Una guida completa alla protezione dalle perdite IP

Uno dei motivi principali per utilizzare una VPN è nascondere il tuo vero indirizzo IP. Quando si utilizza una VPN, il traffico Internet viene crittografato e inviato a un server VPN gestito dal proprio provider VPN, prima di uscire su Internet.

Ciò significa che gli osservatori esterni possono vedere solo l'indirizzo IP del server VPN e non il tuo vero indirizzo IP. L'unico modo per loro di scoprire il tuo vero indirizzo IP, quindi, è convincere il tuo provider VPN a consegnarlo a loro (e i buoni provider usano misure solide come l'uso di IP condivisi e non tenere registri per renderlo il più difficile possibile).

Sfortunatamente, a volte è possibile che i siti Web rilevino il tuo vero indirizzo IP, anche quando si utilizza una VPN.

Questo articolo mira a rispondere: cos'è una perdita IP, perché il mio IP perde anche se sono connesso a una VPN e come posso risolvere il problema?

Come verificare una perdita DNS o una perdita IP

Per determinare se si verifica una perdita di IP:

1. Visita ipleak.net senza una VPN in esecuzione. Prendi nota di tutti gli indirizzi IP che vedi (o lascia semplicemente la finestra aperta), poiché questi sono i tuoi indirizzi IP reali.

Ecco come appare la nostra connessione Office abilitata per IPv6 senza una VPN in esecuzione. Se la tua connessione non supporta IPv6, vedrai solo gli indirizzi IPv4. Come possiamo vedere, WebRTC riporta correttamente il nostro vero indirizzo IPv6. Se non avessimo alcuna funzionalità IPv6, segnalerebbe invece il nostro indirizzo IPv4.

WebRTC riporta anche un indirizzo di uso privato (indirizzo privato o speciale IANA), ma ciò non ci riguarda. Questi indirizzi di uso privato sono indirizzi interni che vengono utilizzati solo dalla rete locale.

Anche se WebRTC restituisce un vero indirizzo IP per uso privato quando una VPN è in esecuzione, non è un rischio per la privacy poiché non può essere utilizzato per identificarti da Internet.

2. Attiva la tua VPN. Sebbene non strettamente necessario, la connessione a un server VPN in un paese diverso rende molto più facile individuare perdite IP.

3. Apri una finestra privata / in incognito nel browser, visita di nuovo ipleak.net e confronta i risultati con quelli ottenuti senza la VPN in esecuzione.

  • Se l'indirizzo IPv4 normale è il tuo indirizzo IPv4 reale, allora la VPN non è accesa o semplicemente non funziona.
  • È possibile ignorare gli IP di uso privato rilevati da WebRTC. Come già discusso, questi non rappresentano una minaccia per la tua privacy online e quindi non contano come una perdita IP (in termini pratici, comunque).
  • Se qualsiasi altro indirizzo sulla pagina web di ipleak.net corrisponde al tuo indirizzo reale, allora la VPN funziona ma perde in qualche modo il tuo indirizzo IP.

Il bene

La connessione a un server VPN statunitense dal Regno Unito, di seguito, è il risultato che vogliamo vedere.

  • L'indirizzo IPv4 è stato modificato nella posizione del server VPN. Quindi la VPN funziona.
  • IPv6 è stato disabilitato o bloccato per evitare perdite regolari di IPv6.
  • WebRTC non rileva il nostro reale indirizzo IPv4 o IPv6. Possiamo ignorare l'indirizzo di uso privato in quanto non minaccia la nostra privacy.
  • I server DNS utilizzati non appartengono al nostro ISP e vengono risolti nel Paese corretto.

Se il DNS viene risolto vicino al luogo in cui si trova il server VPN, ciò suggerisce fortemente che il servizio VPN esegue i propri server DNS lì.

Se vedi più destinatari DNS che si trovano solo in un paese o un'area geografica più ampia, probabilmente la traduzione DNS viene eseguita da un risolutore DNS di terze parti come Google DNS.

Questo non è un problema finché si assume che le richieste DNS vengano inviate tramite la connessione VPN e vengano quindi inviate dal server VPN (un presupposto abbastanza sicuro, anche se non si sa mai).

Sfortunatamente, di solito non esiste un modo semplice per un utente finale di sapere se le richieste DNS gestite da un risolutore di terze parti vengono inoltrate dal servizio VPN o inviate direttamente al risolutore. Quindi devi solo fidarti del tuo provider su questo (o passare a un provider che esegue sicuramente i suoi server DNS).

Vale la pena notare che Google DNS risolve tutte le richieste DNS europee utilizzando server situati nei Paesi Bassi e in Belgio. Quindi, se sei connesso a un server VPN nel Regno Unito, in Francia o in Romania, ma il server DNS si trova in Belgio, ecco perché. E non è un problema (a condizione che supponiamo che le richieste DNS vengano inoltrate e non inviate direttamente a Google).

Il cattivo

Questo è un esempio di ciò che non vuoi vedere quando ti connetti a un server VPN in Germania dal Regno Unito.

  • L'indirizzo IPv4 è cambiato in tedesco, quindi la VPN funziona a livello base.
  • Possiamo comunque vedere il nostro vero indirizzo IPv6 regolare, tuttavia. Ciò significa che abbiamo una normale perdita di IPv6 (o semplicemente "perdita di IPv6").
  • WebRTC sta inoltre segnalando il nostro vero indirizzo IPv6. Quindi abbiamo una perdita IPv6 WebRTC.
  • Gli indirizzi DNS non si trovano in Germania, ma non appartengono nemmeno al nostro vero ISP. Quindi non costituiscono una perdita DNS.

Di seguito spieghiamo quali sono i diversi tipi di perdite IP e come risolverli. In tutti i casi, tuttavia, una soluzione spesso non scritta ma consigliata è quella di cambiare il servizio VPN in uno che non perde.

Perdite regolari IPv6

Comprensione di IPv4

Ogni connessione a Internet ha un indirizzo numerico univoco chiamato indirizzo IP (Internet Protocol). Gli indirizzi IP (o semplicemente "IP") sono assegnati dal provider Internet (ISP) che collega il dispositivo.

Fino a poco tempo fa, l'intera Internet utilizzava lo standard Internet Protocol versione 4 (IPv4) per definire gli indirizzi IP. Questo supporta un indirizzo Internet massimo a 32 bit, che si traduce in 2 ^ 32 indirizzi IP (circa 4,29 miliardi) disponibili per l'assegnazione.

Sfortunatamente, grazie all'aumento senza precedenti dell'uso di Internet negli ultimi anni, gli indirizzi IPv4 si stanno esaurendo. In effetti, tecnicamente parlando lo hanno già fatto, anche se soluzioni alternative significano che IPv4 è ancora molto lontano dall'essere morto. Al momento, la stragrande maggioranza degli indirizzi Internet utilizza ancora lo standard IPv4.

Comprensione di IPv6

Mentre sono state implementate varie strategie di mitigazione per estendere la shelf life di IPv4, la vera soluzione si presenta sotto forma di un nuovo standard: IPv6. Questo utilizza indirizzi Web a 128 bit, espandendo così il numero massimo disponibile di indirizzi Web a 2 ^ 128 (circa 340 miliardi di miliardi di miliardi!). Il che dovrebbe farci fornire gli indirizzi IP per il prossimo futuro.

L'adozione di IPv6, tuttavia, è stata lenta, principalmente a causa dei costi di aggiornamento, dei problemi di capacità arretrata e della pigrizia. Di conseguenza, sebbene tutti i moderni sistemi operativi supportino IPv6, la stragrande maggioranza degli ISP e dei siti Web non si preoccupa ancora.

Ciò ha portato i siti Web che supportano IPv6 ad adottare un approccio a doppio livello. Quando sono connessi da un indirizzo che supporta solo IPv4, serviranno un indirizzo IPv4, ma quando sono connessi da un indirizzo che supporta IPv6, serviranno un indirizzo IPv6.

Ciò ha portato i siti Web che supportano IPv6 ad adottare un approccio a doppio livello. Se collegati a un indirizzo che supporta solo IPv4, serviranno un indirizzo IPv4. Ma quando sono connessi da un indirizzo che supporta IPv6, serviranno un indirizzo IPv6.

Fino a quando gli indirizzi IPv4 iniziano a esaurirsi, non vi sono svantaggi nell'utilizzo di una connessione solo IPv4.

Perdite VPN IPv6

Sfortunatamente, una grande quantità di software VPN non ha raggiunto IPv6. Quando ti connetti a un sito Web abilitato per IPv6 da una connessione Internet abilitata per IPv6, il client VPN instraderà la tua connessione IPv4 attraverso l'interfaccia VPN ma non è completamente a conoscenza della connessione IPv6 in corso.

Quindi il sito Web non vedrà il tuo vero indirizzo IPv4, ma vedrà il tuo indirizzo IPv6. Quale può essere usato per identificarti.

soluzioni

1. Utilizzare un client VPN con protezione dalle perdite IPv6

Oggi tutti i buoni client VPN offrono protezione dalle perdite IPv6. Nella maggior parte dei casi, ciò avviene disabilitando IPv6 a livello di sistema per garantire che le connessioni IPv6 non siano semplicemente possibili. Questa è una soluzione pigra, ma funziona bene.

Più tecnicamente impressionanti sono le app VPN che instradano correttamente le connessioni IPv6 attraverso l'interfaccia VPN. Questa è una soluzione molto più elegante ed è senza dubbio il futuro di tutte le app VPN.

Se il software personalizzato del tuo provider VPN non impedisce le perdite regolari di IPv6, puoi invece utilizzare un'app di terze parti. La GUI OpenVPN per Windows, Tunnelblick per macOS, OpenVPN per Android e OpenVPN Connect per iOS (e altre piattaforme) offrono un'efficace protezione dalle perdite IPv6.

2. Disabilitare IPv6 manualmente sul sistema

Il modo più sicuro per prevenire qualsiasi possibilità di perdite IP è disabilitare IPv6 a livello di sistema (ove possibile). Consulta la nostra guida su Come disabilitare IPv6 su tutti i dispositivi per istruzioni su come eseguire questa operazione.

Perdite DNS

Le perdite DNS sono la forma più nota di perdita IP perché erano le più comuni. Negli ultimi anni, tuttavia, la maggior parte dei servizi VPN ha raggiunto il segno, e nei nostri test stiamo rilevando perdite DNS molto meno spesso.

Il Dynamic Name System (DNS) viene utilizzato per tradurre gli indirizzi Web di facile comprensione e ricordare con cui abbiamo familiarità (URL), nei loro "veri" indirizzi IP numerici. Ad esempio, traducendo il nome di dominio www.proprivacy.com nel suo indirizzo IPv4 di 104.20.239.134. Quindi, in sostanza, il DNS è solo un'elegante rubrica che abbina gli URL ai loro indirizzi IP corrispondenti.

Questo processo di traduzione DNS viene in genere eseguito da server DNS gestiti dal tuo provider Internet (ISP). Con ISP più grandi è probabile che le query DNS vengano risolte geograficamente vicino a te (ad esempio da qualche parte nella tua città), ma non è sempre così.

Quel che è certo è che le richieste DNS verranno risolte nel paese in cui si trova il tuo ISP (ovvero il tuo paese). Ovunque la query DNS venga risolta, tuttavia, non sarà al tuo indirizzo IP di casa. Ma…

Rischi per la privacy

Il tuo ISP può vedere cosa stai facendo

È il tuo ISP che risolve le tue query DNS, quindi:

  1. Conosce l'indirizzo IP da cui provengono.
  2. Sa quali siti web visiti perché traduce gli URL digitati in indirizzi IP. La maggior parte degli ISP di tutto il mondo conserva registri di queste informazioni, che possono o meno condividere con il governo o le forze di polizia come una questione di routine, ma che possono sempre essere costretti a condividere.

Ora ... nel normale corso delle cose questo in realtà non ha molta importanza perché è il tuo ISP che ti connette direttamente agli indirizzi IP che visiti. Quindi sa quali siti web visiti, comunque.

Un server VPN inoltra la tua connessione a Internet, tuttavia, per impedire al tuo ISP di vedere cosa fai su Internet. A meno che non stia ancora risolvendo le tue query DNS, nel qual caso può ancora (indirettamente) vedere quale sito web visiti.

Puoi essere rintracciato

I siti Web possono visualizzare e registrare gli indirizzi IP dei server DNS che indirizzano le connessioni ad essi. Non conosceranno il tuo indirizzo IP univoco in questo modo, ma sapranno quale ISP ha risolto la query DNS e di solito creano un timestamp di quando è successo.

Se (o la polizia, ad esempio) vogliono identificare un visitatore, devono semplicemente chiedere all'ISP "chi ha fatto una richiesta DNS a questo indirizzo in questo momento?"

Ancora una volta, nel normale corso delle cose, questo è irrilevante, poiché i siti Web possono comunque vedere il tuo indirizzo IP univoco. Ma quando nascondi il tuo indirizzo IP con una VPN, questo diventa un mezzo importante per "anonimizzare" gli utenti VPN.

Come si verificano le perdite DNS

In teoria, quando si utilizza una VPN, tutte le richieste DNS devono essere inviate tramite la VPN, dove possono essere gestite internamente dal proprio provider VPN o inoltrate a una terza parte che vedrà solo che la richiesta proviene dal server VPN.

Sfortunatamente, i sistemi operativi a volte non riescono a instradare le query DNS attraverso l'interfaccia VPN e invece le inviano al server DNS predefinito specificato nelle impostazioni di sistema (che sarà il server DNS del tuo ISP a meno che tu non abbia modificato manualmente le impostazioni DNS).

soluzioni

1. Utilizzare un client VPN con protezione dalle perdite DNS

Molti client VPN risolvono questo problema con una funzione di "protezione dalle perdite DNS". Questo utilizza le regole del firewall per garantire che nessuna richiesta DNS possa essere inviata al di fuori del tunnel VPN. Sfortunatamente, queste misure non sono sempre efficaci.

Non capiamo perché la "protezione dalle perdite DNS" sia spesso una funzione selezionabile dall'utente che non è abilitata per impostazione predefinita.

Ancora una volta, la GUI OpenVPN per Windows, Tunnelblick per macOS, OpenVPN per Android e OpenVPN Connect per iOS (e altre piattaforme) offrono una buona protezione dalle perdite DNS.

2. Disabilitare IPv6

Si noti che questa è solo una soluzione parziale, in quanto non impedisce in alcun modo le perdite DNS IPv4. Ma uno dei motivi principali per cui anche le app VPN che dispongono della protezione dalle perdite DNS non riescono a bloccare le perdite DNS è che firewallano solo le richieste DNS ai server DNS IPv4.

Poiché la maggior parte dei server DNS rimane solo IPv4, spesso possono cavarsela. Ma gli ISP che offrono connessioni IPv6 di solito offrono anche server DNS IPv6. Quindi, se un client blocca solo le richieste DNS IPv4 al di fuori dell'interfaccia VPN, quelle IPv6 possono passare.

3. Modifica le impostazioni DNS

Qualsiasi query DNS ribelle che non instrada attraverso l'interfaccia VPN (come dovrebbe) verrà invece inviata ai server DNS predefiniti specificati nelle impostazioni del tuo sistema.

A meno che non siano già stati modificati, gli indirizzi del server DNS (IPv4 e IPv6 se disponibili) verranno ottenuti automaticamente dal proprio ISP. Ma puoi cambiarlo e qui abbiamo le istruzioni per farlo.

Si noti che la modifica delle impostazioni DNS non sta realmente "risolvendo" il problema di perdita DNS. È solo che stai perdendo richieste DNS a un risolutore di terze parti anziché al tuo ISP.

Fortunatamente, ora ci sono alcuni ottimi servizi DNS incentrati sulla privacy che non tengono registri. Proteggono anche le richieste DNS con la crittografia DNS su DNS su HTTPS (DoH) o DNS su TLS (DoT), senza la quale l'ISP può vedere le richieste DNS, anche se non le sta gestendo.

Per ulteriori informazioni su questo argomento, oltre a un elenco di servizi DNS gratuiti e privati ​​consigliati, vedere qui.

Una nota per gli utenti Linux

La configurazione manuale della VPN in Linux, sia che utilizzi NetworkManager, il client OpenVPN della CLI, strongSwan o qualsiasi altra cosa, non fornisce alcuna protezione dalle perdite DNS. Fortunatamente, ci sono passaggi che puoi adottare per risolvere questo problema, sebbene complicino il processo di configurazione della VPN.

Puoi modificare resolvconf per inviare il DNS ai server DNS della tua VPN, oppure puoi configurare manualmente il firewall iptables per garantire che tutto il traffico (comprese le richieste DNS) non possa lasciare la tua macchina Linux fuori dal tunnel VPN. Si prega di consultare le nostre note sulla costruzione del proprio firewall più avanti in questo articolo per ulteriori informazioni al riguardo.

Perdite WebRTC

Le perdite WebRTC sono ora la forma più comune di perdite IP che vediamo nei nostri test. A rigor di termini, le perdite di WebRTC sono un problema del browser, non un problema VPN, che ha portato molti provider VPN a prendere le distanze da un problema che non è facile da risolvere.

A nostro avviso, questo non è abbastanza buono. In effetti, non pensiamo nemmeno che la pubblicazione di una guida "Come disabilitare WebRTC" nascosta in profondità nella sezione di aiuto di un provider sia abbastanza buona, sia.

Quali sono le perdite WebRTC?

WebRTC è una piattaforma HTML5 che consente comunicazioni vocali e video senza soluzione di continuità all'interno delle finestre del browser degli utenti. Quasi tutti i browser moderni su quasi tutte le principali piattaforme ora supportano WebRTC, inclusi Chrome, Firefox, Opera, Edge, Safari e Brave.

Un'eccezione è in iOS, dove solo Safari supporta WebRTC (almeno senza plugin aggiuntivi).

Al fine di ottenere una comunicazione browser-browser senza soluzione di continuità attraverso ostacoli come i firewall, i browser abilitati per WebRTC trasmettono i tuoi indirizzi IP reali ai server STUN che mantengono un elenco degli indirizzi IP pubblici di entrambi gli utenti e dei loro indirizzi IP reali.

Chiunque desideri avviare una conversazione WebRTC con te (o semplicemente con qualsiasi sito Web ficcanaso) può richiedere il tuo vero indirizzo IP e il server STUN lo consegnerà semplicemente.

Solitamente indicato come una perdita WebRTC, questo problema viene talvolta chiamato "bug WebRTC". È un termine improprio poiché è una funzione intenzionale e molto utile di WebRTC. Ma è un vero dolore per gli utenti VPN che stanno cercando di nascondere il loro vero indirizzo IP!

soluzioni

1. Disabilita WebRTC nel tuo browser

Questo è l'unico modo efficace al 100% per prevenire una perdita WebRTC quando si utilizza una VPN. Ti consigliamo di farlo anche se il tuo client VPN è efficace nel mitigare le perdite VPN.

In Firefox è facile disabilitare WebRTC. Digita "about: config" nella barra dell'URL per inserire le impostazioni avanzate di Firefox, cerca "media.peerconnection.enabled" e fai doppio clic sulla voce per modificarne il valore in false.

In alternativa (e in altri browser), ci sono vari plugin per browser che possono disabilitare WebRTC, tra cui Disabilita WebRTC, uBlock, uBlock Origin e NoScript. Alcuni provider VPN includono una funzione Disabilita WebRTC nei componenti aggiuntivi del browser personalizzati.

Una discussione più completa su questo argomento è disponibile in Che cos'è il "Bug" della VPN WebRTC e come risolverlo?

2. Utilizzare un servizio VPN che mitiga le perdite di WebRTC

Le perdite di WebRTC sono un problema del browser, quindi l'unico modo veramente efficace per impedirlo è disabilitare WebRTC nel browser.

Detto questo, i provider VPN possono utilizzare le regole del firewall e rafforzare le impostazioni sia a livello client che VPN per ridurre notevolmente la possibilità che si verifichino perdite di WebRTC. Nessun provider VPN garantirà che queste misure funzionino perché è sempre possibile per i siti Web implementare un codice JavaScript intelligente progettato per aumentare la probabilità di perdite.

Tuttavia, abbiamo riscontrato che alcuni servizi VPN sono costantemente efficaci nel prevenire le perdite VPN. Tuttavia, consigliamo comunque di disabilitare WebRTC a livello di browser. Giusto per essere al sicuro.

Abbandoni VPN e interruttori kill

Sebbene non sia tecnicamente una "perdita di IP", poiché il problema si verifica esattamente perché non si dispone di una connessione VPN, l'effetto è lo stesso: si pensa di essere protetti dalla VPN, quando in realtà tutto il mondo può vedere il tuo indirizzo IP.

Che cos'è un dropout VPN?

A volte le connessioni VPN falliscono, spesso per ragioni completamente al di fuori del controllo anche dei migliori servizi VPN. . Se il tuo computer rimane connesso a Internet dopo che ciò si è verificato, il tuo IP reale sarà esposto.

Questo è particolarmente un problema per i downloader P2P che lasciano i client BitTorrent in esecuzione mentre sono lontani dai loro computer (spesso per lunghi periodi di tempo). Se la connessione VPN si interrompe, il loro vero IP viene quindi esposto a qualsiasi responsabile del copyright che traccia un torrent che sta scaricando.

È anche un problema per gli utenti mobili, poiché il passaggio tra reti WiFi e mobili e il passaggio da una rete mobile all'altra può causare interruzioni della VPN.

soluzioni

1. Utilizzare un kill switch

Un kill switch impedisce al dispositivo di connettersi a Internet quando la VPN non funziona. Quasi tutti i moderni kill switch sono in realtà firewall o regole firewall a livello di sistema che bloccano tutte le connessioni Internet al di fuori dell'interfaccia VPN.

Pertanto, se il software VPN non riesce o deve essere ricollegato, tutti gli accessi a Internet vengono bloccati. In effetti, le stesse regole del firewall forniscono un'efficace protezione dalle perdite DNS e possono aiutare a mitigare le perdite WebRTC.

Gli switch Kill sono ora una funzionalità molto comune nei client VPN desktop, sebbene più rari nelle app mobili. Android 7+, tuttavia, include un kill switch integrato che funziona con qualsiasi app VPN installata.

Le app VPN possono utilizzare il proprio firewall per creare un kill switch (e altre protezioni contro le perdite) o possono modificare il firewall integrato del sistema. Preferiamo quest'ultima soluzione poiché il kill switch sopravviverà anche se l'app si blocca completamente. Ma qualsiasi kill switch è molto meglio di nessuno.

Crea il tuo kill switch e la protezione da perdite DNS utilizzando le regole del firewall

Come abbiamo visto, molte app VPN utilizzano le proprie regole del firewall o modificano le regole del firewall del sistema per creare un kill switch e prevenire perdite di DNS. È del tutto possibile per te fare la stessa cosa manualmente.

I dettagli differiscono per sistema operativo e programma firewall, ma i principi di base sono:

1. Aggiungi una regola che blocchi tutto il traffico in uscita e in entrata sulla tua connessione Internet.

2. Aggiungi un'eccezione per gli indirizzi IP del tuo provider VPN.

3. Aggiungere una regola per l'adattatore TUN / Tap (se si utilizza OpenVPN o per qualsiasi altro dispositivo VPN) per consentire tutto il traffico in uscita per il tunnel VPN.

Abbiamo una guida dettagliata per farlo usando Comodo Firewall per Windows. Gli utenti Mac possono fare lo stesso usando Little Snitch, mentre gli utenti Linux e quelli che eseguono un client VPN su un router DD-WRT possono usare iptables.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me