Veel mensen gebruiken Virtual Private Networks (VPN's) om hun identiteit te maskeren, hun communicatie te versleutelen of op internet te surfen vanaf een andere locatie. Al die doelen kunnen uit elkaar vallen als uw echte informatie door een beveiligingslek lekt, wat vaker voorkomt dan u zou denken. Laten we eens kijken hoe we die lekken kunnen identificeren en verhelpen.
Hoe VPN-lekken optreden
De basisprincipes van VPN-gebruik zijn vrij eenvoudig: u installeert een softwarepakket op uw computer, apparaat, of router (of gebruik de ingebouwde VPN-software). Deze software registreert al uw netwerkverkeer en leidt het, via een gecodeerde tunnel, naar een extern uitgangspunt. Voor de buitenwereld lijkt al uw verkeer van dat afgelegen punt te komen in plaats van uw echte locatie. Dit is geweldig voor de privacy (als u er zeker van wilt zijn dat niemand tussen uw apparaat en de uitgangsserver kan zien wat u doet), is het geweldig voor virtueel border-hoppen (zoals watching U.S. streaming services in Australia ), en het is over het algemeen een uitstekende manier om uw identiteit online te verhullen.
VERWANT: Wat is een VPN en waarom heb ik er een nodig?
Computerbeveiliging en privacy zijn echter altijd een kat-en-muisspel. Geen enkel systeem is perfect, en na verloop van tijd worden kwetsbaarheden ontdekt die uw veiligheid in gevaar kunnen brengen - en VPN-systemen vormen daarop geen uitzondering. Dit zijn de drie belangrijkste manieren waarop uw VPN uw persoonlijke gegevens kan lekken.
Gebrekkige protocollen en bugs
In 2014, de goed gepubliceerde Heartbleed-bug bleek de identiteit van VPN-gebruikers te lekken . Begin 2015 er is een kwetsbaarheid in de webbrowser ontdekt waarmee een derde partij een verzoek kan indienen bij een webbrowser om het echte IP-adres van de gebruiker te onthullen (waardoor de onduidelijkheid die de VPN-service biedt, wordt omzeild).
Deze kwetsbaarheid, onderdeel van het WebRTC-communicatieprotocol, is nog steeds niet volledig gepatcht en het is nog steeds mogelijk dat de websites waarmee u verbinding maakt, zelfs als u zich achter de VPN bevindt, uw browser opvragen en uw echte adres achterhalen. Eind 2015 een minder wijdverspreid (maar nog steeds problematisch) kwetsbaarheid werd blootgelegd waarbij gebruikers op dezelfde VPN-service andere gebruikers kunnen ontmaskeren.
Dit soort kwetsbaarheden zijn de ergste omdat ze onmogelijk te voorspellen zijn, bedrijven traag zijn om ze te patchen en je een goed geïnformeerde consument moet zijn om ervoor te zorgen dat je VPN-provider op de juiste manier omgaat met bekende en nieuwe dreigingen. Niettemin, als ze eenmaal zijn ontdekt, kunt u stappen ondernemen om uzelf te beschermen (zoals we zo dadelijk zullen benadrukken).
DNS-lekken
Zelfs zonder regelrechte bugs en beveiligingsfouten is er echter altijd een kwestie van DNS-lekken (dit kan het gevolg zijn van slechte standaardconfiguratiekeuzes van het besturingssysteem, gebruikersfout of VPN-providerfout). DNS-servers zetten de mensvriendelijke adressen die u gebruikt (zoals www.facebook.com) om in machinevriendelijke adressen (zoals 173.252.89.132). Als uw computer een andere DNS-server gebruikt dan de locatie van uw VPN, kan deze informatie over u vrijgeven.
DNS-lekken zijn niet zo erg als IP-lekken, maar ze kunnen nog steeds uw locatie prijsgeven. Als uit uw DNS-lek blijkt dat uw DNS-servers bijvoorbeeld tot een kleine internetprovider behoren, wordt uw identiteit aanzienlijk beperkt en kunt u snel geografisch worden gelokaliseerd.
Elk systeem kan kwetsbaar zijn voor een DNS-lek, maar Windows is historisch gezien een van de ergste overtreders, vanwege de manier waarop het besturingssysteem omgaat met DNS-verzoeken en -resolutie. De DNS-verwerking van Windows 10 met een VPN is zelfs zo slecht dat de computerbeveiligingsafdeling van het Department of Homeland Security, het United States Computer Emergency Readiness Team, eigenlijk heeft in augustus 2015 een briefing uitgegeven over het beheren van DNS-verzoeken .
IPv6-lekken
VERWANT: Gebruikt u al IPv6? Zou het u zelfs iets kunnen schelen?
Ten slotte kan het IPv6-protocol lekken veroorzaken die uw locatie kunnen verraden en derden toestaan uw verplaatsingen op internet te volgen. Als u niet bekend bent met IPv6, bekijk hier onze uitleg - het is in wezen de volgende generatie IP-adressen en de oplossing voor de wereld die zonder IP-adressen komt te staan, aangezien het aantal mensen (en hun met internet verbonden producten) omhoogschiet.
Hoewel IPv6 geweldig is om dat probleem op te lossen, is het op dit moment niet zo geweldig voor mensen die zich zorgen maken over privacy.
Om een lang verhaal kort te maken: sommige VPN-providers behandelen alleen IPv4-verzoeken en negeren IPv6-verzoeken. Als uw specifieke netwerkconfiguratie en ISP zijn geüpgraded om IPv6 maar uw VPN behandelt geen IPv6-verzoeken, u kunt zich in een situatie bevinden waarin een derde partij IPv6-verzoeken kan doen die uw ware identiteit onthullen (omdat de VPN ze gewoon blindelings doorgeeft aan uw lokale netwerk / computer, die het verzoek eerlijk beantwoordt ).
Op dit moment zijn IPv6-lekken de minst bedreigende bron van gelekte gegevens. De wereld is zo traag geweest met het adopteren van IPv6 dat, in de meeste gevallen, uw internetprovider met zijn voeten zelfs maar ondersteunt, u in feite tegen het probleem beschermt. Desalniettemin moet u zich bewust zijn van het mogelijke probleem en u er proactief tegen beschermen.
Op lekken controleren
VERWANT: Wat is het verschil tussen een VPN en een proxy?
Dus waar blijft u, de eindgebruiker, achter als het om beveiliging gaat? Het laat u in een positie waarin u actief waakzaam moet zijn over uw VPN-verbinding en regelmatig uw eigen verbinding moet testen om er zeker van te zijn dat deze niet lekt. Raak echter niet in paniek: we leiden u door het hele proces van het testen en verhelpen van bekende kwetsbaarheden.
Het controleren op lekken is vrij eenvoudig, hoewel het een beetje lastiger is om ze op te lossen, zoals je in de volgende sectie zult zien. Het internet staat vol met veiligheidsbewuste mensen en er is geen tekort aan bronnen die online beschikbaar zijn om u te helpen bij het controleren op kwetsbaarheden in de verbinding.
Opmerking: hoewel u deze lektests kunt gebruiken om te controleren of uw proxy-webbrowser informatie lekt, proxy's zijn een heel ander beest dan VPN's en mag niet worden beschouwd als een veilige privacytool.
Stap één: zoek uw lokale IP
Bepaal eerst wat het daadwerkelijke IP-adres van uw lokale internetverbinding is. Als u uw thuisverbinding gebruikt, is dit het IP-adres dat u van uw internetprovider (ISP) heeft gekregen. Als u bijvoorbeeld wifi op een luchthaven of hotel gebruikt, is dit het IP-adres van hun ISP. Hoe dan ook, we moeten erachter komen hoe een naakte verbinding van uw huidige locatie naar het grotere internet eruitziet.
U kunt uw echte IP-adres vinden door uw VPN tijdelijk uit te schakelen. Je kunt ook een apparaat op hetzelfde netwerk pakken dat niet is verbonden met een VPN. Bezoek dan gewoon een website zoals WhatIsMyIP.com om uw openbare IP-adres te zien.
Noteer dit adres, want dit is uw adres Niet doen wil een pop-up zien in de VPN-test die we binnenkort zullen uitvoeren.
Stap twee: voer de basislijnlektest uit
Koppel vervolgens uw VPN los en voer de volgende lektest uit op uw machine. Dat klopt, wij niet willen dat de VPN al draait - we moeten eerst wat basisgegevens krijgen.
Voor onze doeleinden gaan we gebruiken IPLeak.net , aangezien het tegelijkertijd test op uw IP-adres, of uw IP-adres lekt via WebRTC en welke DNS-servers uw verbinding gebruikt.
In de bovenstaande schermafbeelding zijn ons IP-adres en ons door WebRTC gelekte adres identiek (ook al hebben we ze vervaagd). Beide zijn het IP-adres dat door onze lokale ISP is verstrekt volgens de controle die we in de eerste stap van deze sectie hebben uitgevoerd.
Verder komen alle DNS-vermeldingen in de "DNS-adresdetectie" onderaan overeen met de DNS-instellingen op onze computer (we hebben onze computer ingesteld om verbinding te maken met de DNS-servers van Google). Dus voor onze eerste lektest controleert alles, aangezien we niet verbonden zijn met onze VPN.
Als laatste test kunt u ook controleren of uw machine IPv6-adressen lekt met IPv6Leak.com . Zoals we eerder al zeiden, hoewel dit nog steeds een zeldzaam probleem is, kan het nooit kwaad om proactief te zijn.
Nu is het tijd om de VPN in te schakelen en meer tests uit te voeren.
Stap drie: maak verbinding met uw VPN en voer de lektest opnieuw uit
Nu is het tijd om verbinding te maken met uw VPN. Welke routine uw VPN ook nodig heeft om een verbinding tot stand te brengen, dit is het moment om deze te doorlopen: start het VPN-programma, schakel de VPN in uw systeeminstellingen in of wat u normaal ook doet om verbinding te maken.
Zodra hij is aangesloten, is het tijd om de lektest opnieuw uit te voeren. Deze keer zouden we (hopelijk) totaal andere resultaten moeten zien. Als alles perfect werkt, hebben we een nieuw IP-adres, geen WebRTC-lekken en een nieuwe DNS-vermelding. Nogmaals, we zullen IPLeak.net gebruiken:
In de bovenstaande schermafbeelding kunt u zien dat onze VPN actief is (aangezien ons IP-adres aangeeft dat we verbonden zijn vanuit Nederland in plaats van de Verenigde Staten), en zowel ons gedetecteerde IP-adres en het WebRTC-adres is hetzelfde (wat betekent dat we ons echte IP-adres niet lekken via de WebRTC-kwetsbaarheid).
De DNS-resultaten onderaan tonen echter dezelfde adressen als voorheen, afkomstig uit de Verenigde Staten, wat betekent dat onze VPN onze DNS-adressen lekt.
Dit is in dit specifieke geval niet het einde van de wereld vanuit het oogpunt van privacy, aangezien we de DNS-servers van Google gebruiken in plaats van de DNS-servers van onze ISP. Maar het geeft nog steeds aan dat we uit de VS komen en het geeft nog steeds aan dat onze VPN DNS-verzoeken lekt, wat niet goed is.
OPMERKING: als uw IP-adres helemaal niet is gewijzigd, is het waarschijnlijk geen "lek". In plaats daarvan is ofwel 1) uw VPN verkeerd geconfigureerd en maakt helemaal geen verbinding, of 2) heeft uw VPN-provider de bal op de een of andere manier volledig laten vallen en moet u contact opnemen met hun ondersteuningslijn en / of een nieuwe VPN-provider zoeken.
Als u de IPv6-test in de vorige sectie hebt uitgevoerd en merkt dat uw verbinding reageert op IPv6-verzoeken, moet u ook voer de IPv6-test opnieuw uit nu om te zien hoe uw VPN de verzoeken afhandelt.
Dus wat gebeurt er als u een lek ontdekt? Laten we het hebben over hoe we ermee kunnen omgaan.
Hoe lekken te voorkomen
Hoewel het onmogelijk is om elke mogelijke beveiligingslek die zich voordoet te voorspellen en te voorkomen, kunnen we WebRTC-kwetsbaarheden, DNS-lekken en andere problemen gemakkelijk voorkomen. Hier is hoe u uzelf kunt beschermen.
Gebruik een gerenommeerde VPN-provider
VERWANT: Hoe u de beste VPN-service kiest voor uw behoeften
Eerst en vooral moet u een gerenommeerde VPN-provider gebruiken die zijn gebruikers op de hoogte houdt van wat er gaande is in de beveiligingswereld (zij doen het huiswerk, zodat u dat niet hoeft te doen), en handelt op basis van die informatie om proactief gaten te dichten (en u te informeren wanneer u wijzigingen moet aanbrengen). Daartoe raden we u ten zeerste aan StrongVPN - dat is een geweldige VPN-provider we hebben niet alleen eerder aanbevolen maar gebruik onszelf.
Wilt u een snelle en vuile test om te zien of uw VPN-provider op afstand een goede naam heeft? Voer een zoekopdracht uit naar hun naam en trefwoorden zoals "WebRTC", "lekkende poorten" en "IPv6-lekken". Als uw provider geen openbare blogposts of ondersteunende documentatie heeft waarin deze problemen worden besproken, wilt u die VPN-provider waarschijnlijk niet gebruiken, omdat deze zijn klanten niet aanspreekt en informeert.
Schakel WebRTC-verzoeken uit
Als u Chrome, Firefox of Opera als uw webbrowser gebruikt, kunt u WebRTC-verzoeken uitschakelen om het WebRTC-lek te dichten. Chrome-gebruikers kunnen een van de twee Chrome-extensies downloaden en installeren: WebRTC-blokkering of ScriptSafe . Beide blokkeren WebRTC-verzoeken, maar ScriptSafe heeft de toegevoegde bonus dat het schadelijke JavaScript-, Java- en Flash-bestanden blokkeert.
Opera-gebruikers kunnen,
met een kleine aanpassing
, installeer Chrome-extensies en gebruik dezelfde extensies om hun browsers te beschermen. Firefox-gebruikers kunnen de WebRTC-functionaliteit uitschakelen via het menu about: config. Typ gewoon
about: config
in de adresbalk van Firefox, klik op de knop "Ik zal voorzichtig zijn" en scrol omlaag totdat u het
media.peerconnection.enabled
binnenkomst. Dubbelklik op het item om het op "false" te zetten.
Na het toepassen van een van de bovenstaande oplossingen, wist u het cachegeheugen van uw webbrowser en start u deze opnieuw.
Sluit DNS- en IPv6-lekken af
Het dichten van DNS- en IPv6-lekken kan een enorme ergernis zijn of eenvoudig op te lossen, afhankelijk van de VPN-provider die u gebruikt. In het beste geval kunt u uw VPN-provider eenvoudig via de instellingen van uw VPN vertellen om de DNS- en IPv6-gaten af te sluiten, en de VPN-software zal al het zware werk voor u afhandelen.
Als uw VPN-software deze optie niet biedt (en het is vrij zeldzaam om software te vinden die uw computer op een dergelijke manier namens u aanpast), moet u uw DNS-provider handmatig instellen en IPv6 uitschakelen op apparaatniveau. Zelfs als je handige VPN-software hebt die het zware werk voor je doet, raden we je aan de volgende instructies te lezen over hoe je dingen handmatig kunt wijzigen, zodat je kunt controleren of je VPN-software de juiste wijzigingen aanbrengt.
We laten zien hoe u dit kunt doen op een computer met Windows 10, beide omdat Windows een veelgebruikt besturingssysteem is en omdat het in dit opzicht ook verbazingwekkend lek is (vergeleken met andere besturingssystemen). De reden dat Windows 8 en 10 zo lek zijn, is vanwege een verandering in de manier waarop Windows omging met de DNS-serverselectie.
In Windows 7 en lager zou Windows gewoon de DNS-servers gebruiken die u hebt gespecificeerd in de volgorde waarin u ze hebt gespecificeerd (of, als u dat niet deed, zou het alleen de servers gebruiken die zijn gespecificeerd op router- of ISP-niveau). Beginnend met Windows 8 introduceerde Microsoft een nieuwe functie die bekend staat als "Smart Multi-Homed Named Resolution". Deze nieuwe functie veranderde de manier waarop Windows met DNS-servers omging. Om eerlijk te zijn, het versnelt eigenlijk de DNS-resolutie voor de meeste gebruikers als de primaire DNS-servers traag zijn of niet reageren. Voor VPN-gebruikers kan het echter DNS-lekken veroorzaken, omdat Windows kan terugvallen op andere DNS-servers dan de aan VPN toegewezen servers.
De meest onfeilbare manier om dat op te lossen in Windows 8, 8.1 en 10 (zowel Home- als Pro-edities), is door de DNS-servers eenvoudig handmatig in te stellen voor alle interfaces.
Open hiervoor de “Netwerkverbindingen” via Configuratiescherm> Netwerk en internet> Netwerkverbindingen en klik met de rechtermuisknop op elk bestaand item om de instellingen voor die netwerkadapter te wijzigen.
Verwijder voor elke netwerkadapter het vinkje bij "Internet Protocol versie 6" om te beschermen tegen IPv6-lekken. Selecteer vervolgens "Internet Protocol versie 4" en klik op de knop "Eigenschappen".
Selecteer in het eigenschappenmenu "Gebruik de volgende DNS-serveradressen".
In de "Voorkeurs" en "Alternatieve" DNS vakken voer je de DNS servers in die je wilt gebruiken. Het beste scenario is dat u een DNS-server gebruikt die specifiek door uw VPN-service wordt geleverd. Als uw VPN geen DNS-servers heeft die u kunt gebruiken, kunt u in plaats daarvan openbare DNS-servers gebruiken die niet zijn gekoppeld aan uw geografische locatie of ISP, zoals de OpenDNS-servers 208.67.222.222 en 208.67.220.220.
Herhaal dit proces van het specificeren van de DNS-adressen voor elke adapter op uw VPN-compatibele computer om ervoor te zorgen dat Windows nooit kan terugvallen op het verkeerde DNS-adres.
Gebruikers van Windows 10 Pro kunnen ook de volledige Smart Multi-Homed Named Resolution-functie uitschakelen via de Groepsbeleid-editor, maar we raden u aan ook de bovenstaande stappen uit te voeren (in het geval dat een toekomstige update de functie weer inschakelt, zal uw computer DNS-gegevens gaan lekken).
Om dit te doen, drukt u op Windows + R om het dialoogvenster Uitvoeren te openen, voert u "gpedit.msc" in om de Editor voor lokaal groepsbeleid te starten en, zoals hieronder te zien, navigeert u naar Beheersjablonen> Netwerk> DNS-client. Zoek naar het item "Schakel slimme multi-homed naamomzetting uit".
Dubbelklik op het item en selecteer 'Inschakelen' en druk vervolgens op de 'OK'-knop (dat is een beetje tegenstrijdig, maar de instelling is' slim uitschakelen ... ', dus inschakelen activeert het beleid dat de functie uitschakelt). Nogmaals, om de nadruk te leggen, raden we u aan al uw DNS-vermeldingen handmatig te bewerken, dus zelfs als deze beleidswijziging mislukt of in de toekomst wordt gewijzigd, bent u nog steeds beschermd.
Dus met al deze veranderingen, hoe ziet onze lektest er nu uit?
Kraakhelder - ons IP-adres, onze WebRTC-lektest en ons DNS-adres komen allemaal terug als behorend tot ons VPN-exitknooppunt in Nederland. Wat de rest van internet betreft, we komen uit de Lage Landen.
Het spelen van de Private Investigator-game op uw eigen verbinding is niet bepaald een opwindende manier om een avond door te brengen, maar het is een noodzakelijke stap om ervoor te zorgen dat uw VPN-verbinding niet in gevaar komt en uw persoonlijke gegevens niet lekken. Gelukkig is het proces met behulp van de juiste tools en een goede VPN pijnloos en worden uw IP- en DNS-informatie privé gehouden.
