Ένας πλήρης οδηγός προστασίας IP διαρροής

Ένας από τους κύριους λόγους για να χρησιμοποιήσετε ένα VPN είναι να αποκρύψετε την πραγματική σας διεύθυνση IP. Όταν χρησιμοποιείτε ένα VPN, η διαδικτυακή σας κίνηση είναι κρυπτογραφημένη και αποστέλλεται σε ένα διακομιστή VPN που εκτελείται από τον παροχέα VPN σας, πριν βγείτε από το διαδίκτυο.

Αυτό σημαίνει ότι οι εξωτερικοί παρατηρητές μπορούν να δουν μόνο τη διεύθυνση IP του διακομιστή VPN και όχι την πραγματική διεύθυνση IP. Ο μόνος τρόπος για να ανακαλύψουν την πραγματική διεύθυνση IP σας είναι να πείσετε τον πάροχο VPN να σας το παραδώσει (και οι καλοί παροχείς χρησιμοποιούν ισχυρά μέτρα όπως η χρήση κοινών IP και η μη τήρηση μητρώων για να γίνει αυτό όσο το δυνατόν πιο δύσκολο).

Δυστυχώς, μερικές φορές είναι δυνατό οι ιστοτόποι να ανιχνεύσουν την πραγματική διεύθυνση IP σας, ακόμα και όταν χρησιμοποιείτε ένα VPN.

Αυτό το άρθρο στοχεύει να απαντήσει: τι είναι διαρροή IP, γιατί η IP μου διαρρέει ακόμα κι αν είμαι συνδεδεμένος με ένα VPN και πώς μπορώ να διορθώσω το πρόβλημα?

Contents

Πώς να ελέγξετε για διαρροή DNS ή διαρροή IP

Για να προσδιορίσετε εάν υπολείπεται διαρροή IP:

1. Επισκεφθείτε το ipleak.net χωρίς να εκτελείται VPN. Σημειώστε όλες τις διευθύνσεις IP που βλέπετε (ή απλά αφήστε το παράθυρο ανοιχτό), καθώς αυτές είναι οι πραγματικές διευθύνσεις IP σας.

Εδώ είναι η εμφάνιση της σύνδεσης γραφείου με δυνατότητα IPv6 χωρίς να εκτελείται VPN. Εάν η σύνδεσή σας δεν είναι ικανή για IPv6 τότε θα δείτε μόνο διευθύνσεις IPv4. Όπως μπορούμε να δούμε, το WebRTC αναφέρει σωστά την πραγματική διεύθυνση IPv6. Εάν δεν είχαμε καμία δυνατότητα IPv6 τότε θα αναφερθεί η διεύθυνση IPv4 αντί.

Το WebRTC αναφέρει επίσης μια διεύθυνση ιδιωτικής χρήσης (ιδιωτική ή ειδική διεύθυνση IANA), αλλά αυτό δεν μας αφορά. Οι διευθύνσεις αυτές είναι εσωτερικές διευθύνσεις που χρησιμοποιούνται μόνο από το τοπικό σας δίκτυο.

Ακόμη και αν το WebRTC επιστρέψει μια πραγματική διεύθυνση ΙΡ Ιδιωτικής Χρήσης όταν εκτελείται ένα VPN, δεν αποτελεί κίνδυνο για την προστασία της ιδιωτικής ζωής, αφού αυτά δεν μπορούν να χρησιμοποιηθούν για την αναγνώρισή σας από το διαδίκτυο.

2. Ενεργοποιήστε το VPN σας. Αν και δεν είναι απολύτως απαραίτητο, η σύνδεση σε διακομιστή VPN σε διαφορετική χώρα καθιστά πολύ πιο εύκολη τη διαρροή IP.

3. Ανοίξτε ένα παράθυρο Private / Incognito στο πρόγραμμα περιήγησής σας, επισκεφθείτε ξανά το ipleak.net και συγκρίνετε τα αποτελέσματα με αυτά που λάβατε χωρίς να τρέξετε το VPN.

  • Εάν η κανονική διεύθυνση IPv4 είναι η πραγματική σας διεύθυνση IPv4 τότε το VPN είτε δεν είναι ενεργοποιημένο είτε απλά δεν λειτουργεί.
  • Μπορείτε να αγνοήσετε τα ΙΡ ιδιωτικής χρήσης που ανιχνεύονται από το WebRTC. Όπως αναφέρθηκε ήδη, αυτά δεν αποτελούν απειλή για την ιδιωτική σας ζωή στο διαδίκτυο και ως εκ τούτου δεν θεωρούνται ως διαρροή IP (πρακτικά, ούτως ή άλλως).
  • Εάν οποιαδήποτε άλλη διεύθυνση στην ιστοσελίδα ipleak.net αντιστοιχεί στην πραγματική σας διεύθυνση, τότε το VPN λειτουργεί, αλλά διαρρέει τη διεύθυνση IP σας με κάποιο τρόπο.

Το καλό

Η σύνδεση με έναν αμερικανικό διακομιστή VPN από το Ηνωμένο Βασίλειο, παρακάτω είναι το αποτέλεσμα που θέλουμε να δούμε.

  • Η διεύθυνση IPv4 έχει αλλάξει στη θέση του διακομιστή VPN. Έτσι το VPN λειτουργεί.
  • Το IPv6 έχει απενεργοποιηθεί ή έχει αποκλειστεί για να αποφευχθούν τακτικές διαρροές IPv6.
  • Το WebRTC δεν εντοπίζει την πραγματική διεύθυνση IPv4 ή IPv6. Μπορούμε να αγνοήσουμε τη διεύθυνση ιδιωτικής χρήσης, καθώς δεν απειλεί την ιδιωτική ζωή μας.
  • Οι διακομιστές DNS που χρησιμοποιούνται δεν ανήκουν στον ISP μας και επιλύονται στη σωστή χώρα.

Αν το DNS επιλυθεί κοντά στο σημείο όπου βρίσκεται ο διακομιστής VPN, τότε προτείνεται έντονα ότι η υπηρεσία VPN τρέχει τους δικούς της διακομιστές DNS.

Εάν βλέπετε πολλούς αποδέκτες DNS που εντοπίζονται μόνο σε μια ευρύτερη χώρα ή γεωγραφική περιοχή, τότε η μετάφραση DNS εκτελείται πιθανώς από έναν ανιχνευτή DNS τρίτου μέρους, όπως το Google DNS.

Αυτό δεν αποτελεί πρόβλημα, εφόσον υποθέτουμε ότι τα αιτήματα DNS αποστέλλονται μέσω της σύνδεσης VPN και επομένως προωθούνται από το διακομιστή VPN (μια αρκετά ασφαλής υπόθεση, αν και δεν γνωρίζετε ποτέ).

Δυστυχώς, συνήθως δεν υπάρχει εύκολος τρόπος για έναν τελικό χρήστη να γνωρίζει αν τα αιτήματα DNS που διακινούνται από έναν διαχωριστή τρίτου μέρους διοχετεύονται από την υπηρεσία VPN ή αποστέλλονται απευθείας στον αναλυτή. Έτσι, απλά πρέπει να εμπιστεύεστε τον παροχέα σας σε αυτόν τον τομέα (ή να μεταβείτε σε πάροχο που σίγουρα τρέχει τους δικούς του διακομιστές DNS).

Αξίζει να σημειωθεί ότι το Google DNS επιλύει όλα τα ευρωπαϊκά αιτήματα DNS χρησιμοποιώντας διακομιστές που βρίσκονται στην Ολλανδία και το Βέλγιο. Επομένως, εάν είστε συνδεδεμένοι σε ένα διακομιστή VPN στο Ηνωμένο Βασίλειο, τη Γαλλία ή τη Ρουμανία, αλλά ο διακομιστής DNS βρίσκεται στο Βέλγιο, γι 'αυτό. Και δεν είναι πρόβλημα (εφ 'όσον υποθέτουμε ότι τα αιτήματα DNS προωθούνται και δεν αποστέλλονται απευθείας στην Google).

Το κακό

Αυτό είναι ένα παράδειγμα αυτού που δεν θέλετε να δείτε όταν συνδέεστε σε ένα διακομιστή VPN στη Γερμανία από το Ηνωμένο Βασίλειο.

  • Η διεύθυνση IPv4 έχει αλλάξει σε γερμανική, οπότε το VPN λειτουργεί σε βασικό επίπεδο.
  • Ωστόσο, μπορούμε ακόμα να δούμε την πραγματική μας τακτική διεύθυνση IPv6. Αυτό σημαίνει ότι έχουμε τακτική διαρροή IPv6 (ή απλώς διαρροή IPv6).
  • Το WebRTC αναφέρει επίσης την πραγματική διεύθυνση IPv6. Έχουμε, συνεπώς, διαρροή IPv6 του WebRTC.
  • Οι διευθύνσεις DNS δεν είναι στη Γερμανία, αλλά δεν ανήκουν στον πραγματικό ISP μας. Επομένως, δεν αποτελούν διαρροή DNS.

Παρακάτω εξηγούμε τι είναι τα διάφορα είδη διαρροής IP και πώς να τα διορθώσετε. Σε όλες τις περιπτώσεις, όμως, μια συχνά άγραφη αλλά συνιστώμενη λύση είναι η αλλαγή της υπηρεσίας VPN σε μια υπηρεσία που δεν διαρρέει.

Κανονικές διαρροές IPv6

Κατανόηση του IPv4

Κάθε σύνδεση στο διαδίκτυο έχει μια μοναδική αριθμητική διεύθυνση που ονομάζεται διεύθυνση πρωτοκόλλου Internet (IP). Οι διευθύνσεις IP (ή απλώς "IP") εκχωρούνται από τον πάροχο Internet (ISP) που συνδέει τη συσκευή.

Μέχρι πρόσφατα, ολόκληρο το Διαδίκτυο χρησιμοποίησε το πρωτόκολλο Internet Protocol version 4 (IPv4) για να καθορίσει τις διευθύνσεις IP. Αυτό υποστηρίζει μια μέγιστη διεύθυνση διαδικτύου 32 bit, η οποία μεταφράζεται σε 2 ^ 32 διευθύνσεις IP (περίπου 4,29 δισεκατομμύρια) διαθέσιμες για εκχώρηση.

Δυστυχώς, χάρη στην άνευ προηγουμένου άνοδο της χρήσης του διαδικτύου τα τελευταία χρόνια, οι διευθύνσεις IPv4 εξαντλούνται. Στην πραγματικότητα, από τεχνικής πλευράς έχουν ήδη κάνει κάτι τέτοιο, αν και οι λύσεις σημαίνουν ότι το IPv4 εξακολουθεί να είναι πολύ μακριά από νεκρούς. Προς το παρόν, η συντριπτική πλειοψηφία των διευθύνσεων διαδικτύου εξακολουθεί να χρησιμοποιεί το πρότυπο IPv4.

Κατανόηση του IPv6

Ενώ έχουν αναπτυχθεί διάφορες στρατηγικές μετριασμού για την παράταση της διάρκειας ζωής του IPv4, η πραγματική λύση έρχεται με τη μορφή ενός νέου προτύπου - IPv6. Αυτό χρησιμοποιεί διαδικτυακές διευθύνσεις 128 bit, διευρύνοντας έτσι τον μέγιστο διαθέσιμο αριθμό διευθύνσεων ιστού σε 2 ^ 128 (περίπου 340 δισ. Δισεκατομμύρια δισεκατομμύρια δισεκατομμύρια!). Που θα πρέπει να μας κρατήσει παρέχονται IP διευθύνσεις για το άμεσο μέλλον.

Ωστόσο, η υιοθέτηση του IPv6 ήταν αργή - κυρίως λόγω του κόστους αναβάθμισης, των ανησυχιών σχετικά με τις δυνατότητες προς τα πίσω και της τεμπελιάς. Συνεπώς, παρόλο που όλα τα σύγχρονα λειτουργικά συστήματα υποστηρίζουν το IPv6, η μεγάλη πλειοψηφία των παρόχων υπηρεσιών διαδικτύου και των ιστοτόπων δεν ενοχλούνται ακόμη.

Αυτό οδήγησε τους ιστότοπους που υποστηρίζουν το IPv6 να υιοθετήσουν μια προσέγγιση διπλού επιπέδου. Όταν συνδεθείτε από μια διεύθυνση που υποστηρίζει μόνο το IPv4, θα εμφανίσουν μια διεύθυνση IPv4, αλλά όταν συνδεθούν από μια διεύθυνση που υποστηρίζει το IPv6, θα εμφανίσουν μια διεύθυνση IPv6.

Αυτό οδήγησε τους ιστότοπους που υποστηρίζουν το IPv6 να υιοθετήσουν μια προσέγγιση διπλού επιπέδου. Όταν συνδέεστε σε μια διεύθυνση που υποστηρίζει μόνο το IPv4, θα προβάλλουν μια διεύθυνση IPv4. Αλλά όταν συνδέονται από μια διεύθυνση που υποστηρίζει IPv6, θα εξυπηρετήσουν μια διεύθυνση IPv6.

Μέχρι να αρχίσουν να εξαντλούνται οι διευθύνσεις IPv4, δεν υπάρχει κανένα μειονέκτημα στη χρήση μίας μόνο σύνδεσης IPv4.

IPv6 VPN διαρροές

Δυστυχώς, πολλά λογισμικά VPN δεν έχουν καλύψει το IPv6. Όταν συνδέεστε σε έναν ιστότοπο με δυνατότητα IPv6 από σύνδεση στο Internet με δυνατότητα IPv6, ο πελάτης VPN θα δρομολογήσει τη σύνδεση IPv4 μέσω της διασύνδεσης VPN, αλλά δεν γνωρίζει πλήρως τη σύνδεση IPv6 που πραγματοποιείται επίσης.

Έτσι, ο ιστότοπος δεν θα βλέπει την πραγματική διεύθυνση IPv4, αλλά θα βλέπει τη διεύθυνση IPv6. Ποια μπορεί να χρησιμοποιηθεί για την αναγνώρισή σας.

Λύσεις

1. Χρησιμοποιήστε έναν υπολογιστή-πελάτη VPN με προστασία διαρροής IPv6

Όλοι οι καλοί πελάτες VPN προσφέρουν αυτές τις μέρες προστασία από διαρροές IPv6. Στις περισσότερες περιπτώσεις, αυτό γίνεται με την απενεργοποίηση του IPv6 σε επίπεδο συστήματος για να εξασφαλιστεί ότι οι συνδέσεις IPv6 απλά δεν είναι δυνατές. Αυτό είναι κάτι τεμπέλης λύσης, αλλά λειτουργεί καλά.

Περισσότερο τεχνικά εντυπωσιακές είναι οι εφαρμογές VPN που δρομολογούν κατάλληλα τις συνδέσεις IPv6 μέσω της διασύνδεσης VPN. Πρόκειται για μια πολύ πιο κομψή λύση και είναι αναμφισβήτητα το μέλλον για όλες τις εφαρμογές VPN.

Εάν το προσαρμοσμένο λογισμικό του παροχέα VPN δεν εμποδίζει τις διαρροές IPv6, τότε μπορείτε να χρησιμοποιήσετε μια εφαρμογή τρίτου μέρους. Το OpenVPN GUI για Windows, το Tunnelblick για MacOS, το OpenVPN για Android και το OpenVPN Connect για iOS (και άλλες πλατφόρμες) προσφέρουν αποτελεσματική προστασία διαρροών IPv6.

2. Απενεργοποιήστε το IPv6 χειροκίνητα στο σύστημά σας

Ο πιο σίγουρος τρόπος για να αποφευχθεί οποιαδήποτε πιθανότητα διαρροών IP είναι να απενεργοποιήσετε το IPv6 σε επίπεδο συστήματος (όπου είναι δυνατόν). Ανατρέξτε στον οδηγό μας σχετικά με τον τρόπο απενεργοποίησης του IPv6 σε όλες τις συσκευές για οδηγίες σχετικά με τον τρόπο αυτό.

Διαρροές DNS

Οι διαρροές DNS είναι η πιο γνωστή μορφή διαρροής IP, επειδή ήταν οι πιο συνηθισμένες. Τα τελευταία χρόνια, όμως, οι περισσότερες υπηρεσίες VPN έχουν ενισχυθεί στο σημάδι, ωστόσο, και στις δοκιμές μας, ανιχνεύουμε διαρροές DNS πολύ λιγότερο συχνά.

Το Dynamic Name System (DNS) χρησιμοποιείται για τη μετάφραση των διευθύνσεων web που γνωρίζουμε εύκολα και θυμόμαστε (URLs) στις αληθινές τους αριθμητικές διευθύνσεις IP. Για παράδειγμα, μεταφράζοντας το όνομα τομέα www.proprivacy.com στη διεύθυνση IPv4 του 104.20.239.134. Έτσι, στην καρδιά, το DNS είναι απλώς ένα φανταστικό τηλεφωνικό βιβλίο που ταιριάζει με τις διευθύνσεις URL στις αντίστοιχες διευθύνσεις IP.

Αυτή η διαδικασία μετάφρασης DNS εκτελείται συνήθως από διακομιστές DNS που εκτελούνται από τον πάροχο διαδικτύου (ISP). Με μεγαλύτερες υπηρεσίες ISP είναι πιθανό ότι τα ερωτήματα DNS θα επιλυθούν γεωγραφικά κοντά σας (για παράδειγμα, κάπου στην πόλη σας), αλλά αυτό δεν συμβαίνει πάντοτε.

Αυτό που είναι βέβαιο είναι ότι οι ερωτήσεις DNS θα επιλυθούν στη χώρα που βασίζεται στον ISP (δηλ. Τη δική σας χώρα). Οπουδήποτε επιλύεται το ερώτημα DNS, δεν θα βρίσκεται στη διεύθυνση IP του σπιτιού σας. Αλλά…

Προστασία προσωπικών δεδομένων

Ο πάροχος υπηρεσιών διαδικτύου σας μπορεί να δει τι σας εξυπηρετεί

Είναι ο πάροχος υπηρεσιών διαδικτύου που επιλύει τα ερωτήματα DNS σας, έτσι ώστε:

  1. Γνωρίζει τη διεύθυνση IP από την οποία προήλθαν.
  2. Γνωρίζει ποιες ιστοσελίδες επισκέπτεστε, επειδή μεταφράζει τις διευθύνσεις URL που πληκτρολογείτε σε διευθύνσεις IP. Οι περισσότεροι πάροχοι υπηρεσιών διαδικτύου σε όλο τον κόσμο τηρούν αρχεία καταγραφής αυτών των πληροφοριών, τα οποία μπορεί ή δεν μπορούν να μοιραστούν με την κυβέρνηση ή τις αστυνομικές δυνάμεις σας ως συνήθη πρακτική, αλλά τα οποία πάντοτε μπορούν να υποχρεωθούν να μοιραστούν.

Τώρα ... στην κανονική πορεία των πραγμάτων αυτό δεν έχει σημασία πάρα πολύ, επειδή είναι ο ISP σας που σας συνδέει άμεσα με τις διευθύνσεις IP που επισκέπτεστε. Γνωρίζει λοιπόν ποιες ιστοσελίδες επισκέπτεστε ούτως ή άλλως.

Ένας διακομιστής VPN εξυπηρετεί τη σύνδεσή σας στο διαδίκτυο, ωστόσο, για να αποτρέψετε τον παροχέα υπηρεσιών διαδικτύου σας από το να βλέπει τι παίρνετε στο διαδίκτυο. Εκτός αν εξακολουθεί να επιλύει τα ερωτήματά σας DNS, οπότε μπορεί (εμμέσως) να διαπιστώσει τον ιστότοπο που επισκέπτεστε.

Μπορεί να εντοπιστεί

Οι ιστότοποι μπορούν να δουν και να καταγράψουν τις διευθύνσεις IP των διακομιστών DNS που κατευθύνουν τις συνδέσεις τους. Δεν θα γνωρίζουν τη μοναδική διεύθυνση IP σας με τον τρόπο αυτό, αλλά θα γνωρίζουν ποιο ISP επιλύει το ερώτημα DNS και δημιουργεί συστηματικά μια χρονική σήμανση του πότε συνέβη.

Εάν αυτοί (ή η αστυνομία, για παράδειγμα) θέλουν να αναγνωρίσουν έναν επισκέπτη, πρέπει απλώς να ζητήσουν από τον ISP "που υπέβαλε αίτημα DNS σε αυτή τη διεύθυνση αυτή τη στιγμή;"

Και πάλι, κατά την κανονική πορεία των πραγμάτων, αυτό δεν έχει σημασία, αφού οι ιστότοποι μπορούν να δουν τη μοναδική σας διεύθυνση IP ούτως ή άλλως. Αλλά όταν κρύβετε τη διεύθυνση IP σας με ένα VPN, αυτό γίνεται ένα σημαντικό μέσο για την "αποσυναρμολόγηση" των χρηστών VPN.

Πώς γίνεται η διαρροή DNS

Θεωρητικά, όταν χρησιμοποιείτε ένα VPN, όλα τα αιτήματα DNS θα πρέπει να αποστέλλονται μέσω του VPN, όπου μπορούν να χρησιμοποιηθούν εσωτερικά από τον πάροχο VPN ή να προωθηθούν σε ένα τρίτο μέρος που θα δει μόνο ότι το αίτημα προέρχεται από το διακομιστή VPN.

Δυστυχώς, τα λειτουργικά συστήματα αποτυγχάνουν μερικές φορές να δρομολογήσουν ερωτήματα DNS μέσω της διασύνδεσης VPN και να τα στείλουν στον προεπιλεγμένο διακομιστή DNS που καθορίζεται στις ρυθμίσεις συστήματος (ο οποίος θα είναι ο διακομιστής DNS του ISP σας, εκτός αν έχετε αλλάξει χειροκίνητα τις ρυθμίσεις DNS).

Λύσεις

1. Χρησιμοποιήστε έναν πελάτη VPN με προστασία διαρροής DNS

Πολλοί υπολογιστές VPN αντιμετωπίζουν αυτό το πρόβλημα με μια δυνατότητα "προστασίας DNS διαρροών". Αυτό χρησιμοποιεί κανόνες τείχους προστασίας για να διασφαλίσει ότι δεν μπορούν να σταλούν αιτήσεις DNS εκτός της σήραγγας VPN. Δυστυχώς, τα μέτρα αυτά δεν είναι πάντα αποτελεσματικά.

Δεν καταλαβαίνουμε γιατί η "προστασία διαρροής DNS" είναι συχνά μια δυνατότητα επιλογής χρήστη που δεν είναι ενεργοποιημένη από προεπιλογή.

Και πάλι, το OpenVPN GUI για Windows, το Tunnelblick για MacOS, το OpenVPN για Android και το OpenVPN Connect για iOS (και άλλες πλατφόρμες) προσφέρουν καλή προστασία από διαρροές DNS.

2. Απενεργοποιήστε το IPv6

Σημειώστε ότι αυτή είναι μόνο μια μερική λύση, καθώς σε καμία περίπτωση δεν αποτρέπει τις διαρροές DNS του IPv4. Αλλά ένας από τους κύριους λόγους για τους οποίους ακόμη και οι εφαρμογές VPN που διαθέτουν προστασία διαρροής DNS αποτυγχάνουν να μπλοκάρουν τις διαρροές DNS είναι ότι μόνο οι απαιτήσεις DNS firewall στους διακομιστές DNS IPv4.

Δεδομένου ότι οι περισσότεροι διακομιστές DNS παραμένουν μόνο για το IPv4, μπορούν συχνά να ξεφύγουν από αυτό. Όμως, οι ISP που προσφέρουν συνδέσεις IPv6 προσφέρουν συνήθως διακομιστές DNS IPv6. Επομένως, εάν ένας πελάτης αποκλείει μόνο τα IPv4 DNS αιτήματα έξω από τη διασύνδεση VPN τότε τα IPv6 μπορούν να περάσουν.

3. Αλλάξτε τις ρυθμίσεις DNS

Οποιαδήποτε παράκαμψη των ερωτημάτων DNS που δεν μετακινούνται μέσω της διεπαφής VPN (όπως θα έπρεπε) θα σταλεί στους προεπιλεγμένους διακομιστές DNS που καθορίζονται στις ρυθμίσεις του συστήματός σας.

Εκτός αν έχετε αλλάξει ήδη, τότε οι διευθύνσεις διακομιστή DNS (IPv4 και IPv6 αν υπάρχουν) θα αποκτηθούν αυτόματα από τον ISP σας. Αλλά μπορείτε να το αλλάξετε και έχουμε οδηγίες να το κάνουμε εδώ.

Σημειώστε ότι η αλλαγή των ρυθμίσεών σας DNS δεν είναι πραγματικά "καθορισμός" το πρόβλημα διαρροής DNS. Είναι απλά ότι διαρρέετε αιτήσεις DNS σε έναν διαχωριστή τρίτου μέρους αντί του ISP σας.

Ευτυχώς, υπάρχουν τώρα μερικές πολύ καλές υπηρεσίες DNS με επίκεντρο την προστασία της ιδιωτικής ζωής που δεν διατηρούν αρχεία καταγραφής. Επίσης, προστατεύουν τα αιτήματα DNS με κρυπτογράφηση DNS μέσω DNS μέσω HTTPS (DoH) ή DNS μέσω TLS (DoT), χωρίς την οποία ο ISP μπορεί να δει τα αιτήματα DNS, ούτως ή άλλως, ακόμη και αν δεν τα χειρίζεται.

Για περισσότερες πληροφορίες σχετικά με αυτό το θέμα, καθώς και μια λίστα των συνιστώμενων δωρεάν και ιδιωτικών υπηρεσιών DNS, ανατρέξτε εδώ.

Σημείωση για χρήστες Linux

Η χειροκίνητη ρύθμιση VPN στο Linux, είτε με τη χρήση του NetworkManager, του CLI OpenVPN client, του strongSwan ή οτιδήποτε άλλο, δεν παρέχει προστασία από διαρροές DNS. Ευτυχώς, υπάρχουν βήματα που μπορείτε να ακολουθήσετε για να διορθώσετε αυτό το ζήτημα, αν και περιπλέκουν τη διαδικασία εγκατάστασης VPN.

Μπορείτε να τροποποιήσετε το resolvconf για να προωθήσετε το DNS στους διακομιστές DNS του VPN ή μπορείτε να ρυθμίσετε με μη αυτόματο τρόπο το τείχος προστασίας iptables ώστε να διασφαλιστεί ότι όλη η κυκλοφορία (συμπεριλαμβανομένων των αιτήσεων DNS) δεν μπορεί να εγκαταλείψει το μηχάνημά σας εκτός της σήραγγας VPN. Ανατρέξτε στις σημειώσεις μας σχετικά με την κατασκευή του δικού σας τείχους προστασίας αργότερα σε αυτό το άρθρο για περισσότερες πληροφορίες σχετικά με αυτό.

Διαρροές WebRTC

Οι διαρροές WebRTC είναι πλέον η πιο κοινή μορφή διαρροής IP που βλέπουμε στις δοκιμές μας. Αυστηρά μιλώντας, οι διαρροές του WebRTC αποτελούν ζήτημα προγράμματος περιήγησης, όχι ζήτημα VPN, το οποίο οδήγησε πολλούς παρόχους VPN να αποστασιοποιηθούν από ένα πρόβλημα το οποίο δεν είναι εύκολο να διορθωθεί.

Κατά την άποψή μας, αυτό δεν είναι αρκετά καλό. Πράγματι, ούτε πιστεύουμε ότι η δημοσίευση οδηγών "Πώς να απενεργοποιήσετε τον WebRTC" που βρίσκεται κρυμμένα μέσα στο τμήμα βοήθειας ενός παρόχου είναι αρκετά καλή, είτε.

Τι είναι οι διαρροές WebRTC?

Το WebRTC είναι μια πλατφόρμα HTML5 που επιτρέπει την απρόσκοπτη επικοινωνία φωνής και βίντεο μέσα από τα παράθυρα του προγράμματος περιήγησης των χρηστών. Σχεδόν όλα τα σύγχρονα προγράμματα περιήγησης σε όλες σχεδόν τις μεγάλες πλατφόρμες υποστηρίζουν τώρα το WebRTC, συμπεριλαμβανομένων των Chrome, Firefox, Opera, Edge, Safari και Brave.

Μια εξαίρεση είναι στο iOS, όπου μόνο το Safari υποστηρίζει το WebRTC (τουλάχιστον χωρίς πρόσθετα πρόσθετα).

Προκειμένου να επιτευχθεί η απρόσκοπτη επικοινωνία του προγράμματος περιήγησης με προγράμματα περιήγησης μέσω εμποδίων όπως τείχη προστασίας, τα προγράμματα περιήγησης με δυνατότητα WebRTC μεταδίδουν τις πραγματικές διευθύνσεις IP στους διακομιστές STUN, οι οποίοι διατηρούν μια λίστα με τις δημόσιες διευθύνσεις IP των χρηστών και τις πραγματικές διευθύνσεις IP τους.

Όποιος επιθυμεί να ξεκινήσει μια συνομιλία με τον WebRTC μαζί σας (ή απλά οποιονδήποτε ιστοτόπο) μπορεί να ζητήσει την πραγματική σας διεύθυνση IP και ο διακομιστής STUN θα το παραδώσει απλά.

Συνήθως αναφέρεται ως διαρροή WebRTC, το πρόβλημα αυτό ονομάζεται μερικές φορές το "σφάλμα WebRTC". Αυτό είναι κάτι που δεν έχει γίνει σωστά, δεδομένου ότι είναι ένα σκόπιμο και πολύ χρήσιμο χαρακτηριστικό του WebRTC. Αλλά είναι ένας πραγματικός πόνος για τους χρήστες VPN που προσπαθούν να κρύψουν την πραγματική διεύθυνση IP τους!

Λύσεις

1. Απενεργοποιήστε το WebRTC στο πρόγραμμα περιήγησής σας

Αυτός είναι ο μόνος 100% αποτελεσματικός τρόπος για την αποφυγή διαρροής WebRTC κατά τη χρήση ενός VPN. Συνιστούμε να το κάνετε ακόμα και αν ο VPN client σας είναι αποτελεσματικός στην αντιμετώπιση των διαρροών VPN.

Στο Firefox είναι εύκολο να απενεργοποιήσετε το WebRTC. Πληκτρολογήστε "about: config" στη γραμμή URL για να εισαγάγετε τις προηγμένες ρυθμίσεις του Firefox, αναζητήστε "media.peerconnection.enabled" και κάντε διπλό κλικ στην καταχώρηση για να αλλάξετε την τιμή του σε false.

Εναλλακτικά (και σε άλλα προγράμματα περιήγησης), υπάρχουν διάφορα plugins του προγράμματος περιήγησης, τα οποία μπορούν να απενεργοποιήσουν το WebRTC, συμπεριλαμβανομένης της απενεργοποίησης του WebRTC, του uBlock, του uBlock Origin και του NoScript. Ορισμένοι πάροχοι VPN περιλαμβάνουν μια δυνατότητα Disable WebRTC στα προσαρμοσμένα πρόσθετα των προγραμμάτων περιήγησής τους.

Μια πιο ολοκληρωμένη συζήτηση για το θέμα αυτό μπορεί να βρεθεί στο "Τι είναι το WebRTC VPN" Bug "και πώς να το διορθώσετε?

2. Χρησιμοποιήστε μια υπηρεσία VPN που μετριάζει τις διαρροές του WebRTC

Οι διαρροές WebRTC αποτελούν ζήτημα προγράμματος περιήγησης, επομένως ο μόνος αποτελεσματικός τρόπος για να αποφευχθεί αυτό είναι η απενεργοποίηση του WebRTC στο πρόγραμμα περιήγησης.

Εντούτοις, οι πάροχοι VPN μπορούν να χρησιμοποιήσουν κανόνες τείχους προστασίας και να σφίξουν τις ρυθμίσεις τόσο σε επίπεδο πελάτη όσο και VPN, ώστε να μειωθεί σημαντικά η πιθανότητα διαρροών WebRTC. Κανένας πάροχος VPN δεν θα εγγυηθεί ότι αυτά τα μέτρα λειτουργούν επειδή είναι πάντα δυνατό για τους ιστότοπους να εφαρμόσουν έξυπνο κώδικα JavaScript που έχει σχεδιαστεί για να αυξήσει την πιθανότητα διαρροών.

Εντούτοις, διαπιστώσαμε ότι ορισμένες υπηρεσίες VPN είναι σταθερά αποτελεσματικές στην αποτροπή διαρροών VPN. Εξακολουθούμε να προτείνουμε την απενεργοποίηση του WebRTC σε επίπεδο προγράμματος περιήγησης, ακόμη και με αυτά. Ακριβώς για να είστε στην ασφαλή πλευρά.

Απόρριψη VPN και διακόπτες θανάτου

Αν και δεν είναι τεχνικά μια "διαρροή IP", καθώς το πρόβλημα συμβαίνει ακριβώς επειδή δεν έχετε σύνδεση VPN, το αποτέλεσμα είναι το ίδιο - νομίζετε ότι προστατεύεστε από το VPN, όταν όλος ο κόσμος μπορεί να δει τη διεύθυνση IP σας.

Τι είναι η απόρριψη VPN?

Μερικές φορές οι συνδέσεις VPN αποτυγχάνουν, συχνά για λόγους εντελώς εκτός του ελέγχου ακόμη και των καλύτερων υπηρεσιών VPN. . Αν ο υπολογιστής σας παραμείνει συνδεδεμένος στο διαδίκτυο μετά από αυτό, τότε θα εμφανιστεί η πραγματική διεύθυνση IP σας.

Αυτό είναι ιδιαίτερα ένα πρόβλημα για τους παραλήπτες P2P που αφήνουν τους υπολογιστές-πελάτες BitTorrent σε λειτουργία ενώ βρίσκονται μακριά από τους υπολογιστές τους (συχνά για μεγάλες χρονικές περιόδους). Εάν η σύνδεση VPN πέσει, η πραγματική IP τους είναι επομένως εκτεθειμένη σε οποιονδήποτε μηχανισμό επιβολής δικαιωμάτων πνευματικής ιδιοκτησίας παρακολουθώντας ένα torrent που μεταφορτώνουν.

Αποτελεί επίσης πρόβλημα για τους χρήστες κινητών συσκευών, όπως η εναλλαγή μεταξύ WiFi και κινητών δικτύων και η εναλλαγή των κινητών δικτύων, μπορεί να προκαλέσει εγκατάλειψη VPN.

Λύσεις

1. Χρησιμοποιήστε ένα διακόπτη kill

Ένας διακόπτης kill εμποδίζει τη συσκευή σας να συνδεθεί στο Internet όταν το VPN δεν λειτουργεί. Σχεδόν όλοι οι σύγχρονοι διακόπτες θανάτου είναι στην πραγματικότητα τείχη προστασίας ή κανόνες τείχους προστασίας σε επίπεδο συστήματος που αποκλείουν όλες τις συνδέσεις στο διαδίκτυο εκτός της διασύνδεσης VPN.

Επομένως, εάν το λογισμικό VPN αποτύχει ή πρέπει να επανασυνδεθεί, τότε η πρόσβαση στο διαδίκτυο είναι αποκλεισμένη. Πράγματι, οι ίδιοι κανόνες τείχους προστασίας παρέχουν αποτελεσματική προστασία από διαρροές DNS και μπορούν να συμβάλουν στην άμβλυνση των διαρροών του WebRTC.

Οι εντολές Kill είναι τώρα ένα πολύ κοινό χαρακτηριστικό στους υπολογιστές-πελάτες VPN της επιφάνειας εργασίας, αν και πιο σπάνιο στις εφαρμογές για κινητά. Το Android 7+ περιλαμβάνει όμως έναν ενσωματωμένο διακόπτη kill που λειτουργεί με οποιαδήποτε εγκατεστημένη εφαρμογή VPN.

Οι εφαρμογές VPN μπορούν να χρησιμοποιούν το δικό τους τείχος προστασίας για να δημιουργήσουν ένα διακόπτη kill (και άλλη προστασία διαρροής) ή μπορεί να τροποποιήσουν το ενσωματωμένο τείχος προστασίας του συστήματός σας. Προτιμάμε την τελευταία λύση καθώς ο διακόπτης kill θα επιζήσει ακόμη και αν η εφαρμογή καταρρεύσει εντελώς. Αλλά οποιοσδήποτε διακόπτης σκοτώματος είναι πολύ καλύτερος από κανένα.

Δημιουργήστε το δικό σας διακόπτη kill και την προστασία διαρροής DNS χρησιμοποιώντας κανόνες firewall

Όπως έχουμε δει, πολλές εφαρμογές VPN χρησιμοποιούν τους δικούς τους κανόνες τείχους προστασίας ή τροποποιούν τους κανόνες του τείχους προστασίας του συστήματός σας για να δημιουργήσουν ένα διακόπτη kill και να αποτρέψουν διαρροές DNS. Είναι τελείως δυνατό να κάνετε το ίδιο πράγμα χειροκίνητα.

Οι λεπτομέρειες διαφέρουν ανάλογα με το λειτουργικό σύστημα και το πρόγραμμα τείχους προστασίας, αλλά οι βασικές αρχές είναι:

1. Προσθέστε έναν κανόνα που αποκλείει την εξερχόμενη και εισερχόμενη κίνηση στη σύνδεσή σας στο διαδίκτυο.

2. Προσθέστε μια εξαίρεση για τις διευθύνσεις IP του παρόχου VPN.

3. Προσθέστε έναν κανόνα για τον προσαρμογέα TUN / Tap (εάν χρησιμοποιείτε OpenVPN ή για οποιαδήποτε άλλη συσκευή VPN διαφορετικά) για να επιτρέψετε την εξερχόμενη κυκλοφορία για τη σήραγγα VPN.

Έχουμε έναν λεπτομερή οδηγό για να το κάνουμε αυτό χρησιμοποιώντας το Comodo Firewall για Windows. Οι χρήστες Mac μπορούν να κάνουν το ίδιο με το Little Snitch, ενώ οι χρήστες του Linux και εκείνοι που εκτελούν ένα VPN client σε δρομολογητή DD-WRT μπορούν να χρησιμοποιήσουν το iptables.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me