Úniky IP – Jak zjistit, zda vaše VPN funguje

IP leaks

Možná používáte nejlepší VPN na trhu a myslíte si, že vaše skutečná IP adresa a online aktivity zůstávají skryté, avšak použití VPN nezaručuje anonymitu. Vzhledem k tomu, že systémy a servery neustále navzájem komunikují, existuje mnoho případů, kdy by vaše IP nebo DNS mohou být viditelné.  Chcete-li zajistit, aby vaše informace a identita zůstaly bezpečně skryté, musíte zkontrolovat, zda váš systém není citlivý na úniky IP nebo DNS.

Chcete-li pochopit úniky DNS a IP, musíte nejprve pochopit, jak funguje internet.

Každému webu je přidělen identifikační kód, který se nazývá IP adresa. Ale protože je mnohem jednodušší zadat název domény než řetězec čísel, DNS servery (Domain Name Service) překládají tyto uživatelsky přívětivé názvy domén na IP adresu. Když váš webový prohlížeč obdrží požadavek na připojení k určitým stránkám, přejde na DNS server, který převede název domény na odpovídající IP adresu. Toto se nazývá DNS rozlišení.

Existuje priorita, podle které operační systém rozhoduje, kam jít pro řešení, například DNS server, soubor HOST, Netbios apod. Toto téma je samo o sobě velmi rozsáhlé a je jinou diskusí. Nicméně, co potřebujete vědět je, že je důležité, kde se váš operační systém obrací s požadavkem na řešení doménového jména. Pokud používáte VPN, DNS rozlišení by mělo probíhat prostřednictvím serverů konfigurovaných vaším VPN poskytovatelem. Bohužel, tomu tak není vždy. Pokud je někdo schopen zjistit IP adresu, z níž byl proveden požadavek na DNS rozlišení, je použití VPN zcela zbytečné. Podobně, pokud třetí strana může odposlouchávat vaše DNS požadavky (představte si útoku člověka ve středu), může odhalit vaše informace, i když používáte vlastní DNS server. Chcete-li tomu zabránit, měli byste použít DNSCrypt, který šifruje provoz z vašeho systému na DNS server. Zde jsou další způsoby, jak zabránit různým typům úniků DNS a IP:

1. Únik IP adresy z prohlížeče

Jedná se o jeden z nejběžnějších scénářů, kdy viníkem úniku vaší IP adresy je WebRTC. Co přesně je WebRTC? Jedná se o API rozhraní, které umožňuje webovým aplikacím, jako je chat a sdílení P2P souborů, pracovat bez použití rozšíření nebo pluginů. To však má určitý háček. Prohlížeče, které podporují WebRTC – jako Chrome a Firefox – využívají server STUN (Session Traversal Utilities for NAT) k získání externí síťové adresy.  Webové stránky, které chtějí znát vaši skutečnou IP adresu, mohou velmi snadno nastavit skrytý kód posílající UDP požadavky na tento STUN server, jež pak směruje tyto požadavky na všechna dostupná síťová rozhraní.

V této situaci dojde k odhalení jak vaší skutečné IP adresy, tak i VPN IP adresy, a to může být provedeno pomocí pouze několika řádků kódu javascript. Tuto situaci ještě zhoršuje fakt, že jelikož tyto požadavky nejsou podobné typickým požadavkům HTTP protokolu, konzole pro vývojáře je nemůže rozpoznat a zásuvné moduly prohlížeče nemohou spolehlivě zablokovat tento druh úniku (i když to propagují). Správný způsob, jak tuto chybu zabezpečení odstranit, je buď:

  1. Nastavte správná pravidla brány firewall tak, aby nebylo možné provádět žádnou žádost mimo VPN.
  2. Vypněte WebRTC v podporovaných prohlížečích. Firefox a Chrome mají různé způsoby, jak to můžete zakázat. Můžete se obrátit na mnoho dostupných online tutoriálů.

2. Únik IP adresy z VPN

Většina dobrých VPN poskytovatelů má své vlastní vyhrazené DNS servery. Nikdy byste se neměli spoléhat na DNS server poskytovaný poskytovatelem internetových služeb, protože by mohlo dojít k ohrožení vašich informací. Je možné použít veřejné DNS servery, jako je například služba poskytovaná společností Google, ale pokud platíte za virtuální VPN, měla by obsahovat vyhrazený DNS server.

Dalším způsobem, kdy vaše VPN může být viníkem úniku, je, pokud nepodporuje protokol IPv6. Pro ty, kteří nevědí, IPv4 protokol používá adresy 32 bitů, takže na světě mohou existovat pouze 2 ^ 32 zařízení s jedinečnou veřejnou IP. S bezprecedentním růstem internetu se blížíme k vyčerpání těchto adres, proto byl zaveden IPv6 protokol. Ten používá adresy 128 bitů, takže počet dostupných IP adres nyní činí 2 ^ 128, což je mnohem vyšší číslo.

Bohužel svět přijímá tento nový protokol velmi pomalu. Některé velké webové stránky podporují oba tyto protokoly a slouží příslušnému kanálu podle klientského systému. Problém přichází, když VPN nepodporuje IPv6 protokol a namísto řešení tohoto problému jej slepě ignoruje. V případě stránek, které podporují pouze IPv4, VPN funguje dobře. Avšak pro webové stránky podporující protokol IPv6, dojde ke selhání vaši VPN při tunelování žádosti, a proto prohlížeč pošle veřejný požadavek mimo vaši VPN, takže vaše skutečná IP adresa je zranitelná.  Postupy pro odstranění těchto zranitelností:

  1. Použijte VPN, která poskytuje vyhrazený DNS server a zabudovanou ochranu proti úniku DNS.
  2. Použijte službu VPN, která podporuje protokol IPv6 nebo alespoň ten, který tento problém nějakým způsobem řeší (jako je zakázání v operačním systému).
  3. Proveďte ruční deaktivujte IPv6 v operačním systému.

3. Únik DNS z operačního systému

Váš operační systém může být také viníkem, pokud jde o únik IP a DNS. Zaměříme se na nejčastěji používaný OS – Windows. Ať už milujete nebo nenávidíte produkty společnosti Microsoft, skutečnost je taková, že většina lidí používá operační systém Windows. Existují však určité nuance, které musíte znát při používání VPN v systému Windows.

Rozlišení DNS se obvykle provádí v určitém pořadí na libovolném operačním systému. Existuje například soubor HOST, kde můžete určit mapování DNS. Váš operační systém se nejprve pokusí vyřešit žádost pomocí tohoto lokálního mapování. Není-li k dispozici, přejdou na nakonfigurované DNS servery a pokud se jim ani zde nezdaří, žádost přejde do Netbiosu. Dokonce i pro DNS servery je k dispozici seznam preferovaných serverů, které můžete konfigurovat. Pokud tedy DNS server s nejvyšší prioritou dokáže vyřešit požadavek, systém Windows nekomunikuje s jinými servery. V případě systému Windows 10 však odešle požadavky na všechny síťové adaptéry a kterýkoliv DNS server reaguje nejprve, přijme tento výsledek. To znamená, že i když jste připojeni k VPN, požadavky na DNS rozlišení mohou stále přicházet na server poskytovatele internetových služeb, takže jste zcela zranitelní.

Další věc, kterou je třeba zvážit při používání systému Windows, je případ IPv6 adres, kterým jsme se věnovali výše. Windows používá Teredo tunelování pro podporu IPv6 adresy pro hostitele, kteří jsou stále v IPv4 síti a nemají nativní podporu IPv6.Co to znamená, že může docházet k úniku DNS z vaší VPN sítě. K zabránění těchto druhů úniků je nutné provést následující kroky:

  1. Deaktivujte tunelování Teredo
  2. Vypněte optimalizaci Windows 10 pomocí zakázání rozlišování názvů smart-multi v editoru skupinové politiky. Vezměte prosím na vědomí, že Windows 10 home basic nemá možnost upravit skupinové zásady.

Jak zjistit únik

Nyní, když máte povědomí o různých způsobech úniku DNS a IP, pojďme se podívat na nástroje, které dokáží zjistit, zda jste v této oblasti zranitelní.  Existuje mnoho internetových stránek dostupných online, které mohou rychle zkontrolovat, zda dochází k úniku DNS nebo IP. Pro většinu z nich jsou následující kroky společné:

  1. Odpojte svou VPN a přejděte na testovací web. Zapište si veřejnou IP adresu a adresu DNS serveru.
  2. Připojte svou VPN síť a znovu přejděte na web. Ten by neměl odhalit dříve zobrazenou IP nebo DNS server. Pokud tomu tak je, musíte to opravit pomocí jednoho nebo více popsaných přístupů.

Zkontrolujte, zda nedošlo k úniku vašeho IP pomocí našeho testu úniku IP.

Níže je screenshot z vpnmentor.com z testování úniku WebRTC. Vzhledem k tomu, že v části veřejného IP adresy není nic zobrazeno, můj prohlížeč není citlivý na únik WebRTC informací.

Nyní, když víte, jak se účinně chránit před únikem IP a DNS, můžete procházet internetem anonymně a bezpečně.

Bylo to užitečné? Sdílejte to!