27Jun
Veel mensen gebruiken Virtual Private Networks( VPN's) om hun identiteit te maskeren, hun communicatie te coderen of op het web vanaf een andere locatie te browsen. Al die doelen kunnen uit elkaar vallen als je echte informatie lekt door een gat in de beveiliging, wat vaker voorkomt dan je zou denken. Laten we eens kijken hoe deze lekken kunnen worden geïdentificeerd en gecorrigeerd.
Hoe VPN-lekken voorkomen
De basis van VPN-gebruik is vrij eenvoudig: u installeert een softwarepakket op uw computer, apparaat of router( of gebruikt de ingebouwde VPN-software).Deze software registreert al uw netwerkverkeer en stuurt het door een gecodeerde tunnel naar een extern exitpunt. Voor de buitenwereld lijkt al uw verkeer afkomstig te zijn van dat externe punt in plaats van uw werkelijke locatie. Dit is geweldig voor privacy( als je ervoor wilt zorgen dat niemand tussen je apparaat en de uitgangsserver kan zien wat je doet), is het geweldig voor virtuele grenshoppen( zoals het kijken naar Amerikaanse streamingdiensten in Australië), en het is een uitstekende manier om dit te doenom je identiteit online te camoufleren.
Computerbeveiliging en privacy zijn echter voortdurend een spel van kat en muis. Geen enkel systeem is perfect, en in de loop van de tijd komen kwetsbaarheden aan het licht die uw veiligheid in gevaar kunnen brengen - en VPN-systemen vormen hierop geen uitzondering. Dit zijn de drie belangrijkste manieren waarop uw VPN uw persoonlijke gegevens kan lekken.
Foutieve protocollen en bugs
In 2014 bleek de goed gepubliceerde Heartbleed-bug de identiteit van VPN-gebruikers te lekken. Begin 2015 is een kwetsbaarheid van een webbrowser ontdekt die het een derde partij mogelijk maakt om een verzoek aan een webbrowser te verzenden om het echte IP-adres van de gebruiker te onthullen( omzeiling van de versluiering die de VPN-service biedt).
Deze kwetsbaarheid, onderdeel van het WebRTC communicatieprotocol, is nog steeds niet volledig gepatcht en het is nog steeds mogelijk voor de websites waarmee u verbinding maakt, zelfs achter de VPN, om uw browser te pollen en uw echte adres te krijgen. Eind 2015 werd een minder wijdverbreide( maar nog steeds problematische) kwetsbaarheid ontdekt waarbij gebruikers op dezelfde VPN-service andere gebruikers konden ontmaskeren.
Dit soort kwetsbaarheden is het slechtst, omdat ze onmogelijk te voorspellen zijn, bedrijven traag zijn om ze te patchen en je een goed geïnformeerde consument moet zijn om ervoor te zorgen dat je VPN-provider op gepaste wijze te maken heeft met bekende en nieuwe bedreigingen. Niettemin, als ze eenmaal zijn ontdekt, kun je stappen ondernemen om jezelf te beschermen( zoals we in een oogwenk zullen benadrukken).
DNS lekt
Zelfs zonder duidelijke bugs en beveiligingsfouten is er altijd de kwestie van DNS-lekken( die kan voortkomen uit slechte configuratie-keuzes van het besturingssysteem, gebruikersfout of VPN-providerfout).DNS-servers lossen die mensvriendelijke adressen die u gebruikt( zoals www.facebook.com) op in machinevriendelijke adressen( zoals 173.252.89.132).Als uw computer een andere DNS-server gebruikt dan de locatie van uw VPN, kan deze informatie over u weggeven.
DNS-lekken zijn niet zo slecht als IP-lekken, maar ze kunnen uw locatie nog steeds weggeven. Als uw DNS-lek aantoont dat uw DNS-servers bijvoorbeeld tot een kleine internetprovider behoren, verlaagt het uw identiteit aanzienlijk en kunt u snel geografisch uw locatie vinden.
Elk systeem kan kwetsbaar zijn voor een DNS-lek, maar Windows is van oudsher een van de ergste overtreders, vanwege de manier waarop het besturingssysteem omgaat met DNS-verzoeken en -oplossing. De DNS-afhandeling door Windows 10 met een VPN is zelfs zo slecht dat de computerbeveiligingsafdeling van het Department of Homeland Security, het Computer Emergency Readiness Team van de Verenigde Staten, in augustus daadwerkelijk een briefing heeft gegeven over het beheren van DNS-verzoeken.
IPv6 Lekken
Ten slotte kan het IPv6-protocol lekkages veroorzaken die uw locatie kunnen weggeven. en staan externe partijen toe uw verplaatsingen via internet te volgen. Als u niet bekend bent met IPv6, bekijk dan hier onze uitleg - het is in feite de volgende generatie IP-adressen en de oplossing voor de wereld zonder IP-adressen, aangezien het aantal mensen( en hun producten met internetverbinding) omhoog schiet.
Hoewel IPv6 geweldig is om dat probleem op te lossen, is het op dit moment niet zo geweldig voor mensen die zich zorgen maken over privacy.
Lang verhaal kort: sommige VPN-providers verwerken alleen IPv4-aanvragen en negeren IPv6-verzoeken. Als uw specifieke netwerkconfiguratie en internetprovider zijn bijgewerkt om IPv6 te ondersteunen, maar uw VPN geen IPv6-aanvragen behandelt, kunt u zich in een situatie bevinden waarin een derde partij IPv6-verzoeken kan doen die uw ware identiteit onthullen( omdat de VPN gewoon blindelings isgeeft ze door aan uw lokale netwerk / computer, die het verzoek eerlijk beantwoordt).
Op dit moment zijn IPv6-lekken de minst bedreigende bron van gelekte gegevens. De wereld is zo traag geweest om IPv6 te gebruiken dat, in de meeste gevallen, uw ISP die zijn voeten sleept en zelfs ondersteunt, u eigenlijk tegen het probleem beschermt. Niettemin moet u zich bewust zijn van het potentiële probleem en er proactief tegen beschermen.
Hoe te controleren op lekken
Dus waar laat dit u, de eindgebruiker, achter wat betreft beveiliging? Het laat je in een positie waarin je actief waakzaam moet zijn over je VPN-verbinding en vaak je eigen verbinding moet testen om zeker te zijn dat deze niet lekt. Raak echter niet in paniek: we gaan je door het hele proces van testen en patchen van bekende kwetsbaarheden heen.
Controleren op lekken is een vrij eenvoudige zaak, hoewel het een beetje lastiger is om ze te patchen, zoals je in het volgende gedeelte zult zien. Het internet staat vol met veiligheidsbewuste mensen en er is geen gebrek aan middelen die online beschikbaar zijn om u te helpen bij het controleren op verbindingskwetsbaarheden.
Opmerking: Hoewel u deze lektests kunt gebruiken om te controleren of uw proxiede webbrowser lekte, zijn proxy's een heel ander beest dan VPN's en mogen ze niet als een veilige privacytool worden beschouwd.
Stap één: vind uw lokale IP
Bepaal eerst wat het daadwerkelijke IP-adres van uw lokale internetverbinding is. Als u uw thuisverbinding gebruikt, is dit het IP-adres dat uw internetprovider( ISP) u heeft verstrekt. Als u bijvoorbeeld wifi gebruikt op een luchthaven of hotel, zou dit het IP-adres zijn van hun ISP.Hoe dan ook, we moeten erachter komen hoe een naakte verbinding van uw huidige locatie naar het grotere internet eruit ziet.
U kunt uw echte IP-adres vinden door uw VPN tijdelijk uit te schakelen. U kunt ook een apparaat pakken op hetzelfde netwerk dat niet is verbonden met een VPN.Bezoek vervolgens een website zoals WhatIsMyIP.com om uw openbare IP-adres te bekijken.
Noteer dit adres, want dit is het adres dat u niet wilt en dat niet wil zien in de VPN-test die we binnenkort zullen uitvoeren.
Stap twee: Voer de basislijnlektest uit
Ontkoppel vervolgens uw VPN en voer de volgende lektest uit op uw machine. Inderdaad, we doen niet dat de VPN nog wil laten werken - we moeten eerst wat basisgegevens ontvangen.
Voor onze doeleinden gaan we IPLeak.net gebruiken, omdat het tegelijkertijd test op uw IP-adres, of uw IP-adres lekt via WebRTC en welke DNS-servers uw verbinding gebruikt.
In bovenstaande schermafbeelding zijn ons IP-adres en ons door WebRTC gelekt adres identiek( ook al hebben we ze weggevaagd) - beide zijn het IP-adres dat wordt verstrekt door onze lokale internetprovider per cheque die we in de eerste stap van dit gedeelte hebben uitgevoerd.
Verder komen alle DNS-vermeldingen in de "DNS-adresdetectie" langs de onderkant overeen met de DNS-instellingen op onze machine( we hebben onze computer ingesteld om verbinding te maken met de DNS-servers van Google).Dus voor onze eerste lektest wordt alles gecontroleerd, omdat we niet verbonden zijn met onze VPN.
Als laatste test kunt u ook controleren of uw machine IPv6-adressen lekt met IPv6Leak.com. Zoals we eerder al zeiden, is dit een zeldzaam probleem, maar het doet nooit pijn om proactief te zijn.
Nu is het tijd om de VPN aan te zetten en meer tests uit te voeren.
Stap drie: Maak verbinding met uw VPN en voer de lektest opnieuw uit.
Nu is het tijd om verbinding te maken met uw VPN.Welke routine je VPN ook nodig heeft om een verbinding tot stand te brengen, dit is het moment om het te doorlopen - start het VPN-programma, schakel de VPN in je systeeminstellingen in, of wat je normaal ook doet om verbinding te maken.
Als het eenmaal is aangesloten, is het tijd om de lektest opnieuw uit te voeren. Deze keer zouden we( hopelijk) totaal andere resultaten moeten zien. Als alles perfect verloopt, hebben we een nieuw IP-adres, geen WebRTC-lekken en een nieuwe DNS-vermelding. Nogmaals, we zullen IPLeak.net gebruiken:
In bovenstaande schermafbeelding kunt u zien dat onze VPN actief is( aangezien ons IP-adres aantoont dat we verbonden zijn vanuit Nederland in plaats van de Verenigde Staten) en zowel ons gedetecteerde IP-adres als het WebRTC-adres hetzelfde zijn( wat betekent dat we ons echte IP-adres niet lekken via het WebRTC-beveiligingslek).
De DNS-resultaten onderaan tonen echter dezelfde adressen als voorheen, afkomstig uit de Verenigde Staten, wat betekent dat onze VPN onze DNS-adressen lekt.
Dit is niet het einde van de wereld vanuit het oogpunt van privacy, in dit specifieke geval, omdat we de DNS-servers van Google gebruiken in plaats van de DNS-servers van onze ISP.Maar het geeft nog steeds aan dat we uit de Verenigde Staten komen en het geeft nog steeds aan dat onze VPN DNS-verzoeken lekt, wat niet goed is.
OPMERKING: als uw IP-adres helemaal niet is gewijzigd, is dit waarschijnlijk geen "lek".In plaats daarvan, ofwel 1) is uw VPN verkeerd geconfigureerd en maakt helemaal geen verbinding, of 2) uw VPN-provider heeft op de een of andere manier de bal totaal laten vallen en u moet contact opnemen met hun supportlijn en / of een nieuwe VPN-provider vinden.
Als u de IPv6-test in het vorige gedeelte uitvoerde en ontdekte dat uw verbinding reageerde op IPv6-verzoeken, moet u de IPv6-test nu ook opnieuw uitvoeren om te zien hoe uw VPN de verzoeken verwerkt.
Dus wat gebeurt er als u een lek ontdekt? Laten we praten over hoe om te gaan met hen.
Lekken voorkomen
Hoewel het onmogelijk is om elk mogelijk beveiligingsrisico te voorspellen en te voorkomen, kunnen we eenvoudig WebRTC-kwetsbaarheden, DNS-lekken en andere problemen voorkomen. Hier is hoe je jezelf kunt beschermen.
Gebruik een gerenommeerde VPN-provider
Eerst en vooral moet u een gerenommeerde VPN-provider gebruiken die zijn gebruikers op de hoogte houdt van wat er gaande is in de beveiligingswereld( zij zullen het huiswerk doen, zodat u dat niet hoeft te doen), en werkt op die informatie om gaten proactief aan te sluiten( en u op de hoogte te stellen wanneer u wijzigingen moet aanbrengen).Daartoe bevelen we StrongVPN aan, een geweldige VPN-provider die we niet alleen eerder hebben aanbevolen, maar onszelf ook gebruiken.
Wilt u een snelle en vuile test om te zien of uw VPN-provider al dan niet op afstand bekend is? Voer een zoekopdracht uit naar hun naam en trefwoorden zoals "WebRTC", "lekkende poorten" en "IPv6-lekken".Als uw provider geen openbare blogposts of ondersteuningsdocumentatie heeft die deze problemen bespreekt, wilt u deze VPN-provider waarschijnlijk niet gebruiken omdat deze zijn klanten niet aanspreekt en informeert.
WebRTC-aanvragen uitschakelen
Als u Chrome, Firefox of Opera als uw webbrowser gebruikt, kunt u WebRTC-verzoeken uitschakelen om het WebRTC-lek te sluiten. Chrome-gebruikers kunnen een van de twee Chrome-extensies downloaden en installeren: WebRTC Block of ScriptSafe. Beide zullen WebRTC-verzoeken blokkeren, maar ScriptSafe heeft de toegevoegde bonus van het blokkeren van kwaadaardige JavaScript-, Java- en Flash-bestanden.
Opera-gebruikers kunnen met een kleine aanpassing Chrome-extensies installeren en dezelfde extensies gebruiken om hun browsers te beveiligen. Firefox-gebruikers kunnen de WebRTC-functionaliteit uitschakelen via het about: config-menu. Typ gewoon over: config in de adresbalk van Firefox, klik op de knop 'Ik zal voorzichtig zijn' en scrol dan omlaag totdat je het item media.peerconnection.enabled ziet. Dubbelklik op het item om het in te stellen op "false".
Nadat u een van de bovenstaande fixes hebt toegepast, wist u de cache van uw webbrowser en start u deze opnieuw op.
Plug DNS en IPv6 Lekken
Het dichtmaken van DNS- en IPv6-lekken kan een enorme ergernis zijn of eenvoudig te repareren zijn, afhankelijk van de VPN-provider die u gebruikt. In het beste geval kunt u uw VPN-provider via de instellingen van uw VPN eenvoudig vertellen om de DNS- en IPv6-gaten te sluiten en de VPN-software zal al het zware werk voor u afhandelen.
Als uw VPN-software deze optie niet biedt( en het is vrij zeldzaam om software te vinden die uw computer namens u op een dergelijke manier zal wijzigen), moet u uw DNS-provider handmatig instellen en IPv6 uitschakelen op apparaatniveau. Zelfs als je bruikbare VPN-software hebt die het zware werk voor je doet, raden we je aan de volgende instructies over het handmatig wijzigen van dingen te lezen, zodat je kunt controleren of je VPN-software de juiste wijzigingen aanbrengt.
We zullen laten zien hoe dat te doen op een computer met Windows 10, zowel omdat Windows een zeer veel gebruikt besturingssysteem is als en , omdat het in dit opzicht ook verbazingwekkend lek is( in vergelijking met andere besturingssystemen).De reden waarom Windows 8 en 10 zo lek zijn, is vanwege een wijziging in de manier waarop Windows de DNS-server heeft afgehandeld.
In Windows 7 en lager zou Windows gewoon de DNS-servers gebruiken die u hebt opgegeven in de volgorde waarin u ze hebt opgegeven( of, als u dat niet deed, zou het alleen die gebruiken die zijn gespecificeerd op router- of ISP-niveau).Vanaf Windows 8 heeft Microsoft een nieuwe functie geïntroduceerd die bekend staat als "Smart Multi-Homed Named Resolution".Deze nieuwe functie heeft de manier veranderd waarop Windows DNS-servers werden verwerkt. Om eerlijk te zijn, het versnelt in feite de DNS-resolutie voor de meeste gebruikers, als de primaire DNS-servers traag zijn of niet reageren. Voor VPN-gebruikers kan dit echter DNS-lekken veroorzaken, omdat Windows kan terugvallen op andere DNS-servers dan de door VPN toegewezen servers.
De meest onfeilbare manier om dit in Windows 8, 8.1 en 10( zowel Home- als Pro-edities) op te lossen, is om de DNS-servers eenvoudig handmatig in te stellen voor alle interfaces.
Open daartoe de "Netwerkverbindingen" via het Configuratiescherm & gt;Netwerk en internet & gt;Netwerkverbindingen en klik met de rechtermuisknop op elke bestaande vermelding om de instellingen voor die netwerkadapter te wijzigen.
Schakel voor elke netwerkadapter "Internet Protocol Versie 6" uit om te beschermen tegen lekkende IPv6.Selecteer vervolgens "Internet Protocol Versie 4" en klik op de knop "Eigenschappen".
Selecteer "Gebruik de volgende DNS-serveradressen" in het eigenschappenmenu.
Voer in de "Preferred" en "Alternate" DNS-boxen de DNS-servers in die u wilt gebruiken. Het beste scenario is dat u de DNS-server gebruikt die specifiek door uw VPN-service wordt geleverd. Als uw VPN geen DNS-servers heeft die u kunt gebruiken, kunt u in plaats daarvan openbare DNS-servers gebruiken die niet aan uw geografische locatie of ISP zijn gekoppeld, zoals de servers van OpenDNS, 208.67.222.222 en 208.67.220.220.
Herhaal dit proces van het opgeven van de DNS-adressen voor elke adapter op uw VPN-compatibele computer om ervoor te zorgen dat Windows nooit kan terugvallen op het verkeerde DNS-adres.
Windows 10 Pro-gebruikers kunnen ook de hele Smart Multi-Homed Named Resolution-functie uitschakelen via de Groepsbeleid-editor, maar we raden ook aan de bovenstaande stappen uit te voeren( als een toekomstige update de functie opnieuw inschakelt, lekt uw computer DNS-gegevens uit).
Druk hiervoor op Windows + R om het dialoogvenster Uitvoeren tevoorschijn te halen, voer "gpedit.msc" in om de Editor voor lokaal groepsbeleid te starten en navigeer, zoals hieronder wordt weergegeven, naar Beheersjablonen & gt;Netwerk & gt;DNS-Client. Zoek naar het item "Schakel multi-homed naamresolutie uit".
Dubbelklik op het item en selecteer "Inschakelen" en druk vervolgens op de knop "OK"( dat is een beetje contra-indicatief, maar de instelling is "smart uitschakelen. ..", zodat het daadwerkelijk het beleid activeert dat de functie uitschakelt).Nogmaals, voor de nadruk verdient het aanbeveling om al uw DNS-vermeldingen handmatig te bewerken, dus zelfs als deze beleidswijziging mislukt of in de toekomst wordt gewijzigd, bent u nog steeds beschermd.
Dus nu al deze veranderingen zijn doorgevoerd, hoe ziet onze lektest er nu uit?
Schoon als een fluitje - ons IP-adres, onze WebRTC-lektest en ons DNS-adres komt allemaal terug als behorend tot ons VPN-exitknooppunt in Nederland. Wat de rest van het internet betreft, we komen uit de Lowlands.
Het privé-detective-spel spelen op je eigen verbinding is niet bepaald een spannende manier om een avond door te brengen, maar het is een noodzakelijke stap om ervoor te zorgen dat je VPN-verbinding niet in gevaar komt en je persoonlijke gegevens lekt. Gelukkig met de hulp van de juiste tools en een goede VPN, is het proces pijnloos en worden uw IP- en DNS-gegevens privé gehouden.