Úniky údajů skrze DNS: Kompletní návod, jak je odhalit a opravit pro rok 2020

Naposledy upraveno: Valentine Milner, 01 března, 2020

Co je vlastně únik údajů skrze DNS? Jde o problém spojený s nastavením sítě, který způsobuje rychlou ztrátu soukromí, jelikož zasílá DNS dotazy skrze nechráněné kanály místo využití vašeho VPN připojení.


Pokud používáte kvalitní VPN, jsou DNS žádosti směrovány přes VPN tunel na DNS servery vaší VPN na místo serverů vašeho ISP. Díky tomu je vaše surfování po internetu anonymní. Pokud by však mělo dojít u vaší VPN k úniku dat skrze DNS, anonymita je pryč a ISP může sledovat veškerou vaši online aktivitu.

Některé softwarové programy, jako třeba Windows, mají ve výchozím nastavení zasílání žádostí na DNS servery vašeho ISP místo využití vašeho VPN tunelu. Proto je velice důležité provést test na únik dat skrze DNS, abyste se ujistili, že poznáváte všechna čísla IP. Například když výsledky testu ukáží vaši „skutečnou“ polohu, mohlo by to znamenat, že vám unikají údaje skrze DNS. Tady je seznam běžných problémů, na které můžete narazit, a způsob jejich řešení pro rok 2018!

Chybně nebo nevhodně nastavená síť

Toto je pravděpodobně nejčastější příčina úniku údajů skrze DNS, tím spíše pokud přistupujete na internet různými způsoby. Mluvíme tu například o připojení na domácí router, veřejné hotspoty nebo Wi-Fi v kavárnách. V takových případech se ještě před otevřením šifrovaného kanálu vaší VPN musí zařízení nejprve připojit k místní síti.

Důležité je, že pokud budete ignorovat vhodné nastavení, vystavujete se možnému úniku údajů. Zjistili jsme, že protokol, který určuje IP adresu vašeho zařízení v síti, automaticky přiřazuje DNS server pro zpracování všech vašich vyhledávacích žádostí. Takový server není vždy zcela bezpečný a při používání VPN vaše DNS žádosti obejdou šifrovaný tunel, čímž způsobí únik skrze DNS.

Jak správně nastavit síť

Ve většina případů stačí nastavit VPN, aby využívala určený DNS server a tím se zajistí, že DNS požadavky putují přes VPN na místo toho, aby putovaly přímo z místní sítě.

Ne každý poskytovatel VPN však nabízí vlastní DNS servery. V takových případech by se mohly hodit nezávislé servery, jakou jsou například Google Public DNS nebo Open DNS.

Taková změna nastavení velice závisí na softwaru vaší VPN a využívaném protokolu. Všechny můžete nastavit, aby se připojovaly ke správnému DNS serveru automaticky nebo manuálně nezávisle na místní síti, ke které se připojujete.

Riskantní „funkce“ Windows 8, 8.1 a 10

Operační systémy Windows zavedly nástroj “Smart Multi-Homed Name Resolution” určený ke zvýšení rychlosti internetu. Nástroj zasílá všechny DNS žádosti na dostupné servery, ale ve výchozím nastavení přijímá DNS odpovědi pouze od nestandardních serverů, pokud vaše oblíbené servery nereagují.

Pro uživatele VPN je toto nastavení naprosto nevhodné, jelikož výrazně zvyšuje riziko úniku údajů skrze DNS. Ještě více šokující je skutečnost, že v případě Windows 10 taková funkce ve výchozím nastavení přijímá odpovědi od DNS serverů, které reagují nejrychleji. V takových případech není problémem pouze možný únik údajů skrze DNS, ale také jste vystaveni možným cíleným útokům.

Jak tento problém vyřešit?

Toto je pravděpodobně nesložitější typ úniku údajů skrze DNS, který budete muset vyřešit, tím spíše pokud využíváte Windows 10. Jde o hluboce integrovanou funkci Windows, kterou nelze jednoduše změnit. Pokud používáte lehce dostupný protokol OpenVPN, jsou vaše šance na vyřešení tohoto problému o něco větší.

Funkci „Smart Multi-Homed Name Resolution“ můžete ručně vypnout v Editoru místních zásad skupiny systému Windows. Abyste tak mohli učinit, budete potřebovat Windows Home Edition. Musíme vás však upozornit, že i když tuto funkci vypnete, Windows bude stále vaše DNS žádosti zasílat na dostupné servery. Proto doporučujeme, abyste využili protokol OpenVPN, který si s tímto problémem umí adekvátně poradit.

Funkce Windows Teredo

Teredo je technologie Microsoftu, jejímž smyslem je zvýšit kompatibilitu mezi IPv6 a IPv4. Jde o další integrovanou funkci systému Windows. Také jsme zjistili, že jde o kritickou přechodovou technologii, díky které vedle sebe mohou IPv6 a IPv4 existovat téměř bez problémů. Také utváří více přímočarý proces při zasílání, přijímání a pochopení adres v6 na všech připojeních typu v4.

Bohužel pro vás jako uživatele VPN, přestavuje tato funkce jen do očí bijící bezpečnostní mezeru. Jelikož jde o tunelový protokol, má neustále přednost před šifrovaným tunelem vaší VPN. Vaše šifrování jednoduše obejde a stojí tak za mnoha úniky údajů skrze DNS!

Definitivní oprava

Tuto funkci můžete naštěstí v operačním systému Windows jednoduše vypnout. Stačí otevřít příkazový řádek a napsat „netsh interface teredo set state disabled“.

Po vypnutí funkce Teredo se může stát, že narazíte na několik problémů, ale váš provoz již nebude obcházet šifrování VPN tunelu a vy tak „nebudete vidět“.

Shrnutí

Díky znalosti výše zmíněných problémů se můžete v budoucnosti jednoduše vyhnout možným únikům údajů skrze DNS. Pamatujte, že pokud tyto problémy nevyřešíte a budete je ignorovat, vaše internetové připojení nebude nikdy zcela v bezpečí, i když používáte VPN. Proto byste neměli váhat a zkontrolovat, zda u vašeho systému nedochází k úniku údajů skrze DNS a že jste v bezpečí.

 

 

 

Líbil se Vám tento článek? Ohodnoťte jej!

Nesnášel jsem ho Opravdu se mi nelíbí Byl v pořádku Docela dobrý! Absolutně úžasný!
0 Hlasovalo 0 uživatelů
Titulek
Komentář
Děkujeme za vaši zpětnou vazbu
Valentine Milner
Valentine Milner je ostřílená autorka se znalostmi z oboru kyberbezpečnosti. Než se vydala na vlastní pěst, pracovala v soukromém sektoru.