22 март 2018

Утечка DNS. Какие виды утечек бывают? Инструкция по защите.

В эпоху всеобщего наблюдения, конфиденциальность стала большой роскошью. Узнав, что интернет-провайдеры, имеет полную информацию о просматриваемых вами страницах в Интернете, многие пользователи решат, что использование VPN, SSH или других «анонимайзеров» может быть хорошей идеей. Вы можете серфить по Интернету и удовлетворять свои непристойные потребности, в тайне от любопытных глаз. Недорого.

 

А что такое DNS?

 

DNS является одним из многих протоколов, на которых основан Интернет, подобно HTTP или FTP. Он представляет собой систему именования, используемую устройством или службой, подключенной к Интернету или частной сети. Используется для преобразования URL-адреса, который вы вводите в браузере, в IP-адрес сайта, который вы хотите открыть.

Учитывая, что истинным именем данного сайта является не «www.darkmore.ru», а что-то вроде 172.217.1.110, что, очевидно, намного труднее запомнить, необходимо было установить систему доменных имен, чтобы повысить удобство использования.

Основными пользователями DNS обычно являются Интернет-провайдеры и в этом заключается проблема. Поскольку, провайдер отвечает за расшифровку всего исходящего трафика, он имеет четкое представление о каждой отдельной странице, которую мы посещаем в Интернете. Чтобы не дать провайдеру собирать эту информацию, вы используете VPN.

 

И в чем проблема?

 

Под «утечкой DNS» подразумевается незашифрованный DNS-запрос, отправленный вашей системой в установленном VPN\https-туннеле. Утечка DNS возникает, когда по той или иной причине ваш Интернет, больше не проходит через защищенную сеть, которую вы организовали для нее, а вместо этого, проходит через вашего интернет-провайдера прямым путем, эффективно раскрывая ваш реальный IP-адрес для стороннего наблюдателя.

 

Схема утечки DNS

 

Это может быть вызвано несколькими причинами, часть которых, является результатом пользовательской ошибки, а некоторые - программными ошибками или даже злонамеренными попытками раскрыть нас. Например, некоторые приложения отправляют свои DNS-запросы, используя DNS-серверы интернет-провайдера. Так бывает, когда пользователь, через локальный прокси-сервер, пытается отправить в сеть Tor трафик различных приложений, которые раскрывают DNS-имена в обход Tor.

Наиболее распространенными причинами утечки DNS являются:

 

Отключение VPN

 

Первая и самая распространенная причина утечки DNS наблюдается при использовании VPN и известна, как «отказ VPN».

Если, при использовании VPN для защиты вашей личности от вашего интернет-провайдера, вы по-прежнему пользуетесь обычным браузером, например Chrome или Internet Explorer, время от времени, есть вероятность потерять соединение с VPN, и если вы вовремя не заметите проблему, вы продолжите серфить по Интернету без защиты. Это особенно проблематично, если выбранная вами VPN, работает в фоновом режиме и имеет незаметное или даже несуществующее предупреждение об отключении.

Хороший провайдер VPN, гарантирует, что их сервис будет максимально приближен к 100% надежности и безопасности. Несмотря на это, даже у лучших VPN-провайдеров возникают некоторые проблемы, и их сервис перестает работать в течение короткого периода времени.

Как обезопасить себя от утечки DNS?

Лучший способ обезопасить себя от этого - иметь готовый «выключатель» (kill switch), который отключит ваше интернет-соединение в случае отказа VPN.

Хороший провайдер, уже имеет такую опцию, реализованную в клиентском интерфейсе своего сервиса с единственной целью, предотвращения утечки DNS, но если вам нужна дополнительная защита, используйте: VPN Watcher или VPN Check.

 

Контроль роутера

 

Злоумышленник контролирует ваш маршрутизатор, например, злонамеренный оператор Wi-Fi в кафе. Он может обмануть ваше устройство для отправки DNS-трафика за пределы туннеля VPN. Способы защиты здесь, такие же, как и при использовании любой публичной Wi-Fi точки.

 

Утечка через Smart Multi-Homed Name Resolution

 

С выходом Windows 8, Microsoft добавила функцию «Smart Multi-Homed Name Resolution», которая отправляет DNS-запросы на все доступные DNS-сервера, выбирая только те, которые пользователь отметил как «не-предпочтительные» в случае, если основной сервер не отвечает.

Это приводило к утечкам DNS в прошлом, но с выходом Windows 10, это стало настоящей проблемой. «Десятка» будет отправлять запросы на все DNS-серверы параллельно и, выберет тот, который реагирует быстрее, чем создаст катастрофический риск для безопасности, так как она часто выбирает незашифрованный маршрут, вызывая утечку DNS.

 

Утечка через WebRTC

 

Web RealTime Communication — это стандарт, используемый браузерами Chrome, Firefox и Opera, для использования голосовых вызовов или видеочатов непосредственно из браузера.  

WebRTC leaking

WebRTC реализует STUN (Session Traversal Utilities for Nat), протокол, который позволяет раскрыть общедоступный IP-адрес. На данный момент нет способа защитить себя от WebRTC, кроме полного отключения WebRTC от вашего браузера, что несколько снизит его функциональность.

 

 

Защита

 

Smart Multi-Homed Name Resolution

 

О защите от «Smart Multi-Homed Name Resolution» почти ничего не скажешь. У хороших людей с Github, есть отличный маленький плагин, разработанный в OpenVPN, который решает эту проблему. Все, что нужно сделать, это загрузить и запустить его. Погуглите.

 

WebRTC

 

Как уже писалось выше, единственный способ защитить себя от WebRTC - отключить его полностью. Это создает дилемму: стоит ли рисковать нашей конфиденциальностью ради того, что нам предоставляет WebRTC.

Отключить WebRTC достаточно просто:

Mozilla Firefox: введите «about: config» в адресной строке. Прокрутите вниз до «media.peerconnection.enabled», дважды щелкните, чтобы установить значение false.

Google Chrome: установите официальное расширение сети Google.

Opera: введите «about: config» в адресной строке или перейдите в «Настройки». Выберите «Показать дополнительные настройки» и нажмите «Конфиденциальность и безопасность». На отметке «WebRTC» выберите «Отключить непроксированный UDP».

Альтернативой является использование одного из многих плагинов, предназначенных для выполнения этой задачи, таких как NoScript или uBlock Origin.

 

Итог

 

Как мы не устаем повторять – не доверяйте VPN. Пользуйтесь нашими советами, но помните – новые утечки могут возникнуть в любую минуту! Нужно постоянно держат руку на пульсе и пользоваться сайтами вроде ipleak.net, dnsleaktest.com и test-ipv6.com. Немного здоровой паранойи еще никому не повредило.

Даже лучший VPN не совершенен.

Автор 
Опубликовано в Анонимность
Onion

Главред Darkmore.ru

Добавить комментарий


Защитный код
Обновить