DNS-vuodot: Ultimaattinen opas niiden löytämiseen ja korjaamiseen vuonna 2019

Viimeksi päivitetty: lokakuu 10, 2018, Valentine Milner

Mikä oikein on DNS-vuoto? Se on ongelma, joka tapahtuu verkon asetuksissa ja johtaa nopeasti yksityisyydensuojan menettämiseen, koska DNS-pyynnöt lähtevät VPN-yhteyden sijaan suojaamattomien kanavien läpi.

Kun käytät mitä tahansa hyvämaineista VPN-palvelua, DNS-pyyntösi reititetään VPN-tunnelin läpi VPN:si ylläpitämille DNS-palvelimille niiden sijaan, joita ylläpitää tavallinen internet-palvelintarjoajasi. Näin pysyt nettiä selatessasi anonyyminä. Jos VPN:ssäsi kuitenkin tapahtuu DNS-vuoto, menetät tämän anonymiteetin, ja internet-palveluntarjoajasi voi nähdä tarkalleen, mitä olet tekemässä verkossa.

Joidenkin ohjelmistojen, kuten Windowsin, oletusasetukset lähettävät pyynnöt VPN-tunnelin sijaan internet-palveluntarjoajan DNS-palvelimille. Tämän vuoksi on oleellisen tärkeää suorittaa läpikotainen DNS-vuototesti ja varmistaa, että tunnistat kaikki IP-numerot. Esimerkiksi tulokset, jotka näyttävät “oikean” sijaintisi, viittaavat mahdolliseen DNS-vuotoon. Tässä artikkelissa esitetään muutamia tavallisia ongelmia, joihin saatat törmätä, sekä keinot niiden korjaamiseen vuonna 2018!

Viallinen tai väärin määritetty verkko

Tämä on luultavasti yleisin DNS-vuotojen syy, erityisesti, jos olet yhteydessä internetiin lukuisten eri liittymäkohtien kautta.  Jos esimerkiksi käytät kotireititintäsi, julkisia hotspoteja tai kahvilan WiFi-yhteyttä, laitteesi yhdistää paikallisverkkoon ennen kuin voit avata VPN:si salaaman yhteystunnelin.

Ilman asianmukaisia asetuksia olet altis monenlaisille datavuodoille. Havaitsimme, että sama protokolla, joka määrittää laitteesi IP-osoitteen verkkosi sisällä, nimittää automaattisesti DNS-palvelimen hoitamaan kaikki selauspyyntösi. Vastaava palvelin ei aina ole turvallinen, ja käyttäessäsi VPN:ää DNS-pyynnöt ohittavat salatun tunnelin aiheuttaen DNS-vuotoja.

Näin määrität verkkosi oikein

Useimmissa tapauksissa VPN:n asettaminen käyttämään sen omaa DNS-palvelinta saa DNS-pyyntösi kulkemaan suoraan VPN:n läpi sen sijaan, että ne lähtisivät suoraan paikallisverkostasi.

Kaikki VPN-palveluntarjoajat eivät kuitenkaan tarjoa omia DNS-palvelimiaan. Näissä tapauksissa sopivin vaihtoehto voisi olla Google Public DNS:n tai Open DNS:n kaltaisten itsenäisten palvelimien käyttäminen.

Verkonmäärityksen muuttaminen tällä tavoin tukeutuu raskaasti käyttämääsi VPN-ohjelmistoon sekä protokollaan. Voit asettaa molemmat yhdistämään suoraan oikeaan DNS-palvelimeen automaattisesti tai manuaalisesti, käyttämästäsi paikallisverkosta riippumatta.

Windows 8.1:n, 8:n ja 10:n turvattomat “ominaisuudet”

Windows-käyttöjärjestelmät ovat ottaneet käyttöön “Smart Multi-Homed Name Resolution”-työkalun, jonka tarkoitus on tehostaa internet-yhteyksien nopeutta. Se lähettää kaikki DNS-pyynnöt saatavilla oleville palvelimille, mutta aluksi se hyväksyi DNS-vastauksia ei-standardinmukaisilta palvelimilta ainoastaan, jos oletuspalvelimet eivät vastanneet.

Tämä käytäntö ei sovellu VPN-käyttäjille, koska se nostaa DNS-vuotojen riskiä merkittävästi. Vielä tyrmistyttävämpää on, että Windows 10:n tapauksessa tämä toiminto hyväksyy oletusarvoisesti kaikki vastaukset siltä DNS-palvelimelta, joka vastaa nopeimmin. Kun näin tapahtuu, ongelmana eivät ole ainoastaan DNS-vuodot, vaan käyttäjä on altis myös spoofing-hyökkäyksille eli DNS-palvelimen valheelliselle harhauttamiselle.

Miten siis korjata tämä ongelma?

Tämäntyyppiset DNS-vuodot ovat luultavasti hankalimpia korjata, erityisesti Windows 10:n tapauksessa. Kyseessä on Windowsin vankasti sisäänrakennettu ominaisuus, jota on melko vaikea muuttaa. Jos käytät laajalti saatavilla olevaa OpenVPN-protokollaa, ongelman ratkaisu saattaa onnistua hieman näppärämmin.  

Smart Multi-Homed Name Resolution-työkalu voidaan kytkeä manuaalisesti pois päältä Windowsin Local Group Policy Editor-työkalussa. Näin tehdäksesi sinun on käytettävä Windows Home-versiota. On kuitenkin tärkeää huomauttaa, että vaikka kytkisit työkalun pois päältä, Windows lähettää silti kaikki DNS-pyyntösi saatavilla oleville palvelimille. Tämän vuoksi suosittelemme käyttämään OpenVPN-protokollaa, koska se on pätevä ongelman korjaamiseen.

Windowsin Teredo-ominaisuus

Teredo on Microsoftin kehittämä teknologia, jonka tarkoituksena on IPv6:n ja IPv4:n yhteensopivuuden parantaminen. Se on toinen Windowsin sisäänrakennettu ominaisuus. Havaitsimme, että se on oleellinen siirtymäteknologia, joka antaa IPv6:n ja IPv4:n toimia rinnakkain ilman merkittäviä ongelmia. Lisäksi se luo suoraviivaisemman prosessin v6-osoitteiden lähettämiseen, vastaanottamiseen ja ymmärtämiseen v4-yhteyksillä.

Valitettavasti VPN-käyttäjille se on kuitenkin jälleen yksi ammottava tietoturva-aukko. Koska se on tunneleita luova ohjelmistoprotokolla, se omaksuu jatkuvasti etuoikeusaseman suhteessa VPN:si salaustunneliin. Toisin sanoen se ohittaa VPN:si aiheuttaen lukuisia DNS-vuotoja!

Ultimaattinen korjausliike

Onneksi Teredo voidaan nopeasti kytkeä pois päältä Windows-käyttöjärjestelmän sisällä. Avaa vain sen komentokehote ja syötä  “netsh interface teredo set state disabled”.

Teredon kytkeminen pois päältä voi aiheuttaa tiettyjä ongelmia, mutta se estää muuta liikennettä ohittamasta VPN:si salaustunnelia, jolloin pysyt kunnolla “piilossa”.

Yhteenveto!

Yllä esitellyt ongelmat ratkaisemalla voit helposti ehkäistä DNS-vuotoja tulevaisuudessa. Ota huomioon, että jos et huomaa tai ratkaise näitä ongelmia, verkkoyhteytesi ei välttämättä koskaan ole turvattu, vaikka käyttäisitkin VPN:ää.  On siis oleellisen tärkeää tarkistaa verkkoasetuksesi DNS-vuotojen varalta ja varmistaa, että olet aina turvassa netissä.

Valentine Milner
Valentine Milner on kyberturvallisuuteen erikoistunut asiantuntija. Hän aloitti kirjoittajana ensin palkkatyössä, ennen oman yrityksen perustamista.