27Jun
Mnoho lidí používá virtuální privátní sítě( VPN) k maskování své identity, šifrování jejich komunikace nebo procházení webu z jiného místa. Všechny tyto cíle se mohou rozpadnout, pokud vaše skutečná informace uniká přes bezpečnostní díru, což je častější, než byste si mysleli. Podívejme se na to, jak tyto úniky zjistit a napravit.
Jak se vyskytují netěsnosti VPN
Základy použití VPN jsou velmi jednoduché: do počítače, zařízení nebo směrovače nainstalujete softwarový balíček( nebo použijete jeho vestavěný software VPN).Tento software zachycuje veškerou síťovou komunikaci a přesměruje ji přes šifrovaný tunel do vzdáleného výstupního bodu. K vnějšímu světu se zdá, že veškerá návštěvnost pochází z tohoto vzdáleného místa spíše než od skutečné polohy. To je skvělé pro soukromí( pokud chcete zajistit, aby nikdo mezi vaším přístrojem a serverem ukončení nemohl vidět, co děláte), je to skvělé pro přeskakování virtuálních hranic( například sledování amerických streamingových služeb v Austrálii) a je to celkově skvělý způsobaby se vaše identita online zakrývala.
Bezpečnost a soukromí počítačů jsou však neustále hrami kočky a myší.Žádný systém není dokonalý a v průběhu času jsou odhaleny slabé stránky, které mohou ohrozit vaše zabezpečení - a systémy VPN nejsou výjimkou. Zde jsou tři hlavní způsoby, jak může vaše VPN vyléčit vaše osobní informace.
vadné protokoly a chyby
V roce 2014 se ukázalo, že dobře známá chyba Heartbleed narušila identitu uživatelů VPN.Na začátku roku 2015 byla zjištěna zranitelnost webového prohlížeče, která umožňuje třetí straně, aby vydala žádost do webového prohlížeče o odhalení skutečné IP adresy uživatele( obcházení obfuskace, kterou poskytuje služba VPN).
Tato zranitelnost, která je součástí komunikačního protokolu WebRTC, stále ještě nebyla úplně zaplněna a stále je možné, aby se na webových stránkách, na které se připojíte, i když jste za VPN, dotazovali prohlížeč a získali skutečnou adresu. Koncem roku 2015 byla odhalena méně rozšířená( ale stále problematická) chyba, při které by uživatelé ve stejné službě VPN mohli odhalit ostatní uživatele.
Tyto druhy zranitelných míst jsou nejhorší, protože je nemožné předvídat, společnosti jsou pomalé, aby je opravily a musíte být informovaným spotřebitelem, který zajistí, že váš poskytovatel VPN se bude zabývat známou a novou hrozbou vhodně.Nicméně, jakmile jsou objeveny, můžete podniknout kroky k ochraně sebe( jak to upozorníme na okamžik).
Úniky DNS
Dokonce i bez přímých chyb a bezpečnostních nedostatků je stále záležitost úniku DNS( což může být způsobeno špatnými možnostmi konfigurace operačního systému, chybou uživatele nebo chybou poskytovatele VPN).Servery DNS vyřeší adresy, které používají pro lidi( jako např. Www.facebook.com), na adresy přátelské k počítači( například 173.252.89.132).Pokud váš počítač používá jiný server DNS, než je umístění VPN, může vám poskytnout informace o vás.
Netěsnosti DNS nejsou tak špatné jako úniky IP, ale stále mohou dát svou polohu. Pokud váš únik DNS ukáže, že vaše servery DNS patří například k malému poskytovateli internetových služeb, potom značně zmenší vaši totožnost a rychle vás geograficky vyhledá.
Jakýkoli systém může být zranitelný vůči úniku DNS, ale systém Windows byl historicky jedním z nejhorších pachatelů, kvůli způsobu, jakým systém zpracovává žádosti a rozlišení DNS.Ve skutečnosti je správa DNS systému Windows 10 s VPN tak špatná, že bezpečnostní rameno oddělení bezpečnosti pro vnitřní bezpečnost Spojených států USA vydalo v srpnu roku 2015 instruktáž o kontrole požadavků na DNS.
IPv6 úniky
Konečně, protokol IPv6 může způsobit úniky, které mohou dát místo vašeho umístění a umožňují třetím stranám sledovat váš pohyb po internetu. Pokud nejste obeznámeni s protokolem IPv6, podívejte se na náš vysvětlující herec - je to v podstatě příští generace adres IP a řešení, ve kterém se na světě vyskytují adresy IP, protože počet uživatelů( a jejich produktů připojených k internetu) vzrůstá.
Zatímco IPv6 je skvělý pro vyřešení tohoto problému, není to v tuto chvíli tak skvělé, že se lidé obávají o soukromí.
Dlouholetý příběh: někteří poskytovatelé VPN zpracovávají pouze požadavky protokolu IPv4 a ignorují požadavky protokolu IPv6.Pokud je vaše konkrétní síťová konfigurace a poskytovatel internetových služeb upgradována na podporu IPv6 , ale vaše VPN nevysílá žádosti IPv6, můžete se ocitnout v situaci, kdy třetí strana může podat žádosti IPv6, které odhalí vaši pravou identitu( protože VPN je jen slepěpředává je do vaší lokální sítě / počítače, který odpovídá na žádost upřímně).
Právě nyní jsou netěsnosti protokolu IPv6 nejméně ohrožujícím zdrojem uniklých dat. Svět byl tak pomalý k tomu, aby přijal IPv6, že ve většině případů váš poskytovatel internetových služeb táhne nohy, dokonce i podporují, že vás skutečně chrání před tímto problémem. Nicméně, měli byste si uvědomit možný problém a proaktivně chránit proti němu.
Jak zkontrolovat úniky
Takže, kde to všechno zanechává, konečný uživatel, pokud jde o zabezpečení?Zanechává vás v pozici, ve které musíte být aktivně ostražitý ohledně připojení k síti VPN a často testovat své vlastní připojení, abyste se ujistili, že netrpí.Nezapomeňte však na to, že vás budeme procházet celým procesem testování a opravování známých zranitelností.
Kontrola úniků je poměrně přímočará záležitost - ačkoli je to opravdu patch, jak je vidět v další části, je trochu trickier. Internet je plný bezpečnostních osob a není k dispozici nedostatek dostupných zdrojů online, které by vám pomohly při kontrole zranitelnosti připojení.
Poznámka: Zatímco můžete použít tyto testy úniku, abyste zkontrolovali, zda váš proxy webový prohlížeč netěsňuje informace, jsou servery proxy úplně jiné zvíře než VPN a neměly by být považovány za bezpečný nástroj ochrany osobních údajů.
První krok: Najděte místní IP adresu
Nejprve určete, jaká je skutečná adresa IP místního připojení k Internetu. Pokud používáte domácí připojení, byla by to IP adresa, kterou vám poskytl váš poskytovatel internetových služeb( ISP).Pokud používáte Wi-Fi na letišti nebo v hotelu, například by se jednalo o IP adresu jejich ISP.Bez ohledu na to musíme zjistit, jak vypadá nahé spojení od vašeho současného místa k většímu internetu.
Reálnou adresu IP můžete najít dočasným vypnutím vaší VPN.Případně můžete chytit zařízení ve stejné síti, která není připojena k VPN.Poté jednoduše navštivte webové stránky, jako je WhatIsMyIP.com, aby se zobrazila vaše veřejná IP adresa.
Poznamenejte si tuto adresu, protože se jedná o adresu, kterou jste nemají chtít vidět pop up v testu VPN budeme brzy.
Druhý krok: Spusťte základní test úniku
Dále odpojte svou VPN a spusťte následující test úniku na vašem počítači. To je pravda, my nemusíte chtít, aby se VPN právě spustila - potřebujeme získat nejprve základní údaje.
Pro naše účely použijeme IPLeak.net, jelikož současně testuje vaši IP adresu, jestliže vaše IP adresa uniká přes WebRTC a jaké servery DNS vaše připojení používá.
Na výše uvedeném snímku obrazovky je naše IP adresa a adresa WebRTC stejná( i když jsme je rozmazávali) - jsou to IP adresy poskytované našimi místními poskytovateli internetových služeb na základě kontroly provedené v prvním kroku této části.
Dále všechny záznamy DNS v adresáři "Detekce adres DNS" v dolní části odpovídají nastavení DNS na našem počítači( máme počítač nastaven pro připojení k DNS serverům společnosti Google).Takže pokud jde o počáteční test úniku, všechno se zkontroluje, protože nejsme připojeni k naší VPN.
Jako poslední test můžete také zkontrolovat, zda váš počítač netěsní adresy IPv6 s protokolem IPv6Leak.com. Jak jsme již zmínili, ačkoli to je stále vzácný problém, nikdy neubližuje tomu, aby byl proaktivní.
Nyní je čas zapnout VPN a spustit další testy.
Krok třetí: Připojte se ke své VPN a znovu spusťte test úniku
Nyní je čas se připojit k vaší VPN.Bez ohledu na to, jakou rutinu potřebuje VPN k vytvoření připojení, je nyní čas proběhnout - spust'te program VPN, povolte VPN v nastavení systému nebo jakoukoli normální komunikaci.
Jakmile je připojen, je čas znovu spustit test úniku. Tentokrát bychom měli( doufejme) vidět zcela odlišné výsledky. Pokud vše funguje dokonale, budeme mít novou adresu IP, netěsnost WebRTC a novou položku DNS.Opět použijeme IPLeak.net:
Na výše uvedené obrazovce vidíte, že naše VPN je aktivní( protože naše IP adresa ukazuje, že jsme připojeni z Nizozemí namísto Spojených států) a jak naši zjištěná adresa IP a adresa WebRTC jsou shodná( což znamená, že nepoškozujeme naši pravou adresu IP prostřednictvím zranitelnosti WebRTC).
Výsledky DNS v dolní části však ukazují stejné adresy jako předtím pocházející ze Spojených států - což znamená, že naše VPN netěsní DNS adresy.
Toto není konec světa z hlediska ochrany soukromí, v tomto konkrétním případě, protože používáme DNS servery společnosti Google namísto DNS serverů ISP.Ale stále se jedná o to, že jsme ze Spojených států a stále to naznačuje, že naše VPN netěsní DNS požadavky, což není dobré.
POZNÁMKA: Pokud se vaše IP adresa vůbec nezměnila, pravděpodobně to není "únik".Místo toho 1) vaše VPN je nakonfigurována nesprávně a vůbec se nevysílá, nebo 2) váš poskytovatel VPN zcela vynechal míč a potřebujete kontaktovat linku podpory a / nebo najít nového poskytovatele VPN.
Pokud jste v předchozí části spustili test protokolu IPv6 a zjistili, že vaše připojení reagovalo na požadavky na protokol IPv6, měli byste znovu znovu spustit test IPv6, abyste zjistili, jak vaše VPN zpracovává požadavky.
Takže co se stane, když zjistíte únik? Promluvme si o tom, jak s nimi jednat.
Jak zabránit únikům
Zatímco není možné předvídat a zabránit všem možným zranitelnostem zabezpečení, které přichází, můžeme snadno zabránit zranitelnosti WebRTC, únikům DNS a dalším problémům. Zde je návod, jak se chránit.
Použijte důvěryhodného poskytovatele VPN
V první řadě byste měli používat spolehlivého poskytovatele VPN, který udržuje své uživatele v naprostém souladu s tím, co se děje v bezpečnostním světě( dělají domácí úkoly, takže nemusíte), a se na tyto informace chová proaktivní zapojení otvorů( a upozorní vás, když potřebujete provést změny).Za tímto účelem doporučujeme StrongVPN - skvělý poskytovatel VPN, který jsme doporučovali nejen předtím, ale sami sebe.
Chcete provést rychlý a špinavý test, zda je váš poskytovatel VPN vzdáleně renomovaný?Spusťte vyhledávání jejich jména a klíčových slov jako "WebRTC", "netěsné porty" a "úniky IPv6".Pokud váš poskytovatel nemá žádné veřejné příspěvky blogu nebo podpůrnou dokumentaci o těchto problémech, pravděpodobně nechcete používat poskytovatele VPN, protože se jim nepodaří oslovit a informovat své zákazníky.
Zakázat požadavky WebRTC
Pokud používáte prohlížeč Chrome, Firefox nebo Opera jako webový prohlížeč, můžete zakázat požadavky WebRTC k ukončení úniku WebRTC.Uživatelé prohlížeče Chrome si mohou stáhnout a nainstalovat jednu z dvou rozšíření Chrome: WebRTC Block nebo ScriptSafe. Oba budou blokovat požadavky WebRTC, ale ScriptSafe má přidaný bonus zablokování škodlivých souborů JavaScriptu, Java a Flash.
Uživatelé opery mohou s malým vylepšením nainstalovat rozšíření Chrome a používat stejné rozšíření k ochraně svých prohlížečů.Uživatelé Firefoxu mohou zakázat funkci WebRTC z nabídky about: config. Jednoduše zadejte příkaz about: config do adresního řádku prohlížeče Firefox, klikněte na tlačítko "I'll be careful" a pak přejděte dolů, dokud se nezobrazí položka media.peerconnection.enabled. Dvojklikem na položku přepnete na hodnotu "false".
Po uplatnění některé z výše uvedených oprav vymažte mezipaměť vašeho webového prohlížeče a restartujte jej.
Plug DNS a IPv6 netěsnosti
Plugging Úniky DNS a IPv6 mohou být obrovské obtěžování nebo triviálně snadné opravit v závislosti na poskytovateli VPN, který používáte. Scénář nejlepších případů, můžete jednoduše informovat svého poskytovatele VPN prostřednictvím nastavení vaší VPN pro připojení otvorů DNS a IPv6 a software VPN zvládne všechny těžké zvedání pro vás.
Pokud váš software VPN neposkytuje tuto možnost( a je to docela vzácné najít software, který bude modifikovat váš počítač ve vašem jménu takovým způsobem), budete muset ručně nastavit poskytovatele DNS a zakázat protokol IPv6 na úrovni zařízení.Dokonce i když máte užitečný software VPN, který vám přinese těžké zvedání, doporučujeme přečíst si následující pokyny, jak ručně měnit věci, takže můžete zkontrolovat, zda váš software VPN provádí správné změny.
Ukážeme, jak to udělat v počítači s operačním systémem Windows 10, a to jak proto, že systém Windows je velmi používaný operační systém a , neboť v tomto ohledu je také úžasně netěsný( ve srovnání s ostatními operačními systémy).Důvodem, proč Windows 8 a 10 jsou tak netěsné, je změna způsobu, jakým Windows zpracoval výběr serveru DNS.
V systémech Windows 7 a níže systém Windows prostě použije servery DNS zadané v pořadí, které jste zadali( nebo, pokud tomu tak není, použijete pouze ty, které jsou uvedeny na routeru nebo úrovni ISP).Počínaje operačním systémem Windows 8 společnost Microsoft představila novou funkci známou jako "inteligentní vícejazyčné pojmenované rozlišení".Tato nová funkce změnila způsob, jakým Windows zpracovávaly servery DNS.Abyste byli spravedliví, skutečně urychlí rozlišení DNS pro většinu uživatelů, pokud jsou primární servery DNS pomalé nebo nereagují.Uživatelům VPN však může dojít k úniku DNS, protože systém Windows může spadat na jiné servery DNS než ty, které jsou přiřazeny k VPN.
Nejjednodušší způsob, jak to napravit v systémech Windows 8, 8.1 a 10( verze Home a Pro), je jednoduše nastavit servery DNS ručně pro všechna rozhraní.
Za tímto účelem otevřete "Síťová připojení" přes ovládací panel & gt;Síť a Internet & gt;Síťová připojení a klepnutím pravým tlačítkem myši na každou existující položku změňte nastavení tohoto síťového adaptéru.
Pro každý síťový adaptér zrušte zaškrtnutí "Internet Protocol Version 6", aby se zabránilo úniku IPv6.Pak vyberte "Internet Protocol Version 4" a klikněte na tlačítko "Properties".
V nabídce vlastností vyberte možnost "Použít následující adresy serverů DNS".
Do pole DNS "Preferované" a "Alternativní" zadejte servery DNS, které chcete použít. Nejlepší scénář je, že používáte server DNS specificky poskytovaný vaší VPN službou. Pokud vaše VPN nemá servery DNS, které můžete použít, můžete místo toho použít veřejné servery DNS, které nejsou spojeny s vaší geografickou polohou nebo ISP, jako jsou servery OpenDNS, 208.67.222.222 a 208.67.220.220.
Opakujte tento proces zadávání adres DNS pro každý adaptér v počítači s podporou sítě VPN, abyste zajistili, že systém Windows se nikdy nespustí na nesprávné adrese DNS.
Uživatelé Windows 10 Pro mohou prostřednictvím Editoru zásad skupiny také zakázat celou funkci Inteligentní vícenásobné pojmenované rozlišení. Doporučujeme však provést výše uvedené kroky( v případě, že budoucí aktualizace umožňují opětovnému spuštění vaší počítače, začnou úniku dat DNS).
Chcete-li tak učinit, stisknutím klávesy Windows + R vyvolejte dialogové okno spuštění, zadejte příkaz "gpedit.msc" a spusťte Editor místní politiky a, jak je vidět níže, přejděte na šablony pro správu & gt;Síť & gt;DNS-Client. Podívejte se na položku "Vypnutí inteligentního vícenásobného názvového rozlišení".
Dvakrát klikněte na položku a vyberte možnost "Enable" a pak stiskněte tlačítko "OK"( to je trochu vynecháno, ale nastavení je "vypnout inteligentní. ..", takže umožňuje skutečně aktivovat politiku, která tuto funkci vypne).Znovu pro důraz doporučujeme ručně upravovat všechny položky DNS tak, aby tato změna zásad selhala nebo je v budoucnosti stále změněna.
Takže se všemi těmito změnami, jak vypadá náš test těsnosti?
Vyčistěte jako píšťalku - naše IP adresa, test WebRTC pro únik a naše adresa DNS se vrátí jako nástupní uzel VPN v Nizozemsku. Co se týče zbytku internetu, jsme z nížin.
Přehrávání hry Private Investigator na vašem vlastním připojení není přesně vzrušující způsob, jak strávit večer, ale je to nezbytný krok k zajištění toho, aby vaše VPN připojení nebylo ohroženo a uniklo vaše osobní informace. Naštěstí s pomocí správných nástrojů a dobré VPN je proces bezbolestný a vaše IP a DNS informace zůstávají soukromé.
