ua 
English 
Español 
中國人 
Tiếng Việt 
Deutsch 
Português 
Français 
भारतीय 
Türkçe 
한국인 
Italiano 
Gaeilge 
اردو 
Indonesia 
Polski Безпека в інтернеті - перш за все. Нам не подобається, коли втручаються в наше приватне життя, ми хочемо зберігати анонімність перед провайдерами, робити покупки онлайн, користуватися соціальними мережами без страху, що паролі та банківські реквізити перехоплять шахраї, навіть коли підключаємося через загальнодоступні точки доступу Wi-Fi в кафе або торгових центрах. Для цього ми використовуємо проксі та VPN-сервіси, налаштовуємо безпечні DNS-сервери.
На практиці навіть коли ми думаємо, що захищені, можемо зіткнутися з витоком DNS, який нівелює всі докладені зусилля. Чому виникає подібна проблема і чим вона небезпечна? Як убезпечити себе та зберегти анонімність в інтернеті? Про все в подробицях далі.
Витік DNS (Domain Name System) - ситуація, коли ваш пристрій несподівано надсилає DNS-запити через сервери, які відрізняються від заданих вами в налаштуваннях мережевого обладнання. У разі використання VPN або проксі трафік буде йти не всередині захищеного тунелю, а в обхід, звичайним ISP-каналом на DSN-сервери, призначені провайдером або операційною системою.
Для тих, хто не знайомий з темою, невеликий відступ, що таке DNS і який зв'язок з VPN і проксі.
Усі ми звикли вводити в адресний рядок браузера доменні імена у звичному текстовому форматі, наприклад, google.com. Але мережеве обладнання під час перенаправлення трафіку використовує числові IP-адреси IPv4 на кшталт 192.168.0.1 або текстово-числові адреси IPv6, які мають такий вигляд: 2018:0ab6:84a2:0000:0000:0000:7a2b:0271:7435. Для конвертації зручної людині текстової адреси сайту в машиночитабельний IP використовується система доменних імен або DNS.
Принцип роботи DNS легко пояснити, якщо порівняти його з телефонним довідником. Тільки замість номерів, прізвищ і міських вулиць він містить інтерпретації доменного імені в IP. Саме до нього звертається наш пристрій щоразу, коли в адресному рядку браузера ми вводимо адресу сайту.
Проблема в тому, що DNS-запити не шифруються, навіть якщо сайт, до якого ви підключилися, шифрує трафік за протоколом HTTPS. Тому за будь-якої активності в інтернеті ви залишаєте слід: провайдер або хакери під час підключення до Wi-Fi у громадських місцях можуть бачити історію відвідувань. Що небезпечніше, ваша IP адреса і порти стають доступними власникам сайту, який ви відвідали. Шахраям цієї інформації достатньо, щоб перехопити надіслані вами пакети.
Для анонімності в інтернеті використовуються VPN і проксі-сервери.
Проксі - у комп'ютерних мережах це проміжний сервер між цільовим сайтом і користувачем. Під час використання проксування ваш комп'ютер встановлює з'єднання із сервером-посередником і спрямовує весь трафік, включно з DNS-запитами, не напряму, а через нього. При цьому будь-яка активність в інтернеті виконується не від вашого імені, а від "імені" віддаленого сервера, тоді як інформація про вас залишається прихованою для цільового сайту. Технологія використовується для зміни IP-адреси. HTTPS, SOCKS5 проксі шифрують трафік між вами і сервером, приховуючи також історію запитів від провайдера і від хакерів, які намагаються перехопити трафік.
VPN - це альтернативний спосіб анонімізації. Поверх основного підключення розгортається віртуальна мережа з шифруванням інтернет-трафіку. Дані перенаправляються через захищений тунель до віддаленого сервера, який фактично виступає фаєрволом. Провайдер не може подивитися, яку інформацію передають усередині захищеного каналу, і не бачить історію DNS-запитів (фактично встановлено тільки одне з'єднання з віддаленим сервером). Що важливо, зберігається повна анонімність в інтернеті - на DNS-сервери і в результаті відвідуваним сайтам передається інша IP-адреса VPN-служби.
Приватний проксі з шифруванням забезпечує більш високий захист трафіку. Елітні приватні проксі навіть знижують затримку (ping) за рахунок фільтрації трафіку від спаму і використання кешування.
Але використання анонімізації, неважливо, це проксі чи VPN, не гарантує повну безпеку. Витік DNS, коли трафік іде не через захищений і конфіденційний канал, а напряму - одна з можливих проблем, яка може поставити під удар вашу безпеку в інтернеті.
Витік DNS несе відразу кілька проблем:
Щоб перевірити, чи існує витік під час використання проксі або VPN, потрібно вибрати онлайн-сервіс для виявлення тестування і зробити тест двічі: перший без засобу анонімізації, другий - з увімкненим проксі або ВПН, після чого порівняти результати. Вони мають бути різними, що свідчитиме про те, що DNS-запити перенаправляються.
Розглянемо на прикладі сайту "DNS leak test".
Бачимо, що в результатах IP-адреси не збігаються, отже, витоку немає.
Найчастіше з витоком DNS стикаються користувачі настільних комп'ютерів і ноутбуків з операційною системою Windows. Хоча проблема може торкнутися кожного незалежно від типу пристрою та ОС.
Поширені причини витоку DNS і як виправити проблему:
Найчастіше витік DNS виникає через помилки в налаштуванні проксі або DNS-сервера, який використовує проксі. Також різні проксі-клієнти можуть використовувати власні DNS-налаштування, обходячи налаштування проксі, через що виникає витік даних. Ще одна часта причина - коли проксі не підтримує протоколи DNS (наприклад, UDP). У такому разі, DNS-запити можуть обійти проксі та бути відправлені напряму.
Як вирішити проблему? Використання протоколів, підтримуваних проксі, і ввімкнення відповідних DNS-фільтрів може допомогти зменшити ризик витоків. Якщо ви виявили витік, спробуйте налаштувати мережеве підключення або маршрутизатор вручну та встановіть надійний DNS-сервер.
Змінити або задати постійну адресу DNS-сервера можна в налаштуваннях роутера в розділі DHCP (поля первинний і вторинний DNS).
Також вказати DNS можна в налаштуваннях мережевого підключення. У Windows для цього:
Схожий принцип налаштування DNS в iOS, Android, Linux, Mac. Потрібно зайти в налаштування мережевого пристрою і відредагувати параметри DHCP або TCP/IP.
Деякі провайдери інтернету перенаправляють усі запити користувачів через свої DNS-сервери, але часто не забезпечують їхню безпеку. Зловмисники шукають уразливості та можуть перехоплювати запити користувачів, перенаправляючи на підроблені фішингові сайти. Подібна проблема виникає і зі сторонніми публічними службами.
Як рішення проблеми використовуйте безпечні DNS, які підтримують технологію DNSSEC. Наприклад, OpenDNS, Google Public DNS або Cloudflare. Якщо використовуєте VPN, вкажіть у налаштуваннях Wi-Fi-роутера статичні DNS-сервери (у розділі DHCP), надані VPN-оператором.
Віруси та програми зі шкідливими скриптами можуть змінювати мережеві налаштування пристрою та перенаправляти DNS-запити на підставні сервери. У результаті ваша історія відвідувань в інтернеті може бути розкрита. Але велика небезпека в тому, що сервери можуть переспрямовувати вас на підроблені фішингові сайти, замість справжніх, які крастимуть ваші логіни, паролі, дані банківських карток і платіжних систем. Можлива подібна проблема з DNS і на Android, iOS.
Щоб уникнути такої проблеми, регулярно перевіряйте систему на наявність вірусів і оновлюйте операційну систему. Періодично перевіряйте, чи немає витоку DNS і до яких серверів звертається ваш комп'ютер або смартфон.
Transparent DNS Proxy передбачає встановлення проксі на рівні локальної мережі та перенаправлення всього трафіку через проксі-сервер без додаткового налаштування мережевої карти або встановлення клієнта на пристроях користувачів. Використання прозорого проксі часто призводить до витоку DNS. І іноді цю технологію використовують провайдери, щоб збирати інформацію про сайти, які відвідують клієнти.
У разі використання прозорого проксі, DNS-запити будуть перенаправлятися безпосередньо, через сервери провайдера, навіть якщо окремо вказані статичні DNS-сервери, встановлено окреме проксі-з'єднання або використовуються DNS-фільтри.
Найпростіше рішення такої проблеми - купити елітні проксі з шифруванням трафіку. Якщо через налаштування мережі все одно відбувається витік DNS, потрібно змінити конфігурацію мережевого обладнання:
Ви можете змінити DNS у будь-який момент на будь-якому мережевому пристрої: ноутбуці, маршрутизаторі, смартфоні, планшеті, навіть СмартТБ. Який встановити DNS для цього - розглянемо далі. Обирати варто безпечні DNS-сервіси, які гарантують вашу безпеку та допоможуть підвищити швидкість з'єднання. Надійних DNS-серверів багато. Найбезпечніші наступні три.
Служба DNS, запущена компанією Cisco у 2005 році - лідер у сегменті інформаційної безпеки та мережевих технологій. Це безкоштовний сервер із можливостями, недоступними для багатьох платних сервісів.
Безкоштовні DNS-сервери OpenDNS:
Переваги:
У платному тарифі можна переглядати історію і налаштувати фільтрацію з блокуванням конкретних ресурсів або сайтів за заданим правилом.
За даними незалежних тестувальників DNSPerf, Cloudflare - найшвидша служба DNS у світі. Сервіс приділяє увагу захисту даних і конфіденційності. Не зберігає історію відвідувань користувачів, логи видаляються кожні 24 години.
Також запущено додаткові сервери:
Переваги: простота, швидкодія, вбудований захист від DDos-атак. Надає додаток Wrap, який захищає від витоків DNS на Mac, Android, iOS, Windows.
Мабуть, найвідоміші публічні DNS. Компанія Google приділяє увагу всім своїм сервісам. Google Public DNS - це безпечні та швидкі сервери, захист даних і дотримання правил конфіденційності. Не збирає дані про місцезнаходження користувачів, видаляє журнали з історією запитів раз на два тижні.
Сервери Google Public DNS:
Переваги: висока безпека, швидкість обробки даних.
Захист від витоків DNS вимагає комплексного підходу. Важливо стежити за безпекою і встановлювати додатки з перевірених джерел (щонайменше, перевіряти софт антивірусом перед розпакуванням архіву і встановленням). Користуватися перевіреними службами проксі та VPN, а також безпечними DNS-серверами, які використовують сучасні технології шифрування та захищають дані користувачів.
PHP
Node.js
Python
Java
Golang
Коментарі: 0