Eden glavnih razlogov za uporabo VPN je skrivanje resničnega naslova IP. Ko uporabljate VPN, se vaš internetni promet šifrira in pošlje na strežnik VPN, ki ga vodi vaš ponudnik VPN, preden zapustite internet.


To pomeni, da lahko zunanji opazovalci vidijo samo IP naslov strežnika VPN in ne vaš pravi IP naslov. Edini način, da odkrijejo vaš resnični naslov IP, je torej, da svojega ponudnika VPN prepričajo, da mu ga izroči (in dobri ponudniki uporabljajo močne ukrepe, kot sta uporaba skupnih IP-jev in ne vodenje dnevnikov, da bi to čim bolj otežili).

Na žalost je na spletnih straneh včasih mogoče zaznati vaš resnični naslov IP, tudi ko uporabljajo VPN.

Ta članek želi odgovoriti: kaj je puščanje IP, zakaj pušča IP, čeprav sem priključen na VPN, in kako odpraviti težavo?

Kako preizkusiti puščanje DNS ali puščanje IP

Če želite ugotoviti, ali imate puščanje IP:

1. Obiščite ipleak.net, ne da bi tekla VPN. Zabeležite si vse naslove, ki jih vidite (ali pa pustite okno odprto), saj so to vaši resnični naslovi IP.

Tukaj izgleda naša pisarniška povezava, ki podpira IPv6, ne da bi tekla VPN. Če vaša povezava ni sposobna IPv6, boste videli samo naslove IPv4. Kot vidimo, WebRTC pravilno poroča o našem resničnem naslovu IPv6. Če ne bi imeli možnosti IPv6, bi potem namesto tega poročal o našem naslovu IPv4.

WebRTC poroča tudi o naslovu za zasebno uporabo (zasebni ali posebni naslov IANA), vendar se to ne nanaša na nas. Ti naslovi za zasebno uporabo so notranji naslovi, ki jih uporablja samo vaše lokalno omrežje.

Tudi če WebRTC vrne resnični IP naslov zasebne uporabe, ko se izvaja VPN, to ni tveganje za zasebnost, saj jih ni mogoče uporabiti za identifikacijo z interneta.

2. Vklopite VPN. Čeprav ni nujno potrebno, povezovanje s strežnikom VPN v drugi državi precej olajša opazovanje uhajanj IP.

3. V brskalniku odprite zasebno / anonimno okno, znova obiščite ipleak.net in primerjajte rezultate s tistimi, ki ste jih dobili, ne da bi se zasebni VPN zagnal.

  • Če je pravilen naslov IPv4 vaš pravi naslov IPv4, potem VPN bodisi ni vklopljen ali preprosto ne deluje.
  • IP-je za zasebno uporabo lahko zanemarite s strani WebRTC. Kot smo že razpravljali, ti ne ogrožajo vaše spletne zasebnosti in zato ne štejejo za puščanje IP (tako rekoč praktično).
  • Če se kateri koli drug naslov na spletni strani ipleak.net ujema z vašim resničnim naslovom, potem VPN deluje, vendar na nek način pušča vaš IP naslov.

Dobro

Povezava z ameriškim VPN strežnikom iz Velike Britanije je spodaj rezultat, ki ga želimo videti.

  • Naslov IPv4 se je spremenil v lokacijo strežnika VPN. Torej VPN deluje.
  • IPv6 je onemogočen ali blokiran zaradi preprečevanja rednih puščanj IPv6.
  • WebRTC ne zazna našega resničnega naslova IPv4 ali IPv6. Naslov zasebne uporabe lahko prezremo, saj ne ogroža naše zasebnosti.
  • Uporabljeni strežniki DNS ne spadajo v naš ponudnik internetnih storitev in so rešeni v pravilni državi.

Če je DNS razrešen v bližini mesta, kjer se nahaja strežnik VPN, močno priporoča, da storitev VPN tam vodi svoje lastne DNS strežnike..

Če vidite več naslovov DNS, ki se nahajajo samo v širši državi ali zemljepisnem območju, potem prevod DNS verjetno izvaja tretji DNS-odzivnik, kot je Google DNS.

To ni problem, če predpostavimo, da se zahteve DNS pošiljajo prek povezave VPN in jih zato posreduje strežnik VPN (dokaj varna predpostavka, čeprav nikoli ne veste).

Na žalost običajno končni uporabnik ne more vedeti, ali zahteve DNS, ki jih obravnava tretji razreševalec, posredujejo s storitvijo VPN ali jih pošljejo neposredno razreševalcu. Torej morate samo zaupati svojemu ponudniku v tem (ali preiti na ponudnika, ki zagotovo poganja svoje DNS strežnike).

Omeniti velja, da Google DNS rešuje vse evropske zahteve DNS s strežniki na Nizozemskem in v Belgiji. Torej, če ste povezani s strežnikom VPN v Veliki Britaniji, Franciji ali Romuniji, vendar se strežnik DNS nahaja v Belgiji, zato. In to ni problem (če predvidevamo, da se zahteve DNS posredujejo in ne pošiljajo neposredno Googlu).

Slabo

To je primer, česar nočete videti, ko se v Veliki Britaniji povežete s strežnikom VPN v Nemčiji.

  • Naslov IPv4 se je spremenil v nemški, zato VPN deluje na osnovni ravni.
  • Kljub temu lahko še vedno vidimo naš pravilen naslov IPv6. To pomeni, da imamo redno puščanje IPv6 (ali samo "puščanje IPv6").
  • WebRTC poroča tudi o našem resničnem naslovu IPv6. Torej imamo puščanje WebRTC IPv6.
  • Naslovi DNS niso v Nemčiji, vendar tudi ne spadajo v naš pravi ponudnik internetnih storitev. Torej ne predstavljajo uhajanja DNS.

Spodaj pojasnjujemo, kakšne so različne vrste puščanja IP in kako jih odpraviti. V vseh primerih pa je pogosto nenapisana, vendar priporočljiva rešitev sprememba storitve VPN v storitev, ki ne pušča.

Redna puščanja IPv6

Razumevanje IPv4

Vsaka internetna povezava ima edinstven številčni naslov, imenovan naslov Internet Protocol (IP). IP naslove (ali samo "IP") dodeli ponudnik interneta (ISP), ki povezuje napravo.

Do nedavnega je celoten internet uporabljal standard Internet Protocol Version 4 (IPv4) za določitev naslovov IP. Ta podpira največ 32-bitni internetni naslov, kar pomeni 2 ^ 32 IP naslovov (približno 4,29 milijarde), ki so na voljo za dodelitev.

Na žalost, zahvaljujoč izjemnemu porastu uporabe interneta v zadnjih nekaj letih, naslovov IPv4 zmanjka. Tehnično gledano so to že storili, čeprav reševanje pomeni, da je IPv4 še vedno zelo oddaljen. Trenutno velika večina internetnih naslovov še vedno uporablja standard IPv4.

Razumevanje IPv6

Medtem ko so bile uvedene različne strategije za ublažitev, da bi podaljšali rok trajanja IPv4, je prava rešitev v obliki novega standarda - IPv6. Ta uporablja 128-bitne spletne naslove, s čimer se poveča največje razpoložljivo število spletnih naslovov na 2 ^ 128 (približno 340 milijard milijard milijard!). Kar bi nas moralo imeti v prihodnosti na voljo z naslovi IP.

Sprejem IPv6 pa je počasen - predvsem zaradi stroškov nadgradnje, zaostankov glede zmogljivosti in zaradi lenobe. Čeprav vsi sodobni operacijski sistemi podpirajo IPv6, velika večina ponudnikov internetnih storitev in spletnih strani še ne moti.

Zaradi tega so spletna mesta, ki podpirajo IPv6, sprejela dvotirni pristop. Če so povezani z naslova, ki podpira samo IPv4, bodo prikazali naslov IPv4, če pa so povezani z naslova, ki podpira IPv6, bodo prikazali naslov IPv6.

Zaradi tega so spletna mesta, ki podpirajo IPv6, sprejela dvotirni pristop. Če so povezani z naslovom, ki podpira samo IPv4, bodo prikazali naslov IPv4. Toda če so povezani z naslova, ki podpira IPv6, bodo prikazali naslov IPv6.

Dokler IPv4 naslovi ne začnejo zmanjkovati, uporaba priklopa samo za IPv4 ni slabost.

Puščanje VPN IPv6

Žal se veliko IPN programske opreme ni ujelo IPv6. Ko se povežete s spletnim mestom, ki podpira IPv6, z internetne povezave, ki podpira IPv6, odjemalec VPN usmeri vašo povezavo IPv4 skozi vmesnik VPN, vendar popolnoma ne ve, da se IPv6 povezava tudi vzpostavlja..

Tako spletno mesto ne bo videlo vašega resničnega naslova IPv4, bo pa vaš naslov IPv6. Kateri se lahko uporabijo za vašo identifikacijo.

Rešitve

1. Uporabite odjemalca VPN z zaščito pred puščanjem IPv6

Vsi dobri odjemalci VPN danes nudijo zaščito pred uhajanjem IPv6. V večini primerov to storimo z onemogočanjem IPv6 na sistemski ravni, da zagotovimo, da povezave IPv6 preprosto niso mogoče. To je nekaj lene rešitve, vendar deluje dobro.

Tehnično bolj impresivne so aplikacije VPN, ki pravilno usmerjajo povezave IPv6 skozi vmesnik VPN. To je veliko bolj elegantna rešitev in nedvomno je prihodnost vseh VPN aplikacij.

Če programska oprema vašega ponudnika VPN po meri ne preprečuje rednih uhajanj IPv6, lahko namesto tega uporabite aplikacijo drugega proizvajalca. OpenVPN GUI za Windows, Tunnelblick za macOS, OpenVPN za Android in OpenVPN Connect za iOS (in druge platforme) zagotavljajo učinkovito zaščito pred puščanjem IPv6.

2. V vašem sistemu ročno onemogočite IPv6

Najbolj zanesljiv način preprečevanja kakršnih koli možnosti uhajanja IP je onemogočanje IPv6 na sistemski ravni (kjer je to mogoče). Oglejte si naš vodič o tem, kako onemogočiti IPv6 na vseh napravah za navodila, kako to storiti.

DNS pušča

Puščanje DNS je najbolj znana oblika puščanja IP, ker je bila prej najpogostejša. V zadnjih letih je večina VPN storitev napredovala, vendar v naših testih mnogo manj pogosto zaznavamo puščanje DNS.

Dinamični sistem imen (DNS) se uporablja za prevajanje enostavno razumljivih in zapomnjenih spletnih naslovov, ki jih poznamo (URL-jev), na njihove "prave" številčne IP naslove. Na primer prevajanje imena domene www.proprivacy.com na njen IPv4 naslov 104.20.239.134. Torej je DNS v srcu samo domišljijski telefonski imenik, ki se URL-jem ujema z ustreznimi naslovi IP.

Ta postopek prevajanja DNS običajno izvajajo strežniki DNS, ki jih vodi vaš internetni ponudnik (ISP). Pri večjih ponudnikih internetnih storitev je verjetno, da bodo poizvedbe DNS rešene geografsko blizu (na primer nekje v vašem mestu), vendar to ni vedno tako.

Gotovo je, da bodo poizvedbe DNS rešene v državi, v kateri ima vaš ponudnik internetnih storitev (tj. V vaši državi). Kjer koli je poizvedba DNS rešena, ne bo na vašem domačem naslovu IP. Ampak…

Tveganja glede zasebnosti

Vaš ponudnik internetnih storitev lahko vidi, kaj dobite

Vaš ponudnik internetnih storitev rešuje vaše poizvedbe DNS, zato:

  1. Pozna IP naslov, iz katerega so prišli.
  2. Vedo, katera spletna mesta obiščete, ker prevaja URL, ki ga vtipkate, v IP naslove. Večina ponudnikov internetnih storitev v svetu vodi evidenco teh informacij, ki jih morda ali ne bodo redno uporabljali z vašo vlado ali policijskimi silami, ki pa jih je vedno treba prisiliti v skupno rabo.

Zdaj… pri običajnem dogajanju to dejansko ni preveč pomembno, ker vas vaš ISP neposredno poveže z naslovi IP, ki jih obiščete. Torej ve, katera spletna mesta obiščete.

VPN strežnik prek vaše internetne povezave preprečuje, da bi vaš internetni ponudnik videl, kaj imate v internetu. Razen če še vedno rešuje vaše poizvedbe DNS, v tem primeru lahko še vedno (posredno) vidi, katero spletno mesto obiščete.

Izsledimo vas

Spletna mesta lahko vidijo in zabeležijo IP naslove strežnikov DNS, ki neposredno povezujejo z njimi. Tako ne bodo vedeli vašega edinstvenega naslova IP, vendar bodo vedeli, kateri ponudnik internetnih storitev je rešil poizvedbo DNS in rutinsko ustvaril časovni žig, kdaj se je to zgodilo.

Če želijo (ali na primer policija) identificirati obiskovalca, morajo ponudnika internetnih storitev preprosto vprašati, "kdo je v tem trenutku poslal zahtevo DNS?"

Ponovno je to pri običajnem dogajanju nepomembno, saj spletna mesta tako ali tako vidijo vaš edinstven IP naslov. Ko pa svoj IP naslov skrijete z VPN, postane pomembno sredstvo za "de anonimizacijo" uporabnikov VPN.

Kako se zgodi puščanje DNS

Teoretično je treba pri uporabi VPN vse zahteve DNS poslati prek VPN-ja, kjer jih lahko ponudnik ponudnika VPN-ja obravnava v notranjosti ali posreduje tretji osebi, ki bo videla, da je zahteva prispela s strežnika VPN..

Na žalost operacijski sistemi včasih ne uspejo usmeriti poizvedb DNS prek vmesnika VPN in jih namesto tega pošljejo na privzeti strežnik DNS, ki je določen v sistemskih nastavitvah (kar bo DNS strežnik vašega ponudnika internetnih storitev, razen če ročno spremenite nastavitve DNS).

Rešitve

1. Uporabite odjemalca VPN z zaščito pred puščanjem DNS

Številni odjemalci VPN to težavo rešijo s funkcijo zaščite pred puščanjem DNS. Ta pravila uporabljajo požarni zid, da se zagotovi, da nobene zahteve DNS ne morejo biti poslane izven tunela VPN. Žal ti ukrepi niso vedno učinkoviti.

Ne razumemo, zakaj je „zaščita pred puščanjem DNS“ pogosto uporabniško izbrana funkcija, ki privzeto ni omogočena.

Spet: OpenVPN GUI za Windows, Tunnelblick za macOS, OpenVPN za Android in OpenVPN Connect za iOS (in druge platforme) nudijo dobro zaščito pred puščanjem DNS.

2. Onemogoči IPv6

Upoštevajte, da je to le delna rešitev, saj nikakor ne preprečuje uhajanja IPv4 DNS. Toda eden glavnih razlogov, da tudi aplikacije VPN, ki imajo zaščito pred uhajanjem DNS, ne blokirajo puščanja DNS, je ta, da samo DNS požarni zid zahteva DNS strežnike DNS.

Ker večina strežnikov DNS ostaja samo za IPv4, se lahko pogosto izognejo temu. Toda ponudniki internetnih storitev, ki ponujajo povezave IPv6, ponavadi ponujajo tudi strežnike DNS IPv6. Če torej odjemalec blokira samo IPv4 DNS zahteve izven vmesnika VPN, potem lahko IPv6 preidejo skozi.

3. Spremenite nastavitve DNS

Morebitne poizvedbe DNS, ki se ne usmerjajo skozi vmesnik VPN (kot bi morale), bodo namesto tega poslane privzetim strežnikom DNS, določenim v nastavitvah vašega sistema.

Če teh možnosti že niste spremenili, bosta naslova strežnika DNS (IPv4 in IPv6, če sta na voljo) samodejno dobila od vašega ponudnika internetnih storitev. Lahko pa ga spremenite in tu imamo navodila za to.

Upoštevajte, da sprememba nastavitev DNS v resnici ne "odpravi" težave s puščanjem DNS. Samo, da DNS zahteve prepuščate tretjemu razreševalniku namesto ponudniku internetnih storitev.

Na srečo je zdaj na voljo nekaj zelo dobrih DNS-storitev, usmerjenih v zasebnost, ki ne beležijo. Prav tako ščitijo zahteve DNS z DNS prek HTTPS (DoH) ali DNS prek TLS (DoT) šifriranja DNS, brez katerih lahko vaš ISP tako ali tako vidi zahteve DNS, tudi če z njimi ne ravna..

Za več informacij o tej temi in seznam priporočenih brezplačnih in zasebnih DNS storitev glejte tukaj.

Opomba za uporabnike Linuxa

Ročna namestitev VPN v Linuxu, ne glede na to, ali uporabljate NetworkManager, odjemalca CLI OpenVPN, strongSwan ali kaj drugega, ne nudi zaščite pred puščanjem DNS. Na srečo obstajajo koraki, ki jih lahko odpravite, čeprav zapletajo postopek nastavitve VPN.

Lahko spremenite resoluvconf tako, da DNS potisne na strežnike DNS vašega VPN-ja, ali pa ročno konfigurirate požarni zid iptables, da zagotovite, da ves promet (vključno z zahtevami DNS) ne more zapustiti vaše naprave Linux zunaj tunela VPN. Za več o tem glejte naše opombe o gradnji lastnega požarnega zidu v tem članku.

WebRTC pušča

Puščanja WebRTC so zdaj najpogostejša oblika puščanja IP, ki jo opazimo v naših testih. Strogo gledano, puščanje WebRTC je težava brskalnika in ne VPN, zaradi česar se mnogi ponudniki VPN oddaljujejo od težave, ki je ni težko odpraviti..

Po našem mnenju to ni dovolj dobro. Pravzaprav niti ne mislimo, da je objava vodnikov "Kako onemogočiti WebRTC" skrbno globoko v razdelku za pomoč ponudnika, dovolj dobra, bodisi.

Kaj so puščanja WebRTC?

WebRTC je platforma HTML5, ki omogoča brezhibno govorno in video komunikacijo v oknih brskalnika uporabnikov. Skoraj vsi sodobni brskalniki na skoraj vseh glavnih platformah zdaj podpirajo WebRTC, vključno s Chrome, Firefox, Opera, Edge, Safari in Brave.

Izjema je iOS, kjer samo Safari podpira WebRTC (vsaj brez dodatnih vtičnikov).

Da bi dosegli brezhibno komunikacijo med brskalnikom in brskalnikom prek ovir, kot so požarni zidovi, brskalniki, ki podpirajo WebRTC, oddajajo vaš resnični naslov IP na strežnike STUN, ki vodijo seznam javnih IP naslovov obeh uporabnikov in njihovih resničnih naslovov IP.

Vsak, ki želi začeti pogovor z WebRTC z vami (ali karkoli nobenega spletnega mesta), lahko zahteva vaš resnični naslov IP in strežnik STUN ga preprosto preda..

Ponavadi se imenuje puščanje WebRTC, to težavo včasih imenujemo "hrošče WebRTC". To je nekaj napačnega, saj je namerna in zelo uporabna lastnost WebRTC. Je pa prava bolečina za uporabnike VPN, ki poskušajo skriti svoj resnični IP naslov!

Rešitve

1. V brskalniku onemogočite WebRTC

To je edini 100% učinkovit način za preprečevanje puščanja WebRTC pri uporabi VPN. Priporočamo, da to storite tudi, če je vaš odjemalec VPN učinkovit pri ublažitvi proti puščanju VPN.

V Firefoxu je WebRTC enostavno onemogočiti. V URL vrstico vnesite »about: config«, da vnesete napredne nastavitve Firefoxa, poiščite »media.peerconnection.enabled« in dvokliknite vnos, če želite spremeniti vrednost v false.

Poleg tega (in v drugih brskalnikih) lahko različni vtičniki brskalnika onemogočijo WebRTC, vključno z Onemogoči WebRTC, uBlock, uBlock Origin in NoScript. Nekateri ponudniki VPN vključujejo funkcijo Onemogoči WebRTC v svojih dodatkih brskalnika po meri.

Popolnejša razprava o tej temi je na voljo v poglavju "Bug" in kako ga odpraviti?

2. Uporabite storitev VPN, ki ublaži puščanje WebRTC

Puščanje WebRTC je težava brskalnika, zato je edini resnično učinkovit način preprečevanja tega, da onemogočite WebRTC v brskalniku..

Glede na to lahko ponudniki VPN uporabljajo pravila požarnega zidu in zaostrijo nastavitve tako na odjemalcu kot na ravni VPN, da močno zmanjšajo možnost, da pride do puščanja WebRTC. Noben ponudnik VPN ne bo zagotovil, da bodo ti ukrepi delovali, ker je spletnim mestom vedno omogočeno, da izvedejo pametno kodo JavaScript, namenjeno povečanju verjetnosti puščanja.

Vendar smo ugotovili, da so nekatere storitve VPN dosledno učinkovite pri preprečevanju puščanja VPN. Kljub temu še vedno priporočamo, da onemogočite WebRTC na ravni brskalnika, čeprav tudi pri teh. Samo, da sem na varni strani.

Izpadi VPN in ubijanje stikal

Čeprav tehnično ni "puščanje IP", se težava pojavlja ravno zato, ker nimate povezave VPN, učinek je enak - menite, da ste zaščiteni z VPN, ko dejansko ves svet lahko vidi vaš IP naslov.

Kaj je osip VPN?

Včasih VPN povezave ne uspejo, pogosto iz razlogov, ki so popolnoma zunaj nadzora celo najboljših storitev VPN. . Če vaš računalnik ostane povezan z internetom, potem ko se to zgodi, bo vaš pravi IP izpostavljen.

To je še posebej težava pri prenosnikih P2P, ki odhajajo od BitTorrent odjemalcev, medtem ko so zunaj svojih računalnikov (pogosto za daljša obdobja). Če povezava VPN prekine, je njihov resnični IP zato izpostavljen izvajalcem avtorskih pravic, ki sledijo hudourniku, ki ga prenašajo.

Težav je tudi za mobilne uporabnike, saj lahko preklapljanje med WiFi in mobilnimi omrežji ter preklapljanje mobilnih omrežij povzroči osip VPN.

Rešitve

1. Uporabite stikalo kill

Preklopno stikalo preprečuje, da bi se vaša naprava povezala z internetom, ko VPN ne deluje. Skoraj vsa sodobna uklapljanja za odstranjevanje podatkov so dejansko požarni zidovi ali pravila požarnega zidu na ravni sistema, ki blokirajo vse internetne povezave zunaj vmesnika VPN.

Če programska oprema VPN ne uspe ali se je treba znova povezati, je ves dostop do interneta blokiran. Dejansko ista pravila požarnega zidu zagotavljajo učinkovito zaščito pred puščanjem DNS in lahko pomagajo omiliti uhajanje WebRTC.

Kill stikala so zdaj zelo pogosta značilnost pri namiznih VPN odjemalcih, čeprav so redkejša v mobilnih aplikacijah. Android 7+ pa vključuje vgrajeno stikalo za ubijanje, ki deluje s katero koli nameščeno aplikacijo VPN.

Aplikacije VPN lahko uporabljajo svoj požarni zid za ustvarjanje stikala za zaustavitev (in druge zaščite pred uhajanjem) ali pa spremenijo vgrajen požarni zid vašega sistema. Slednjo rešitev imamo raje, saj bo stikalo kill preživelo, tudi če se aplikacija popolnoma zruši. Toda vsako stikalo za ubijanje je veliko bolje kot nobeno.

Izdelajte svoje stikalo za ubijanje in zaščito pred puščanjem DNS z uporabo pravil požarnega zidu

Kot smo videli, veliko aplikacij VPN uporablja lastna pravila požarnega zidu ali spreminja pravila sistema požarnega zidu, da ustvari stikalo za uničenje in prepreči uhajanje DNS. Popolnoma mogoče je, da isto stvar storite ročno.

Podrobnosti se razlikujejo glede na sistem OS in požarni zid, osnovna načela pa so:

1. Dodajte pravilo, ki blokira ves odhodni in dohodni promet v vaši internetni povezavi.

2. Dodajte izjemo za IP naslove ponudnika VPN.

3. Dodajte pravilo za adapter TUN / Tap (če uporabljate OpenVPN ali katero koli drugo napravo VPN drugače), da omogočite ves odhodni promet za tunel VPN.

Za izvedbo Comodo Firewall za Windows imamo podroben vodnik. Uporabniki Mac lahko to storijo z uporabo Little Snitch, medtem ko lahko uporabniki Linuxa in tisti, ki vodijo odjemalca VPN na usmerjevalniku DD-WRT, uporabljajo iptables.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me