Jaký je rozdíl mezi DNS a IP úniky? (& Jak je zastavit)

Vzhledem k obavám o soukromí a dalším důvodům někteří internetoví uživatelé dávají přednost použití služby VPN pro zamaskování jejich skutečné IP adresy a šifrování dat během surfování na webu. Nicméně, všechno může přijít na zmar, pokud vaše osobní data uniknou z důvodu některé z bezpečnostních chyb. Existují dva hlavní způsoby, jak vaše VPN může zveřejnit vaše osobní data nebo IP adresu: DNS únik a WebRTC (IP) únik.

Co je DNS únik?

Pokud jste někdy používali Internet, je pravděpodobné, že jste se také dostali do kontaktu s Domain Name System (DNS), i když nevědomky. DNS uchovává databázi názvů domén (např. vpnmentor.com) a přenese je na odpovídající číselné adresy (Internetový Protokol nebo IP), které jsou nutné pro lokaci zdrojů na internetu. Jedná se o internetový ekvivalent adresáře telefonního seznamu.

Názvy domén jsou pouze pro lidskou spotřebu, počítače chápou pouze čísla ve formě IP adres (168.212.226.204), které nemusí být pro lidi snadné zapamatovat (tudíž je potřeba DNS). Kdykoli chcete navštívit webovou stránku, váš počítač se obrátí na DNS server vašeho poskytovatele internetových služeb a požádá o IP adresu těchto stránek. Pokud používáte službu na ochranu osobních údajů, jako je například VPN, váš počítač obvykle kontaktuje váš VPN server pro DNS namísto DNS poskytovatele internetových služeb.

Jak k tomu dochází?

Existuje bezpečnostní chyba, která někdy dovoluje předávání DNS požadavků na DNS servery poskytovatele internetových služeb, a to i navzdory tomu, že používáte VPN služba pro jejich ukrytí. Tato chyba je známá jako DNS únik. Výsledkem je nešifrovaný DNS dotaz odeslaný vaším počítačem mimo zavedený VPN tunel.  Tato chyba pramení z nedostatečné koncepce univerzálního (kolektivního) DNS operačních systémů. Každé síťové rozhraní může mít vlastní DNS a – za různých okolností – systém pošle dotazy DNS přímo vašemu poskytovateli internetových služeb nebo na jiné servery třetích stran (viz obrázek níže), aniž by respektoval výchozí bránu a DNS nastavení vaší VPN služby, což způsobuje únik.

Tato chyba umožňuje poskytovateli internetových služeb nebo dalším stranám zjistit, jaké webové stránky navštěvujete. Pokud používáte VPN a zjistíte, že vaše skutečná IP adresa je veřejná, znamená to, že vaše DNS žádosti jsou také předávány kromě vašeho VPN poskytovatele také vašemu poskytovateli internetových služeb. Někteří poskytovatelé internetových služeb dokonce zavádějí technologii nazvanou „Transparentní DNS proxy“, která efektivně nutí počítač používat jejich DNS službu pro všechna DNS vyhledávání, a to i když změníte DNS nastavení na jiné než to jejich.

Co je WebRTC (IP) únik?

V roce 2015 přednesl bezpečnostní výzkumník Daniel Roesler demonstraci bezpečnostní chyby, která umožňuje využít program specializovaného rozhraní (API), zabudovaného do většiny webových prohlížečů nazvaných WebRTC (Web Real Time Communication), aby odhalil skutečnou IP adresu uživatele, i když jsou připojeni přes VPN. WebRTC je obvykle používán počítači v různých sítích pro komunikaci mezi prohlížeči, P2P sdílením souborů, hlasovými a video voláními atd.

Jak k tomu dochází?

Jediné, co je potřeba, je několik řádků kódu, pomocí kterých se WebRTC pokusí odhalit vaši skutečnou IP adresu prostřednictvím komunikace s internetovým serverem známým jako STUN (Session Traversal Utilities for NAT). STUN server umožňuje počítačům a zařízením ve vaší vnitřní síti zjistit jejich veřejné IP adresy (internetové). VPN také používají STUN servery k převedení interní síťové adresy na veřejnou internetovou adresu a naopak. Chcete-li to provést, STUN server udržuje databázi IP adresy založené na VPN a vaší místní interní IP adresy během připojení.

Tato netěsnost nemá nic společného s bezpečností vaší VPN, ale s chybou zabezpečení WebRTC ve webovém prohlížeči. Když WebRTC ve vašem prohlížeči přijímá dotazy ze STUN serveru, odešle zpět odpověď na STUN server, která zobrazuje vaši soukromou (interní síť) a veřejnou (internetovou) IP adresu a další data.

K výsledku požadavků, což je v podstatě skutečná IP adresa uživatele, pak lze získat přístup prostřednictvím malého programu s názvem JavaScript. Jediným požadavkem na funkčnost je tak podpora WebRTC v prohlížeči a program JavaScript.Je-li ve vašem prohlížeči povoleno WebRTC, obvykle přijme požadavek STUN a odešle odpověď na server STUN.

Je důležité si uvědomit, že žádný systém není dokonalý a jednou za čas jsou odkryty určité nedostatky. Proto je důležité používat spolehlivého poskytovatele VPN, který aktivně reaguje na zranitelná místa. Ujistěte se, že provedete test VPN proti těmto únikům a podniknete kroky k jejich odstranění.

Bylo to užitečné? Sdílejte to!