DNS-vuodot: Ultimaattinen opas niiden löytämiseen ja korjaamiseen vuonna 2024

Lukuaika: 15 min

Julkaistu 01 Toukokuun, 2023

  • Valentine Milner

    Kirjoittanut: Valentine Milner Verkkoturvallisuuden asiantuntija

Mikä oikein on DNS-vuoto? Se on ongelma, joka tapahtuu verkon asetuksissa ja johtaa nopeasti yksityisyydensuojan menettämiseen, koska DNS-pyynnöt lähtevät VPN-yhteyden sijaan suojaamattomien kanavien läpi.

Kun käytät mitä tahansa hyvämaineista VPN-palvelua, DNS-pyyntösi reititetään VPN-tunnelin läpi VPN:si ylläpitämille DNS-palvelimille niiden sijaan, joita ylläpitää tavallinen internet-palvelintarjoajasi. Näin pysyt nettiä selatessasi anonyyminä. Jos VPN:ssäsi kuitenkin tapahtuu DNS-vuoto, menetät tämän anonymiteetin, ja internet-palveluntarjoajasi voi nähdä tarkalleen, mitä olet tekemässä verkossa.

Joidenkin ohjelmistojen, kuten Windowsin, oletusasetukset lähettävät pyynnöt VPN-tunnelin sijaan internet-palveluntarjoajan DNS-palvelimille. Tämän vuoksi on oleellisen tärkeää suorittaa läpikotainen DNS-vuototesti ja varmistaa, että tunnistat kaikki IP-numerot. Esimerkiksi tulokset, jotka näyttävät “oikean” sijaintisi, viittaavat mahdolliseen DNS-vuotoon. Tässä artikkelissa esitetään muutamia tavallisia ongelmia, joihin saatat törmätä, sekä keinot niiden korjaamiseen vuonna 2018!

Viallinen tai väärin määritetty verkko

Tämä on luultavasti yleisin DNS-vuotojen syy, erityisesti, jos olet yhteydessä internetiin lukuisten eri liittymäkohtien kautta.  Jos esimerkiksi käytät kotireititintäsi, julkisia hotspoteja tai kahvilan WiFi-yhteyttä, laitteesi yhdistää paikallisverkkoon ennen kuin voit avata VPN:si salaaman yhteystunnelin.

Ilman asianmukaisia asetuksia olet altis monenlaisille datavuodoille. Havaitsimme, että sama protokolla, joka määrittää laitteesi IP-osoitteen verkkosi sisällä, nimittää automaattisesti DNS-palvelimen hoitamaan kaikki selauspyyntösi. Vastaava palvelin ei aina ole turvallinen, ja käyttäessäsi VPN:ää DNS-pyynnöt ohittavat salatun tunnelin aiheuttaen DNS-vuotoja.

Näin määrität verkkosi oikein

Useimmissa tapauksissa VPN:n asettaminen käyttämään sen omaa DNS-palvelinta saa DNS-pyyntösi kulkemaan suoraan VPN:n läpi sen sijaan, että ne lähtisivät suoraan paikallisverkostasi.

Kaikki VPN-palveluntarjoajat eivät kuitenkaan tarjoa omia DNS-palvelimiaan. Näissä tapauksissa sopivin vaihtoehto voisi olla Google Public DNS:n tai Open DNS:n kaltaisten itsenäisten palvelimien käyttäminen.

Verkonmäärityksen muuttaminen tällä tavoin tukeutuu raskaasti käyttämääsi VPN-ohjelmistoon sekä protokollaan. Voit asettaa molemmat yhdistämään suoraan oikeaan DNS-palvelimeen automaattisesti tai manuaalisesti, käyttämästäsi paikallisverkosta riippumatta.

Windows 8.1:n, 8:n ja 10:n turvattomat “ominaisuudet”

Windows-käyttöjärjestelmät ovat ottaneet käyttöön “Smart Multi-Homed Name Resolution”-työkalun, jonka tarkoitus on tehostaa internet-yhteyksien nopeutta. Se lähettää kaikki DNS-pyynnöt saatavilla oleville palvelimille, mutta aluksi se hyväksyi DNS-vastauksia ei-standardinmukaisilta palvelimilta ainoastaan, jos oletuspalvelimet eivät vastanneet.

Tämä käytäntö ei sovellu VPN-käyttäjille, koska se nostaa DNS-vuotojen riskiä merkittävästi. Vielä tyrmistyttävämpää on, että Windows 10:n tapauksessa tämä toiminto hyväksyy oletusarvoisesti kaikki vastaukset siltä DNS-palvelimelta, joka vastaa nopeimmin. Kun näin tapahtuu, ongelmana eivät ole ainoastaan DNS-vuodot, vaan käyttäjä on altis myös spoofing-hyökkäyksille eli DNS-palvelimen valheelliselle harhauttamiselle.

Miten siis korjata tämä ongelma?

Tämäntyyppiset DNS-vuodot ovat luultavasti hankalimpia korjata, erityisesti Windows 10:n tapauksessa. Kyseessä on Windowsin vankasti sisäänrakennettu ominaisuus, jota on melko vaikea muuttaa. Jos käytät laajalti saatavilla olevaa OpenVPN-protokollaa, ongelman ratkaisu saattaa onnistua hieman näppärämmin.  

Smart Multi-Homed Name Resolution-työkalu voidaan kytkeä manuaalisesti pois päältä Windowsin Local Group Policy Editor-työkalussa. Näin tehdäksesi sinun on käytettävä Windows Home-versiota. On kuitenkin tärkeää huomauttaa, että vaikka kytkisit työkalun pois päältä, Windows lähettää silti kaikki DNS-pyyntösi saatavilla oleville palvelimille. Tämän vuoksi suosittelemme käyttämään OpenVPN-protokollaa, koska se on pätevä ongelman korjaamiseen.

Windowsin Teredo-ominaisuus

Teredo on Microsoftin kehittämä teknologia, jonka tarkoituksena on IPv6:n ja IPv4:n yhteensopivuuden parantaminen. Se on toinen Windowsin sisäänrakennettu ominaisuus. Havaitsimme, että se on oleellinen siirtymäteknologia, joka antaa IPv6:n ja IPv4:n toimia rinnakkain ilman merkittäviä ongelmia. Lisäksi se luo suoraviivaisemman prosessin v6-osoitteiden lähettämiseen, vastaanottamiseen ja ymmärtämiseen v4-yhteyksillä.

Valitettavasti VPN-käyttäjille se on kuitenkin jälleen yksi ammottava tietoturva-aukko. Koska se on tunneleita luova ohjelmistoprotokolla, se omaksuu jatkuvasti etuoikeusaseman suhteessa VPN:si salaustunneliin. Toisin sanoen se ohittaa VPN:si aiheuttaen lukuisia DNS-vuotoja!

Ultimaattinen korjausliike

Onneksi Teredo voidaan nopeasti kytkeä pois päältä Windows-käyttöjärjestelmän sisällä. Avaa vain sen komentokehote ja syötä  “netsh interface teredo set state disabled”.

Teredon kytkeminen pois päältä voi aiheuttaa tiettyjä ongelmia, mutta se estää muuta liikennettä ohittamasta VPN:si salaustunnelia, jolloin pysyt kunnolla “piilossa”.

Yhteenveto!

Yllä esitellyt ongelmat ratkaisemalla voit helposti ehkäistä DNS-vuotoja tulevaisuudessa. Ota huomioon, että jos et huomaa tai ratkaise näitä ongelmia, verkkoyhteytesi ei välttämättä koskaan ole turvattu, vaikka käyttäisitkin VPN:ää.  On siis oleellisen tärkeää tarkistaa verkkoasetuksesi DNS-vuotojen varalta ja varmistaa, että olet aina turvassa netissä.

Piditkö tästä artikkelista? Arvostele se!
Todella huono Melko huono Ihan ok Melko hyvä! Tosi hyvä!
4.76 Arvostellut 10 käyttäjää
Otsikko
Kommentti
Kiitos palautteestasi
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Jätä kommentti

Näytä lisää...