דליפות IP – איך לבדוק אם ה-VPN שלכם עובד

יתכן שאתם משתמשים ב-VPN הטוב ביותר בשוק וחושבים שכתובת ה-IP האמיתית והפעילות המקוונת שלכם נותרים חבויים, אבל שימוש ב-VPN לא מבטיח אנונימיות. מכיוון שמערכות ושרתים מתקשרים זה עם זה ללא הרף באמצעות הקפצת מידע הלוך ושוב, בהרבה מקרים יתכן שניתן לראות את כתובת ה-IP או ה-DNS שלכם. על מנת להבטיח שהמידע והזהות שלכם נשארים חבויים ובטוחים, אתם צריכים לבדוק שהמערכת שלכם חסינה מפני דליפות IP או DNS.

על מנת להבין דליפות DNS ו-IP, קודם עליכם להבין איך פועל האינטרנט.

לכל אתר ניתן קוד זיהוי שנקרא כתובת IP. אבל מכיוון שהרבה יותר קל להקליד שם דומיין מאשר רצף של מספרים, שרתי DNS (שירות שם דומיין) מתרגמים את שמות הדומיין הידידותיים למשתמש לכתובות IP. כשדפדפן האינטרנט שלכם מקבל בקשה מאתר כלשהו, הוא פונה לשרת DNS שמתרגם את שם הדומיין לכתובת ה-IP המתאימה. תהליך זה נקרא "פירוש שם DNS".

ישנו סדר עדיפויות שעל פיו מערכות הפעלה מחליטות לאן לפנות לקבלת פירוש, למשל שרת DNS, קובץ HOST, Netbios וכו'. הנושא נרחב מאוד בפני עצמו ומהווה דיון נפרד. עם זאת, מה שכדאי לדעת זה שיש משמעות למקום שאליו מערכת ההפעלה שלכם פונה לקבלת פירוש שם הדומיין. כשאתם משתמשים ב-VPN, פירוש ה-DNS אמור לקרות דרך השרתים המוגדרים על ידי ספקית ה-VPN שלכם. לרוע המזל, זה לא תמיד המצב. אם מישהו מצליח לקבוע את כתובת ה-IP שממנה נשלחה בקשת פירוש ה-DNS, כל המטרה של שימוש ב-VPN מתפספסת. כמו כן, אם חברת צד שלישי יכולה לצותת לבקשות ה-DNS שלכם (חשבו על מתקפה בתיווך אדם), היא יכולה לחשוף את המידע שלכם אפילו אם אתם משתמשים בשרת DNS מותאם אישית. כדי למנוע זאת, כדאי להשתמש ב-DNSCrypt, שמצפין את התעבורה מהמערכת שלכם לשרת ה-DNS. להלן דרכים נוספות למניעת סוגים שונים של דליפות DNS ו-IP:

1. דליפת כתובת IP מהדפדפן

זהו אחד התרחישים הנפוצים ביותר, שבו WebRTC אחראי להדלפת ה-IP שלכם. אז מה זה בדיוק WebRTC? זהו API (ממשק לתכנות יישומים) שמאפשר ליישומי רשת, כמו צ'אט ושיתוף קבצים P2P, לעבוד מבלי להשתמש בהרחבות או יישומי פלאג-אין. אבל יש לו מלכוד. הדפדפנים שתומכים ב-WebRTC – כמו כרום ופיירפוקס – משתמשים בשרת STUN (כלי עזר של NAT למעבר חיבור) כדי לקבל כתובת רשת חיצונית. אתר אינטרנט שרוצה לדעת את כתובת ה-IP האמיתית שלכם יכול לכתוב בקלות רבה קוד סמוי, שיבצע בקשות UDP מאותו שרת STUN, שבתגובה ינתב את הבקשות האלה לכל ממשקי הרשת הזמינים.

במצב כזה, גם כתובת ה-IP האמיתית שלכם וגם כתובת ה-IP של ה-VPN ייחשפו, ואפשר לבצע זאת עם כמה שורות בודדות של קוד ג'אווה סקריפט. מה שמחריף את המצב, מאחר שהבקשות הללו שונות מבקשות HTTP שגרתיות, קונסולת המפתח לא יכולה לזהות אותן ויישומי הפלאג-אין של הדפדפן לא יכולים לחסום באופן אמין כל סוג של דליפה (אפילו אם הם טוענים שכן). הדרך הנכונה לפתרון החולשה הזאת היא אחת משתיים:

  1. להגדיר כללי חומת אש מתאימים כך שלא ניתן לשלוח אף בקשה מחוץ ל-VPN שלכם.
  2. לנטרל את ה-WebRTC בדפדפנים הנתמכים. לפיירפוקס ולכרום יש דרכים שונות לנטרל אותו. אפשר לפנות למדריכים הרבים שזמינים ברשת.

2. דליפת כתובת IP מה-VPN

לרוב ספקיות ה-VPN הטובות יש שרתי DNS ייעודיים משלהן. לעולם אל תסמכו על שרת ה-DNS שמציעה ספקית האינטרנט שלכם, מפני שהמידע שלכם עלול להימצא בסיכון. אפשר להשתמש בשרתי DNS ציבוריים, כמו זה שמספקת גוגל, אבל אם אתם משלמים על VPN הוא צריך להגיע עם שרת DNS ייעודי.

עוד דרך שה-VPN שלכם עלול להיות אחראי לדליפה היא אם הוא לא תומך ב-IPv6. למי שלא יודע, IPv4 הוא פרוטוקול שמשתמש בכתובות של 32 ביט, כך שיכולים להיות רק 2^32 מכשירים עם כתובת IP ציבורית ייחודית בעולם. עם הצמיחה חסרת התקדים של האינטרנט, אנחנו מתקרבים לקצה טווח הכתובות הזה, אז IPv6 הוצג. הוא משתמש בכתובות של 128 ביט כך שמספר כתובות ה-IP הזמינות עומד כעת על 2^128, מספר גדול בהרבה.

לרוע המזל, העולם מאמץ באטיות רבה את הפרוטוקול החדש הזה. כמה אתרים גדולים תומכים בשני הפרוטוקולים ומספקים ערוץ מתאים על פי מערכת הלקוח. הבעיה מתחילה כש-VPN לא תומך ב-IPv6, ובמקום לטפל בבעיה הוא פשוט מתעלם ממנה. במקרה כזה, ה-VPN עובד בסדר עם אתרים שתומכים ב-IPv4 בלבד והכול טוב. אבל עם אתרים שמאפשרים IPv6, ה-VPN שלכם לא מסוגל לתעל את הבקשה ועל כן הדפדפן שולח בקשה מופשטת מחוץ ל-VPN, ומשאיר את ה-IP האמיתית שלכם פגיעה. צעדים לתיקון נקודות חולשה כאלה:

  1. השתמשו ב-VPN שמספק שרת DNS ייעודי והגנה מובנית מדליפות DNS.
  2. השתמשו ב-VPN שתומך ב-IPv6 או לפחות מבצע איזשהו מעקף לבעיה (כמו נטרול האפשרות במערכת ההפעלה).
  3. נטרלו שימוש ב-IPv6 במערכת ההפעלה בעצמכם, באופן ידני.

3. דליפת DNS ממערכת ההפעלה

גם מערכת ההפעלה שלכם עלולה לשאת באשמה כשמדובר בדליפת IP ו-DNS. נדבר על מערכת ההפעלה הנפוצה ביותר – וינדוס. עד כמה שאנשים אוהבים או שונאים את מוצרי מייקרוסופט, המציאות היא שרוב האנשים משתמשים במערכת ההפעלה וינדוס. עם זאת, יש כמה ניואנסים שצריך להיות מודעים אליהם בעת שימוש ב-VPN על וינדוס.

בדרך כלל, פירוש DNS מבוצע בסדר מסוים על כל מערכת הפעלה. למשל, יש קובץ HOST שם אפשר לציין את מיפוי ה-DNS. מערכת ההפעלה שלכם תנסה קודם כל לפרש את הבקשה באמצעות מיפוי מקומי. אם הוא לא זמין, היא תעבור לשרתי DNS מוגדרים, ואם גם הם לא מספקים פירוש, הבקשה עוברת ל-Netbios. אפילו במקרה של שרתי DNS, יש רשימה של שרתים מועדפים שאפשר להגדיר. אז אם שרת ה-DNS המועדף ביותר יכול לענות על הבקשה, וינדוס לא שולח אותה לשרתים אחרים. עם זאת, במקרה של וינדוס 10, הבקשה נשלחת לכל מתאמי הרשת, ומערכת ההפעלה מקבלת את התוצאה של שרת ה-DNS שעונה ראשון. זאת אומרת שאפילו אם אתם מחוברים ל-VPN, יתכן שבקשות פירוש DNS עדיין עוברות לשרת של ספקית האינטרנט, מה שמותיר אתכם פגיעים לגמרי.

עוד דבר שצריך לקחת בחשבון כשמשתמשים בווינדוס הוא המקרה של כתובות IPv6, שדנו בו מעלה. וינדוס משתמשת בתיעול Teredo כדי לתמוך בכתובות IPv6 למארחים שעדיין נמצאים ברשת IPv4 ללא תמיכה מקומית ב-IPv6. זאת אומרת שאולי ה-DNS שלכם דולף מחוץ לרשת ה-VPN. יש לנקוט בצעדים הבאים על מנת למנוע דליפות כאלה:

  1. נטרלו תיעול Teredo
  2. כבו את האופטימיזציה של וינדוס 10 על ידי נטרול פירוש שמות חכם מרובה יעדים בעורך מדיניות הקבוצות. שימו לב שבגרסה הביתית הבסיסית של ווינדוס 10 אין אפשרות לערוך את מדיניות הקבוצות.

איך לאתר את הדליפה

לאחר שדיברנו על הדרכים השונות שבהן כתובות DNS ו-IP יכולות לדלוף, בואו נדבר על כלים שיכולים לזהות האם אתם פגיעים לאחת הבעיות הללו. קיימים אתרים רבים ברשת שיכולים לבדוק בזריזות אם ה-DNS או ה-IP שלכם דולפות. ברובם קל לבצע את הצעדים הנדרשים:

  1. נתקו את ה-VPN והיכנסו לאתר הבדיקה. רשמו בצד את כתובת ה-IP הציבורית ואת כתובת שרת ה-DNS שלכם.
  2. חברו את ה-VPN שלכם והיכנסו שוב לאתר. הוא לא אמור לזהות את ה-IP או שרת ה-DNS שהופיעו קודם. אם הוא כן מזהה, עליכם לתקן זאת באמצעות אחת או יותר מהשיטות שתיארנו.

תוכלו לבדוק אם יש לכם דליפת IP עם הבדיקה לדליפת IP שלנו.

למטה מופיע צילום מסך מבדיקת דליפת WebRTC באתר vpnmentor.com. מאחר שלא מופיע כלום בחלק של כתובת IP ציבורית, הדפדפן שלי חסין לדליפות WebRTC.

עכשיו כשאתם יודעים איך להתגונן מדליפות IP ו-DNS, תוכלו לגלוש ברשת באנונימיות ובביטחון.

האם זה היה מועיל? שתף את זה!