Co to jest DNS leak i jak się przed nim zabezpieczyć?

25.02.2017
Co to jest DNS leak i jak się przed nim zabezpieczyć?

DNS leak to jedna z poważniejszych luk bezpieczeństwa związana z korzystaniem z VPN. Powoduje, że nasz prawdziwy adres IP może zostać ujawniony i poznany przez serwisy internetowe które odwiedzamy, a dostawca sieci może poznać strony, na które wchodzimy podczas połączenia z siecią za pomocą VPN. Wszystko przez wysyłanie bez naszej wiedzy zapytań do serwerów DNS bez pośrednictwa serwera VPN.

Na czym polega DNS leak czyli wyciek DNS?

Nawet najlepszy VPN nie zawsze będzie w stanie zagwarantować 100% ochronę, jeżeli to system użytkownika lub używane przez niego oprogramowanie będzie powodowało luki w bezpieczeństwie.

DNS (Domain Name System) służy do „tłumaczenia” domen internetowych na fizyczne adresy IP serwerów, na których znajduje się zawartość stron internetowych. Za każdym razem gdy łączymy się z jakimś serwisem i podajemy nazwę domeny, komputer komunikuje się z serwerem DNS aby uzyskać właściwy adres IP. Na przykład dla domeny „dobryvpn.pl” adresem IP serwera może być „104.28.20.235”.

Większość dostawców internetu dostarcza użytkownikom swój własny serwer DNS, który jest przez nich kontrolowany i w oparciu o który mogą logować połączenia i aktywność użytkowników.

Luka bezpieczeństwa, dzięki której możliwy jest DNS leak, a w konsekwencji poznanie prawdziwego adresu IP użytkownika leży w usłudze WebRTC, która jest wbudowana w większość współczesnych przeglądarek (Chrome i Firefox są na nią podatne).

WebRTC to zbiór protokołów i rozwiązań programistycznych, które pozwalają na komunikację w czasie rzeczywistym między dwoma jednostkami. Dzięki niemu, przeglądarki mogą komunikować się bez problemu z serwerami oraz innymi użytkownikami w czasie rzeczywistym. W oparciu o to działają wszystkie aplikacje na stronach internetowych które pozwalają na transmisję wideo, rozmowy głosowe, czaty lub transfer plików bez konieczności instalacji dodatkowego oprogramowania.

Mechanizm wycieku adresu IP w przypadku DNS leak od strony technicznej wygląda następująco. Za pośrednictwem WebRTC wysyłane są zapytania do serwerów STUN dostawcy internetu, które następnie zwracają publiczny i lokalny adres użytkownika. Wystarczy odpowiedni kod na stronie internetowej aby jej właściciel mógł poznać prawdziwy adres IP odwiedzającego, który korzysta z VPN. Natomiast w logach u dostawcy sieci zostanie nasza aktywność związana z wysłanym zapytaniem. Dzieje się tak dlatego, że ta komunikacja odbywa się z pominięciem tunelu utworzonego przez VPN i w związku z tym nie jest chroniona i zabezpieczona.

W sieci można również znaleźć informacje, że niektóre funkcje w Windowsie 10 również mogą powodować DNS leak podczas korzystania z VPN-a.

To czy nasza konfiguracja komputera oraz aplikacji odpowiadającej za połączenie z VPN-em zabezpiecza nas przed DNS leak możemy sprawdzić na stronach https://dnsleaktest.com lub https://ipleak.net/.

Sprawdzanie DNS leak

Jeżeli po przeprowadzeniu testu okaże się, że na stronie jesteśmy w stanie zobaczyć adres IP, który nadał nam dostawca internetowy, to oznacza to, że nasz prawdziwy adres IP wycieka i nasze połączenie z VPN nie jest bezpieczne.

Zabezpieczenie przed DNS leak związanym z WebRTC

Jeżeli okaże się, że nasz adres IP wycieka w trakcie połączenia z VPN, możemy się przed tym zabezpieczyć. Istnieje na to kilka sposobów, dzięki którym przestaniemy być podatni na DNS leak.

  1. Korzystanie z aplikacji do połączenia z VPN, która posiada wbudowany mechanizm zabezpieczający przed DNS leak. Udostępnienie tego rodzaju zabezpieczenia w aplikacji często idzie w parze z opcją skorzystania z killswitcha, który pozwala na odcięcie połączenia z siecią w przypadku utraty połączenia z VPN.
  2. Wyłączenie WebRTC w przeglądarce internetowej. Niestety będzie to się wiązało z tym, że nie będziemy za jej pomocą mogli korzystać z aplikacji webowych, które wykorzystują kamerę i mikrofon.
  3. Zablokowanie WebRTC w przeglądarce przy pomocy wtyczek do przeglądarek jak np. uBlock Origin
  4. Konfiguracja VPN bezpośrednio na routerze, przez który łączymy się z Internetem, dzięki czemu całe połączenie z komputera lub urządzenia mobilnego będzie od razu przechodziło przez bezpieczny tunel.
  5. Zmiana serwerów DNS z których korzystamy na komputerze na publiczne, które nie zostały nadane przez dostawcę sieci jak np. http://use.opendns.com/ lub https://developers.google.com/speed/public-dns/

Udostępnij artykuł:

Wykop

Powiązane artykuły

Co to jest VPN? Jak działa?
21.06.2016

Co to jest VPN? Jak działa?

VPN to skrót od angielskich słów Virtual Private Network czyli Wirtualna Sieć Prywatna. Jest to technologia, która pozwala na stworzenie szyfrowane...

Proxy vs VPN vs Tor - porównanie możliwości. Co najlepiej chroni prywatność?
12.07.2018

Proxy vs VPN vs Tor - porównanie możliwości. Co najlepiej chroni prywatność?

Szukając w sieci sposobów na ochronę prywatności oraz omijanie cenzury, często możemy natknąć się na trzy pojęcia: proxy, VPN oraz Tor. Kryjące się...