Fugas de DNS (causas y soluciones)

¿Qué es una fuga de DNS?Los navegadores utilizan el Sistema de nombres de dominio (DNS) para cerrar la brecha entre las direcciones IP de Internet (números) y los nombres de dominio del sitio web (palabras).

Cuando se ingresa un nombre web, se envía primero a un servidor DNS donde el nombre de dominio se corresponde con la dirección IP asociada para que la solicitud se pueda reenviar a la computadora correcta.

Esto es un gran problema para la privacidad dado que todo el tráfico estándar de Internet debe pasar a través de un servidor DNS donde se registran tanto el remitente como el destino.

Ese servidor DNS generalmente pertenece al ISP del usuario y está bajo la jurisdicción de las leyes nacionales. Por ejemplo, en el Reino Unido, la información en poder de los ISP debe entregarse a la policía bajo demanda. Lo mismo sucede en los EE. UU., Pero con la opción adicional de que el ISP venda los datos a empresas de marketing.

Si bien el contenido de las comunicaciones entre la computadora local del usuario y el sitio web remoto se puede cifrar con SSL / TLS (se muestra como "https" en la URL), las direcciones del remitente y del destinatario no se pueden cifrar. Como resultado, todos los destinos visitados serán conocidos por quien tenga acceso legal (o criminal) a los registros de DNS; es decir, en circunstancias normales, un usuario no tiene privacidad sobre dónde va en Internet.


Las VPN están diseñadas para resolver este problema creando una brecha entre la computadora del usuario y el sitio web de destino. Pero no siempre funcionan a la perfección. Una serie de problemas significa que, en ciertas circunstancias, los datos del DNS pueden filtrarse de regreso al ISP y, por lo tanto, a la competencia del gobierno y las compañías de marketing.

Los problemas se conocen como fugas de DNS. Para el propósito de esta discusión sobre las fugas de DNS, asumiremos en gran medida que su VPN utiliza el protocolo VPN más común, OpenVPN.

¿Qué es una fuga de DNS??

Una VPN establece una conexión encriptada (generalmente llamada "túnel") entre su computadora y el servidor VPN; y el servidor VPN envía su solicitud al sitio web requerido. Siempre que la VPN funcione correctamente, todo lo que verá su ISP es que se está conectando a una VPN; no puede ver dónde se conecta la VPN. Los intrusos de Internet (gubernamentales o criminales) no pueden ver ningún contenido porque está encriptado.

Se produce una fuga de DNS cuando ocurre algo no deseado y el servidor VPN se omite o se ignora. En este caso, el operador del servidor DNS (a menudo su ISP) verá a dónde va en Internet mientras cree que no puede.

Estas son malas noticias, ya que anula el propósito de usar una VPN. El contenido de su tráfico web todavía está oculto (mediante el cifrado de la VPN), pero las partes más importantes para el anonimato (su ubicación y datos de navegación) quedan sin protección y es probable que su ISP las registre.

Cómo saber si mi VPN tiene una fuga de DNS?

Hay buenas y malas noticias para detectar una fuga de DNS. La buena noticia es que verificar si su VPN está filtrando sus solicitudes de DNS es rápido, fácil y simple; La mala noticia es que sin verificar, es poco probable que sepa sobre la fuga hasta que sea demasiado tarde..

Hay muchas herramientas en el navegador para probar si su VPN tiene un DNS u otra forma de fuga de datos, incluidas algunas realizadas por proveedores de VPN como AirVPN (revisión) o VPN.ac. Si no está seguro de qué hacer, simplemente puede ir a ipleak.net mientras cree que su VPN está operativa. Este sitio verificará automáticamente si hay una fuga de DNS (y, por cierto, también proporciona mucha más información).

  1. Entrar ipleak.net en la barra de direcciones de su navegador.
  2. Una vez que se carga la página web, la prueba comienza automáticamente y se le mostrará una dirección IP.
  3. Si la dirección que ve es su dirección IP y muestra su ubicación, y está utilizando una VPN, esto significa que tiene una fuga de DNS. Si se muestra la dirección IP de su VPN, entonces está funcionando normalmente.

Si es posible, es una buena idea hacer una prueba con múltiples verificadores en línea.

La Figura 1 muestra ipleak.net utilizado con una VPN mal configurada. Devuelve la dirección IP correcta. Esta es una fuga de DNS.

Tu dirección IP # 2

Figura 1

La Figura 2 muestra ipleak usado con ExpressVPN configurado para usar un servidor belga (ExpressVPN le permite seleccionar entre una variedad de países diferentes). No hay aparente fuga de DNS.

Su dirección IP

Figura 2

Para la mayoría de los usuarios, realizar esta verificación antes de continuar navegando por otros sitios será suficiente. Para algunos usuarios, esta no será una solución perfecta, ya que requiere que se conecte a Internet y envíe solicitudes de DNS para acceder a las herramientas de verificación.

Es posible probar DNS y otras fugas sin usar uno de estos sitios web, aunque requiere que conozca su propia dirección IP y cómo usar el símbolo del sistema de Windows. También requiere un servidor de prueba confiable para que pueda 'hacer ping' directamente ; este podría ser un servidor privado que conoces y en el que confías, o uno de los siguientes servidores públicos de prueba:

  • whoami.akamai.net
  • resolver.dnscrypt.org
  • whoami.fluffcomputing.com
  • whoami.ultradns.net

Para hacer esto, abra el símbolo del sistema (vaya al menú de inicio, escriba "cmd" y presione Entrar), y luego ingrese el siguiente texto:

  • ping [nombre del servidor] -n 1

Reemplace [nombre del servidor] con la dirección del servidor de prueba elegido (por ejemplo, "ping whoami.akamai.net -n 1") y presione Entrar. Si alguna de las direcciones IP encontradas en el texto resultante coincide con su IP personal o local, es un indicador de que hay una fuga de DNS; solo se debe mostrar la dirección IP de tu VPN.

La Figura 3 muestra el resultado con ExpressVPN en ejecución. Observe que la única dirección IP devuelta es la IP belga como se muestra en la Figura 2. No hay aparente fuga de DNS.

LIBERTAD

figura 3

Si descubre que su VPN tiene una fuga de DNS, es hora de dejar de navegar hasta que pueda encontrar la causa y solucionar el problema. Algunas de las causas más probables de una fuga de DNS y sus soluciones se enumeran a continuación..

Problemas y soluciones de fugas de DNS

El problema # 1: red configurada incorrectamente

Problemas de fugas de DNS y soluciones

Esta es una de las causas más comunes de fuga de DNS para los usuarios que se conectan a Internet a través de diferentes redes; por ejemplo, alguien que a menudo cambia entre el enrutador de su casa, el WiFi de una cafetería y los puntos de acceso públicos. Antes de conectarse al túnel encriptado de su VPN, su dispositivo primero debe conectarse a la red local.

Sin la configuración adecuada en su lugar, puede estar expuesto a fugas de datos. Al conectarse a cualquier red nueva, la configuración de DHCP (el protocolo que determina la dirección IP de su máquina dentro de la red) puede asignar automáticamente un servidor DNS para manejar sus solicitudes de búsqueda, una que puede pertenecer al ISP o una que puede no ser adecuada asegurado Incluso si se conecta a su VPN en esta red, sus solicitudes de DNS omitirán el túnel encriptado, causando una fuga de DNS.

La solución:

En la mayoría de los casos, configurar su VPN en su computadora para usar el servidor DNS proporcionado o preferido por su VPN obligará a las solicitudes de DNS a pasar por la VPN en lugar de hacerlo directamente desde la red local. Sin embargo, no todos los proveedores de VPN tienen sus propios servidores DNS, en cuyo caso el uso de un servidor DNS independiente como OpenDNS o Google Public DNS debería permitir que las solicitudes de DNS pasen a través de la VPN en lugar de hacerlo directamente desde su máquina cliente. Desafortunadamente, cambiar la configuración de esta manera depende en gran medida de su proveedor de VPN específico y del protocolo que esté utilizando; puede configurarlos para que se conecten automáticamente al servidor DNS correcto sin importar a qué red local se conecte; o puede que tenga que conectarse manualmente a su servidor preferido cada vez. Consulte el soporte para su cliente VPN para obtener instrucciones específicas.

Si tiene que configurar manualmente su computadora para usar un servidor DNS independiente elegido, puede encontrar instrucciones paso a paso en la sección "Cambiar su configuración a un servidor DNS independiente y confiable" a continuación.

El problema # 2: IPv6

Por lo general, cuando piensa en una dirección IP, piensa en un código de 32 bits que consta de 4 conjuntos de hasta 3 dígitos, como 123.123.123.123 (como se describió anteriormente). Esta es la versión 4 de IP (IPv4), actualmente la forma más común de dirección IP. Sin embargo, el conjunto de direcciones IPv4 no utilizadas disponibles se está volviendo muy pequeño, e IPv4 está siendo reemplazado (muy lentamente) por IPv6.

Las direcciones IPv6 constan de 8 conjuntos de 4 caracteres, que pueden ser letras o números, como 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334.

Internet todavía está en la fase de transición entre IPv4 e IPv6. Esto está creando muchos problemas, especialmente para las VPN. A menos que una VPN explícitamente tenga soporte para IPv6, cualquier solicitud enviada o enviada a su máquina a través de IPv6, o enviada mediante un túnel de doble pila para convertir IPv4 a IPv6 (consulte Teredo a continuación), omitirá por completo el túnel VPN, dejando sus datos personales desprotegidos . En resumen, IPv6 puede interrumpir su VPN sin que usted sea consciente de ello..

La mayoría de los sitios web tienen direcciones IPv6 y direcciones IPv4, aunque un número significativo sigue siendo solo IPv4. También hay algunos sitios web que son solo IPv6. Si sus solicitudes de DNS son para direcciones IPv4 o IPv6 generalmente dependerá de su ISP, su equipo de red (como un enrutador inalámbrico) y el sitio web específico al que está intentando acceder (con la implementación de IPv6 aún incompleta, no todos los usuarios podrán para acceder a sitios web solo IPv6). La mayoría de las búsquedas de DNS seguirán siendo IPv4, pero la mayoría de los usuarios desconocerán si están haciendo solicitudes IPv4 o IPv6 si pueden hacer ambas cosas..

Un estudio realizado por investigadores de la Universidad Sapienza de Roma y la Universidad Queen Mary de Londres en 2015 examinó a 14 proveedores de VPN comerciales y descubrió que 10 de ellos, una proporción inquietantemente alta, estaban sujetos a filtraciones de IPv6.

  • HideMyAss
  • IPVanish
  • Astrill
  • ExpressVPN
  • StrongVPN
  • PureVPN
  • AirVPN
  • Tunnelbear
  • ProXPN
  • Hotspot Shield Elite

Si bien la fuga de IPv6 no es estrictamente la misma que una fuga de DNS estándar, tiene el mismo efecto en la privacidad. Es un problema que cualquier usuario de VPN debe tener en cuenta.

La solución:

Si su proveedor de VPN ya tiene soporte completo para el tráfico IPv6, entonces este tipo de fuga no debería ser un problema para usted. Algunas VPN sin soporte de IPv6 tendrán la opción de bloquear el tráfico de IPv6. En cualquier caso, se recomienda optar por una VPN con capacidad IPv6, ya que los túneles de doble pila aún podrían pasar por alto un bloque IPv6. (Ver Teredo a continuación.) La mayoría de las VPN, desafortunadamente, no tendrán provisiones para IPv6 y, por lo tanto, siempre perderán el tráfico de IPv6. Asegúrese de saber antes de usar una VPN comercial si han hecho provisiones para IPv6, y solo elija una que tenga soporte completo para el protocolo.

El problema # 3: Proxies DNS transparentes

Algunos ISP han adoptado una política de forzar su propio servidor DNS en la imagen si un usuario cambia su configuración para usar un servidor de terceros. Si se detectan cambios en la configuración de DNS, el ISP utilizará un proxy transparente, un servidor separado que intercepta y redirige el tráfico web, para asegurarse de que su solicitud de DNS se envíe a su propio servidor DNS. Esto es efectivamente el ISP "forzando" una fuga de DNS y tratando de ocultarlo al usuario. La mayoría de las herramientas de detección de fugas de DNS podrán detectar un proxy DNS transparente de la misma manera que una fuga estándar.

La solución:

Afortunadamente, las versiones recientes del protocolo OpenVPN tienen un método fácil para combatir los servidores proxy DNS transparentes. Primero, ubique el archivo .conf o .ovpn para el servidor al que desea conectarse (estos se almacenan localmente y generalmente estarán en C: \ Archivos de programa \ OpenVPN \ config; consulte el manual de OpenVPN para obtener más detalles), abra en un editor de texto como el bloc de notas y agregue la línea:

  • block-outside-dns

Los usuarios de versiones anteriores de OpenVPN deben actualizar a la versión más reciente de OpenVPN. Si su proveedor de VPN no lo admite, puede ser el momento de buscar una VPN más nueva. Además de la solución OpenVPN, muchos de los clientes VPN mejor hechos tendrán sus propias disposiciones incorporadas para combatir los servidores proxy DNS transparentes. Consulte el soporte de su VPN específica para más detalles.

El problema n. ° 4: las "características" inseguras de Windows 8, 8.1 o 10

Los sistemas operativos Windows a partir de 8 han introducido la función "Resolución inteligente de nombres con múltiples referencias", destinada a mejorar las velocidades de navegación web. Esto envía todas las solicitudes DNS a todos los servidores DNS disponibles. Originalmente, esto solo aceptaría respuestas de servidores DNS no estándar si los favoritos (generalmente los propios servidores del ISP o los establecidos por el usuario) no respondían. Esto es lo suficientemente malo para los usuarios de VPN, ya que aumenta en gran medida la incidencia de fugas de DNS, pero a partir de Windows 10, esta característica, por defecto, aceptará la respuesta del servidor DNS que responda más rápido. Esto no solo tiene el mismo problema de fuga de DNS, sino que también deja a los usuarios vulnerables a los ataques de falsificación de DNS.

La solución:

Este es quizás el tipo de fuga de DNS más difícil de solucionar, especialmente en Windows 10, porque es una parte integrada de Windows y puede ser casi imposible de cambiar. Para los usuarios de VPN que usan el protocolo OpenVPN, un complemento de código abierto disponible gratuitamente (disponible aquí) es posiblemente la mejor y más confiable solución..

La resolución inteligente de nombres múltiples se puede desactivar manualmente en el Editor de directivas de grupo local de Windows, a menos que esté utilizando una Edición doméstica de Windows. En este caso, Microsoft simplemente no le permite la opción de desactivar esta función. Incluso si puede desactivarlo de esta manera, Windows seguirá enviando la solicitud a todos los servidores disponibles en caso de que el primer servidor no responda. Se recomienda encarecidamente utilizar el complemento OpenVPN para abordar este problema por completo..

También puede ser útil consultar las pautas de US-CERT aquí también. Smart Multi-Homed Name Resolution tiene problemas de seguridad tan importantes asociados que la agencia gubernamental emitió su propia alerta sobre el tema.

El problema # 5: Teredo

Teredo es la tecnología de Microsoft para mejorar la compatibilidad entre IPv4 e IPv6, y es una característica incorporada de los sistemas operativos Windows. Para algunos, es una tecnología de transición esencial que permite que IPv4 e IPv6 coexistan sin problemas, permitiendo que las direcciones v6 se envíen, reciban y comprendan en las conexiones v4. Para los usuarios de VPN, es más importante un claro agujero de seguridad. Dado que Teredo es un protocolo de túnel, a menudo puede tener prioridad sobre el túnel cifrado de su VPN, omitiéndolo y causando fugas de DNS.

La solución:

Afortunadamente, Teredo es una característica que se deshabilita fácilmente desde Windows. Abra el símbolo del sistema y escriba:

interfaz netsh teredo establecer estado deshabilitado

Si bien puede experimentar algunos problemas al conectarse a ciertos sitios web o servidores o al usar aplicaciones de torrents, deshabilitar Teredo es una opción mucho más segura para los usuarios de VPN. También se recomienda desactivar Teredo y otras opciones de IPv6 en la configuración de su enrutador o adaptador de red, para asegurarse de que ningún tráfico pueda pasar por alto el túnel de su VPN.

Prevención de fugas futuras

prevención de fugas de vpn dnsAhora que probó una fuga de DNS y salió limpia, o descubrió y solucionó una fuga, es hora de minimizar las posibilidades de que su VPN genere una fuga en el futuro.

En primer lugar, asegúrese de que todas las correcciones anteriores se hayan realizado de antemano; deshabilite Teredo y la Resolución inteligente de nombres multi-homed, asegúrese de que su VPN sea compatible o bloquee el tráfico IPv6, etc..

1. Cambie la configuración a un servidor DNS confiable e independiente

Su enrutador o adaptador de red debe tener una forma de cambiar la configuración de TCP / IP, donde puede especificar servidores DNS confiables particulares por sus direcciones IP. Muchos proveedores de VPN tendrán sus propios servidores DNS, y el uso de la VPN a menudo lo conectará automáticamente a estos; consulte el soporte de su VPN para obtener más información.

Si su VPN no tiene servidores propietarios, una alternativa popular es usar un servidor DNS abierto de terceros, como Google Open DNS. Para cambiar la configuración de DNS en Windows 10:

  1. Ve a tu panel de control
  2. Haga clic en "Red e Internet"
  3. Haga clic en "Centro de redes y recursos compartidos"
  4. Haga clic en "Cambiar configuración del adaptador" en el panel izquierdo.
  5. Haga clic derecho en el icono de su red y seleccione "Propiedades"
  6. Busque "Protocolo de Internet versión 4" en la ventana que se abre; haga clic en él y luego haga clic en "Propiedades"
  7. Haga clic en "Usar las siguientes direcciones de servidor DNS"

Ahora puede ingresar una dirección preferida y alternativa para los servidores DNS. Puede ser cualquier servidor que desee, pero para el DNS abierto de Google, el servidor DNS preferido debería ser 8.8.8.8, mientras que el servidor DNS alternativo debería ser 8.8.4.4. Ver figura 4.

IPV 4

Figura 4

También es posible que desee cambiar la configuración de DNS en su enrutador; consulte su manual o soporte para su dispositivo específico para obtener más información.

2. Use un firewall o su VPN para bloquear el tráfico que no sea VPN

Algunos clientes VPN incluirán una función para bloquear automáticamente cualquier tráfico que no pase por la VPN. Busque la opción "Enlace de IP". Si aún no tiene una VPN, considere obtener una desde aquí.

Alternativamente, puede configurar su firewall para permitir que el tráfico entre y salga solo a través de su VPN. También puede cambiar la configuración de Firewall de Windows:

  1. Asegúrate de estar conectado a tu VPN.
  2. Abra el Centro de redes y recursos compartidos y asegúrese de poder ver tanto su conexión de ISP (que debería aparecer como "Red") como su VPN (que debería aparecer como el nombre de la VPN). "Red" debe ser una red doméstica, mientras que su VPN debe ser una red pública. Si alguno de ellos está configurado en algo diferente, deberá hacer clic en ellos y configurarlos en el tipo de red apropiado en la ventana que se abre.
  3. Asegúrese de haber iniciado sesión como Administrador en su máquina y abra la configuración del Firewall de Windows (los pasos exactos para esto varían según la versión de Windows que esté ejecutando).
  4. Haga clic en "Configuración avanzada" (ver Figura 5).
  5. Busque "Reglas de entrada" en el panel izquierdo y haga clic en él..
  6. En el panel de la derecha, en Acciones, debería ver una opción para "Nueva regla ...". Haga clic en este.
  7. En la nueva ventana, elija "Programa" y haga clic en Siguiente.
  8. Elija "Todos los programas" (o seleccione un programa individual para el que desee bloquear el tráfico que no sea VPN) y haga clic en Siguiente.
  9. Elija "Bloquear la conexión" y haga clic en Siguiente.
  10. Marque "Dominio" y "Privado" pero asegúrese de que "Público" no esté marcado. Haga clic en Siguiente.
  11. Debería volver al menú Configuración avanzada para Firewall de Windows; busque "Reglas de salida" y repita los pasos del 6 al 10.

Ventanas

Figura 5

3. Realice regularmente una prueba de fuga de DNS

Consulte la sección "¿Cómo puedo saber si mi VPN tiene una fuga de DNS?" Más arriba para obtener instrucciones. La prevención no es férrea, y es importante verificar con frecuencia que todas sus precauciones se mantengan firmes.

4. Considere el software de "monitoreo" VPN

Esto puede agregar un gasto adicional además de su suscripción VPN existente, pero la capacidad de monitorear el tráfico de su VPN en tiempo real le permitirá ver de un vistazo si una verificación de DNS va al servidor incorrecto. Algunos productos de monitoreo de VPN también ofrecen herramientas adicionales y automatizadas para reparar las fugas de DNS.

5. Cambie su VPN si es necesario

Necesitas la máxima privacidad posible. La VPN ideal tendrá protección contra fugas de DNS incorporada, compatibilidad total con IPv6, soporte para las últimas versiones de OpenVPN o el protocolo de su elección y tendrá la funcionalidad para contrarrestar los proxies de DNS transparentes. Pruebe las comparaciones y revisiones en profundidad de thebestvpn.com para encontrar la VPN que ofrece todo lo que necesita para mantener sus datos de navegación privados.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me