Unul dintre motivele principale pentru a utiliza un VPN este să ascundeți adresa dvs. IP adevărată. Când utilizați o VPN, traficul dvs. de internet este criptat și trimis către un server VPN condus de furnizorul dvs. VPN, înainte de a ieși pe internet.

Aceasta înseamnă că observatorii externi pot vedea doar adresa IP a serverului VPN și nu adresa dvs. IP adevărată. Singura modalitate prin care aceștia să îți descopere adevărata adresă IP este, prin urmare, să-l convingi pe furnizorul VPN să le predea acestora (iar furnizorii buni folosesc măsuri robuste, cum ar fi să utilizeze IP-uri partajate și să nu păstreze jurnalele pentru a face acest lucru cât se poate de dificil).

Din păcate, uneori este posibil ca site-urile să detecteze adresa dvs. IP adevărată, chiar și atunci când utilizați un VPN.

Acest articol își propune să răspundă: ce este o scurgere IP, de ce scurge IP-ul meu, deși sunt conectat la un VPN și cum pot rezolva problema?

Cum se testează o scurgere DNS sau o scurgere de IP

Pentru a determina dacă suferiți o scurgere de IP:


1. Accesați ipleak.net fără să funcționeze VPN. Notează toate adresele IP pe care le vezi (sau lasă doar fereastra deschisă), deoarece acestea sunt adresele tale IP reale.

Iată cum arată conexiunea noastră de birou capabilă de IPv6 fără funcționarea VPN. Dacă conexiunea dvs. nu este capabilă de IPv6, atunci veți vedea doar adrese IPv4. După cum putem vedea, WebRTC raportează corect adresa noastră reală IPv6. Dacă nu am avea nici o capacitate IPv6, atunci va raporta adresa noastră IPv4.

De asemenea, WebRTC raportează o adresă de utilizare privată (adresă IANA privată sau specială), dar aceasta nu ne privește. Aceste adrese de utilizare privată sunt adrese interne care sunt utilizate doar de rețeaua dvs. locală.

Chiar dacă WebRTC returnează o adresă IP reală de utilizare privată atunci când rulează un VPN, nu este un risc pentru confidențialitate, deoarece acestea nu pot fi utilizate pentru a vă identifica de pe internet.

2. Porniți VPN-ul. Deși nu este strict necesar, conectarea la un server VPN dintr-o țară diferită facilitează depistarea scurgerilor IP.

3. Deschideți o fereastră privată / Incognito în browserul dvs., vizitați din nou ipleak.net și comparați rezultatele cu cele obținute fără funcționarea VPN.

  • Dacă adresa IPv4 obișnuită este adresa dvs. IPv4 reală, atunci VPN-ul nu este pornit sau pur și simplu nu funcționează.
  • Puteți ignora IP-urile de utilizare privată detectate de WebRTC. După cum sa discutat deja, acestea nu reprezintă o amenințare pentru confidențialitatea dvs. online și, prin urmare, nu sunt considerate o scurgere de IP (în orice caz, în termeni practice).
  • Dacă orice altă adresă de pe pagina web ipleak.net se potrivește cu adresa dvs. reală, VPN funcționează, dar va scăpa într-un fel adresa dvs. IP.

Binele

Conectarea la un server VPN american din Marea Britanie, mai jos este rezultatul pe care dorim să-l vedem.

  • Adresa IPv4 s-a schimbat în locația serverului VPN. Deci VPN-ul funcționează.
  • IPv6 a fost dezactivat sau blocat pentru a preveni scurgerile IPv6 regulate.
  • WebRTC nu detectează adresa noastră reală IPv4 sau IPv6. Putem ignora adresa de utilizare privată, deoarece nu ne amenință confidențialitatea.
  • Serverele DNS utilizate nu aparțin ISP-ului nostru și sunt rezolvate în țara corectă.

Dacă DNS este rezolvat aproape de locul în care se află serverul VPN, atunci sugerează cu tărie că serviciul VPN rulează propriul său server DNS acolo.

Dacă vedeți mai mulți destinatari DNS care se localizează doar într-o țară sau o zonă geografică mai largă, atunci traducerea DNS este efectuată probabil de către un terț rezolvator DNS, cum ar fi Google DNS.

Aceasta nu este o problemă atâta timp cât presupunem că solicitările DNS sunt trimise prin conexiunea VPN și, prin urmare, sunt trimise prin serverul VPN (o presupunere destul de sigură, deși nu știi niciodată).

Din păcate, nu există în mod obișnuit un utilizator final să știe dacă cererile DNS gestionate de către un terț rezolvator sunt proxiate de serviciul VPN sau trimise direct la rezolvator. Așadar, trebuie doar să ai încredere în furnizorul tău pe acesta (sau să treci la un furnizor care își execută cu siguranță propriile servere DNS).

De remarcat este faptul că Google DNS rezolvă toate solicitările DNS europene folosind servere localizate în Olanda și Belgia. Așadar, dacă sunteți conectat la un server VPN din Marea Britanie, Franța sau România, dar serverul DNS este situat în Belgia, tocmai de aceea. Și nu este o problemă (atât timp cât presupunem că solicitările DNS sunt trimise la răspundere și nu sunt trimise direct la Google).

Răul

Acesta este un exemplu de ceea ce nu doriți să vedeți atunci când vă conectați la un server VPN din Germania din Marea Britanie.

  • Adresa IPv4 s-a schimbat în una germană, astfel VPN funcționează la nivel de bază.
  • Cu toate acestea, putem totuși vedea adevărata noastră adresă IPv6 regulată. Aceasta înseamnă că avem o scurgere IPv6 normală (sau doar „scurgere IPv6”).
  • WebRTC raportează și adresa noastră reală IPv6. Deci avem o scurgere IPv6 WebRTC.
  • Adresele DNS nu sunt în Germania, dar nici nu aparțin ISP-ului nostru real. Deci nu constituie o scurgere DNS.

Mai jos vă explicăm care sunt diferitele tipuri de scurgeri IP și cum să le rezolvați. În toate cazurile, însă, o soluție adesea nescrisă, dar recomandată este schimbarea serviciului VPN la unul care nu se scurge.

Scurgeri IPv6 regulate

Înțelegerea IPv4

Fiecare conexiune la internet are o adresă numerică unică numită adresă IP (Internet Protocol). Adresele IP (sau doar „IP-urile”) sunt atribuite de furnizorul de internet (ISP) care conectează dispozitivul.

Până de curând, întregul internet folosea standardul Internet Protocol versiunea 4 (IPv4) pentru a defini adresele IP. Aceasta acceptă o adresă de internet de maxim 32 biți, care se traduce prin 2 ^ 32 adrese IP (aproximativ 4,29 miliarde) disponibile pentru alocare.

Din păcate, datorită creșterii fără precedent a utilizării internetului în ultimii ani, adresele IPv4 se termină. De fapt, tehnic vorbind au făcut-o deja, deși soluțiile de rezolvare înseamnă că IPv4 este încă foarte departe de morți. În prezent, marea majoritate a adreselor de internet utilizează încă standardul IPv4.

Înțelegerea IPv6

În timp ce diverse strategii de atenuare au fost implementate pentru a prelungi perioada de valabilitate a IPv4, adevărata soluție vine sub forma unui nou standard - IPv6. Aceasta utilizează adrese web pe 128 biți, extinzând astfel numărul maxim disponibil de adrese web la 2 ^ 128 (aproximativ 340 miliarde miliarde miliarde!). Ceea ce ar trebui să ne păstreze adrese IP pentru viitorul previzibil.

Cu toate acestea, adoptarea IPv6 a fost lentă - în principal din cauza costurilor de actualizare, a problemelor privind capacitatea de întoarcere și a lenevi. În consecință, deși toate sistemele de operare moderne acceptă IPv6, marea majoritate a ISP-urilor și site-urilor web nu deranjează încă.

Acest lucru a determinat site-urile web care susțin IPv6 să adopte o abordare cu două niveluri. Când sunt conectate la o adresă care acceptă doar IPv4, acestea vor furniza o adresă IPv4, dar atunci când sunt conectate de la o adresă care acceptă IPv6, acestea vor servi o adresă IPv6..

Acest lucru a determinat site-urile web care susțin IPv6 să adopte o abordare cu două niveluri. Când sunt conectate la o adresă care acceptă numai IPv4, acestea vor furniza o adresă IPv4. Dar când sunt conectate de la o adresă care acceptă IPv6, acestea vor difuza o adresă IPv6.

Până la începerea adreselor IPv4, nu există niciun dezavantaj în utilizarea unei conexiuni numai IPv4.

Scurgeri VPN IPv6

Din păcate, o mare parte din software-ul VPN nu a prins IPv6. Când vă conectați la un site web activat IPv6 de la o conexiune la internet activată IPv6, clientul VPN vă va orienta conexiunea IPv4 prin interfața VPN, dar nu știe complet conexiunea IPv6..

Deci site-ul nu va vedea adresa dvs. IPv4 reală, dar va vedea adresa dvs. IPv6. Care poate fi folosit pentru a vă identifica.

soluţii

1. Utilizați un client VPN cu protecție împotriva scurgerilor IPv6

Toți clienții VPN buni din aceste zile oferă protecție IPv6 împotriva scurgerii. În cele mai multe cazuri, acest lucru se realizează prin dezactivarea IPv6 la nivel de sistem pentru a asigura conexiunile IPv6 pur și simplu nu sunt posibile. Este o soluție leneșă, dar funcționează bine.

Mai impresionante din punct de vedere tehnic sunt aplicațiile VPN care direcționează în mod corespunzător conexiunile IPv6 prin interfața VPN. Aceasta este o soluție mult mai elegantă și este, fără îndoială, viitorul pentru toate aplicațiile VPN.

Dacă software-ul personalizat al furnizorului dvs. VPN nu împiedică scurgerile IPv6 regulate, atunci puteți utiliza o aplicație terță parte. GUI OpenVPN pentru Windows, Tunnelblick pentru macOS, OpenVPN pentru Android și OpenVPN Connect pentru iOS (și alte platforme) oferă toate o protecție eficientă împotriva scurgerilor IPv6.

2. Dezactivați manual IPv6 pe sistemul dvs.

Cea mai sigură modalitate de a preveni orice posibilitate de scurgeri IP este de a dezactiva IPv6 la nivelul sistemului (acolo unde este posibil). Vă rugăm să consultați ghidul nostru despre Cum dezactivați IPv6 pe toate dispozitivele pentru instrucțiuni despre cum să faceți acest lucru.

Scurgeri DNS

Scurgerile DNS sunt cea mai cunoscută formă de scurgere IP, deoarece au fost cele mai frecvente. În ultimii ani, majoritatea serviciilor VPN s-au intensificat, însă, în testele noastre, detectăm scurgeri DNS mult mai rar.

Sistemul de nume dinamic (DNS) este utilizat pentru a traduce adresele web ușor de înțeles și de a ne aminti de adresele web cu care suntem familiarizați (adresele URL), la adresele lor IP „numerice”. De exemplu, traducerea numelui de domeniu www.proprivacy.com la adresa sa IPv4 din 104.20.239.134. Așadar, la început DNS este doar o carte de telefon fantezistă care se potrivește adreselor URL cu adresele IP corespunzătoare.

Acest proces de traducere DNS este de obicei realizat de serverele DNS administrate de furnizorul de internet (ISP). Cu ISP-uri mai mari, este probabil ca întrebările DNS să fie rezolvate din punct de vedere geografic apropiate de dvs. (de exemplu, undeva în orașul dvs.), dar acest lucru nu este întotdeauna cazul.

Ceea ce este sigur este că solicitantele DNS vor fi rezolvate în țara în care se bazează ISP-ul dvs. (adică propria țară). Totuși, oriunde s-a rezolvat interogarea DNS, aceasta nu va fi la adresa IP de acasă. Dar…

Riscuri de confidențialitate

ISP-ul tău poate vedea la ce te ridici

ISP-ul dvs. vă soluționează întrebările DNS, astfel:

  1. Știe adresa IP de la care au venit.
  2. Știe ce site-uri web vizitați, deoarece este unul care traduce adresele URL pe care le introduceți în adrese IP. Majoritatea ISP-urilor din întreaga lume păstrează jurnalele acestor informații, pe care le pot sau nu să le comunice guvernului sau forțelor de poliție, în mod obișnuit, dar pe care pot fi întotdeauna obligate să le împărtășească.

Acum… în cursul normal al lucrurilor, acest lucru nu contează prea mult, deoarece ISP-ul dvs. vă conectează direct la adresele IP pe care le vizitați. Deci știe ce site-uri web vizitați, oricum.

Totuși, un server VPN vă asigură conexiunea la internet, pentru a împiedica ISP-ul dvs. să vadă ce accesați pe internet. Cu excepția cazului în care se rezolvă în continuare întrebările DNS, caz în care se poate vedea (indirect) tot ce site-ul web accesați.

Poți fi urmărit

Site-urile web pot vedea și înregistra adresele IP ale serverelor DNS care leagă conexiunile. Nu vor cunoaște adresa dvs. IP unică în acest fel, dar vor ști care ISP a soluționat interogarea DNS și va crea în mod obișnuit o marcă de timp a momentului în care s-a întâmplat.

Dacă ei (sau poliția, de exemplu) vor să identifice un vizitator, trebuie doar să întrebe ISP „cine a făcut o cerere DNS la această adresă în acest moment?”

Din nou, în cursul normal al lucrurilor, acest lucru este irelevant, deoarece site-urile web pot vedea oricum adresa dvs. IP unică. Dar când vă ascundeți adresa IP cu un VPN, aceasta devine un mijloc important de „de-anonimizare” a utilizatorilor VPN.

Cum se întâmplă scurgeri DNS

În teorie, atunci când utilizați un VPN, toate cererile DNS ar trebui trimise prin VPN, unde pot fi gestionate intern de către furnizorul dvs. VPN sau trimise la o terță parte care va vedea doar că solicitarea a venit de la serverul VPN.

Din păcate, sistemele de operare nu reușesc uneori să ruteze interogările DNS prin interfața VPN și, în schimb, le trimit la serverul DNS implicit specificat în setările sistemului (care va fi serverul DNS al ISP-ului dvs., cu excepția cazului în care ați modificat manual setările DNS).

soluţii

1. Utilizați un client VPN cu protecție împotriva scurgerii DNS

Mulți clienți VPN abordează această problemă cu o caracteristică „Protecție împotriva scurgerii DNS”. Aceasta folosește reguli de firewall pentru a asigura că nici o solicitare DNS nu poate fi trimisă în afara tunelului VPN. Din păcate, aceste măsuri nu sunt întotdeauna eficiente.

Nu înțelegem de ce „Protecția împotriva scurgerii DNS” este adesea o caracteristică selectabilă pentru utilizator care nu este activată implicit.

Din nou, GUI OpenVPN pentru Windows, Tunnelblick pentru macOS, OpenVPN pentru Android și OpenVPN Connect pentru iOS (și alte platforme) oferă o protecție bună împotriva scurgerii DNS..

2. Dezactivați IPv6

Rețineți că aceasta este doar o soluție parțială, deoarece nu împiedică în niciun fel scurgerile DNS IPv4. Unul dintre motivele principale pentru care chiar și aplicațiile VPN care prezintă protecție împotriva scurgerilor DNS nu reușesc să blocheze scurgerile DNS este faptul că acestea solicită doar firewall DNS pentru serverele DNS IPv4.

Deoarece majoritatea serverelor DNS rămân doar IPv4, acestea pot fi deseori îndepărtate de acest lucru. Dar ISP-urile care oferă conexiuni IPv6 oferă de asemenea servere DNS IPv6. Așadar, dacă un client blochează numai cererile DNS DN4 în afara interfeței VPN, atunci cele IPv6 pot trece.

3. Modificați setările DNS

Orice întrebări DNS simple care nu parcursă prin interfața VPN (așa cum ar trebui) vor fi în schimb trimise către serverele DNS implicite specificate în setările sistemului dvs..

Cu excepția cazului în care deja le-ați modificat, atunci adresele serverului DNS (IPv4 și IPv6 dacă sunt disponibile) vor fi obținute automat de la ISP-ul dvs. Dar îl puteți schimba și avem instrucțiuni pentru a face acest lucru aici.

Rețineți că modificarea setărilor dvs. DNS nu este „corectarea” problemei scurgerii DNS. Doar că veți scăpa cereri DNS către o soluție terță parte în loc de ISP.

Din fericire, acum există câteva servicii DNS foarte bune axate pe confidențialitate, care nu păstrează jurnalele. De asemenea, protejează cererile DNS cu DNS prin HTTPS (DoH) sau DNS prin TLS (DoT) criptare DNS, fără de care ISP-ul dvs. poate vedea solicitările DNS, oricum, chiar dacă nu le gestionează.

Pentru mai multe informații despre acest subiect, plus o listă de servicii DNS gratuite și private recomandate, consultați aici.

O notă pentru utilizatorii Linux

Configurarea manuală a VPN în Linux, indiferent dacă se utilizează NetworkManager, clientul CLI OpenVPN, puternicSwan sau orice altceva, nu oferă protecție împotriva scurgerii DNS. Din fericire, există pași pe care îi puteți face pentru a remedia această problemă, deși complică procesul de configurare VPN.

Puteți modifica rezolvconf pentru a împinge DNS pe serverele DNS ale VPN-ului dvs. sau puteți configura manual firewall-ul iptables pentru a vă asigura că tot traficul (inclusiv cererile DNS) nu poate părăsi mașina Linux în afara tunelului VPN. Vă rugăm să consultați notele noastre despre construirea propriului dvs. firewall mai târziu în acest articol pentru mai multe despre acest lucru.

Scurgeri de WebRTC

Scurgerile WebRTC sunt acum cea mai frecventă formă de scurgere IP pe care o vedem în testele noastre. În mod strict, scurgerile WebRTC sunt o problemă de browser, nu o problemă VPN, ceea ce a determinat mulți furnizori VPN să se distanțeze de o problemă care nu este ușor de remediat.

În opinia noastră, acest lucru nu este suficient de bun. Într-adevăr, nici nu credem că publicarea unei ghiduri „Cum dezactivați WebRTC” ascunsă în interiorul secțiunii de ajutor a unui furnizor este suficient de bună, fie.

Ce sunt scurgerile WebRTC?

WebRTC este o platformă HTML5 care permite comunicarea vocală și video perfectă în ferestrele browserului utilizatorilor. Aproape toate browserele moderne de pe aproape toate platformele majore acceptă acum WebRTC, inclusiv Chrome, Firefox, Opera, Edge, Safari și Brave.

O excepție este în iOS, unde numai Safari acceptă WebRTC (cel puțin fără pluginuri suplimentare).

Pentru a realiza o comunicare perfectă între browser-browser prin obstacole, cum ar fi firewall-uri, browserele webRTC transmite adresele IP reale către serverele STUN care păstrează o listă a adreselor IP publice ale utilizatorilor și a adreselor IP reale.

Oricine dorește să inițieze o conversație WebRTC cu dvs. (sau doar orice site web neplăcut) poate solicita adresa dvs. IP reală și serverul STUN o va preda pur și simplu.

De obicei, denumită o scurgere WebRTC, această problemă este uneori numită „bug WebRTC”. Ceea ce este ceva nepotrivit, deoarece este o caracteristică intenționată și foarte utilă a WebRTC. Dar este o adevărată durere pentru utilizatorii VPN care încearcă să-și ascundă adresa IP reală!

soluţii

1. Dezactivați WebRTC în browserul dvs.

Acesta este singurul mod 100% eficient de a preveni o scurgere de WebRTC atunci când utilizați un VPN. Vă recomandăm să o faceți chiar dacă clientul dvs. VPN este eficient în atenuarea împotriva scurgerilor VPN.

În Firefox este ușor de dezactivat WebRTC. Introduceți „about: config” în bara URL pentru a intra în setările avansate ale Firefox, căutați „media.peerconnection.enabled” și faceți dublu clic pe intrare pentru a-i schimba valoarea în false.

În mod alternativ (și în alte browsere), există diverse plugin-uri de browser care pot dezactiva WebRTC, inclusiv Disable WebRTC, uBlock, uBlock Origin și NoScript. Unii furnizori VPN includ o caracteristică Dezactivare WebRTC în suplimentele lor de browser personalizate.

O discuție mai completă pe acest subiect poate fi găsită la Ce este „Bug”-ul WebRTC VPN și Cum să-l repar?

2. Utilizați un serviciu VPN care atenuează scurgerile de WebRTC

Scurgerile WebRTC sunt o problemă de browser, astfel că singurul mod cu adevărat eficient de a preveni acest lucru este prin dezactivarea WebRTC în browser.

Acestea fiind spuse, furnizorii de VPN pot utiliza regulile de firewall și pot consolida setările atât la nivel de client cât și la VPN pentru a reduce foarte mult șansele de apariție de scurgeri WebRTC. Niciun furnizor VPN nu va garanta că aceste măsuri funcționează, deoarece este întotdeauna posibil ca site-urile web să implementeze un cod JavaScript inteligent conceput pentru a crește probabilitatea de scurgeri.

Am constatat însă că unele servicii VPN sunt eficiente în mod constant la prevenirea scurgerilor VPN. Vă recomandăm totuși să dezactivați WebRTC la nivel de browser, chiar și cu acestea. Doar pentru a fi pe partea sigură.

Renunțarea la VPN și comutatoarele ucid

Deși tehnic nu este o „scurgere IP”, deoarece problema apare exact pentru că nu aveți o conexiune VPN, efectul este același - credeți că sunteți protejat de VPN, când de fapt întreaga lume vă poate vedea adresa IP..

Ce este renunțarea la VPN?

Uneori conexiunile VPN nu reușesc, adesea din motive complet în afara controlului chiar și celor mai bune servicii VPN. . Dacă computerul dvs. rămâne conectat la internet după ce se întâmplă acest lucru, atunci IP-ul dvs. real va fi expus.

Aceasta este o problemă în special pentru descărcătorii P2P, care lasă clienții BitTorrent rulând în timp ce sunt departe de calculatoarele lor (deseori pentru perioade lungi de timp). Dacă conexiunea VPN scade, IP-ul lor adevărat este, prin urmare, expus oricărui agent de aplicare a drepturilor de autor care urmărește un torrent pe care îl descarcă.

De asemenea, este o problemă pentru utilizatorii de telefonie mobilă, întrucât trecerea între rețelele WiFi și mobil și schimbarea rețelelor mobile poate cauza abandon renumit VPN.

soluţii

1. Folosiți un comutator de ucidere

Un switch switch împiedică conectarea dispozitivului dvs. la internet atunci când VPN-ul nu funcționează. Aproape toate switch-urile moderne sunt de fapt firewall-uri sau reguli de firewall la nivel de sistem care blochează toate conexiunile de internet din afara interfeței VPN.

Așadar, dacă software-ul VPN nu reușește sau trebuie să se reconecteze, atunci accesul la internet este blocat. Într-adevăr, aceleași reguli de firewall oferă o protecție eficientă împotriva scurgerilor DNS și pot ajuta la atenuarea împotriva scurgerilor WebRTC.

Switch-urile Kill sunt acum o caracteristică foarte frecventă la clienții VPN desktop, deși mai rare în aplicațiile mobile. Android 7+, cu toate acestea, include un comutator de încărcare integrat care funcționează cu orice aplicație VPN instalată.

Aplicațiile VPN pot utiliza firewallul propriu pentru a crea un comutator de ucidere (și o altă protecție împotriva scurgerii) sau pot modifica firewallul încorporat al sistemului. Preferăm această din urmă soluție, deoarece comutatorul de ucid va supraviețui chiar dacă aplicația se blochează complet. Dar orice comutator de ucidere este mult mai bun decât nici unul.

Construiește-ți propriul buton de protecție și protecția împotriva scurgerilor DNS folosind regulile firewall-ului

După cum am văzut, multe aplicații VPN folosesc propriile lor reguli de firewall sau modifică regulile firewall-ului sistemului pentru a crea un comutator de ucidere și pentru a preveni scurgerile DNS. Este cu totul posibil să faci același lucru manual.

Detaliile diferă în funcție de sistemul de operare și firewall, dar principiile de bază sunt:

1. Adăugați o regulă care blochează tot traficul de ieșire și de intrare pe conexiunea dvs. de internet.

2. Adăugați o excepție pentru adresele IP ale furnizorului dvs. VPN.

3. Adăugați o regulă pentru adaptorul TUN / Tap (dacă utilizați OpenVPN, sau pentru orice alt dispozitiv VPN, altfel) pentru a permite tot traficul de ieșire pentru tunelul VPN.

Avem un ghid detaliat pentru a face acest lucru folosind Comodo Firewall pentru Windows. Utilizatorii Mac pot face același lucru folosind Little Snitch, în timp ce utilizatorii Linux și cei care rulează un client VPN pe un router DD-WRT pot utiliza iptables.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me