Kompletní průvodce ochranou proti úniku IP

Jedním z hlavních důvodů použití VPN je skrytí vaší skutečné adresy IP. Při používání sítě VPN je váš internetový provoz šifrován a odeslán na server VPN spuštěný poskytovatelem VPN, než opustíte internet..

To znamená, že externí pozorovatelé vidí pouze IP adresu VPN serveru a ne vaši skutečnou IP adresu. Jediným způsobem, jak zjistit vaši skutečnou IP adresu, je proto přesvědčit vašeho poskytovatele VPN, aby mu je předal (a dobrí poskytovatelé používají robustní opatření, jako je používání sdílených IP a neuchovávání protokolů, aby to bylo co nejtěžší).

Bohužel je někdy možné, aby weby detekovaly vaši skutečnou IP adresu, a to i při použití VPN.

Tento článek si klade za cíl odpovědět: co je to únik IP, proč dochází k úniku IP, i když jsem připojen k VPN, a jak problém vyřeším?

Jak otestovat únik DNS nebo úniku IP

Chcete-li zjistit, zda dochází k úniku IP:

1. Navštivte ipleak.net bez běhu VPN. Poznamenejte si všechny zobrazené adresy IP (nebo jen nechte otevřené okno), protože se jedná o vaše skutečné adresy IP.

Zde vypadá, jak vypadá naše kancelářské připojení podporující IPv6, aniž by byla spuštěna VPN. Pokud vaše připojení není schopné IPv6, uvidíte pouze adresy IPv4. Jak vidíme, WebRTC správně hlásí naši skutečnou IPv6 adresu. Pokud bychom neměli schopnost IPv6, pak by místo toho nahlásilo naši IPv4 adresu.

WebRTC také nahlásí adresu pro soukromé použití (soukromá nebo speciální adresa IANA), ale to se nás netýká. Tyto adresy pro soukromé použití jsou interní adresy, které používají pouze vaše místní sítě..

I když WebRTC vrací skutečnou IP adresu pro soukromé použití, když běží VPN, nejde o riziko ochrany soukromí, protože tyto nelze použít k identifikaci z internetu.

2. Zapněte VPN. I když to není nezbytně nutné, připojení k serveru VPN v jiné zemi značně usnadňuje vyhledávání úniků IP.

3. Otevřete v prohlížeči soukromé / anonymní okno, znovu navštivte stránku ipleak.net a porovnejte výsledky s těmi, které jste získali bez spuštění VPN.

  • Je-li běžná adresa IPv4 skutečnou adresou IPv4, pak VPN buď není zapnutá, nebo prostě nefunguje.
  • Můžete ignorovat adresy IP pro soukromé použití zjištěné pomocí WebRTC. Jak již bylo řečeno, nepředstavují to žádné nebezpečí pro vaše soukromí online, a proto se nepovažují za únik IP (v praktických podmínkách tak jako tak).
  • Pokud se jakákoli jiná adresa na webové stránce ipleak.net shoduje s vaší skutečnou adresou, VPN funguje, ale svou IP adresu nějakým způsobem vytéká.

Dobrý

Připojení k americkému VPN serveru z Velké Británie je výsledek, který chceme vidět.

  • Adresa IPv4 se změnila na umístění serveru VPN. VPN funguje.
  • IPv6 byl deaktivován nebo blokován, aby se zabránilo pravidelnému úniku IPv6.
  • WebRTC nezjišťuje naši skutečnou adresu IPv4 nebo IPv6. Adresu pro soukromé použití můžeme ignorovat, protože neohrožuje naše soukromí.
  • Použité servery DNS nepatří k našemu poskytovateli internetových služeb a jsou vyřešeny ve správné zemi.

Pokud je DNS vyřešen v blízkosti místa, kde je umístěn server VPN, důrazně se doporučuje, aby tam služba VPN spustila svůj vlastní server (y) DNS.

Pokud vidíte více adresátů DNS, kteří se nacházejí pouze v širší zemi nebo zeměpisné oblasti, překlad DNS pravděpodobně provádí překladač DNS třetích stran, například Google DNS..

To není problém, pokud předpokládáme, že požadavky DNS jsou odesílány prostřednictvím připojení VPN, a proto jsou proxy serverem VPN (poměrně bezpečný předpoklad, i když to nikdy nevíte).

Koncový uživatel však bohužel obvykle nemůže snadno zjistit, zda jsou požadavky DNS zpracované překladačem třetích stran proxy serverem proxy nebo odesílány přímo do překladače. Takže musíte tomuto poskytovateli důvěřovat (nebo přejít na poskytovatele, který rozhodně provozuje své vlastní servery DNS).

Je třeba poznamenat, že Google DNS řeší všechny evropské požadavky DNS pomocí serverů umístěných v Nizozemsku a Belgii. Pokud jste připojeni k serveru VPN ve Velké Británii, Francii nebo Rumunsku, ale server DNS se nachází v Belgii, je to důvod. A není to problém (pokud předpokládáme, že požadavky DNS jsou proxy a nejsou zasílány přímo do Googlu).

Špatné

Toto je příklad toho, co nechcete vidět, když se připojujete k serveru VPN v Německu z Velké Británie.

  • Adresa IPv4 se změnila na německou, takže VPN pracuje na základní úrovni.
  • Stále však můžeme vidět naši skutečnou pravidelnou adresu IPv6. To znamená, že máme pravidelný únik IPv6 (nebo jen „únik IPv6“).
  • WebRTC také hlásí naši skutečnou adresu IPv6. Máme tedy únik WebRTC IPv6.
  • DNS adresy nejsou v Německu, ale nepatří ani našemu skutečnému poskytovateli internetových služeb. Nepředstavují únik DNS.

Níže vysvětlíme, jaké jsou různé druhy úniku IP a jak je opravit. Ve všech případech je však často nepsaným, ale doporučeným řešením změna služby VPN na službu, která nevnikne.

Pravidelné úniky IPv6

Porozumění IPv4

Každé připojení k internetu má jedinečnou číselnou adresu zvanou adresa internetového protokolu (IP). IP adresy (nebo jen „IP“) jsou přiřazeny poskytovatelem internetu (ISP), který zařízení připojuje.

Až donedávna používal celý internet k definování IP adres standard Internet Protocol verze 4 (IPv4). To podporuje maximální 32bitovou internetovou adresu, která překládá na 2 ^ 32 IP adres (asi 4,29 miliard) dostupných pro přiřazení.

Bohužel díky nebývalému nárůstu používání internetu v posledních několika letech se adresy IPv4 docházejí. Ve skutečnosti to tak již bylo technicky provedeno, ačkoli zástupná řešení znamenají, že IPv4 je stále velmi daleko od mrtvých. V současnosti většina internetových adres stále používá standard IPv4.

Porozumění IPv6

Přestože byly zavedeny různé strategie zmírňování, které prodlužují trvanlivost IPv4, skutečné řešení přichází ve formě nového standardu - IPv6. To využívá 128bitové webové adresy, čímž se zvyšuje maximální dostupný počet webových adres na 2 ^ 128 (přibližně 340 miliard miliard miliard miliard!). Což by nás mělo udržovat v předvídatelné budoucnosti s IP adresami.

Přijetí IPv6 však bylo pomalé - hlavně kvůli nákladům na upgrade, zpětným obavám o způsobilost a naprosté lenosti. V důsledku toho, ačkoli všechny moderní operační systémy podporují IPv6, drtivá většina poskytovatelů internetových služeb a webové stránky se dosud neobtěžují.

To vedlo webové stránky, které podporují IPv6, k ​​přijetí dvojího přístupu. Při připojení z adresy, která podporuje pouze protokol IPv4, budou obsluhovat adresu IPv4, ale při připojení z adresy, která podporuje protokol IPv6, budou zobrazovat adresu IPv6..

To vedlo webové stránky, které podporují IPv6, k ​​přijetí dvojího přístupu. Při připojení k adrese, která podporuje pouze IPv4, budou sloužit až k IPv4 adrese. Když se však připojí z adresy, která podporuje IPv6, budou poskytovat IPv6 adresu.

Dokud nezačnou docházet adresy IPv4, není nevýhodou použití připojení pouze IPv4.

Netěsnosti VPN IPv6

Bohužel, mnoho VPN softwaru nezachytilo IPv6. Když se připojíte k webové stránce s povoleným protokolem IPv6 z internetového připojení s povoleným protokolem IPv6, klient VPN nasměruje vaše připojení IPv4 přes rozhraní VPN, ale zcela nevědí o tom, že se také naváže připojení IPv6..

Web tedy neuvidí vaši skutečnou adresu IPv4, ale uvidí vaši adresu IPv6. Které mohou být použity k vaší identifikaci.

Řešení

1. Použijte klienta VPN s ochranou proti úniku IPv6

Všichni dobří klienti VPN dnes nabízejí ochranu proti úniku protokolu IPv6. Ve většině případů se to provádí deaktivací protokolu IPv6 na systémové úrovni, aby bylo zajištěno, že připojení IPv6 jednoduše není možné. Je to něco líného řešení, ale funguje to dobře.

Technicky působivější jsou aplikace VPN, které správně směrují připojení IPv6 přes rozhraní VPN. Toto je mnohem elegantnější řešení a je nepochybně budoucností pro všechny aplikace VPN.

Pokud vlastní software vašeho poskytovatele VPN nezabrání pravidelnému úniku protokolu IPv6, můžete místo toho použít aplikaci třetí strany. OpenVPN GUI pro Windows, Tunnelblick pro MacOS, OpenVPN pro Android a OpenVPN Connect pro iOS (a další platformy) poskytují efektivní ochranu proti úniku IPv6..

2. Ve vašem systému deaktivujte IPv6 ručně

Nejbezpečnějším způsobem, jak zabránit úniku IP, je zakázat IPv6 na systémové úrovni (pokud je to možné). Pokyny, jak to provést, naleznete v příručce Jak zakázat protokol IPv6 na všech zařízeních.

Únik DNS

Úniky DNS jsou nejznámější formou úniku IP, protože bývaly nejčastější. V posledních letech se však většina služeb VPN vyšplhala ke značce a v našich testech detekujeme úniky DNS mnohem méně často.

Dynamický systém názvů (DNS) se používá k překladu snadno pochopitelných a zapamatovatelných webových adres, které známe (URL), na jejich „skutečné“ numerické adresy IP. Například překlad názvu domény www.proprivacy.com na IPv4 adresu 104.20.239.134. DNS je tedy v podstatě jen ozdobný telefonní seznam, který porovnává adresy URL s jejich odpovídajícími adresami IP.

Tento proces překladu DNS se obvykle provádí servery DNS provozovanými poskytovatelem internetu (ISP). U větších poskytovatelů služeb Internetu je pravděpodobné, že dotazy DNS budou vyřešeny geograficky blízko vás (například někde ve vašem městě), ale není tomu tak vždy.

Jisté je, že dotazy DNS budou vyřešeny v zemi, ve které sídlí váš poskytovatel internetových služeb (tj. Ve vaší vlastní zemi). Všude, kde je dotaz DNS vyřešen, nebude však na vaší domovské adrese IP. Ale…

Rizika ochrany osobních údajů

Váš ISP může vidět, k čemu se dostanete

Vaše dotazy DNS řeší váš poskytovatel internetových služeb, takže:

  1. Zná IP adresu, ze které přišla.
  2. Ví, které weby navštěvujete, protože převádí adresy URL, které zadáváte, na adresy IP. Většina poskytovatelů internetu po celém světě vede záznamy o těchto informacích, které mohou nebo nemusí sdílet s vaší vládou nebo policejními silami jako rutina, ale které mohou být vždy nuceny ke sdílení.

Nyní ... v běžném průběhu věcí na tom vlastně moc nezáleží, protože je to váš ISP, který vás spojuje přímo s IP adresami, které navštívíte. Takže ví, které webové stránky navštěvujete.

VPN server však proxy vaše připojení k internetu, aby se zabránilo ISP v tom, co vidí na internetu. Pokud stále nevyřeší vaše dotazy DNS, v takovém případě může stále (nepřímo) zjistit, který web navštěvujete.

Můžete být vystopováni

Webové stránky mohou vidět a zaznamenávat IP adresy serverů DNS, které k nim směrují připojení. Tímto způsobem neznají vaši jedinečnou IP adresu, ale budou vědět, který ISP vyřešil dotaz DNS a rutinně vytvoří časové razítko, kdy k tomu došlo..

Pokud chtějí (nebo například policii) identifikovat návštěvníka, jednoduše se musí zeptat ISP, „který v tuto chvíli podal žádost DNS na tuto adresu?“

Opět platí, že v normálním případě to není relevantní, protože webové stránky mohou přesto zobrazit vaši jedinečnou IP adresu. Když však skrýváte svou IP adresu pomocí VPN, stává se důležitým prostředkem „anonymizace“ uživatelů VPN.

Jak dochází k únikům DNS

Teoreticky by při používání VPN měly být všechny požadavky DNS zasílány prostřednictvím VPN, kde je může zpracovat interně váš poskytovatel VPN, nebo je možné je předat třetí straně, která uvidí pouze to, že požadavek přišel ze serveru VPN.

Operační systémy bohužel někdy nedokážou nasměrovat dotazy DNS přes rozhraní VPN a místo toho je odeslat na výchozí server DNS určený v systémových nastaveních (což bude server DNS vašeho poskytovatele služeb Internetu, pokud jste ručně nezměnili nastavení DNS).

Řešení

1. Použijte klienta VPN s ochranou proti úniku DNS

Mnoho klientů VPN řeší tento problém pomocí funkce „ochrana proti úniku DNS“. To používá pravidla brány firewall k zajištění, že žádné požadavky DNS nelze odesílat mimo tunel VPN. Tato opatření bohužel nejsou vždy účinná.

Nechápeme, proč je „ochrana před únikem DNS“ často uživatelem volitelná funkce, která není ve výchozím nastavení povolena.

Opět platí, že GUI OpenVPN pro Windows, Tunnelblick pro MacOS, OpenVPN pro Android a OpenVPN Connect pro iOS (a další platformy) nabízejí dobrou ochranu proti úniku DNS..

2. Zakažte IPv6

Toto je pouze částečné řešení, protože to v žádném případě nezabrání únikům DNS IPv4. Jedním z hlavních důvodů, proč i aplikace VPN, které obsahují ochranu proti úniku DNS, však blokovat úniky DNS, je to, že pouze brání požadavkům brány firewall na servery DNS IPv4..

Protože většina serverů DNS zůstává pouze s protokolem IPv4, mohou s tím často uniknout. Poskytovatelé internetových služeb nabízející připojení IPv6 však obvykle také nabízejí servery DNS IPv6. Pokud tedy klient blokuje pouze požadavky IPv4 DNS mimo rozhraní VPN, mohou se prostřednictvím IPv6 projít.

3. Změňte nastavení DNS

Jakýkoli další DNS dotaz, který nevede přes rozhraní VPN (jak by měl), bude místo toho odeslán na výchozí servery DNS uvedené v nastavení vašeho systému..

Pokud jste je již nezměnili, budou adresy serveru DNS (IPv4 a IPv6, pokud jsou k dispozici) získány automaticky od vašeho poskytovatele služeb Internetu. Ale můžete to změnit a my máme pokyny, jak to udělat zde.

Mějte na paměti, že změna nastavení DNS není problémem opravení úniku DNS. Je to jen proto, že odesíláte požadavky DNS na překladače třetích stran namísto vašeho poskytovatele internetových služeb.

Naštěstí nyní existují některé velmi dobré služby DNS zaměřené na soukromí, které neukládají žádné protokoly. Chrání také požadavky DNS pomocí DNS šifrování DNS přes HTTPS (DoH) nebo DNS přes TLS (DoT) DNS, bez nichž váš poskytovatel internetových služeb může požadavky DNS zobrazit, i když je nezpracovává..

Další informace o tomto tématu a seznam doporučených bezplatných a soukromých služeb DNS naleznete zde.

Poznámka pro uživatele Linuxu

Ruční nastavení VPN v Linuxu, ať už pomocí NetworkManageru, klienta CLI OpenVPN, strongSwan nebo cokoli, neposkytuje žádnou ochranu proti úniku DNS. Naštěstí můžete podniknout kroky k vyřešení tohoto problému, i když komplikují proces nastavení VPN.

Můžete upravit resolvconf tak, aby tlačil DNS na servery DNS vaší VPN, nebo můžete ručně nakonfigurovat firewall iptables, aby zajistil, že veškerý provoz (včetně požadavků DNS) nemůže opustit vaše Linuxové zařízení mimo tunel VPN. Přečtěte si naše poznámky k vytváření vlastního firewallu dále v tomto článku, kde najdete další informace.

Netěsnosti WebRTC

Úniky WebRTC jsou nyní nejčastější formou úniku IP, kterou vidíme v našich testech. Přesně řečeno, úniky WebRTC jsou problém prohlížeče, nikoli problém VPN, což vedlo mnoho poskytovatelů VPN k tomu, aby se distancovali od problému, který není snadné opravit..

Podle našeho názoru to není dost dobré. Ani si nemyslíme, že publikování průvodců „Jak zakázat WebRTC“ skrytých hluboko v sekci nápovědy poskytovatele je dost dobré, a to buď.

Co jsou úniky WebRTC?

WebRTC je platforma HTML5, která umožňuje bezproblémovou hlasovou a obrazovou komunikaci uvnitř oken prohlížeče uživatelů. Téměř všechny moderní prohlížeče na téměř všech hlavních platformách nyní podporují WebRTC, včetně Chrome, Firefox, Opera, Edge, Safari a Brave..

Výjimka je v iOS, kde pouze Safari podporuje WebRTC (alespoň bez dalších pluginů).

Aby bylo možné dosáhnout bezproblémové komunikace mezi prohlížeči prostřednictvím překážek, jako jsou brány firewall, prohlížeče podporující WebRTC vysílají vaši skutečnou IP adresu (y) na servery STUN, které uchovávají seznam veřejných IP adres uživatelů a jejich skutečných IP adres.

Kdokoli, kdo chce s vámi zahájit konverzaci WebRTC (nebo jen jakýkoli protivný web), může požádat o vaši skutečnou IP adresu a server STUN jej jednoduše předá.

Tento problém se obvykle označuje jako únik WebRTC a někdy se nazývá chyba „WebRTC“. Což je něco nesprávného názvu, protože se jedná o úmyslnou a velmi užitečnou funkci WebRTC. Je to skutečná bolest pro uživatele VPN, kteří se snaží skrýt svou skutečnou IP adresu!

Řešení

1. Zakažte ve svém prohlížeči WebRTC

Toto je jediný 100% účinný způsob, jak zabránit úniku WebRTC při používání VPN. Doporučujeme to provést, i když je váš klient VPN efektivní při snižování úniků VPN.

Ve Firefoxu je snadné deaktivovat WebRTC. Do adresního řádku zadejte „about: config“ a zadejte pokročilá nastavení Firefoxu, vyhledejte „media.peerconnection.enabled“ a dvojitým kliknutím na položku změňte její hodnotu na false.

Alternativně (a v jiných prohlížečích) mohou WebRTC deaktivovat různé pluginy prohlížeče, včetně Zakázat WebRTC, uBlock, uBlock Původ a NoScript. Někteří poskytovatelé VPN zahrnují funkci Zakázat WebRTC do svých vlastních doplňků prohlížeče.

Podrobnější diskusi na toto téma lze najít v části Co je chyba „WebRTC VPN“ Chyba ”a jak ji opravit?

2. Použijte službu VPN, která omezuje úniky WebRTC

Úniky WebRTC jsou problémem prohlížeče, takže jediným skutečně účinným způsobem, jak tomu zabránit, je deaktivace WebRTC v prohlížeči.

Poskytovatelé VPN však mohou používat pravidla brány firewall a zpřísnit nastavení jak na úrovni klienta, tak VPN, aby výrazně snížili pravděpodobnost úniku WebRTC. Žádný poskytovatel VPN nezaručuje, že tato opatření fungují, protože je vždy možné, aby weby implementovaly chytrý kód JavaScript určený ke zvýšení pravděpodobnosti úniku.

Zjistili jsme však, že některé služby VPN účinně brání úniku VPN. I přesto však doporučujeme WebRTC na úrovni prohlížeče deaktivovat. Jen abych byl na bezpečné straně.

Výpadky VPN a zabíjení přepínačů

Přestože se nejedná o technicky „úniku IP“, protože k problému dochází přesně proto, že nemáte připojení k VPN, účinek je stejný - domníváte se, že jste chráněni VPN, i když ve skutečnosti celý svět vidí vaši IP adresu.

Co je to výpadek sítě VPN?

Připojení VPN někdy selhávají, často z důvodů zcela mimo kontrolu i těch nejlepších služeb VPN. . Pokud váš počítač zůstane připojený k internetu i poté, co k tomu dojde, bude vystavena skutečná IP adresa.

Jedná se zejména o problém pro downloadery P2P, kteří nechávají klienty BitTorrent běžet, zatímco jsou mimo své počítače (často na dlouhou dobu). Pokud připojení VPN poklesne, je jejich skutečná IP vystavena všem donucovacím orgánům sledujícím torrent, který stahují.

Je to také problém pro mobilní uživatele, protože přepínání mezi WiFi a mobilními sítěmi a přepínání mobilních sítí může způsobit výpadky sítě VPN.

Řešení

1. Použijte spínač zabíjení

Přepínač zabíjení zabraňuje připojení vašeho zařízení k internetu, když VPN nefunguje. Téměř všechny moderní přepínače zabíjení jsou ve skutečnosti brány firewall nebo pravidla brány firewall na úrovni systému, která blokují všechna internetová připojení mimo rozhraní VPN.

Pokud tedy software VPN selže nebo se potřebuje znovu připojit, je veškerý přístup k internetu blokován. Stejná pravidla brány firewall skutečně poskytují účinnou ochranu proti úniku DNS a mohou pomoci zmírnit úniky WebRTC.

Přepínače zabíjení jsou nyní velmi běžnou funkcí u klientů VPN pro stolní počítače, i když v mobilních aplikacích vzácnější. Android 7+ však obsahuje vestavěný přepínač zabíjení, který funguje s jakoukoli nainstalovanou aplikací VPN.

Aplikace VPN mohou používat vlastní bránu firewall k vytvoření přepínače zabíjení (a jiné ochrany proti úniku) nebo mohou změnit vestavěnou bránu firewall vašeho systému. Upřednostňujeme druhé řešení, protože přepínač zabití přežije, i když aplikace úplně havaruje. Jakýkoli přepínač zabíjení je však mnohem lepší než žádný.

Vytvořte si vlastní přepínač zabíjení a ochranu proti úniku DNS pomocí pravidel brány firewall

Jak jsme viděli, mnoho aplikací VPN používá svá vlastní pravidla brány firewall nebo upravují vaše pravidla brány firewall systému k vytvoření přepínače zabíjení a zabránění únikům DNS. Je zcela možné, abyste to samé udělali ručně.

Podrobnosti se liší podle operačního systému a programu brány firewall, ale základní principy jsou:

1. Přidejte pravidlo, které blokuje veškerý odchozí a příchozí provoz v internetovém připojení.

2. Přidejte výjimku pro IP adresy vašeho poskytovatele VPN.

3. Přidejte pravidlo pro svůj adaptér TUN / Tap (pokud používáte OpenVPN nebo pro jakékoli jiné zařízení VPN jinak), abyste povolili veškerý odchozí provoz v tunelu VPN.

Máme podrobného průvodce, jak toho dosáhnout pomocí Comodo Firewall pro Windows. Uživatelé Mac mohou dělat to samé pomocí Little Snitch, zatímco Linux uživatelé a uživatelé, kteří provozují VPN klienta na routeru DD-WRT, mohou používat iptables.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me