Vazamentos de DNS (causas e correções)

O que é um vazamento de DNSOs navegadores usam o DNS (Sistema de Nomes de Domínio) para preencher a lacuna entre endereços IP da Internet (números) e nomes de domínio do site (palavras).

Quando um nome da web é inserido, ele é enviado primeiro para um servidor DNS no qual o nome do domínio corresponde ao endereço IP associado, para que a solicitação possa ser encaminhada ao computador correto.

Isto é um enorme problema de privacidade pois todo o tráfego padrão da Internet deve passar por um servidor DNS no qual o remetente e o destino estão registrados.

Esse servidor DNS geralmente pertence ao ISP do usuário e está sob a jurisdição das leis nacionais. Por exemplo, no Reino Unido, as informações mantidas pelos ISPs devem ser entregues às autoridades sob demanda. Semelhante acontece nos EUA, mas com a opção adicional de o ISP vender os dados para empresas de marketing.

Embora o conteúdo das comunicações entre o computador local do usuário e o site remoto possa ser criptografado com SSL / TLS (aparece como "https" no URL), os endereços do remetente e do destinatário não podem ser criptografados. Como resultado, todos os destinos visitados serão conhecidos por quem tiver acesso legal (ou criminal) aos registros DNS - ou seja, em circunstâncias normais, um usuário não tem privacidade sobre onde está na Internet.


As VPNs foram projetadas para resolver esse problema, criando uma lacuna entre o computador do usuário e o site de destino. Mas eles nem sempre funcionam perfeitamente. Uma série de questões significa que, em determinadas circunstâncias, os dados do DNS podem vazar de volta para o ISP e, portanto, para o alcance das empresas governamentais e de marketing.

Os problemas são conhecidos como vazamentos de DNS. Para os fins desta discussão sobre vazamentos de DNS, assumiremos amplamente que sua VPN usa o protocolo VPN mais comum, o OpenVPN.

O que é um vazamento de DNS?

Uma VPN estabelece uma conexão criptografada (geralmente chamada de 'túnel') entre o seu computador e o servidor VPN; e o servidor VPN envia sua solicitação para o site necessário. Desde que a VPN esteja funcionando corretamente, tudo o que seu ISP verá é que você está se conectando a uma VPN - não pode ver onde a VPN o conecta. Bisbilhoteiros da Internet (governamentais ou criminais) não podem ver nenhum conteúdo porque ele é criptografado.

Um vazamento de DNS ocorre quando algo inesperado acontece e o servidor VPN é ignorado ou ignorado. Nesse caso, o operador do servidor DNS (geralmente seu ISP) verá para onde você está indo na Internet enquanto acredita que ele não pode.

Isso é uma má notícia, pois anula o propósito de usar uma VPN. O conteúdo do seu tráfego na Web ainda está oculto (pela criptografia da VPN), mas as partes mais importantes para o anonimato - sua localização e dados de navegação - são deixadas desprotegidas e provavelmente registradas pelo seu ISP.

Como saber se minha VPN tem um vazamento de DNS?

Existem boas e más notícias para detectar um vazamento de DNS. A boa notícia é que verificar se a sua VPN está vazando suas solicitações de DNS é rápido, fácil e simples; a má notícia é que, sem verificar, é improvável que você saiba sobre o vazamento até que seja tarde demais.

Existem muitas ferramentas no navegador para testar se a sua VPN possui um DNS ou outra forma de vazamento de dados, incluindo algumas feitas por provedores de VPN como AirVPN (revisão) ou VPN.ac. Se você não tem certeza do que fazer, basta acessar o ipleak.net enquanto acredita que sua VPN está operacional. Este site verifica automaticamente se há um vazamento de DNS (e, aliás, fornece muito mais informações também).

  1. Entrar ipleak.net na barra de endereço do seu navegador.
  2. Depois que a página da web é carregada, o teste começa automaticamente e você verá um endereço IP.
  3. Se o endereço que você vê é o seu endereço IP e mostra sua localização e você está usando uma VPN, isso significa que você tem um vazamento de DNS. Se o endereço IP da sua VPN for exibido, ele funcionará normalmente.

Se possível, é uma boa ideia testar com várias damas online.

A Figura 1 mostra o ipleak.net usado com uma VPN mal configurada. Retorna o endereço IP correto. Este é um vazamento de DNS.

O seu endereço IP # 2

figura 1

A Figura 2 mostra o ipleak usado com o ExpressVPN configurado para usar um servidor belga (o ExpressVPN permite selecionar entre vários países). Não há vazamento de DNS aparente.

O seu endereço IP

Figura 2

Para a maioria dos usuários, executar essa verificação antes de continuar navegando em outros sites será suficiente. Para alguns usuários, essa não será uma solução perfeita, pois exige que você se conecte à Internet e envie solicitações de DNS para acessar as ferramentas do verificador.

É possível testar o DNS e outros vazamentos sem usar um desses sites, embora exija que você saiba seu próprio endereço IP e como usar o prompt de comando do Windows. Também requer um servidor de teste confiável para você 'pingar' diretamente ; pode ser um servidor privado que você conhece e confia ou um dos seguintes servidores de teste públicos:

  • whoami.akamai.net
  • resolver.dnscrypt.org
  • whoami.fluffcomputing.com
  • whoami.ultradns.net

Para fazer isso, abra o prompt de comando (vá para o menu Iniciar, digite "cmd" e pressione Enter) e digite o seguinte texto:

  • ping [nome do servidor] -n 1

Substitua [nome do servidor] pelo endereço do servidor de teste escolhido (por exemplo, “ping whoami.akamai.net -n 1”) e pressione Enter. Se algum dos endereços IP encontrados no texto resultante corresponder ao seu IP pessoal ou local, é um indicador de que um vazamento de DNS está presente; apenas o endereço IP da sua VPN deve ser mostrado.

A Figura 3 mostra o resultado com o ExpressVPN em execução. Observe que o único endereço IP retornado é o IP belga, como mostrado na Figura 2. Não há vazamento de DNS aparente.

FREEDOME

Figura 3

Se você achar que sua VPN possui um vazamento de DNS, é hora de parar de navegar até encontrar a causa e corrigir o problema. Algumas das causas mais prováveis ​​de um vazamento de DNS e suas soluções estão listadas abaixo.

Problemas e soluções de vazamentos de DNS

O problema # 1: rede configurada incorretamente

Problemas e correções de vazamento de DNS

Essa é uma das causas mais comuns de vazamento de DNS para usuários que se conectam à Internet através de redes diferentes; por exemplo, alguém que frequentemente alterna entre o roteador doméstico, o Wi-Fi de uma cafeteria e os pontos de acesso públicos. Antes de se conectar ao túnel criptografado da sua VPN, seu dispositivo deve primeiro se conectar à rede local.

Sem as configurações adequadas, você pode ficar aberto a vazamentos de dados. Ao conectar-se a qualquer nova rede, as configurações de DHCP (o protocolo que determina o endereço IP da sua máquina na rede) podem atribuir automaticamente um servidor DNS para atender às suas solicitações de pesquisa - uma que possa pertencer ao ISP ou uma que não seja adequada. protegido. Mesmo se você se conectar à sua VPN nesta rede, suas solicitações de DNS ignorarão o túnel criptografado, causando um vazamento de DNS..

O conserto:

Na maioria dos casos, a configuração da sua VPN no seu computador para usar o servidor DNS fornecido ou preferido por sua VPN forçará as solicitações de DNS a passar pela VPN, em vez de diretamente da rede local. Porém, nem todos os provedores de VPN têm seus próprios servidores DNS; nesse caso, o uso de um servidor DNS independente, como o OpenDNS ou o Google Public DNS, deve permitir que solicitações de DNS passem pela VPN e não diretamente da máquina do cliente. Infelizmente, alterar a configuração dessa maneira depende muito do seu provedor VPN específico e de qual protocolo você está usando - você pode configurá-los para se conectarem automaticamente ao servidor DNS correto, independentemente da rede local à qual você se conecta; ou talvez seja necessário conectar-se manualmente ao servidor preferido a cada vez. Verifique o suporte para o seu cliente VPN para obter instruções específicas.

Se você precisar configurar manualmente o computador para usar um servidor DNS independente escolhido, poderá encontrar instruções passo a passo na seção "Altere suas configurações para um servidor DNS independente e confiável" abaixo.

O Problema # 2: IPv6

Geralmente, quando você pensa em um endereço IP, pensa em um código de 32 bits que consiste em 4 conjuntos de até 3 dígitos, como 123.123.123.123 (como descrito acima). Esta é a versão 4 do IP (IPv4), atualmente a forma mais comum de endereço IP. No entanto, o pool de endereços IPv4 não utilizados disponíveis está ficando muito pequeno e o IPv4 está sendo substituído (muito lentamente) pelo IPv6..

Os endereços IPv6 consistem em 8 conjuntos de 4 caracteres, que podem ser letras ou números, como 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334.

A internet ainda está na fase de transição entre IPv4 e IPv6. Isso está criando muitos problemas, especialmente para VPNs. A menos que uma VPN tenha suporte IPv6 explicitamente, qualquer solicitação de / para sua máquina enviada por IPv6 - ou enviada usando um túnel de pilha dupla para converter IPv4 em IPv6 (consulte Teredo abaixo) - ignorará completamente o túnel da VPN, deixando seus dados pessoais desprotegidos . Em resumo, o IPv6 pode interromper sua VPN sem que você esteja ciente disso..

A maioria dos sites possui endereços IPv6 e IPv4, embora um número significativo ainda seja apenas IPv4. Existem também alguns sites que são apenas IPv6. Se suas solicitações de DNS são para endereços IPv4 ou IPv6 geralmente dependerão do seu ISP, do seu equipamento de rede (como roteador sem fio) e do site específico que você está tentando acessar (com a implementação do IPv6 ainda incompleta, nem todos os usuários poderão para acessar sites somente IPv6). A maioria das pesquisas de DNS ainda será IPv4, mas a maioria dos usuários não saberá se estão fazendo solicitações de IPv4 ou IPv6 se puderem fazer as duas coisas..

Um estudo realizado por pesquisadores da Universidade Sapienza de Roma e da Universidade Queen Mary de Londres em 2015 examinou 14 provedores comerciais de VPN e descobriu que 10 deles - uma proporção perturbadoramente alta - estavam sujeitos a vazamentos de IPv6.

  • HideMyAss
  • IPVanish
  • Astrill
  • ExpressVPN
  • StrongVPN
  • PureVPN
  • AirVPN
  • Tunnelbear
  • ProXPN
  • Hotspot Shield Elite

Embora o vazamento de IPv6 não seja estritamente o mesmo que um vazamento de DNS padrão, ele tem o mesmo efeito na privacidade. É um problema que qualquer usuário da VPN deve estar ciente.

O conserto:

Se o seu provedor de VPN já tiver suporte total para o tráfego IPv6, esse tipo de vazamento não deve ser um problema para você. Algumas VPNs sem suporte a IPv6 terão a opção de bloquear o tráfego IPv6. Em qualquer caso, é recomendável optar por uma VPN compatível com IPv6, pois é possível que os túneis de pilha dupla ainda contornem um bloco IPv6. (Veja Teredo abaixo.) Infelizmente, a maioria das VPNs não possui nenhuma provisão para IPv6 e, portanto, sempre vaza o tráfego IPv6. Antes de usar uma VPN comercial, verifique se eles fizeram provisões para o IPv6 e escolha apenas uma que tenha suporte total ao protocolo.

O Problema # 3: Proxies DNS Transparentes

Alguns ISPs adotaram uma política de forçar seu próprio servidor DNS para a imagem se um usuário alterar suas configurações para usar um servidor de terceiros. Se forem detectadas alterações nas configurações de DNS, o ISP usará um proxy transparente - um servidor separado que intercepta e redireciona o tráfego da Web - para garantir que sua solicitação de DNS seja enviada ao seu próprio servidor DNS. Este é efetivamente o ISP 'forçando' um vazamento de DNS e tentando disfarçar o usuário. A maioria das ferramentas de detecção de vazamento de DNS poderá detectar um proxy DNS transparente da mesma maneira que um vazamento padrão.

O conserto:

Felizmente, as versões recentes do protocolo OpenVPN têm um método fácil de combater proxies DNS transparentes. Primeiro, localize o arquivo .conf ou .ovpn do servidor ao qual você deseja se conectar (eles são armazenados localmente e geralmente estarão em C: \ Arquivos de Programas \ OpenVPN \ config; consulte o manual do OpenVPN para obter mais detalhes), aberto em editor de texto como o bloco de notas e adicione a linha:

  • dns de bloco externo

Usuários de versões mais antigas do OpenVPN devem atualizar para a versão mais recente do OpenVPN. Se o seu provedor de VPN não suportar isso, talvez seja hora de procurar uma VPN mais nova. Além da correção do OpenVPN, muitos dos clientes VPN com melhor desempenho terão suas próprias provisões incorporadas para combater proxies DNS transparentes. Consulte o suporte da sua VPN específica para obter mais detalhes.

O problema nº 4: "recursos" inseguros do Windows 8, 8.1 ou 10

Os sistemas operacionais Windows, de 8 em diante, introduziram o recurso "Resolução de nome com várias residências inteligentes", destinado a melhorar as velocidades de navegação na web. Isso envia todas as solicitações de DNS para todos os servidores DNS disponíveis. Originalmente, isso só aceitaria respostas de servidores DNS não padrão se os favoritos (geralmente os próprios servidores do ISP ou aqueles definidos pelo usuário) não respondessem. Isso é ruim o suficiente para usuários de VPN, pois aumenta bastante a incidência de vazamentos de DNS, mas, no Windows 10, esse recurso, por padrão, aceita a resposta de qualquer servidor DNS que for mais rápido a responder. Isso não apenas tem o mesmo problema de vazamento de DNS, mas também deixa os usuários vulneráveis ​​a ataques de falsificação de DNS.

O conserto:

Esse talvez seja o tipo mais difícil de vazamento de DNS para corrigir, especialmente no Windows 10, porque é uma parte interna do Windows e pode ser quase impossível de mudar. Para usuários de VPN que usam o protocolo OpenVPN, um plug-in de código aberto disponível gratuitamente (disponível aqui) é possivelmente a melhor e mais confiável solução.

A resolução de nomes com várias residências inteligentes pode ser desativada manualmente no Editor de Diretiva de Grupo Local do Windows, a menos que você esteja usando uma Home Edition do Windows. Nesse caso, a Microsoft simplesmente não permite a opção de desativar esse recurso. Mesmo se você puder desativá-lo dessa maneira, o Windows ainda enviará a solicitação a todos os servidores disponíveis, caso o primeiro servidor não responda. É altamente recomendável usar o plug-in OpenVPN para resolver completamente esse problema.

Também pode ser útil verificar as diretrizes do US-CERT aqui também. A resolução de nomes com várias residências inteligentes tem problemas de segurança tão significativos associados que a agência governamental emitiu seu próprio alerta sobre o assunto.

O Problema # 5: Teredo

Teredo é a tecnologia da Microsoft para melhorar a compatibilidade entre IPv4 e IPv6 e é um recurso interno dos sistemas operacionais Windows. Para alguns, é uma tecnologia de transição essencial que permite que o IPv4 e o IPv6 coexistam sem problemas, permitindo que os endereços v6 sejam enviados, recebidos e entendidos nas conexões v4. Para usuários de VPN, é mais importante uma flagrante falha de segurança. Como o Teredo é um protocolo de encapsulamento, muitas vezes pode ter precedência sobre o túnel criptografado da sua VPN, ignorando-o e causando vazamentos de DNS..

O conserto:

Felizmente, o Teredo é um recurso que é facilmente desabilitado no Windows. Abra o prompt de comando e digite:

interface netsh teredo definir estado desabilitado

Embora você possa ter alguns problemas ao se conectar a determinados sites ou servidores ou ao usar aplicativos de torrent, desabilitar o Teredo é uma opção muito mais segura para os usuários da VPN. Também é recomendável desativar o Teredo e outras opções IPv6 nas configurações do seu roteador ou adaptador de rede, para garantir que nenhum tráfego possa ignorar o túnel da sua VPN.

Prevenção de vazamentos futuros

prevenção de vazamentos de DNS vpnAgora que você testou um vazamento de DNS e saiu limpo ou descobriu e corrigiu um vazamento, é hora de minimizar as chances de sua VPN apresentar um vazamento no futuro.

Primeiro, verifique se todas as correções acima foram executadas com antecedência; desative o Teredo e a resolução de nomes com várias residências inteligentes, verifique se a sua VPN suporta ou bloqueia o tráfego IPv6, etc..

1. Altere as configurações para um servidor DNS independente e confiável

Seu roteador ou adaptador de rede deve ter uma maneira de alterar as configurações de TCP / IP, onde você pode especificar determinados servidores DNS confiáveis ​​por seus endereços IP. Muitos provedores de VPN terão seus próprios servidores DNS, e o uso da VPN geralmente o conectará automaticamente a eles; verifique o suporte da sua VPN para obter mais informações.

Se sua VPN não possui servidores proprietários, uma alternativa popular é usar um servidor DNS aberto de terceiros, como o Google Open DNS. Para alterar suas configurações de DNS no Windows 10:

  1. Vá para o seu painel de controle
  2. Clique em "Rede e Internet"
  3. Clique em "Central de Rede e Compartilhamento"
  4. Clique em "Alterar configurações do adaptador" no painel esquerdo.
  5. Clique com o botão direito do mouse no ícone da sua rede e selecione "Propriedades"
  6. Localize “Internet Protocol Version 4” na janela que é aberta; clique nele e depois clique em "Propriedades"
  7. Clique em "Usar os seguintes endereços de servidor DNS"

Agora você pode inserir um endereço preferido e alternativo para servidores DNS. Pode ser qualquer servidor que você desejar, mas, para o Google Open DNS, o servidor DNS preferido deve ser 8.8.8.8, enquanto o servidor DNS alternativo deve ser 8.8.4.4. Veja a figura 4.

IPV 4

Figura 4

Você também pode alterar as configurações de DNS do seu roteador - consulte o manual ou o suporte do seu dispositivo específico para obter mais informações.

2. Use um firewall ou sua VPN para bloquear o tráfego não VPN

Alguns clientes VPN incluirão um recurso para bloquear automaticamente qualquer tráfego que não passe pela VPN - procure uma opção "Ligação de IP". Se você ainda não possui uma VPN, considere obter uma daqui.

Como alternativa, você pode configurar seu firewall para permitir apenas o tráfego de entrada e saída via VPN. Você também pode alterar as configurações do Firewall do Windows:

  1. Verifique se você já está conectado à sua VPN.
  2. Abra o Centro de Rede e Compartilhamento e verifique se você consegue ver sua conexão com o provedor de serviços de Internet (que deve aparecer como "Rede") e sua VPN (que deve aparecer como o nome da VPN). "Rede" deve ser uma rede doméstica, enquanto sua VPN deve ser uma rede pública. Se um deles estiver definido como algo diferente, você precisará clicar neles e defini-los para o tipo de rede apropriado na janela que se abre.
  3. Verifique se você está conectado como administrador na sua máquina e abra as configurações do Firewall do Windows (as etapas exatas para isso variam dependendo da versão do Windows em execução).
  4. Clique em "Configurações avançadas" (veja a Figura 5).
  5. Localize “Regras de entrada” no painel esquerdo e clique nele.
  6. No painel à direita, em Ações, você deve ver uma opção para "Nova regra ...". Clique aqui.
  7. Na nova janela, escolha "Programa" e clique em Avançar.
  8. Escolha "Todos os programas" (ou selecione um programa individual para o qual deseja bloquear o tráfego não VPN) e clique em Avançar.
  9. Escolha "Bloquear a conexão" e clique em Avançar.
  10. Marque "Domínio" e "Privado", mas verifique se "Público" não está marcado. Clique em Next.
  11. Você deve estar de volta ao menu Configurações avançadas do Firewall do Windows; localize “Regras de saída” e repita as etapas 6 a 10.

janelas

Figura 5

3. Realize regularmente um teste de vazamento de DNS

Consulte a seção “Como sei se minha VPN tem um vazamento de DNS?” Acima para obter instruções. A prevenção não é rígida, e é importante verificar com frequência se todas as suas precauções ainda estão em alta.

4. Considere o software de "monitoramento" da VPN

Isso pode adicionar uma despesa adicional à sua assinatura VPN existente, mas a capacidade de monitorar o tráfego da VPN em tempo real permitirá que você veja rapidamente se uma verificação de DNS vai para o servidor errado. Alguns produtos de monitoramento VPN também oferecem ferramentas automatizadas adicionais para corrigir vazamentos de DNS.

5. Altere sua VPN, se necessário

Você precisa da máxima privacidade possível. A VPN ideal terá proteção interna contra vazamentos de DNS, compatibilidade total com IPv6, suporte para as versões mais recentes do OpenVPN ou o protocolo de sua escolha e terá funcionalidade para neutralizar proxies DNS transparentes. Experimente as comparações e análises detalhadas de thebestvpn.com para encontrar a VPN que oferece tudo o que você precisa para manter seus dados de navegação privados.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me