En komplet guide til IP-lækage beskyttelse

En af de primære grunde til at bruge en VPN er at skjule din ægte IP-adresse. Når du bruger en VPN, krypteres din internettrafik og sendes til en VPN-server, der køres af din VPN-udbyder, før du går ud til internettet.

Dette betyder, at eksterne observatører kun kan se VPN-serverens IP-adresse og ikke din rigtige IP-adresse. Den eneste måde for dem at opdage din rigtige IP-adresse er derfor at overbevise din VPN-udbyder til at udlevere den til dem (og gode udbydere bruger robuste foranstaltninger som f.eks. At bruge delte IP'er og ikke holde nogen logfiler for at gøre dette så vanskeligt som muligt).

Desværre er det undertiden muligt for websteder at registrere din ægte IP-adresse, selv når du bruger en VPN.

Denne artikel sigter mod at svare: hvad er en IP-lækage, hvorfor lækker min IP, selvom jeg er tilsluttet en VPN, og hvordan løser jeg problemet?

Sådan testes for en DNS-lækage eller IP-lækage

Sådan bestemmer du, om du lider af en IP-lækage:

1. Besøg ipleak.net uden en VPN kører. Skriv en note af alle de IP-adresser, du ser (eller lad bare vinduet være åbent), da dette er dine rigtige IP-adresser.

Sådan ser vores IPv6-kontorfacilitet ud, uden at en VPN kører. Hvis din forbindelse ikke er IPv6-kompatibel, vil du kun se IPv4-adresser. Som vi kan se, rapporterer WebRTC korrekt vores rigtige IPv6-adresse. Hvis vi ikke havde nogen IPv6-kapacitet, ville den i stedet rapportere vores IPv4-adresse.

WebRTC rapporterer også en privat brug (IANA privat eller speciel adresse] -adresse, men dette angår ikke os. Disse private brug-adresser er interne adresser, som kun bruges af dit lokale netværk.

Selv hvis WebRTC returnerer en rigtig IP-adresse til privat brug, når en VPN kører, er det ikke en privatlivsrisiko, da disse ikke kan bruges til at identificere dig fra internettet.

2. Tænd din VPN. Selvom det ikke er strengt nødvendigt, gør forbindelsen til en VPN-server i et andet land det lettere at se IP-lækager.

3. Åbn et privat / inkognito-vindue i din browser, besøg ipleak.net igen, og sammenlign resultaterne med dem, du har fået, uden at VPN kører.

  • Hvis den almindelige IPv4-adresse er din rigtige IPv4-adresse, er VPN enten ikke tændt eller fungerer simpelthen ikke.
  • Du kan ignorere IP'er til privat brug, der er registreret af WebRTC. Som allerede omtalt udgør disse ingen trussel mod dit online privatliv og tæller derfor ikke som en IP-lækage (praktisk set, alligevel).
  • Hvis en anden adresse på ipleak.net-websiden matcher din rigtige adresse, fungerer VPN, men lækker din IP-adresse på en eller anden måde.

Den gode

Oprettelse af forbindelse til en amerikansk VPN-server fra Storbritannien nedenfor er det resultat, vi vil se.

  • IPv4-adressen er ændret til placeringen af ​​VPN-serveren. Så VPN fungerer.
  • IPv6 er blevet deaktiveret eller blokeret for at forhindre regelmæssige IPv6 lækager.
  • WebRTC registrerer ikke vores rigtige IPv4- eller IPv6-adresse. Vi kan ignorere adressen til privat brug, da den ikke truer vores privatliv.
  • De anvendte DNS-servere hører ikke til vores internetudbyder og løses i det rigtige land.

Hvis DNS løses tæt på hvor VPN-serveren er placeret, antyder det kraftigt, at VPN-tjenesten kører sine egne DNS-servere der.

Hvis du ser flere DNS-adressater, der kun lokaliserer et større land eller et geografisk område, udføres DNS-oversættelse sandsynligvis af en tredjeparts DNS-resolver som Google DNS.

Dette er ikke et problem, så længe vi antager, at DNS-anmodningerne sendes via VPN-forbindelsen og derfor bliver proxyeret af VPN-serveren (en ret sikker antagelse, selvom du aldrig ved).

Desværre er der normalt ingen let måde for en slutbruger at vide, om DNS-anmodninger, der håndteres af en tredjepart-resolver, bliver proxyeret af VPN-tjenesten eller sendt direkte til resolveren. Så du er bare nødt til at stole på din udbyder på denne (eller skifte til en udbyder, der bestemt kører sine egne DNS-servere).

Det er værd at bemærke, at Google DNS løser alle europæiske DNS-anmodninger ved hjælp af servere beliggende i Holland og Belgien. Så hvis du er tilsluttet en VPN-server i England, Frankrig eller Rumænien, men DNS-serveren er placeret i Belgien, er det derfor. Og det er ikke et problem (så længe vi antager, at DNS-anmodningerne bliver proxyeret og ikke sendt direkte til Google).

Den dårlige

Dette er et eksempel på, hvad du ikke ønsker at se, når du opretter forbindelse til en VPN-server i Tyskland fra Storbritannien.

  • IPv4-adressen er ændret til en tysk, så VPN arbejder på et grundlæggende niveau.
  • Vi kan dog stadig se vores rigtige almindelige IPv6-adresse. Dette betyder, at vi har en regelmæssig IPv6-lækage (eller bare “IPv6-lækage”).
  • WebRTC rapporterer også vores rigtige IPv6-adresse. Så vi har en WebRTC IPv6 lækage.
  • DNS-adresserne findes ikke i Tyskland, men de hører heller ikke til vores rigtige internetudbyder. Så de udgør ikke en DNS-lækage.

Nedenfor forklarer vi, hvad de forskellige typer IP-lækager er, og hvordan man løser dem. I alle tilfælde er en ofte uskreven, men anbefalet løsning at ændre VPN-service til en, der ikke lækker.

Regelmæssige IPv6-lækager

Forståelse af IPv4

Hver internetforbindelse har en unik numerisk adresse kaldet en IP-adresse (Internet Protocol). IP-adresserne (eller bare “IP’er”) tildeles af den internetudbyder (ISP), der forbinder enheden.

Indtil for nylig brugte hele internettet Internet Protocol version 4 (IPv4) standarden til at definere IP-adresser. Dette understøtter en maksimal 32-bit internetadresse, der oversættes til 2 ^ 32 IP-adresser (ca. 4,29 mia.), Der er tilgængelige til tildeling.

Desværre takket være den hidtil uset stigning i internetbruget i de sidste par år er IPv4-adresser ved at løbe tør. Faktisk har de allerede gjort det teknisk set, selvom løsningen betyder, at IPv4 stadig er meget langt fra død. På nuværende tidspunkt bruger langt de fleste internetadresser stadig IPv4-standarden.

Forståelse af IPv6

Mens forskellige formildende strategier er blevet anvendt for at forlænge holdbarheden på IPv4, kommer den virkelige løsning i form af en ny standard - IPv6. Dette bruger 128-bit webadresser og udvider således det maksimalt tilgængelige antal webadresser til 2 ^ 128 (ca. 340 milliarder milliarder milliarder!). Hvilket skulle holde os forsynet med IP-adresser i en overskuelig fremtid.

Implementeringen af ​​IPv6 har imidlertid været langsom - hovedsageligt på grund af opgraderingsomkostninger, baglæns kapacitetsproblemer og ren dovenskab. Selvom alle moderne operativsystemer understøtter IPv6, er det langt de fleste internetudbydere og websteder, der endnu ikke generer.

Dette har ført til, at websteder, der understøtter IPv6, til at anvende en dobbelt-niveauet tilgang. Når de er tilsluttet fra en adresse, der kun understøtter IPv4, tjener de en IPv4-adresse, men når de er tilsluttet fra en adresse, der understøtter IPv6, tjener de en IPv6-adresse.

Dette har ført til, at websteder, der understøtter IPv6, til at anvende en dobbelt-niveauet tilgang. Når de er tilsluttet en adresse, der kun understøtter IPv4, tjener de en IPv4-adresse. Men når de er tilsluttet fra en adresse, der understøtter IPv6, vil de vise en IPv6-adresse.

Indtil IPv4-adresser begynder at løbe ud, er der ingen ulempe ved at bruge en IPv4-forbindelse kun.

IPv6 VPN lækker

Desværre har en hel del VPN-software ikke fanget IPv6. Når du opretter forbindelse til et IPv6-aktiveret websted fra en IPv6-aktiveret internetforbindelse, dirigerer VPN-klienten din IPv4-forbindelse gennem VPN-grænsefladen, men er helt uvidende om, hvilken IPv6-forbindelse der også oprettes.

Så webstedet ser ikke din rigtige IPv4-adresse, men det vil se din IPv6-adresse. Hvilket kan bruges til at identificere dig.

Løsninger

1. Brug en VPN-klient med IPv6-lækagesikring

Alle gode VPN-klienter i disse dage tilbyder IPv6 lækagesikring. I de fleste tilfælde gøres dette ved at deaktivere IPv6 på systemniveau for at sikre, at IPv6-forbindelser simpelthen ikke er mulige. Dette er noget af en doven løsning, men det fungerer godt.

Mere teknisk imponerende er VPN-apps, der korrekt dirigerer IPv6-forbindelser gennem VPN-interface. Dette er en meget mere elegant løsning og er uden tvivl fremtiden for alle VPN-apps.

Hvis din VPN-udbyders tilpassede software ikke forhindrer regelmæssige IPv6-lækager, kan du i stedet bruge en tredjepartsapp. OpenVPN GUI til Windows, Tunnelblick til macOS, OpenVPN til Android og OpenVPN Connect til iOS (og andre platforme) giver alle effektiv IPv6 lækagesikring.

2. Deaktiver IPv6 manuelt på dit system

Den mest sikre-brand måde at forhindre enhver mulighed for IP-lækager er at deaktivere IPv6 på systemniveau (hvor det er muligt). Se vores vejledning til Sådan deaktiveres IPv6 på alle enheder for instruktioner om, hvordan du gør dette.

DNS lækker

DNS-lækager er den mest kendte form for IP-lækage, fordi de tidligere var de mest almindelige. I de senere år er de fleste VPN-tjenester dog steget op til mærket, og i vores test opdager vi DNS-lækager meget sjældnere.

Det dynamiske navnesystem (DNS) bruges til at oversætte de letforståelige og huske webadresser, som vi er bekendt med (URL'er), til deres ”ægte” numeriske IP-adresser. For eksempel oversætter domænenavnet www.proprivacy.com til sin IPv4-adresse af 104.20.239.134. Så hjertet er DNS bare en smarte telefonbog, der matcher URL'er til deres tilsvarende IP-adresser.

Denne DNS-oversættelsesproces udføres normalt af DNS-servere, der køres af din internetudbyder (ISP). Med større internetudbydere er det sandsynligt, at DNS-forespørgsler vil blive løst geografisk tæt på dig (for eksempel et sted i din by), men dette er ikke altid tilfældet.

Det, der er helt sikkert, er, at DNS-forespørgsler løses i det land, din internetudbyder er baseret på (dvs. dit eget land). Uanset hvor DNS-forespørgslen er løst, vil den dog ikke være på din hjemme-IP-adresse. Men…

Risici for privatlivets fred

Din internetudbyder kan se, hvad du får op til

Det er din internetudbyder, der løser dine DNS-forespørgsler, så:

  1. Den kender IP-adressen, de kom fra.
  2. Det ved, hvilke websteder du besøger, fordi det er en, der oversætter de webadresser, du skriver til IP-adresser. De fleste internetudbydere overalt i verden fører logfiler over disse oplysninger, som de måske ikke deler med din regering eller politistyrke som rutinemæssigt, men som de altid kan tvinges til at dele.

Nu… i det normale forløb betyder det faktisk ikke noget for meget, fordi det er din internetudbyder, der forbinder dig direkte til de IP-adresser, du besøger. Så det ved, hvilke websteder du besøger, alligevel.

En VPN-server nærer dog din internetforbindelse for at forhindre din internetudbyder i at se, hvad du får op på internettet. Medmindre det stadig løser dine DNS-forespørgsler, i hvilket tilfælde det stadig (indirekte) kan se, hvilket websted du besøger.

Du kan spores

Websteder kan se og logge IP-adresserne på DNS-servere, der dirigerer forbindelser til dem. De kender ikke din unikke IP-adresse på denne måde, men de vil vide, hvilken internetudbyder der har løst DNS-forespørgslen og rutinemæssigt oprette et tidsstempel for, hvornår det skete.

Hvis de (eller f.eks. Politiet) ønsker at identificere en besøgende, er de simpelthen nødt til at spørge internetudbyderen "hvem har fremsat en DNS-anmodning til denne adresse på dette tidspunkt?"

Igen, i det normale er det ikke relevant, da websteder alligevel kan se din unikke IP-adresse. Men når du skjuler din IP-adresse med en VPN, bliver det et vigtigt middel til at "af anonymisere" VPN-brugere.

Hvordan DNS-lækager sker

I teorien, når du bruger en VPN, skal alle DNS-anmodninger sendes via VPN, hvor de kan håndteres internt af din VPN-udbyder eller udsættes for en tredjepart, der kun vil se, at anmodningen kom fra VPN-serveren.

Desværre undlader operativsystemer undertiden at dirigere DNS-forespørgsler via VPN-grænsefladen og sender dem i stedet til den standard DNS-server, der er angivet i systemindstillingerne (hvilket vil være din ISP's DNS-server, medmindre du manuelt har ændret dine DNS-indstillinger).

Løsninger

1. Brug en VPN-klient med DNS-lækagebeskyttelse

Mange VPN-klienter løser dette problem med en "DNS-lækebeskyttelse" -funktion. Dette bruger firewall-regler for at sikre, at der ikke kan sendes nogen DNS-anmodninger uden for VPN-tunnelen. Desværre er disse foranstaltninger ikke altid effektive.

Vi forstår ikke, hvorfor "DNS-lækagebeskyttelse" ofte er en bruger, der kan vælges, som ikke er aktiveret som standard.

Igen tilbyder OpenVPN GUI til Windows, Tunnelblick til macOS, OpenVPN til Android og OpenVPN Connect til iOS (og andre platforme) alle god beskyttelse mod DNS-lækage.

2. Deaktiver IPv6

Bemærk, at dette kun er en delvis løsning, da det på ingen måde forhindrer IPv4 DNS-lækager. Men en af ​​de vigtigste grunde til, at selv VPN-apps, der har beskyttelse mod DNS-lækage, ikke klarer at blokere DNS-lækager, er at de kun firewall-DNS-anmodninger til IPv4 DNS-servere.

Da de fleste DNS-servere forbliver kun IPv4, kan de ofte slippe af med dette. Men internetudbydere, der tilbyder IPv6-forbindelser, tilbyder normalt også IPv6 DNS-servere. Så hvis en klient kun blokerer IPv4-DNS-anmodninger uden for VPN-grænsefladen, kan IPv6-dem komme igennem.

3. Skift dine DNS-indstillinger

Eventuelle sandsynlige DNS-forespørgsler, der ikke ruter gennem VPN-grænsefladen (som de skal), sendes i stedet til de standard DNS-servere, der er angivet i dit systems indstillinger.

Medmindre du allerede har ændret disse, hentes DNS-serveradresserne (IPv4 og IPv6, hvis de er tilgængelige) automatisk fra din internetudbyder. Men du kan ændre det, og vi har instruktioner til at gøre det her.

Bemærk, at ændring af dine DNS-indstillinger ikke virkelig "løser" problemet med DNS-lækage. Det lækker DNS-anmodninger til en tredjepart-resolver i stedet for din internetudbyder.

Heldigvis er der nu nogle meget gode privatlivsfokuserede DNS-tjenester, der ikke indeholder nogen logfiler. De beskytter også DNS-anmodninger med DNS via HTTPS (DoH) eller DNS over TLS (DoT) DNS-kryptering, uden hvilken din ISP alligevel kan se DNS-anmodningerne, selvom den ikke håndterer dem.

For mere information om dette emne plus en liste over anbefalede gratis og private DNS-tjenester, se her.

En note til Linux-brugere

Manuel manuel VPN-opsætning i Linux, uanset om du bruger NetworkManager, CLI OpenVPN-klienten, strongSwan eller hvad som helst, giver ingen DNS-lækager. Heldigvis er der trin, du kan tage for at løse dette problem, selvom de komplicerer VPN-installationsprocessen.

Du kan ændre resolvconf for at skubbe DNS til din VPNs DNS-servere, eller du kan manuelt konfigurere iptables-firewallen for at sikre, at al trafik (inklusive DNS-anmodninger) ikke kan efterlade din Linux-maskine uden for VPN-tunnelen. Se vores noter om opbygning af din egen firewall senere i denne artikel for at få flere oplysninger om dette.

WebRTC lækker

WebRTC-lækager er nu den mest almindelige form for IP-lækage, vi ser i vores test. Strengt taget er WebRTC-lækager et browserproblem, ikke et VPN-problem, hvilket har ført til, at mange VPN-udbydere distancerer sig fra et problem, som ikke er let at løse.

Efter vores opfattelse er dette ikke godt nok. Faktisk tror vi heller ikke, at det er godt nok at offentliggøre en "Sådan deaktiverer du WebRTC" -guider, der er gemt dybt inde i en udbyders hjælpesektion..

Hvad er WebRTC lækager?

WebRTC er en HTML5-platform, der tillader problemfri stemmekommunikation og videokommunikation i brugernes browservinduer. Næsten alle moderne browsere på næsten alle større platforme understøtter nu WebRTC, inklusive Chrome, Firefox, Opera, Edge, Safari og Brave.

En undtagelse er i iOS, hvor kun Safari understøtter WebRTC (i det mindste uden yderligere plugins).

For at opnå problemfri browser-til-browser-kommunikation gennem forhindringer såsom firewalls udsender WebRTC-aktiverede browsere din rigtige IP-adresse (r) til STUN-servere, der holder en liste over både brugernes offentlige IP-adresser og deres rigtige IP-adresser.

Enhver, der ønsker at indlede en WebRTC-samtale med dig (eller bare et hvilket som helst nervøst websted) kan anmode om din rigtige IP-adresse, og STUN-serveren vil simpelthen overlevere den.

Normalt benævnt en WebRTC-lækage, kaldes dette problem undertiden "WebRTC-bug." Som er noget af en fejlnummer, da det er en forsætlig og meget nyttig funktion ved WebRTC. Men det er en rigtig smerte for VPN-brugere, der prøver at skjule deres rigtige IP-adresse!

Løsninger

1. Deaktiver WebRTC i din browser

Dette er den eneste 100% effektive måde at forhindre en WebRTC-lækage, når du bruger en VPN. Vi anbefaler at gøre det, selvom din VPN-klient er effektiv til at mindske mod VPN-lækager.

I Firefox er det let at deaktivere WebRTC. Skriv "about: config" i URL-linjen for at åbne Firefox's avancerede indstillinger, søg efter "media.peerconnection.enabled", og dobbeltklik på posten for at ændre dens værdi til falsk.

Alternativt (og i andre browsere) er der forskellige browser-plugins, der kan deaktivere WebRTC, herunder Deaktiver WebRTC, uBlock, uBlock Origin og NoScript. Nogle VPN-udbydere inkluderer en Deaktiver WebRTC-funktion i deres brugerdefinerede browser-tilføjelser.

En mere komplet diskussion om dette emne kan findes på Hvad er WebRTC VPN “Bug” og hvordan fikser man det?

2. Brug en VPN-service, der formindsker mod WebRTC-lækager

WebRTC-lækager er et browserproblem, så den eneste virkelig effektive måde at forhindre dette på er ved at deaktivere WebRTC i browseren.

Når det er sagt, kan VPN-udbydere bruge firewall-regler og stramme indstillinger på både klient- og VPN-niveau for i høj grad at mindske risikoen for, at WebRTC-lækager finder sted. Ingen VPN-udbyder garanterer, at disse foranstaltninger fungerer, fordi det altid er muligt for websteder at implementere smart JavaScript-kode designet til at øge sandsynligheden for lækager.

Vi har imidlertid fundet, at nogle VPN-tjenester er konsekvent effektive til at forhindre VPN-lækager. Vi anbefaler dog stadig at deaktivere WebRTC på browserniveau selv med disse. Bare for at være på den sikre side.

VPN-dropouts og kill-switches

Selvom det ikke teknisk set er en "IP-lækage", da problemet opstår nøjagtigt, fordi du ikke har en VPN-forbindelse, er effekten den samme - du tror, ​​at du er beskyttet af VPN, når hele verden faktisk kan se din IP-adresse.

Hvad er et VPN-dropout?

Nogle gange mislykkes VPN-forbindelser, ofte af grunde, der er helt uden for kontrollen af ​​selv de bedste VPN-tjenester. . Hvis din computer forbliver tilsluttet internettet, når dette sker, udsættes din rigtige IP.

Dette er især et problem for P2P-downloadere, der lader BitTorrent-klienter køre, mens de er væk fra deres computere (ofte i lange perioder). Hvis VPN-forbindelsen falder, udsættes deres ægte IP derfor for enhver copyright-håndhæver, der sporer en torrent, de downloader.

Det er også et problem for mobilbrugere, da skift mellem WiFi og mobilnet og skift af mobilnetværk kan forårsage VPN-dropouts.

Løsninger

1. Brug en kill-switch

En kill switch forhindrer din enhed i at oprette forbindelse til internettet, når VPN ikke fungerer. Næsten alle moderne kill-switches er faktisk firewalls eller firewall-regler på systemniveau, der blokerer for alle internetforbindelser uden for VPN-interface.

Så hvis VPN-softwaren mislykkes eller har brug for at oprette forbindelse igen, blokeres al adgang til internettet. Faktisk giver de samme firewallregler effektiv beskyttelse mod DNS-lækager og kan hjælpe med at mindske mod WebRTC-lækager.

Kill-switches er nu en meget almindelig funktion i desktop VPN-klienter, selvom de er sjældnere i mobile apps. Android 7+ inkluderer imidlertid en indbygget kill-switch, der fungerer med enhver installeret VPN-app.

VPN-apps bruger muligvis deres egen firewall til at oprette en kill switch (og anden lækagebeskyttelse) eller kan ændre dit systems indbyggede firewall. Vi foretrækker den sidstnævnte løsning, da dræbsknappen vil overleve, selvom appen går helt ned. Men enhver kill-switch er meget bedre end ingen.

Byg din egen kill-switch og DNS-lækager ved hjælp af firewall-regler

Som vi har set, bruger mange VPN-apps deres egne firewall-regler eller ændrer dine system Firewall-regler for at oprette en kill switch og forhindre DNS-lækager. Det er helt muligt for dig at gøre det samme manuelt.

Detaljer er forskellige med OS og firewall-program, men de grundlæggende principper er:

1. Tilføj en regel, der blokerer al udgående og indgående trafik på din internetforbindelse.

2. Tilføj en undtagelse for din VPN-udbyders IP-adresser.

3. Tilføj en regel for din TUN / Tap-adapter (hvis du bruger OpenVPN, eller for en hvilken som helst anden VPN-enhed) for at tillade al udgående trafik til VPN-tunnelen.

Vi har en detaljeret guide til at gøre dette ved hjælp af Comodo Firewall til Windows. Mac-brugere kan gøre det samme ved hjælp af Little Snitch, mens Linux-brugere og dem, der kører en VPN-klient på en DD-WRT-router, kan bruge iptables.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me