsager til en DNS-lækage, og deres løsninger er anført nedenfor.

DNS lækker problemer og løsninger

Problem nr. 1: Forkert konfigureret netværk

DNS Lækage problemer og rettelser

Dette er en af ​​de mest almindelige årsager til DNS-lækage for brugere, der opretter forbindelse til internettet gennem forskellige netværk; for eksempel en, der ofte skifter mellem deres hjem router, en cafés WiFi og offentlige hotspots. Før du opretter forbindelse til din VPNs krypterede tunnel, skal din enhed først oprette forbindelse til det lokale netværk.

Uden de rette indstillinger på plads kan du lade dig være åben for datalækager. Når du opretter forbindelse til et nyt netværk, kan DHCP-indstillingerne (protokollen, der bestemmer din maskins IP-adresse i netværket) automatisk tildele en DNS-server til at håndtere dine opslagsanmodninger - en, der muligvis hører til internetudbyderen, eller en, der muligvis ikke er korrekt sikret. Selv hvis du opretter forbindelse til din VPN på dette netværk, vil dine DNS-anmodninger omgå den krypterede tunnel, hvilket forårsager en DNS-lækage.

Rettelsen:

I de fleste tilfælde konfigurerer din VPN på din computer til at bruge den DNS-server, der leveres eller foretrækkes af din VPN, tvinger DNS-anmodninger til at gå gennem VPN snarere end direkte fra det lokale netværk. Ikke alle VPN-udbydere har dog deres egne DNS-servere, i hvilket tilfælde brug af en uafhængig DNS-server som OpenDNS eller Google Public DNS bør tillade, at DNS-anmodninger går gennem VPN snarere end direkte fra din klientmaskine. Desværre afhænger ændring af konfigurationen meget på din specifikke VPN-udbyder og hvilken protokol du bruger - du kan muligvis indstille dem til automatisk at oprette forbindelse til den korrekte DNS-server, uanset hvilket lokalt netværk du opretter forbindelse til; eller du bliver muligvis nødt til at oprette forbindelse manuelt til din foretrukne server hver gang. Tjek supporten til din VPN-klient for specifikke instruktioner.

Hvis du manuelt skal konfigurere din computer til at bruge en valgt uafhængig DNS-server, kan du finde trin-for-trin-instruktioner i afsnittet 'Skift dine indstillinger til en betroet, uafhængig DNS-server' nedenfor.

Problemet 2: IPv6

Når du tænker på en IP-adresse, tænker du normalt på en 32-bit-kode, der består af 4 sæt på op til 3 cifre, såsom 123.123.123.123 (som beskrevet ovenfor). Dette er IP-version 4 (IPv4), i øjeblikket den mest almindelige form for IP-adresse. Puljen med tilgængelige ubrugte IPv4-adresser bliver imidlertid meget lille, og IPv4 erstattes (meget langsomt) med IPv6.

IPv6-adresser består af 8 sæt på 4 tegn, der kan være bogstaver eller tal, såsom 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334.

Internettet er stadig i overgangsfasen mellem IPv4 og IPv6. Dette skaber en masse problemer, især for VPN'er. Medmindre en VPN eksplicit har IPv6-understøttelse, vil enhver anmodning til eller fra din maskine, der sendes via IPv6 - eller sendes ved hjælp af en dobbeltstakketunnel til konvertering af IPv4 til IPv6 (se Teredo nedenfor) - omgå VPN-tunnelen fuldstændigt og efterlade dine personlige data ubeskyttet . Kort sagt kan IPv6 forstyrre din VPN uden at du er opmærksom på det.

De fleste websteder har både IPv6-adresser og IPv4-adresser, skønt et betydeligt antal stadig er kun IPv4. Der er også et par websteder, der kun er IPv6. Hvorvidt dine DNS-anmodninger vedrører IPv4- eller IPv6-adresser vil normalt afhænge af din ISP, dit netværksudstyr (såsom trådløs router) og det specifikke websted, du prøver at få adgang til (med implementering af IPv6 stadig ufuldstændig, er det ikke alle brugere, der er i stand til for at få adgang til IPv6-kun websteder). Størstedelen af ​​DNS-opslag vil stadig være IPv4, men de fleste brugere vil ikke være opmærksomme på, om de fremsætter IPv4- eller IPv6-anmodninger, hvis de er i stand til at gøre begge dele.

En undersøgelse foretaget af forskere fra Sapienza University of Rome og Queen Mary University of London i 2015 undersøgte 14 kommercielle VPN-udbydere og fandt, at 10 af dem - en foruroligende høj andel - var udsat for IPv6-lækager.

  • HideMyAss
  • IPVanish
  • Astrill
  • ExpressVPN
  • StrongVPN
  • PureVPN
  • AirVPN
  • Tunnelbear
  • ProXPN
  • Hotspot Shield Elite

Mens IPv6-lækage ikke strengt taget er den samme som en standard DNS-lækage, har den stort set den samme effekt på privatlivets fred. Det er et problem, som enhver VPN-bruger skal være opmærksom på.

Rettelsen:

Hvis din VPN-udbyder allerede har fuld support til IPv6-trafik, skulle denne type lækage ikke være et problem for dig. Nogle VPN'er uden IPv6-understøttelse har i stedet mulighed for at blokere IPv6-trafik. Det anbefales under alle omstændigheder at gå efter en IPv6-kompatibel VPN, da dual-stack tunnels muligvis stadig kan omgå en IPv6-blok. (Se Teredo nedenfor.) De fleste af VPN'erne har desværre ingen bestemmelse om IPv6 og vil derfor altid lække IPv6-trafik. Sørg for, at du ved, før du bruger en kommerciel VPN, om de har foretaget bestemmelser for IPv6, og vælg kun en, der har fuld understøttelse af protokollen.

Problemet nr. 3: Gennemsigtig DNS-proxy

Nogle internetudbydere har vedtaget en politik om at tvinge deres egen DNS-server til billedet, hvis en bruger ændrer deres indstillinger til at bruge en tredjepartsserver. Hvis der registreres ændringer i DNS-indstillingerne, bruger internetudbyderen en gennemsigtig proxy - en separat server, der opfanger og omdirigerer webtrafik - for at sikre, at din DNS-anmodning sendes til deres egen DNS-server. Dette er effektivt internetudbyderen 'tvinger' en DNS-lækage og forsøger at skjule den fra brugeren. De fleste DNS-lækagedetektionsværktøjer vil være i stand til at registrere en gennemsigtig DNS-proxy på samme måde som en standard lækage.

Rettelsen:

Heldigvis har nylige versioner af OpenVPN-protokollen en nem metode til at bekæmpe gennemsigtige DNS-proxies. Find først .conf- eller .ovpn-filen til den server, du vil oprette forbindelse til (disse er gemt lokalt og vil normalt være i C: \ Program Files \ OpenVPN \ config; se OpenVPN-manualen for flere detaljer), åbn i en teksteditor kan lide notepad og tilføje linjen:

  • blok-uden-dns

Brugere af ældre versioner af OpenVPN bør opdatere til den nyeste OpenVPN-version. Hvis din VPN-udbyder ikke understøtter dette, kan det være tid til at kigge efter en nyere VPN. Ud over OpenVPN-fixen vil mange af de bedre forberedte VPN-klienter have deres egne bestemmelser indbygget til bekæmpelse af gennemsigtige DNS-proxier. Se din specifikke VPN-support for yderligere oplysninger.

Problemet 4: Windows 8, 8.1 eller 10s usikre "funktioner"

Windows-operativsystemer fra 8 og fremefter har introduceret funktionen "Smart Multi-Homed Name Resolution", der er beregnet til at forbedre webbrowsinghastighederne. Dette sender alle DNS-anmodninger til alle tilgængelige DNS-servere. Oprindeligt accepterede dette kun svar fra ikke-standard DNS-servere, hvis favoritterne (normalt ISP'ens egne servere eller dem, der er angivet af brugeren) ikke svarede. Dette er dårligt nok for VPN-brugere, da det i høj grad øger forekomsten af ​​DNS-lækager, men som med Windows 10 vil denne funktion som standard acceptere svaret fra den DNS-server, der er hurtigst at svare. Dette har ikke kun det samme problem med DNS-lækage, men efterlader også brugere sårbare over for DNS-spoofingangreb.

Rettelsen:

Dette er måske den sværeste slags DNS-lækage, der skal rettes, især i Windows 10, fordi det er en indbygget del af Windows og kan være næsten umulig at ændre. For VPN-brugere, der bruger OpenVPN-protokollen, er et frit tilgængeligt open source-plugin (tilgængeligt her) muligvis den bedste og mest pålidelige løsning.

Smart multi-homed-opløsning kan deaktiveres manuelt i Windows 'Lokale gruppepolitisk redigeringsprogram, medmindre du bruger en hjemmeudgave af Windows. I dette tilfælde tillader Microsoft simpelthen ikke muligheden for at slukke for denne funktion. Selv hvis du er i stand til at slå den fra på denne måde, sender Windows stadig anmodningen til alle tilgængelige servere, hvis den første server ikke svarer. Det anbefales stærkt at bruge OpenVPN-pluginet til fuldt ud at løse dette problem.

Det kan også være nyttigt at kontrollere US-CERTs retningslinjer her også. Smart multi-homed Name Resolution har så betydelige sikkerhedsproblemer forbundet med den, at regeringsorganet udsendte sin egen alarm om emnet.

Problemet 5: Teredo

Teredo er Microsofts teknologi til forbedring af kompatibilitet mellem IPv4 og IPv6 og er en indbygget funktion i Windows-operativsystemer. For nogle er det en vigtig overgangsteknologi, der tillader IPv4 og IPv6 at eksistere uden problemer, hvilket gør det muligt for v6-adresser at blive sendt, modtaget og forstået på v4-forbindelser. For VPN-brugere er det vigtigere et blændende sikkerhedshul. Da Teredo er en tunnelprotokol, kan det ofte have forrang for din VPNs egen krypterede tunnel ved at omgå den og dermed forårsage DNS-lækager.

Rettelsen:

Heldigvis er Teredo en funktion, der let er deaktiveret inden for Windows. Åbn kommandoprompten og skriv:

netsh interface teredo sæt tilstand deaktiveret

Selvom du muligvis oplever nogle problemer, når du opretter forbindelse til bestemte websteder eller servere eller bruger torrent-applikationer, er deaktivering af Teredo et meget mere sikkert valg for VPN-brugere. Det anbefales også at slukke Teredo og andre IPv6-indstillinger i din router- eller netværkskortets indstillinger, for at sikre, at ingen trafik kan omgå din VPN's tunnel.

Forebyggelse af fremtidige lækager

forhindrer dns vpn lækagerNu hvor du har testet for en DNS-lækage og enten kommer ud, eller opdaget og afhjulpet en lækage, er det tid til at undersøge mulighederne for, at din VPN springer en lækage fremover.

Først og fremmest skal du sikre dig, at alle ovennævnte rettelser er blevet udført på forhånd; deaktiver Teredo og Smart Multi-Homed Name Resolution, skal du sørge for, at din VPN enten understøtter eller blokerer IPv6-trafik osv..

1. Skift indstillinger til en betroet, uafhængig DNS-server

Din router eller netværksadapter skal have en måde at ændre TCP / IP-indstillinger på, hvor du kan specificere bestemte betroede DNS-servere ved hjælp af deres IP-adresser. Mange VPN-udbydere har deres egne DNS-servere, og brug af VPN vil ofte automatisk forbinde dig til disse; tjek din VPNs support for at få flere oplysninger.

Hvis din VPN ikke har proprietære servere, er et populært alternativ at bruge en åben, tredjeparts DNS-server, f.eks. Google Open DNS. Sådan ændres dine DNS-indstillinger i Windows 10:

  1. Gå til dit kontrolpanel
  2. Klik på "Netværk og internet"
  3. Klik på "Netværk og delingscenter"
  4. Klik på "Skift adapterindstillinger" i panelet til venstre.
  5. Højreklik på ikonet for dit netværk og vælg "Egenskaber"
  6. Find “Internet Protocol version 4” i det vindue, der åbnes; Klik på det og klik derefter på "Egenskaber"
  7. Klik på "Brug følgende DNS-serveradresser"

Du kan nu indtaste en foretrukken og alternativ adresse til DNS-servere. Dette kan være en hvilken som helst server, du ønsker, men for Google Open DNS skal den foretrukne DNS-server være 8.8.8.8, mens den alternative DNS-server skal være 8.8.4.4. Se figur 4.

IPV 4

Figur 4

Du ønsker måske også at ændre DNS-indstillingerne på din router - se din manual eller support til din specifikke enhed for yderligere information.

2. Brug en firewall eller din VPN til at blokere ikke-VPN-trafik

Nogle VPN-klienter vil indeholde en funktion til automatisk at blokere enhver trafik, der ikke går gennem VPN - se efter en 'IP Binding' mulighed. Hvis du endnu ikke har en VPN, kan du overveje at hente en herfra.

Alternativt kan du konfigurere din firewall til kun at tillade trafik ind og ud via din VPN. Du kan også ændre dine Windows Firewall-indstillinger:

  1. Sørg for, at du allerede er tilsluttet din VPN.
  2. Åbn Network and Sharing Center, og sørg for, at du både kan se din ISP-forbindelse (som skal vises som "Network") og din VPN (som skal vises som VPN-navnet). “Netværk” skal være et hjemmenetværk, mens din VPN skal være et offentligt netværk. Hvis en af ​​dem er indstillet til noget andet, skal du klikke på dem og indstille dem til den passende netværkstype i det vindue, der åbnes.
  3. Sørg for, at du er logget ind som administrator på din maskine og åbn Windows Firewall-indstillingerne (nøjagtige trin for dette varierer afhængigt af hvilken version af Windows du kører).
  4. Klik på “Avancerede indstillinger” (se figur 5).
  5. Find “Indgående regler” i venstre panel, og klik på det.
  6. På højre panel under Handlinger skal du se en mulighed for “Ny regel…”. Klik på dette.
  7. I det nye vindue skal du vælge “Program” og klikke på Næste.
  8. Vælg "Alle programmer" (eller vælg et individuelt program, du vil blokere for ikke-VPN-trafik til), og klik på Næste.
  9. Vælg "Bloker forbindelsen", og klik på Næste.
  10. Afkryds "Domæne" og "Privat", men sørg for, at "Offentlig" ikke er krydset af. Klik på Næste.
  11. Du skal være tilbage i menuen Avancerede indstillinger til Windows Firewall; Find “Udgående regler”, og gentag trin 6 til 10.

vinduer

Figur 5

3. Udfør regelmæssigt en DNS-lækketest

Se afsnittet "Hvordan kan jeg fortælle, om min VPN har en DNS-lækage?" Ovenfor for instruktioner. Forebyggelse er ikke ironclad, og det er vigtigt at kontrollere ofte, at alle dine forholdsregler stadig holder fast.

4. Overvej VPN “overvågning” -software

Dette kan tilføje en ekstra udgift oven på dit eksisterende VPN-abonnement, men muligheden for at overvåge din VPN's trafik i realtid giver dig mulighed for at se et øjeblik, hvis en DNS-check går til den forkerte server. Nogle VPN-overvågningsprodukter tilbyder også yderligere, automatiserede værktøjer til fastsættelse af DNS-lækager.

5. Skift om nødvendigt din VPN

Du har brug for det maksimale mulige privatliv. Den ideelle VPN vil have indbygget DNS-lækagesikring, fuld IPv6-kompatibilitet, support til de nyeste versioner af OpenVPN eller protokollen efter dit valg og har funktionalitet på plads til at modvirke gennemsigtige DNS-proxies. Prøv thebestvpn.com's dybdegående sammenligninger og anmeldelser for at finde VPN, der tilbyder alt hvad du har brug for for at holde dine browserdata private.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me